Tietoja Office 365- ja Azure Active Directory -vaihtoehdoista

Voit valita Office 365:n kolmesta päätunnistetietomallista, kun määrität ja hallitset käyttäjätilejä:

On tärkeää harkita tarkkaan, mitä identiteettimallia käytetään, jotta pääset vauhtiin. Ajattele aikaa, olemassa olevaa monimutkaisuutta ja kustannuksia. Nämä tekijät ovat erilaisia jokaisessa organisaatiossa; Tässä ohjeaiheessa tarkastellaan näitä keskeisiä käsitteitä jokaiselle tunnistetietomallille, jotta voit valita käyttöönotossa käytettävät käyttäjätiedot.

Voit myös vaihtaa toiseen tunnistetietomalliin, jos vaatimukset muuttuvat.

Käyttäjätiedot Office 365 for Businessissa

Pilvi-identiteetti

Tässä mallissa voit luoda ja hallita käyttäjiä Microsoft Office -portaalissa ja tallentaa tilit Azure AD:hen. Azure AD vahvistaa salasanat. Azure AD on Office 365:n käyttämä pilvihakemisto. Paikallisia palvelimia ei tarvita – Microsoft hoitaa kaiken puolestasi. Kun käyttäjätiedot ja todennus hoidetaan kokonaan pilvessä, voit hallita käyttäjätilejä ja käyttöoikeuksia Microsoft Online Portalin tai Windows PowerShellin cmdlet-komentojen kautta.

Seuraavassa kuvassa on yhteenveto käyttäjien hallinnasta pilvipohjaisen identiteettimallin avulla.

1. Järjestelmänvalvoja muodostaa yhteyden Microsoft Online -portaaliin Microsoftin pilviympäristössä käyttäjien luomista tai hallintaa varten.

2. Luo tai hallitse pyyntöjä välitetään Azure AD:hen.

3. Jos kyseessä on muutospyyntö, muutos tehdään ja kopioidaan takaisin Microsoft Office -portaaliin

4. Uudet käyttäjätilit ja olemassa olevien käyttäjätilien muutokset kopioidaan takaisin Microsoft Office -portaaliin.

Milloin käyttäisit pilvi-identiteettiä? Pilvi-identiteetti on hyvä valinta, jos:

• Sinulla ei ole muuta paikallista käyttäjähakemistoa.
• Sinulla on erittäin monimutkainen paikallinen hakemisto, ja haluat yksinkertaisesti välttää sen integroinnin työtä.
• Sinulla on jo paikallinen hakemisto, mutta haluat kokeilla Office 365:tä tai kokeiluversiota. Myöhemmin voit yhdistää pilvikäyttäjät paikallisiin käyttäjiin, kun olet valmis muodostamaan yhteyden paikalliseen hakemistoon

Office 365:n integrointi olemassa olevaan hakemistopalveluun

Jos sinulla on aiemmin luotu hakemistoympäristö paikallisesti, voit integroida Office 365:n hakemistoosi käyttämällä joko synkronoituja käyttäjätietoja tai kertakirjautumista ja yhdistettyjä käyttäjätietoja käyttäjien luomiseen ja hallintaan Office 365:ssä.

Synkronoidut käyttäjätiedot

Tässä mallissa hallitaan paikallisen palvelimen käyttäjätietoja ja synkronoidaan tilit ja valinnaisesti salasanat pilveen. Käyttäjä syöttää saman salasanan paikallisesti kuin pilvipalvelussa, ja Azure AD vahvistaa salasanan kirjautumisen yhteydessä. Tämä malli synkronoi paikalliset käyttäjätiedot Office 365:een hakemistosynkronointityökalun avulla.

Jos haluat määrittää synkronoidun tunnistetietomallin, sinulla on oltava paikallinen hakemisto, josta voit synkronoida, ja sinun on asennettava hakemistosynkronointityökalu. Suoritat paikallisen hakemiston muutaman yhtenäisyystarkistuksen ennen tilien synkronointia.

Milloin synkronoituja tai yhdistettyjä identiteettejä käytetään?

Seuraavassa kaaviossa on synkronoitu identiteettiskenaario salasanan synkronoinnin kanssa. Synkronointityökalu pitää paikalliset ja pilvessä olevat yrityskäyttäjien käyttäjätiedot synkronoituina.

