Vaihe 3: Microsoft 365 for Enterprise -vuokraajien käyttäjätiedot
Microsoft 365 -vuokraaja sisältää Microsoft Entra vuokraajan kirjautumisten käyttäjätietojen ja todentamisen hallintaan. Käyttäjätietoinfrastruktuurin oikea määrittäminen on elintärkeää Microsoft 365-käyttäjien käyttöoikeuksien ja -käyttöoikeuksien hallinnan kannalta organisaatiossasi.
Vain pilvipalvelu vs. hybridi
Seuraavassa on kaksi erityyppistä käyttäjätietomallia sekä niiden sopivuus ja edut.
| Malli | Kuvaus | Miten Microsoft 365 todentaa käyttäjän tunnistetiedot | Sopii parhaiten | Suurin hyöty |
|---|---|---|---|---|
| Pelkkä pilvipalvelu | Käyttäjätili on olemassa vain Microsoft 365 -vuokraajan Microsoft Entra vuokraajassa. | Microsoft 365 -vuokraajasi Microsoft Entra vuokraaja suorittaa todennuksen pilvipalvelun käyttäjätietotilillä. | Organisaatiot, joilla ei ole tai jotka eivät tarvitse paikallinen Active Directory. | Helppokäyttöinen. Hakemistotyökaluja tai palvelimia ei tarvita. |
| Hybridi | Käyttäjätili on olemassa paikallinen Active Directory toimialuepalvelut (AD DS) ja kopio on myös Microsoft 365 -vuokraajasi Microsoft Entra vuokraajassa. Microsoft Entra Yhteys suoritetaan paikallisessa palvelimessa AD DS -muutosten synkronoimiseksi Microsoft Entra vuokraajaan. käyttäjätili, Microsoft Entra tunnus, voi sisältää myös hajautetun version jo hajautetun AD DS -käyttäjätilin salasanasta. | Microsoft 365 -vuokraajan Microsoft Entra vuokraaja joko käsittelee todennusprosessin tai ohjaa käyttäjän toiseen tunnistetietopalveluun. | Organisaatiot, jotka käyttävät AD DS:ää tai muuta tunnistetietopalvelua. | Käyttäjät voivat käyttää samoja tunnistetietoja käyttäessään paikallisia tai pilvipohjaisia resursseja. |
Tässä ovat vain pilvipalvelussa olevien käyttäjätietojen perusosat.
Tässä kuvassa paikalliset käyttäjät ja etäkäyttäjät kirjautuvat sisään Microsoft 365 -vuokraajansa Microsoft Entra vuokraajan tileillä.
Seuraavassa ovat yhdistelmätunnusten perusosat.
Tässä kuvassa paikalliset käyttäjät ja etäkäyttäjät kirjautuvat Microsoft 365 -vuokraajaan Microsoft Entra vuokraajan tileillä, jotka on kopioitu heidän paikallisesta AD DS:stään.
Paikallisen AD DS:n synkronointi
Liiketoiminnan tarpeista ja teknisistä vaatimuksista riippuen hybridi-käyttäjätietomallin ja -hakemiston synkronointi on yleisin valinta Microsoft 365:n käyttöön ottoa käyttäville yritysasiakkaille. Hakemistosynkronoinnin avulla voit hallita AD DS:n käyttäjätietoja, ja kaikki käyttäjätilien, ryhmien ja yhteystietojen päivitykset synkronoidaan Microsoft 365 -vuokraajan Microsoft Entra vuokraajaan.
Huomautus
Kun AD DS -käyttäjätilit synkronoidaan ensimmäistä kertaa, heille ei määritetä automaattisesti Microsoft 365 -käyttöoikeutta eivätkä he voi käyttää Microsoft 365 -palveluita, kuten sähköpostia. Sinun on ensin määritettävä heille käyttösijainti. Määritä sitten käyttöoikeus näille käyttäjätileille joko erikseen tai dynaamisesti ryhmän jäsenyyden kautta.
Tässä on kaksi todentamistyyppiä käytettäessä hybridi-käyttäjätietomallia.
| Todennustyyppi | Kuvaus |
|---|---|
| Hallittu todentaminen | Microsoft Entra tunnus käsittelee todennusprosessin käyttämällä salasanan paikallisesti tallennettua hajautettua versiota tai lähettää tunnistetiedot paikalliselle ohjelmistoagentille paikallisen AD DS:n todennettavaksi. Hallittua todennusta on kahdenlaisia: salasanan hajautuksen synkronointi (PHS) ja läpivientitodentaminen (PTA). PHS:n avulla Microsoft Entra-tunnus suorittaa todennuksen itse. PTA:n avulla Microsoft Entra tunnuksen AD DS suorittaa todennuksen. |
| Organisaation ulkopuolinen todennus | Microsoft Entra-tunnus ohjaa todennusta pyytävän asiakastietokoneen toiseen tunnistetietopalveluun. |
Lisätietoja on kohdassa Oikean todentamismenetelmän valitseminen.
