Trinn 3. Identitet for Microsoft 365 for enterprise-leiere
Microsoft 365-leieren inkluderer en Microsoft Entra-leier for å administrere identiteter og godkjenning for pålogginger. Det er viktig å konfigurere identitetsinfrastrukturen riktig for å administrere brukertilgang og tillatelser for Microsoft 365 for organisasjonen.
Bare skybasert kontra hybrid
Her er de to typene identitetsmodeller og deres beste tilpasning og fordeler.
| Modell | Beskrivelse | Slik godkjenner Microsoft 365 brukerlegitimasjon | Best for | Største fordel |
|---|---|---|---|---|
| Bare i skyen | Brukerkontoen finnes bare i den Microsoft Entra leieren for Microsoft 365-leieren. | Den Microsoft Entra leieren for Microsoft 365-leieren utfører godkjenningen med skyidentitetskontoen. | Organisasjoner som ikke har eller trenger en lokal Active Directory. | Enkelt å bruke. Ingen ekstra katalogverktøy eller servere kreves. |
| Hybrid | Brukerkontoen finnes i lokal Active Directory Domain Services (AD DS), og en kopi finnes også i Microsoft Entra-leieren for Microsoft 365-leieren. Microsoft Entra Connect kjører på en lokal server for å synkronisere AD DS-endringer til Microsoft Entra-leieren. Brukerkontoen i Microsoft Entra-ID kan også inneholde en hash-kodet versjon av det allerede hash-kodede AD DS-brukerkontopassordet. | Den Microsoft Entra leieren for Microsoft 365-leieren håndterer godkjenningsprosessen eller omdirigerer brukeren til en annen identitetsleverandør. | Organisasjoner som bruker AD DS eller en annen identitetsleverandør. | Brukere kan bruke samme legitimasjon når de får tilgang til lokale eller skybaserte ressurser. |
Her er de grunnleggende komponentene i bare skyidentitet.
I denne illustrasjonen logger lokale og eksterne brukere på med kontoer i den Microsoft Entra leieren til Microsoft 365-leieren.
Her er de grunnleggende komponentene i hybrid identitet.
I denne illustrasjonen logger lokale og eksterne brukere seg på Microsoft 365-leieren med kontoer i den Microsoft Entra leieren som har blitt kopiert fra sin lokale AD DS.
Synkronisere den lokale AD DS
Avhengig av dine forretningsbehov og tekniske krav, er hybrid identitetsmodell og katalogsynkronisering det vanligste valget for bedriftskunder som tar i bruk Microsoft 365. Med katalogsynkronisering kan du administrere identiteter i AD DS, og alle oppdateringer av brukerkontoer, grupper og kontakter synkroniseres med den Microsoft Entra leieren til Microsoft 365-leieren.
Obs!
Når AD DS-brukerkontoer synkroniseres for første gang, blir de ikke automatisk tilordnet en Microsoft 365-lisens og får ikke tilgang til Microsoft 365-tjenester, for eksempel e-post. Du må først tilordne dem en bruksplassering. Deretter tilordner du en lisens til disse brukerkontoene, enten enkeltvis eller dynamisk gjennom gruppemedlemskap.
Her er de to godkjenningstypene når du bruker hybrididentitetsmodellen.
| Godkjenningstype | Beskrivelse |
|---|---|
| Administrert godkjenning | Microsoft Entra-ID håndterer godkjenningsprosessen ved hjelp av en lokalt lagret hash-kodet versjon av passordet, eller sender legitimasjonen til en lokal programvareagent som skal godkjennes av den lokale AD DS. Det finnes to typer administrert godkjenning: PHS (Password hash synchronization) og Pass-through authentication (PTA). Med PHS utfører Microsoft Entra-ID selve godkjenningen. Med PTA kan Microsoft Entra-ID-en ha AD DS til å utføre godkjenningen. |
| Organisasjonsbasert godkjenning | Microsoft Entra-ID omdirigerer klientdatamaskinen som ber om godkjenning til en annen identitetsleverandør. |
Se hvordan du velger riktig godkjenningsmetode for å finne ut mer.
Håndheve sterke pålogginger
Hvis du vil øke sikkerheten for brukerpålogginger, kan du bruke funksjonene og funksjonene i tabellen nedenfor.
| Evnen | Beskrivelse | Mer informasjon | Lisensieringskrav |
|---|---|---|---|
| Windows Hello for bedrifter | Erstatter passord med sterk godkjenning med to faktorer når du logger på en Windows-enhet. De to faktorene er en ny type brukerlegitimasjon som er knyttet til en enhet og en biometrisk eller PIN-kode. | Windows Hello for bedrifter oversikt | Microsoft 365 E3 eller E5 |
| Microsoft Entra passordbeskyttelse | Oppdager og blokkerer kjente svake passord og varianter, og kan også blokkere flere svake termer som er spesifikke for organisasjonen. | Konfigurer passordbeskyttelse for Microsoft Entra | Microsoft 365 E3 eller E5 |
| Bruk godkjenning med flere faktorer (MFA) | MFA krever at brukerpålogginger er underlagt en annen bekreftelse utover brukerkontopassordet, for eksempel bekreftelse med en smarttelefonapp eller en tekstmelding sendt til en smarttelefon. Se denne videoen for instruksjoner om hvordan brukere konfigurerer MFA. | MFA for Microsoft 365 for enterprise | Microsoft 365 E3 eller E5 |
| Konfigurasjoner for identitets- og enhetstilgang | Innstillinger og policyer som består av anbefalte forutsetningsfunksjoner og deres innstillinger kombinert med betinget tilgang, Intune og Microsoft Entra ID-beskyttelse policyer som bestemmer om en gitt tilgangsforespørsel skal gis og under hvilke betingelser. | Konfigurasjoner for identitets- og enhetstilgang | Microsoft 365 E3 eller E5 |
| Microsoft Entra ID-beskyttelse | Beskytt mot kompromisser med legitimasjon, der en angriper bestemmer en brukers kontonavn og passord for å få tilgang til en organisasjons skytjenester og data. | Microsoft Entra ID-beskyttelse | Microsoft 365 E5 eller Microsoft 365 E3 med tilleggsprogrammet Identity & Threat Protection |
Resultater av trinn 3
For identitet for Microsoft 365-leieren din har du fastslått:
- Hvilken identitetsmodell du skal bruke.
- Hvordan du vil fremtvinge sterk bruker- og enhetstilgang.
Her er et eksempel på en leier med de nye hybrididentitetselementene uthevet.
I denne illustrasjonen har leieren:
- En AD DS-skog som synkroniseres med den Microsoft Entra leieren ved hjelp av en katalogsynkroniseringsserver og Microsoft Entra Connect.
- En kopi av AD DS-brukerkontoer og andre objekter fra AD DS-skogen.
- Et sett med policyer for betinget tilgang for å fremtvinge sikre brukerpålogginger og -tilgang basert på brukerkontoen.
Kontinuerlig vedlikehold for identitet
På løpende basis må du kanskje:
- Legg til eller endre brukerkontoer og grupper. For skybasert identitet opprettholder du skybaserte brukere og grupper med Microsoft Entra verktøy som Administrasjonssenter for Microsoft 365 eller PowerShell. For hybrid identitet opprettholder du lokale brukere og grupper med AD DS-verktøy.
- Legg til eller endre konfigurasjonen for identitets- og enhetstilgang for å fremtvinge sikkerhetskrav for pålogging.
Neste trinn:
Fortsett med overføringen for å overføre lokale Office-servere og deres data til Microsoft 365.