1. Asennat Microsoft Azure Active Directory Connectin.

2. Luot uusia käyttäjiä paikalliseen hakemistoon.

3. Synkronointityökalu tarkistaa säännöllisesti paikallisen hakemiston luomiesi uusien käyttäjätietojen varalta. Sitten se valmistelee nämä käyttäjätiedot Azure AD:hen, linkittää paikalliset ja pilvi-identiteetit toisiinsa, synkronoi salasanat ja tuo ne näkyviin Microsoft Office -portaalin kautta.

4. Kun teet muutoksia paikallisen hakemiston käyttäjiin, muutokset synkronoidaan Azure AD:hen ja ovat käytettävissäsi Microsoft Office -portaalin kautta.

Federoidut käyttäjätiedot

Tämä malli edellyttää synkronoituja tunnistetietoja, mutta siihen on tehtävä yksi muutos: paikallinen tunnistetietojen toimittaja vahvistaa käyttäjän salasanan. Tämä tarkoittaa, että salasanan hajautusta ei tarvitse synkronoida Azure AD:hen. Tämä malli käyttää Active Directory Federation Services (AD FS) -palveluita tai kolmannen osapuolen tunnistetietojen toimittajaa.

Syitä yhdistettyjen käyttäjätietojen käyttöön ovat seuraavat:

Olemassa oleva infrastruktuuri

• Jos sinulla on jo AD FS otettu käyttöön jostain muusta syystä, haluat todennäköisesti käyttää sitä myös Office 365:ssä.
• Jos käytät jo jotakin muuta tunnistetietojen toimittajaa, haluat käyttää yhdistettyjä käyttäjätietoja Office 365:n kanssa.
• Jos käytät Forefront Identity Manageria, haluat käyttää yhdistettyjä käyttäjätietoja myös Office 365:n kanssa.

Tekniset vaatimukset

• Paikallisissa Active Directory -toimialueen palveluissa (AD DS) on useita toimialuepuuryhmiä.
• Sinulla on paikallinen integroitu älykorttiratkaisu.
• Sinulla on aiemmin luotu mukautettu hybridisovellus, esimerkiksi SharePoint tai Microsoft Exchange Server.

Käytännön vaatimukset

• Edellytät sisäänkirjautumisen tarkastusta ja/tai välitöntä käytöstäpoistoa.
• Tarvitset kertakirjautumisen.
• Sinulla on kirjautumisrajoituksia verkon sijainnin tai työajan mukaan.
• Sinulla on muita käytäntöjä, jotka edellyttävät yhdistettyjä käyttäjätietoja.

Seuraavassa kaaviossa on skenaario, jossa yhdistetään käyttäjätiedot sekä paikallinen hybridimalli että pilvikäyttöönotto. Paikallinen hakemisto tässä esimerkissä on AD FS. Synkronointityökalu pitää paikalliset ja pilvessä olevat yrityskäyttäjien käyttäjätiedot synkronoituina.

1. Asennat Azure Active Directory Connectin Synkronointityökalu auttaa pitämään Azure AD:n ajan tasalla uusimpien paikalliseen hakemistoon tekemiesi muutosten kanssa. Sinun on käytettävä mukautettua Azure AD Connect -asennusta kertakirjautumisen määrittämiseen.

2. Voit luoda uusia käyttäjiä paikalliseen Active Directoryyn.

3. Synkronointityökalu tarkistaa paikallisen Active Directory -palvelimen säännöllisesti luomiesi uusien käyttäjätietojen varalta. Sitten se valmistelee nämä käyttäjätiedot Azure AD:hen, linkittää paikalliset ja pilvi-identiteetit toisiinsa ja tekee niistä sinulle näkyviä Microsoft Office -portaalin kautta.

4. Kun paikallisen Active Directoryn käyttäjätietoihin tehdään muutoksia, muutokset synkronoidaan Azure AD:hen.

5. Nämä muutokset ovat käytettävissäsi Microsoft Office -portaalin kautta.

6. Liitetyt käyttäjät kirjautuvat sisään AD FS:lläsi.

7. AD FS luo suojaustunnuksen ja kyseinen tunnus välitetään Azure AD:hen. Tunnus tarkistetaan ja vahvistetaan, minkä jälkeen käyttäjät valtuutetaan käyttämään Office 365:tä.