Krok 1. Určení modelu cloudové identity
Podívejte se na veškerý obsah pro malé firmy na webu Small business help & učení.
Microsoft 365 používá Microsoft Entra ID, cloudovou službu identit uživatelů a ověřování, která je součástí vašeho předplatného Microsoft 365, ke správě identit a ověřování pro Microsoft 365. Správná konfigurace infrastruktury identit je zásadní pro správu přístupu a oprávnění uživatelů Microsoftu 365 ve vaší organizaci.
Než začnete, watch toto video s přehledem modelů identit a ověřování pro Microsoft 365.
První volbou pro plánování je model cloudové identity.
Modely cloudových identit Microsoftu
Pokud chcete plánovat uživatelské účty, musíte nejprve porozumět dvěma modelům identit v Microsoftu 365. Identity organizace můžete udržovat jenom v cloudu, nebo můžete spravovat identity místní Active Directory Doménové služby (AD DS) a používat je k ověřování, když uživatelé přistupují ke cloudovým službám Microsoftu 365.
Tady jsou dva typy identit a jejich nejlepší přizpůsobení a výhody.
Atribut | Identita jenom v cloudu | Hybridní identita |
---|---|---|
Vysvětlení | Uživatelský účet existuje jenom v tenantovi Microsoft Entra pro vaše předplatné Microsoft 365. | Uživatelský účet existuje ve službě AD DS a kopie je také v tenantovi Microsoft Entra pro vaše předplatné Microsoft 365. Uživatelský účet v Microsoft Entra ID může také obsahovat hashovanou verzi hesla k účtu uživatele služby AD DS s hodnotou hash. |
Jak Microsoft 365 ověřuje přihlašovací údaje uživatele | Tenant Microsoft Entra pro vaše předplatné Microsoft 365 provádí ověřování pomocí účtu cloudové identity. | Tenant Microsoft Entra pro vaše předplatné Microsoft 365 buď zpracovává proces ověřování, nebo přesměruje uživatele na jiného zprostředkovatele identity. |
Nejlepší pro | Organizace, které nemají nebo nepotřebují místní službu AD DS. | Organizace používající službu AD DS nebo jiného zprostředkovatele identity. |
Největší výhoda | Snadno se používá. Nevyžadují se žádné další adresářové nástroje ani servery. | Uživatelé můžou používat stejné přihlašovací údaje při přístupu k místním nebo cloudovým prostředkům. |
Identita jenom v cloudu
Výhradně cloudová identita používá uživatelské účty, které existují pouze v Microsoft Entra ID. Výhradně cloudovou identitu obvykle používají malé organizace, které nemají místní servery nebo nepoužívají službu AD DS ke správě místních identit.
Tady jsou základní komponenty výhradně cloudové identity.
Místní i vzdálení uživatelé (online) používají své Microsoft Entra uživatelské účty a hesla pro přístup ke cloudovým službám Microsoftu 365. Microsoft Entra ověřuje přihlašovací údaje uživatele na základě uložených uživatelských účtů a hesel.
Správa
Vzhledem k tomu, že uživatelské účty se ukládají jenom v Microsoft Entra ID, spravujete cloudové identity pomocí nástrojů, jako jsou Centrum pro správu Microsoftu 365 a Windows PowerShell.
Hybridní identita
Hybridní identita používá účty, které pocházejí z místní služby AD DS a mají kopii v Microsoft Entra tenantovi předplatného Microsoftu 365. Většina změn, s výjimkou konkrétních atributů účtu, se mění jenom jedním směrem. Změny, které provedete v uživatelských účtech služby AD DS, se synchronizují s jejich kopií v Microsoft Entra ID.
Microsoft Entra Connect zajišťuje průběžnou synchronizaci účtů. Běží na místním serveru, kontroluje změny ve službě AD DS a předává tyto změny Microsoft Entra ID. Microsoft Entra Connect umožňuje filtrovat, které účty se synchronizují a jestli se mají synchronizovat verze uživatelských hesel s hodnotou hash, která se označuje jako synchronizace hodnot hash hesel (PHS).
Při implementaci hybridní identity je místní služba AD DS autoritativním zdrojem informací o účtu. To znamená, že úlohy správy provádíte převážně místně, které se pak synchronizují s Microsoft Entra ID.
Tady jsou komponenty hybridní identity.
Tenant Microsoft Entra má kopii účtů služby AD DS. V této konfiguraci se místní i vzdálení uživatelé, kteří přistupují ke cloudovým službám Microsoftu 365, ověřují pomocí Microsoft Entra ID.
Poznámka
K synchronizaci uživatelských účtů pro hybridní identitu musíte vždy použít Microsoft Entra Connect. Synchronizované uživatelské účty v id Microsoft Entra potřebujete k provádění přiřazení licencí a správy skupin, konfiguraci oprávnění a dalších úloh správy, které zahrnují uživatelské účty.
