Compartir a través de


Identidad para Contoso Corporation

Microsoft proporciona identidad como servicio (IDaaS) en sus ofertas en la nube a través de Microsoft Entra ID. Para adoptar Microsoft 365 para empresas, la solución Contoso IDaaS tenía que usar su proveedor de identidades local e incluir la autenticación federada con sus proveedores de identidades de terceros de confianza existentes.

El bosque de contoso Servicios de dominio de Active Directory

Contoso usa un único bosque de Servicios de dominio de Active Directory (AD DS) para contoso.com con siete subdominios, uno para cada región del mundo. La sede, las oficinas regionales y las oficinas satélite contienen controladores de dominio para la autenticación y la autorización local.

Este es el bosque de Contoso con dominios regionales para las distintas partes del mundo que contienen centros regionales.

Bosque y dominios de Contoso en todo el mundo.

Contoso decidió usar las cuentas y grupos del bosque de contoso.com para la autenticación y autorización para sus cargas de trabajo y servicios de Microsoft 365.

La infraestructura de autenticación federada de Contoso

Contoso permite lo siguiente:

  • Clientes para usar sus cuentas de Microsoft, Facebook o Google Mail para iniciar sesión en el sitio web público de la empresa.
  • Proveedores y asociados para usar sus cuentas de LinkedIn, Salesforce o Google Mail para iniciar sesión en la extranet de asociados de la empresa.

Esta es la red perimetral de Contoso que contiene un sitio web público, una extranet de asociado y un conjunto de servidores de Servicios de federación de Active Directory (AD FS) (AD FS). La red perimetral está conectada a Internet que contiene clientes, asociados y servicios de Internet.

Compatibilidad de Contoso con la autenticación federada para clientes y asociados.

Los servidores de AD FS en la red perimetral facilitan la autenticación de las credenciales del cliente por parte de sus proveedores de identidades para acceder al sitio web público y las credenciales de asociado para acceder a la extranet del asociado.

Contoso decidió mantener esta infraestructura y dedicarla a la autenticación de clientes y asociados. Los arquitectos de identidades de Contoso están investigando la conversión de esta infraestructura en Microsoft Entra soluciones B2B y B2C.

Identidad híbrida con sincronización de hash de contraseña para la autenticación basada en la nube

Contoso quería usar su bosque de AD DS local para la autenticación en los recursos en la nube de Microsoft 365. Decidió usar la sincronización de hash de contraseña (PHS).

PHS sincroniza el bosque de AD DS local con el inquilino Microsoft Entra de su suscripción de Microsoft 365 para empresas, copiando cuentas de usuario y grupo y una versión con hash de contraseñas de cuenta de usuario.

Para realizar la sincronización de directorios, Contoso implementó la herramienta Microsoft Entra Connect en un servidor en su centro de datos de París.

Este es el servidor que ejecuta Microsoft Entra Connect sondea los cambios en el bosque de Contoso AD DS y, a continuación, sincroniza esos cambios con el inquilino de Microsoft Entra.

La infraestructura de sincronización de directorios phs de Contoso.

Directivas de acceso condicional para Confianza cero identidad y acceso a dispositivos

Contoso creó un conjunto de directivas de acceso condicional de Microsoft Entra ID y Intune para tres niveles de protección:

  • Las protecciones de punto de partida se aplican a todas las cuentas de usuario.
  • Las protecciones empresariales se aplican a la dirección sénior y al personal ejecutivo.
  • Las protecciones de seguridad especializadas se aplican a usuarios específicos de los departamentos financieros, legales y de investigación que tienen acceso a datos altamente regulados.

Este es el conjunto resultante de directivas de acceso condicional de dispositivo e identidad de Contoso.

Directivas de acceso condicional de dispositivo e identidad de Contoso.

Paso siguiente

Obtenga información sobre cómo Contoso usa su infraestructura de Configuration Manager de punto de conexión de Microsoft para implementar y mantener Windows 11 Empresas actuales en toda su organización.

Vea también

Implementar identidad para Microsoft 365

Información general de Microsoft 365 Enterprise