Vaihe 1: Pilvipalvelun käyttäjätietomallin määrittäminen
Tutustu pienyritysten kaikkeen pienyrityssisältöön, joka & oppimista.
Microsoft 365 käyttää Microsoft 365 -tilaukseesi sisältyvää Microsoft Entra ID:tä, pilvipohjaista käyttäjätieto- ja todennuspalvelua, microsoft 365:n käyttäjätietojen ja todentamisen hallintaan. Käyttäjätietoinfrastruktuurin oikea määrittäminen on elintärkeää Microsoft 365-käyttäjien käyttöoikeuksien ja -käyttöoikeuksien hallinnan kannalta organisaatiossasi.
Ennen kuin aloitat, katso tämä video, jossa on yleiskatsaus Microsoft 365:n käyttäjätietomalleista ja todentamisesta.
Ensimmäinen suunnitteluvalintasi on pilvipalvelun käyttäjätietomallisi.
Microsoftin pilvipalvelun käyttäjätietomallit
Jos haluat suunnitella käyttäjätilejä, sinun on ensin ymmärrettävä Microsoft 365:n kaksi käyttäjätietomallia. Voit ylläpitää organisaatiosi käyttäjätietoja vain pilvipalvelussa tai säilyttää paikallinen Active Directory toimialuepalvelut (AD DS) käyttäjätietosi ja käyttää niitä todentamiseen, kun käyttäjät käyttävät Microsoft 365 -pilvipalveluja.
Seuraavassa on kaksi identiteettityyppiä sekä niiden parhaat sovituksen ja edut.
Määrite | Vain pilvipohjaiset käyttäjätiedot | Yhdistelmäratkaisuun perustuvat käyttäjätiedot |
---|---|---|
Määritelmä | Käyttäjätili on olemassa vain Microsoft 365 -tilauksesi vuokraajassa Microsoft Entra. | Käyttäjätili on olemassa AD DS:ssä ja kopio on myös microsoft 365 -tilauksesi Microsoft Entra vuokraajassa. käyttäjätili, Microsoft Entra tunnus, voi sisältää myös hajautetun version jo hajautetun AD DS -käyttäjätilin salasanasta. |
Miten Microsoft 365 todentaa käyttäjän tunnistetiedot | Microsoft 365 -tilauksesi Microsoft Entra vuokraaja suorittaa todennuksen pilvipalvelun käyttäjätietotilillä. | Microsoft 365 -tilauksesi vuokraaja Microsoft Entra joko käsittelee todennusprosessin tai ohjaa käyttäjän toiseen tunnistetietopalveluun. |
Sopii parhaiten | Organisaatiot, joilla ei ole tai jotka eivät tarvitse paikallista AD DS:ä. | Organisaatiot, jotka käyttävät AD DS:ää tai muuta tunnistetietopalvelua. |
Suurin hyöty | Helppokäyttöinen. Hakemistotyökaluja tai palvelimia ei tarvita. | Käyttäjät voivat käyttää samoja tunnistetietoja käyttäessään paikallisia tai pilvipohjaisia resursseja. |
Vain pilvipohjaiset käyttäjätiedot
Vain pilvipalvelun käyttäjätiedot käyttävät käyttäjätilejä, jotka ovat olemassa vain Microsoft Entra tunnuksella. Vain pilvi -käyttäjätietoja käyttävät yleensä pienet organisaatiot, joilla ei ole paikallisia palvelimia tai jotka eivät hallitse paikallisia käyttäjätietoja AD DS:n avulla.
Tässä ovat vain pilvipalvelussa olevien käyttäjätietojen perusosat.
Sekä paikalliset että etäkäyttäjät (online-käyttäjät) käyttävät Microsoft Entra käyttäjätiliään ja salasanojaan Microsoft 365 -pilvipalvelujen käyttämiseen. Microsoft Entra todentaa käyttäjän tunnistetiedot sen tallennettujen käyttäjätilien ja salasanojen perusteella.
Hallinta
Käyttäjätilit tallennetaan vain Microsoft Entra tunnukseen, joten voit hallita pilvipalvelun käyttäjätietoja työkaluilla, kuten Microsoft 365 -hallintakeskus ja Windows PowerShell.
