跳至主要內容
  • 簡單快速地下訂單
  • 檢視訂單及追蹤商品運送狀態
  • 建立並存取您的產品清單

Übersicht über die Office 365- und Azure Active Directory-Optionen

摘要: Office 365 verwendet den Cloud-basierten Nutzerauthentifizierungsdienst Azure Active Directory zum Managen von Nutzern.

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。

說明

Sie können bei der Einrichtung und dem Management von Nutzerkonten in Office 365 zwischen drei Hauptidentitätsmodellen wählen:

Cloud-Symbol

Synchronisiert-Symbol

Föderiert-Symbol

Cloud-Identität

Managen Sie Ihre Nutzerkonten nur in Office 365. Zum Managen von Nutzern sind keine lokalen Server erforderlich. Alles geschieht in der Cloud.

Synchronisierte Identität

Synchronisieren Sie lokale Verzeichnisobjekte mit Office 365 und managen Sie Ihre Nutzer vor Ort. Sie können auch Kennwörter synchronisieren, sodass Nutzer dasselbe Kennwort lokal und in der Cloud verwenden. Sie müssen sich jedoch erneut anmelden, um Office 365 zu verwenden.

Föderierte Identität

Synchronisieren Sie lokale Verzeichnisobjekte mit Office 365 und managen Sie Ihre Nutzer vor Ort. Die Nutzer verwenden dasselbe Kennwort vor Ort und in der Cloud und müssen sich nicht erneut anmelden, um Office 365 zu verwenden. Dies wird oft als Single Sign-On bezeichnet.

 

Es ist wichtig, sorgfältig zu überprüfen, welches Identitätsmodell verwendet werden soll. Denken Sie dabei an den Zeitaufwand, die vorhandene Komplexität und die Kosten. Diese Faktoren unterscheiden sich für jedes Unternehmen. In diesem Artikel werden die wichtigsten Konzepte für jedes Identitätsmodell erläutert, um Sie bei der Auswahl der richtigen Identität für Ihre Bereitstellung zu unterstützen.

Sie können jedoch auch zu einem anderen Identitätsmodell wechseln, wenn sich Ihre Anforderungen ändern.

 


Info-Symbol Identität in Office 365 for Business

Cloud-Identität

In diesem Modell erstellen und managen Sie Nutzer im Microsoft Office-Portal und speichern die Konten in Azure AD. Azure AD überprüft die Kennwörter. Azure AD ist das Cloud-Verzeichnis, das von Office 365 verwendet wird. Es sind keine lokalen Server erforderlich – Microsoft managt alles für Sie. Wenn Identität und Authentifizierung vollständig in der Cloud verarbeitet werden, können Sie Nutzerkonten und Nutzerlizenzen über das Microsoft Online-Portal oder Windows PowerShell-Cmdlets managen.

Die folgende Grafik fasst zusammen, wie Nutzer im Cloud-Identitätsmodell gemanagt werden.

  1. Um Nutzer zu erstellen oder zu managen, stellt der Administrator eine Verbindung zum Microsoft Online-Portal auf der Microsoft Cloud-Plattform her.

  2. Die Anfragen zum Erstellen oder Managen werden an Azure AD weitergeleitet.

  3. Wenn es sich um eine Änderungsanfrage handelt, wird die Änderung vorgenommen und zurück in das Microsoft Office-Portal kopiert.

  4. Neue Nutzerkonten und Änderungen an bestehenden Nutzerkonten werden zurück in das Microsoft Office-Portal kopiert.

 

Cloud-Identität

 

Wann sollte die Cloud-Identität verwendet werden? Die Cloud-Identität ist eine gute Wahl, wenn:

  • Sie kein anderes lokales Nutzerverzeichnis haben.
  • Sie über ein sehr komplexes lokales Verzeichnis verfügen und einfach den Integrationsaufwand vermeiden möchten.
  • Sie über ein lokales Verzeichnis verfügen, aber eine Testversion oder ein Pilotprojekt mit Office 365 ausführen möchten. Später, wenn Sie bereit sind, Ihr lokales Verzeichnis zu verbinden, können Sie die Cloud-Nutzer lokalen Nutzern zuordnen.

 


Info-Symbol Integration von Office 365 mit einem vorhandenen Verzeichnisdienst

 

Wenn Sie bereits über eine Verzeichnisumgebung vor Ort verfügen, können Sie Office 365 mit Ihrem Verzeichnis integrieren, indem Sie entweder die synchronisierte Identität oder Single Sign-On und die föderiert Identität verwenden, um Ihre Nutzer in Office 365 zu erstellen und zu managen.

 

Synchronisierte Identität

Mit diesem Modell managen Sie die Nutzeridentität auf einem lokalen Server und synchronisieren die Konten und optional Kennwörter mit der Cloud. Der Nutzer verwendet dasselbe Kennwort vor Ort wie in der Cloud und das Kennwort wird bei der Anmeldung von Azure AD überprüft. Dieses Modell verwendet ein Verzeichnissynchronisierungs-Tool, um die lokale Identität mit Office 365 zu synchronisieren.

Um das Modell der synchronisierten Identität zu konfigurieren, müssen Sie über ein lokales Verzeichnis verfügen, das synchronisiert werden soll, und Sie müssen ein Verzeichnissynchronisierungs-Tool installieren. Sie sollten an Ihrem lokalen Verzeichnis einige Konsistenzprüfungen durchführen, bevor Sie die Konten synchronisieren.