Vahvojen kirjautumisten pakottaminen
Voit parantaa käyttäjien kirjautumisten suojausta käyttämällä seuraavan taulukon ominaisuuksia ja ominaisuuksia.
| Valmiudet | Kuvaus | Lisätietoja | Käyttöoikeusvaatimukset |
|---|---|---|---|
| Windows Hello yrityksille | Korvaa salasanat vahvalla kaksivaiheisen todennuksella, kun kirjaudut Windows-laitteella. Nämä kaksi tekijää ovat uudenlainen käyttäjän tunnistetietotyyppi, joka on sidottu laitteeseen ja biometriseen tai PIN-koodiin. | Windows Hello yrityksille yleiskatsaus | Microsoft 365 E3 tai E5 |
| Microsoft Entra salasanasuojaus | Tunnistaa ja estää tunnetut heikot salasanat ja niiden muunnokset sekä myös organisaatioosi liittyvät muut heikot termit. | Microsoft Entra salasanasuojauksen määrittäminen | Microsoft 365 E3 tai E5 |
| Monimenetelmäisen todentamisen (MFA) käyttäminen | MFA edellyttää, että käyttäjien kirjautumisiin tehdään toinen vahvistus käyttäjätilin salasanan lisäksi, kuten vahvistus älypuhelinsovelluksella tai älypuhelimeen lähetettävä tekstiviesti. Katso tästä videosta ohjeet siitä, miten käyttäjät määrittävät monimenetelmäistä todentamista. | Microsoft 365 for Enterprisen monimenetelmäinen todentaminen | Microsoft 365 E3 tai E5 |
| Käyttäjätietojen ja laitteen käyttömääritykset | Asetukset ja käytännöt, jotka koostuvat suositelluista edellytyksistä ja niiden asetuksista sekä ehdollisista käyttöoikeuksista, Intunesta ja Microsoft Entra ID -tunnuksien suojaus käytännöistä, jotka määrittävät, onko tietty käyttöoikeuspyyntö myönnettävä ja millä ehdoilla. | Käyttäjätietojen ja laitteen käyttömääritykset | Microsoft 365 E3 tai E5 |
| Microsoft Entra ID -tunnuksien suojaus | Suojaa tunnistetietojen vaarantumiselta, kun hyökkääjä määrittää käyttäjän tilin nimen ja salasanan päästäkseen käsiksi organisaation pilvipalveluihin ja tietoihin. | Microsoft Entra ID -tunnuksien suojaus | Microsoft 365 E5 tai Microsoft 365 E3 Identity & Threat Protection -lisäosan kanssa |
Vaiheen 3 tulokset
Microsoft 365 -vuokraajan käyttäjätietojen osalta olet määrittänyt:
- Mitä käyttäjätietomallia haluat käyttää.
- Miten pakotat vahvan käyttäjän ja laitteen käytön.
Tässä on esimerkki vuokraajasta, jossa uudet hybridi-käyttäjätietoelementit on korostettu.
Tässä kuvassa vuokraajalla on seuraavat:
- AD DS -puuryhmä, joka synkronoidaan Microsoft Entra vuokraajan kanssa hakemistosynkronointipalvelimella ja Microsoft Entra Connect.
- Kopio AD DS -käyttäjätileistä ja muista objekteista AD DS -puuryhmästä.
- Joukko ehdollisia käyttöoikeuskäytäntöjä, joiden avulla voidaan pakottaa suojattuja käyttäjien kirjautumisia ja käyttöoikeuksia käyttäjätilin perusteella.
Käyttäjätietojen jatkuva ylläpito
Sinun on ehkä jatkuvasti tehtävä seuraavat asiat:
- Lisää tai muokkaa käyttäjätilejä ja ryhmiä. Pilvipohjaisia käyttäjätietoja varten ylläpidät pilvipohjaisia käyttäjiä ja ryhmiä Microsoft Entra työkaluilla, kuten Microsoft 365 -hallintakeskus tai PowerShellillä. Hybridi-käyttäjätietojen osalta säilytät paikalliset käyttäjät ja ryhmät AD DS -työkaluilla.
- Lisää tai muokkaa käyttäjätietojasi ja laitteen käyttömäärityksiä kirjautumissuojausvaatimusten pakottamiseksi.
Seuraavat vaiheet
Jatka siirtämistä ja siirrä paikalliset Office-palvelimet ja niiden tiedot Microsoft 365:een.