Office 365 ve Azure Active Directory seçeneklerini anlama

Kullanıcı hesaplarını ayarlarken ve yönetirken Office 365'te üç ana kimlik modelinden birini seçebilirsiniz:

Çalışmaya başlamak için hangi kimlik modelinin kullanılacağını dikkatlice düşünmek önemlidir. Zamanı, mevcut karmaşıklığı ve maliyeti düşünün. Bu faktörler her kuruluş için farklıdır; Bu konuda, dağıtımınız için kullanmak istediğiniz kimliği seçmenize yardımcı olmak üzere her kimlik modeli için bu temel kavramlar gözden geçirilir.

Gereksinimleriniz değişirse farklı bir kimlik modeline de geçebilirsiniz.

Office 365 İş'te Kimlik

Cloud Identity

Bu modelde, kullanıcıları Microsoft Office Portal'da oluşturup yönetir ve hesapları Azure AD'de depolarsınız. Azure AD parolaları doğrular. Azure AD, Office 365 tarafından kullanılan bulut dizinidir. Şirket içi sunucular gerekmez — Microsoft bunların tümünü sizin için yönetir. Kimlik ve kimlik doğrulama tamamen bulutta işlendiğinde, kullanıcı hesaplarını ve kullanıcı lisanslarını Microsoft Online Portal veya Windows PowerShell cmdlet'leri aracılığıyla yönetebilirsiniz.

Aşağıdaki grafikte, bulut kimlik modelinde kullanıcıların nasıl yönetileceği özetlenmektedir.

1. Yönetici, kullanıcıları oluşturmak veya yönetmek için Microsoft bulut platformundaki Microsoft Online Portal'a bağlanır.

2. Oluşturma veya yönetme istekleri Azure AD'ye geçirilir.

3. Bu bir değişiklik isteğiyse, değişiklik yapılır ve Microsoft Office Portal'a geri kopyalanır

4. Yeni kullanıcı hesapları ve varolan kullanıcı hesaplarında yapılan değişiklikler Microsoft Office Portal'a geri kopyalanır.

Bulut kimliğini ne zaman kullanırsınız? Bulut kimliği şu durumlarda iyi bir seçimdir:

• Başka bir şirket içi kullanıcı dizininiz yok.
• Çok karmaşık bir şirket içi dizininiz var ve yalnızca onunla tümleştirme işinden kaçınmak istiyorsunuz.
• Şirket içi bir dizininiz var, ancak Office 365'in deneme sürümünü veya pilot uygulamasını çalıştırmak istiyorsunuz. Daha sonra, şirket içi dizininize bağlanmaya hazır olduğunuzda bulut kullanıcılarını şirket içi kullanıcılarla eşleştirebilirsiniz

Office 365'i varolan bir dizin hizmetiyle tümleştirme

Şirket içinde bir dizin ortamınız varsa, Office 365'te kullanıcılarınızı oluşturmak ve yönetmek için eşitlenmiş kimlik veya çoklu oturum açma ve federasyon kimliği kullanarak Office 365'i dizininizle tümleştirebilirsiniz.

Eşitlenmiş Kimlik

Bu modelde, şirket içi bir sunucuda kullanıcı kimliğini yönetir ve hesapları ve isteğe bağlı olarak parolaları buluta eşitlersiniz. Kullanıcı, bulutta olduğu gibi şirket içinde de aynı parolayı girer ve oturum açma sırasında parola Azure AD tarafından doğrulanır. Bu model, şirket içi kimliği Office 365 ile eşitlemek için bir dizin eşitleme aracı kullanır.

Eşitlenmiş kimlik modelini yapılandırmak için, eşitleme yapılacak bir şirket içi dizine sahip olmanız ve bir dizin eşitleme aracı yüklemeniz gerekir. Hesapları eşitlemeden önce şirket içi dizininizde birkaç tutarlılık denetimi çalıştıracaksınız.

Eşitlenmiş veya birleştirilmiş kimlikler ne zaman kullanılır:

Aşağıdaki diyagramda, parola eşitleme ile eşitlenmiş bir kimlik senaryosu gösterilmektedir. Eşitleme aracı, şirket içi ve bulut içi kurumsal kullanıcı kimliklerinizin eşitlenmesini sağlar.