Yhdistelmäratkaisuun perustuvat käyttäjätiedot
Hybriditunnukset käyttävät tilejä, jotka ovat peräisin paikallisesta AD DS:stä ja joilla on kopio Microsoft 365 -tilauksen Microsoft Entra vuokraajassa. Useimmat muutokset, tiettyjä tilin määritteitä lukuun ottamatta, kulkevat vain yhteen suuntaan. AD DS -käyttäjätileihin tekemäsi muutokset synkronoidaan niiden kopioon Microsoft Entra tunnuksella.
Microsoft Entra Connect mahdollistaa jatkuvan tilin synkronoinnin. Se suoritetaan paikallisessa palvelimessa, tarkistaa muutokset AD DS:ssä ja lähettää muutokset edelleen Microsoft Entra tunnukseen. Microsoft Entra Connect tarjoaa mahdollisuuden suodattaa synkronoitavat tilit ja synkronoidako käyttäjäsalasanojen hajautetun version, jota kutsutaan salasanan hajautusarvojen synkronoinniksi (PHS).
Kun otat käyttöön hybriditunnuksia, paikallinen AD DS on tilin tietojen tärkeä lähde. Tämä tarkoittaa sitä, että suoritat hallintatehtäviä enimmäkseen paikallisesti, minkä jälkeen ne synkronoidaan Microsoft Entra-tunnukseen.
Tässä ovat yhdistelmätunnusten osat.
Microsoft Entra vuokraajalla on kopio AD DS -tileistä. Tässä määrityksessä microsoft 365 -pilvipalveluja käyttävät paikalliset käyttäjät ja etäkäyttäjät todennetaan Microsoft Entra tunnuksella.
Huomautus
Sinun on aina käytettävä Microsoft Entra Connect synkronoidaksesi käyttäjätilit hybriditunnuksille. Tarvitset Microsoft Entra tunnuksella synkronoidut käyttäjätilit, jotta voit suorittaa käyttöoikeusmäärityksiä ja ryhmän hallintaa, määrittää käyttöoikeuksia ja muita hallintatehtäviä, joihin liittyy käyttäjätilejä.
Microsoft 365:n yhdistelmätunnistetietojen ja hakemiston synkronointi
Liiketoiminnan tarpeista ja teknisistä vaatimuksista riippuen hybridi-käyttäjätietomallin ja -hakemiston synkronointi on yleisin valinta Microsoft 365:n käyttöön ottoa käyttäville yritysasiakkaille. Hakemistosynkronoinnin avulla voit hallita Active Directory -toimialueen palvelut (AD DS) käyttäjätietoja, ja kaikki käyttäjätilien, ryhmien ja yhteystietojen päivitykset synkronoidaan Microsoft 365 -tilauksesi Microsoft Entra vuokraajaan.
Huomautus
Kun AD DS -käyttäjätilit synkronoidaan ensimmäistä kertaa, heille ei määritetä automaattisesti Microsoft 365 -käyttöoikeutta eivätkä he voi käyttää Microsoft 365 -palveluita, kuten sähköpostia. Sinun on ensin määritettävä heille käyttösijainti. Määritä sitten käyttöoikeus näille käyttäjätileille joko erikseen tai dynaamisesti ryhmän jäsenyyden kautta.
Yhdistelmäidentiteetin todentaminen
Hybridi-tunnistetietomallia käytettäessä on kahdenlaisia todennustyyppejä:
Hallittu todentaminen
Microsoft Entra tunnus käsittelee todennusprosessin käyttämällä salasanan paikallisesti tallennettua hajautettua versiota tai lähettää tunnistetiedot paikalliselle ohjelmistoagentille paikallisen AD DS:n todennettavaksi.
Organisaation ulkopuolinen todennus
Microsoft Entra-tunnus ohjaa todennusta pyytävän asiakastietokoneen toiseen tunnistetietopalveluun.
Hallittu todentaminen
Hallittua todennusta on kahdenlaisia:
Salasanan hajautuksen synkronointi (PHS)
Microsoft Entra id suorittaa itse todennuksen.
Läpivientitodentaminen (PTA)
Microsoft Entra tunnuksella on AD DS suorittamassa todennus.
Salasanan hajautuksen synkronointi (PHS)
PHS:n avulla synkronoit AD DS -käyttäjätilisi Microsoft 365:n kanssa ja hallitset käyttäjiä paikallisesti. Käyttäjäsalasanojen hajautuksen synkronoidaan AD DS:stä Microsoft Entra tunnukseen, jotta käyttäjillä on sama salasana paikallisesti ja pilvipalvelussa. Tämä on yksinkertaisin tapa ottaa AD DS -käyttäjätietojen todentaminen käyttöön Microsoft Entra tunnuksella.
