Sdílet prostřednictvím

Identita společnosti Contoso Corporation

  • Článek

Microsoft poskytuje identitu jako službu (IDaaS) napříč svými cloudovými nabídkami prostřednictvím Microsoft Entra ID. Aby bylo možné zavést Microsoft 365 pro velké organizace, muselo řešení Contoso IDaaS použít místního zprostředkovatele identity a zahrnout federované ověřování u svých stávajících důvěryhodných zprostředkovatelů identity třetích stran.

Doménová struktura contoso Active Directory Domain Services

Společnost Contoso používá jednu doménovou strukturu Active Directory Domain Services (AD DS) pro contoso.com se sedmi subdoménami, jednu pro každou oblast světa. Ústředí, regionální centrální pobočky a satelitní pobočky obsahují řadiče domény pro místní ověřování a autorizaci.

Tady je doménová struktura Contoso s regionálními doménami pro různé části světa, které obsahují regionální centra.

Doménová struktura a domény společnosti Contoso po celém světě.

Společnost Contoso se rozhodla používat účty a skupiny v doménové struktuře contoso.com k ověřování a autorizaci pro své úlohy a služby Microsoft 365.

Infrastruktura federovaného ověřování společnosti Contoso

Společnost Contoso umožňuje:

  • Zákazníci mohou používat své účty Microsoft, Facebook nebo Google Mail k přihlášení k veřejnému webu společnosti.
  • Dodavatelé a partneři, aby se pomocí svých účtů LinkedIn, Salesforce nebo Google Mail přihlásili k partnerskému extranetu společnosti.

Tady je dmz contoso obsahující veřejný web, partnerský extranet a sadu serverů Active Directory Federation Services (AD FS) (AD FS). DMZ je připojen k internetu, který obsahuje zákazníky, partnery a internetové služby.

Podpora společnosti Contoso pro federované ověřování pro zákazníky a partnery

Servery SLUŽBY AD FS v DMZ usnadňují ověřování přihlašovacích údajů zákazníka jejich zprostředkovateli identity pro přístup k veřejnému webu a přihlašovací údaje partnera pro přístup k partnerskému extranetu.

Společnost Contoso se rozhodla zachovat tuto infrastrukturu a vyhradit ji pro ověřování zákazníků a partnerů. Architekti identit společnosti Contoso zkoumají převod této infrastruktury na Microsoft Entra řešení B2B a B2C.

Hybridní identita se synchronizací hodnot hash hesel pro cloudové ověřování

Společnost Contoso chtěla použít místní doménovou strukturu AD DS k ověřování v cloudových prostředcích Microsoftu 365. Rozhodla se použít synchronizaci hodnot hash hesel (PHS).

PhS synchronizuje místní doménovou strukturu služby AD DS s Microsoft Entra tenantem předplatného Microsoftu 365 pro velké organizace a kopíruje uživatelské a skupinové účty a verzi hesel uživatelských účtů s hodnotou hash.

Kvůli synchronizaci adresářů společnost Contoso nasadila nástroj Microsoft Entra Connect na server ve svém pařížském datacentru.

Tady je server, na kterém běží Microsoft Entra Connect, dotazuje se v doménové struktuře SLUŽBY AD DS společnosti Contoso na změny a pak tyto změny synchronizuje s tenantem Microsoft Entra.

Infrastruktura synchronizace adresářů Contoso PHS

Zásady podmíněného přístupu pro nulová důvěra (Zero Trust) identitu a přístup k zařízením

Společnost Contoso vytvořila sadu zásad podmíněného přístupu Microsoft Entra ID a Intune pro tři úrovně ochrany:

  • Ochrana počátečních bodů se vztahuje na všechny uživatelské účty.
  • Ochrana podniku se vztahuje na vedoucí pracovníky a vedoucí pracovníky.
  • Specializovaná ochrana zabezpečení se vztahuje na konkrétní uživatele ve finančních, právních a výzkumných odděleních, kteří mají přístup k vysoce regulovaným datům.

Tady je výsledná sada zásad podmíněného přístupu a identit contoso.

Zásady podmíněného přístupu pro identitu a zařízení společnosti Contoso.

Další krok

Zjistěte, jak společnost Contoso používá infrastrukturu microsoft endpointu Configuration Manager k nasazení a udržování aktuálních Windows 11 Enterprise v celé organizaci.

Viz také

Nasazení identity pro Microsoft 365

Přehled Microsoft 365 pro podniky