1. Bir Microsoft Azure Active Directory Connect yüklersiniz.

2. Şirket içi dizininizde yeni kullanıcılar oluşturursunuz.

3. Eşitleme aracı, oluşturduğunuz yeni kimlikler için şirket içi dizininizi düzenli aralıklarla denetler. Ardından bu kimlikleri Azure AD'ye sağlar, şirket içi ve bulut kimliklerini birbirine bağlar, parolaları eşitler ve bunları Microsoft Office Portalı aracılığıyla size görünür hale getirir.

4. Şirket içi dizindeki kullanıcılarda değişiklik yaptığınızda, bu değişiklikler Azure AD ile eşitlenir ve Microsoft Office Portalı aracılığıyla kullanımınıza sunulur.

Federated Identity

Bu model eşitlenmiş bir kimlik gerektirir, ancak bu modelde yapılan bir değişiklikle: kullanıcı parolası şirket içi kimlik sağlayıcısı tarafından doğrulanır. Bu, parola karmasının Azure AD ile eşitlenmesi gerekmediği anlamına gelir. Bu model, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) veya üçüncü taraf kimlik sağlayıcısı kullanır.

Federe kimlik kullanmanın nedenleri şunlardır:

Mevcut altyapı

• AD FS'yi başka bir nedenle zaten dağıttıysanız, büyük olasılıkla Office 365 için de kullanmak isteyeceksiniz.
• Zaten başka bir kimlik sağlayıcısı kullanıyorsanız, Office 365 ile federasyon kimliği kullanmak isteyeceksiniz.
• Forefront Identity Manager kullanıyorsanız, Office 365 ile federasyon kimliğini de kullanmak isteyeceksiniz.

Teknik gereksinimler

• Şirket içi Active Directory Domain Services (AD DS) içinde birden çok ormanınız var.
• Şirket içi tümleşik bir akıllı kart çözümünüz var.
• SharePoint veya Microsoft Exchange Server gibi bir özel karma uygulamanız var.

Politika gereksinimleri

• Oturum açma denetimi ve/veya hemen devre dışı bırakma gerekir.
• Çoklu oturum açmanız gerekir.
• Ağ konumuna veya çalışma saatlerine göre oturum açma kısıtlamalarınız var.
• Federe kimlik gerektiren başka ilkeleriniz var.

Aşağıdaki diyagramda, karma şirket içi ve bulut dağıtımı ile federasyon kimliği senaryosu gösterilmektedir. Bu örnekteki şirket içi dizin AD FS'dir. Eşitleme aracı, şirket içi ve bulut içi kurumsal kullanıcı kimliklerinizin eşitlenmesini sağlar.

1. Azure Active Directory Connect'i yüklersiniz Eşitleme aracı, şirket içi dizininizde yaptığınız en son değişikliklerle Azure AD'yi güncel tutmanıza yardımcı olur. Çoklu oturum açmayı ayarlamak için özel bir Azure AD Connect yüklemesi kullanmanız gerekir.

2. Şirket içi Active Directory'nizde yeni kullanıcılar oluşturursunuz.

3. Eşitleme aracı, oluşturduğunuz yeni kimlikler için şirket içi Active Directory sunucunuzu düzenli aralıklarla denetler. Ardından bu kimlikleri Azure AD'ye sağlar, şirket içi ve bulut kimliklerini birbirine bağlar ve bunları Microsoft Office Portalı aracılığıyla sizin için görünür hale getirir.

4. Şirket içi Active Directory'de kimlikte değişiklikler yapıldıkça, bu değişiklikler Azure AD ile eşitlenir.

5. Bu değişiklikler Microsoft Office Portalı aracılığıyla kullanımınıza sunulur.

6. Federasyon kullanıcılarınız AD FS'nizle oturum açar.

7. AD FS bir güvenlik belirteci oluşturur ve bu belirteç Azure AD'ye geçirilir. Belirteç doğrulanır, doğrulanır ve ardından kullanıcılar Office 365 için yetkilendirilir.