Kun salasanoja vaihdetaan tai nollataan paikallisesti, uudet salasanan hajautusarvot synkronoidaan Microsoft Entra tunnukseen, jotta käyttäjät voivat aina käyttää samaa salasanaa pilviresursseissa ja paikallisissa resursseissa. Käyttäjän salasanoja ei koskaan lähetetä Microsoft Entra tunnukseen tai tallennettu Microsoft Entra tunnukseen tekstimuotoisena. Jotkin Microsoft Entra tunnuksen premium-ominaisuudet, kuten käyttäjätietojen suojaus, vaativat PHS:n riippumatta siitä, mikä todentamismenetelmä on valittuna.
Lisätietoja on kohdassa Oikean todentamismenetelmän valitseminen.
Läpivientitodentaminen (PTA)
PTA tarjoaa yksinkertaisen salasanan tarkistuksen Microsoft Entra todentamispalveluille käyttämällä ohjelmistoagenttia, joka toimii yhdessä tai useammassa paikallisessa palvelimessa vahvistaakseen käyttäjät suoraan AD DS:n avulla. PTA:n avulla synkronoit AD DS -käyttäjätilit Microsoft 365:n kanssa ja hallitset käyttäjiä paikallisesti.
PTA:n avulla käyttäjät voivat kirjautua sekä paikallisiin että Microsoft 365 -resursseihin ja sovelluksiin paikallisen tilinsä ja salasanansa avulla. Tämä määritys vahvistaa käyttäjien salasanat suoraan paikallisen AD DS:n avulla tallentamatta salasanojen hajautuksia Microsoft Entra tunnukseen.
PTA on tarkoitettu myös organisaatioille, joilla on suojausvaatimus, ja ne valvovat välittömästi paikallisia käyttäjätilin tiloja, salasanakäytäntöjä ja kirjautumistunteja.
Lisätietoja on kohdassa Oikean todentamismenetelmän valitseminen.
Organisaation ulkopuolinen todennus
Liitetty todentaminen on tarkoitettu ensisijaisesti suurille yritysorganisaatioille, joilla on monimutkaisempia todennusvaatimuksia. AD DS -käyttäjätiedot synkronoidaan Microsoft 365:n kanssa ja käyttäjätilejä hallitaan paikallisesti. Liitetyn todennuksen avulla käyttäjillä on sama salasana paikallisesti ja pilvipalvelussa, eikä heidän tarvitse kirjautua sisään uudelleen käyttääkseen Microsoft 365:tä.
Liitetty todentaminen voi tukea muita todennusvaatimuksia, kuten älykorttipohjaista todentamista tai kolmannen osapuolen monimenetelmäistä todentamista, ja sitä tarvitaan yleensä, kun organisaatioilla on todennusvaatimus, jota Microsoft Entra-tunnus ei suoraan tue.
Lisätietoja on kohdassa Oikean todentamismenetelmän valitseminen.
Kolmannen osapuolen todentamisen ja tunnistetietojen tarjoajien paikalliset hakemisto-objektit voidaan synkronoida Microsoft 365:n ja pilviresurssien käyttöoikeuksiin, joita hallitsee ensisijaisesti kolmannen osapuolen tunnistetietopalvelu (IdP). Jos organisaatiosi käyttää kolmannen osapuolen liittoutumisratkaisua, voit määrittää kirjautumisen tällä Microsoft 365 -ratkaisulla, jos kolmannen osapuolen liittoutumisratkaisu on yhteensopiva Microsoft Entra tunnuksen kanssa.
Lisätietoja on liittoutumisen Microsoft Entra yhteensopivuusluettelossa.
Hallinta
Koska alkuperäiset ja tärkeät käyttäjätilit on tallennettu paikalliseen AD DS:hen, voit hallita käyttäjätietojasi samoilla työkaluilla kuin AD DS:n hallintaa.
Et käytä Microsoft 365 -hallintakeskus tai PowerShell for Microsoft 365:tä synkronoitujen käyttäjätilien hallintaan Microsoft Entra tunnuksella.
Seuraavat vaiheet
Jatka vaiheesta 2 yleisen järjestelmänvalvojatilisi suojaamiseksi.