Hybridní identita a synchronizace adresářů pro Microsoft 365
V závislosti na vašich obchodních potřebách a technických požadavcích je hybridní model identit a synchronizace adresářů nejběžnější volbou pro podnikové zákazníky, kteří používají Microsoft 365. Synchronizace adresářů umožňuje spravovat identity v Active Directory Domain Services (AD DS) a všechny aktualizace uživatelských účtů, skupin a kontaktů se synchronizují do Microsoft Entra tenanta vašeho předplatného Microsoft 365.
Poznámka
Při první synchronizaci uživatelských účtů služby AD DS se jim automaticky nepřiřazuje licence Microsoftu 365 a nemají přístup ke službám Microsoft 365, jako je e-mail. Nejprve je nutné jim přiřadit umístění použití. Potom přiřaďte licenci k těmto uživatelským účtům, a to buď jednotlivě, nebo dynamicky prostřednictvím členství ve skupině.
Ověřování pro hybridní identitu
Při použití modelu hybridní identity existují dva typy ověřování:
Spravované ověřování
Microsoft Entra ID zpracovává proces ověřování pomocí místně uložené verze hesla s hodnotou hash nebo odešle přihlašovací údaje místnímu softwarovému agentu, aby ho ověřila místní služba AD DS.
Federované ověřování
Microsoft Entra ID přesměruje klientský počítač požadující ověření na jiného zprostředkovatele identity.
Spravované ověřování
Existují dva typy spravovaného ověřování:
Synchronizace hodnot hash hesel (PHS)
Microsoft Entra ID provádí samotné ověřování.
Předávací ověřování (PTA)
Microsoft Entra ID provede ověřování služba AD DS.
Synchronizace hodnot hash hesel (PHS)
S PHS synchronizujete uživatelské účty služby AD DS s Microsoftem 365 a spravujete uživatele místně. Hodnoty hash uživatelských hesel se synchronizují z vaší služby AD DS do Microsoft Entra ID, aby uživatelé měli stejné heslo místně i v cloudu. Jedná se o nejjednodušší způsob, jak povolit ověřování pro identity služby AD DS v Microsoft Entra ID.
Když se hesla změní nebo resetují místně, nové hodnoty hash hesel se synchronizují s Microsoft Entra ID, aby uživatelé mohli vždy používat stejné heslo pro cloudové prostředky a místní prostředky. Uživatelská hesla se nikdy neodesílají na Microsoft Entra ID ani se neukládají ve Microsoft Entra ID ve formátu nemazaný text. Některé prémiové funkce Microsoft Entra ID, například Identity Protection, vyžadují PHS bez ohledu na vybranou metodu ověřování.
Další informace najdete v tématu Volba správné metody ověřování .
Předávací ověřování (PTA)
PTA poskytuje jednoduché ověření hesla pro Microsoft Entra ověřovací služby pomocí softwarového agenta běžícího na jednom nebo několika místních serverech, který ověřuje uživatele přímo ve službě AD DS. S PTA synchronizujete uživatelské účty SLUŽBY AD DS s Microsoftem 365 a spravujete uživatele místně.
PTA umožňuje uživatelům přihlašovat se k místním prostředkům a aplikacím Microsoftu 365 pomocí svého místního účtu a hesla. Tato konfigurace ověřuje hesla uživatelů přímo v místní službě AD DS bez ukládání hodnot hash hesel do Microsoft Entra ID.
PTA je také pro organizace s požadavkem na zabezpečení, které okamžitě vynucují stavy místních uživatelských účtů, zásady hesel a hodiny přihlášení.
Další informace najdete v tématu Volba správné metody ověřování .
Federované ověřování
Federované ověřování je primárně pro velké organizace se složitějšími požadavky na ověřování. Identity služby AD DS se synchronizují s Microsoftem 365 a uživatelské účty se spravují místně. U federovaného ověřování mají uživatelé stejné heslo místně i v cloudu a nemusí se znovu přihlašovat, aby mohli používat Microsoft 365.
Federované ověřování může podporovat další požadavky na ověřování, jako je ověřování pomocí čipových karet nebo vícefaktorové ověřování třetích stran, a obvykle se vyžaduje, když organizace mají požadavek na ověřování, který Microsoft Entra ID nativně nepodporuje.
Další informace najdete v tématu Volba správné metody ověřování .
V případě zprostředkovatelů ověřování a identity třetích stran se místní objekty adresářů můžou synchronizovat s Microsoftem 365 a přístupem ke cloudovým prostředkům, které primárně spravuje zprostředkovatele identity (IdP) třetí strany. Pokud vaše organizace používá federační řešení od jiného výrobce, můžete nakonfigurovat přihlašování pomocí daného řešení pro Microsoft 365 za předpokladu, že je federační řešení třetí strany kompatibilní s ID Microsoft Entra.
Další informace najdete v seznamu kompatibility federace Microsoft Entra.
Správa
Vzhledem k tomu, že původní a autoritativní uživatelské účty jsou uložené v místní službě AD DS, spravujete identity pomocí stejných nástrojů, jako spravujete službu AD DS.
Ke správě synchronizovaných uživatelských účtů v Microsoft Entra ID nepoužíváte Centrum pro správu Microsoftu 365 ani PowerShell pro Microsoft 365.
Další krok
Pokračujte krokem 2 a zabezpečte své účty globálních správců.