 

Wann die synchronisierte oder die föderierte Identität verwendet werden sollte:

Dieses Modell:

Funktioniert in folgenden Situationen:

Synchronisierte Identitäten

Wenn Sie über ein lokales Verzeichnis verfügen und Nutzerkonten und optional Kennwörter synchronisieren möchten. Wenn Sie auch die Kennwörter synchronisieren, verwenden Ihre Nutzer dasselbe Kennwort für den Zugriff auf lokale Ressourcen und auf Office 365.

Wenn Sie letztendlich föderierte Identitäten verwenden möchten, aber ein Pilotprojekt mit Office 365 durchführen oder aus einem anderen Grund noch nicht bereit sind, Zeit für die Bereitstellung der AD FS-Server (Active Directory Federation Services) aufzuwenden.

Föderierte Identitäten

Wenn Sie ein erweitertes Szenario benötigen, z. B. aufgrund bestehender Föderation, Richtlinien oder technischer Anforderungen.

 

Das folgende Diagramm zeigt ein Szenario mit synchronisierter Identität und Kennwortsynchronisierung. Das Synchronisierungs-Tool sorgt dafür, dass Ihre lokalen und Cloud-Unternehmensnutzeridentitäten synchronisiert werden.

  1. Sie installieren Microsoft Azure Active Directory Connect.

  2. Sie erstellen neue Nutzer in Ihrem lokalen Verzeichnis.

  3. Das Synchronisierungs-Tool überprüft regelmäßig Ihr lokales Verzeichnis auf neu erstellte Identitäten. Anschließend werden diese Identitäten in Azure AD bereitgestellt, lokale und Cloud-Identitäten miteinander verknüpft, Kennwörter synchronisiert und Ihnen über das Microsoft Office-Portal angezeigt.

  4. Wenn Sie Änderungen an den Nutzern im lokalen Verzeichnis vornehmen, werden diese Änderungen mit Azure AD synchronisiert und Ihnen über das Microsoft Office-Portal zur Verfügung gestellt.

 

Synchronisierte Identität

 


Föderierte Identität

Dieses Modell erfordert eine synchronisierte Identität, allerdings mit einer Änderung an diesem Modell: Das Nutzerkennwort wird vom lokalen Identitätsanbieter überprüft. Das bedeutet, dass der Kennwort-Hash nicht mit Azure AD synchronisiert werden muss. Dieses Modell verwendet Active Directory Federation Services (AD FS) oder einen Identitäts-Drittanbieter.

 

Zu den Gründen für die Verwendung einer föderierten Identität gehören:

Vorhandene Infrastruktur

  • Wenn Sie AD FS bereits aus einem anderen Grund bereitgestellt haben, möchten Sie es wahrscheinlich auch für Office 365 verwenden.
  • Wenn Sie bereits einen anderen Identitätsanbieter nutzen, sollten Sie für Office 365 die föderierte Identität verwenden.
  • Wenn Sie Forefront Identity Manager nutzen, sollten Sie für Office 365 ebenfalls die föderierte Identität verwenden.

Technische Anforderungen

  • Sie haben mehrere Gesamtstrukturen in Ihren lokalen Active Directory Domain Services (AD DS).
  • Sie nutzen vor Ort eine integrierte Smartcard-Lösung.
  • Sie verwenden eine benutzerdefinierte Hybridanwendung, z. B. mit SharePoint oder Microsoft Exchange Server.

Richtlinienanforderungen

  • Sie benötigen ein Anmelde-Audit und/oder eine sofortige Deaktivierung.
  • Sie benötigen Single Sign-On.
  • Sie haben Anmeldebeschränkungen je nach Netzwerkstandort oder Arbeitszeit.
  • Sie unterliegen anderen Richtlinien, die eine föderierte Identität erfordern.

 

Das folgende Diagramm zeigt ein Szenario mit einer föderierten Identität und einer hybriden lokalen und Cloud-Bereitstellung. Das lokale Verzeichnis in diesem Beispiel ist AD FS. Das Synchronisierungs-Tool sorgt dafür, dass Ihre lokalen und Cloud-Unternehmensnutzeridentitäten synchronisiert werden.

  1. Sie installieren Azure Active Directory Connect. Das Synchronisierungs-Tool hilft dabei, Azure AD mit den neuesten Änderungen, die Sie in Ihrem lokalen Verzeichnis vornehmen, auf dem neuesten Stand zu halten. Sie müssen eine benutzerdefinierte Installation von Azure AD Connect verwenden, um Single Sign-On einzurichten.

  2. Sie erstellen neue Nutzer in Ihrem lokalen Active Directory.

  3. Das Synchronisierungs-Tool überprüft regelmäßig Ihren lokalen Active Directory-Server auf neu erstellte Identitäten. Anschließend werden diese Identitäten in Azure AD bereitgestellt, lokale und Cloud-Identitäten miteinander verknüpft und Ihnen über das Microsoft Office-Portal angezeigt.

  4. Wenn Änderungen an der Identität im lokalen Active Directory vorgenommen werden, werden diese Änderungen mit Azure AD synchronisiert.

  5. Diese Änderungen werden Ihnen über das Microsoft Office-Portal zur Verfügung gestellt.

  6. Ihre föderierten Nutzer melden sich bei Ihren AD FS an.

  7. AD FS erzeugt ein Sicherheitstoken und dieses Token wird an Azure AD übergeben. Das Token wird überprüft und validiert und die Nutzer werden dann für Office 365 autorisiert.

 

Föderierte Identität

 

受影響的產品

Microsoft 365 from Dell
文章屬性
文章編號: 000184385
文章類型: How To
上次修改時間: 11 10月 2024
版本:  5
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。