步驟 3. 適用於企業租使用者的 Microsoft 365 身分識別
您的 Microsoft 365 租使用者包含 Microsoft Entra 租使用者,可管理登入的身分識別和驗證。正確設定身分識別基礎結構,對於管理組織的 Microsoft 365 使用者存取權和許可權至關重要。
僅限雲端與混合式
以下是兩種類型的身分識別模型,以及其最適合和優點。
| Model | 描述 | Microsoft 365 如何驗證使用者認證 | 最適合 | 最佳權益 |
|---|---|---|---|---|
| 僅雲端 | 用戶帳戶只存在於 Microsoft 365 租使用者的 Microsoft Entra 租使用者中。 | Microsoft 365 租使用者的 Microsoft Entra 租使用者會使用雲端身分識別帳戶來執行驗證。 | 沒有或不需要 內部部署的 Active Directory的組織。 | 簡單易用。 不需要額外的目錄工具或伺服器。 |
| 混合式 | 用戶帳戶存在於您的 內部部署的 Active Directory Domain Services (AD DS) 中,而複本也位於 Microsoft 365 租使用者的 Microsoft Entra 租使用者中。 Microsoft Entra Connect 會在內部部署伺服器上執行,以將 AD DS 變更同步處理至 Microsoft Entra 租使用者。 Microsoft Entra識別碼中的用戶帳戶可能也包含已哈希 AD DS 使用者帳戶密碼的哈希版本。 | Microsoft 365 租使用者的 Microsoft Entra 租用戶會處理驗證程式,或將使用者重新導向至另一個識別提供者。 | 使用 AD DS 或其他識別提供者的組織。 | 使用者在存取內部部署或雲端式資源時可以使用相同的認證。 |
以下是僅雲端身分識別的基本元件。
在此圖中,內部部署和遠端使用者會使用其 Microsoft 365 租使用者 Microsoft Entra 租使用者中的帳戶登入。
以下是混合式身分識別的基本元件。
在此圖中,內部部署和遠端使用者使用從內部部署 AD DS 複製的 Microsoft Entra 租使用者中的帳戶登入其 Microsoft 365 租使用者。
同步處理內部部署 AD DS
根據您的商務需求和技術需求,混合式身分識別模型和目錄同步是採用 Microsoft 365 的企業客戶之最常見選擇。 目錄同步處理可讓您管理 AD DS 中的身分識別,而且用戶帳戶、群組和聯繫人的所有更新都會同步處理至 Microsoft 365 租使用者的 Microsoft Entra 租使用者。
注意事項
首次同步 AD DS 使用者帳戶時,不會自動為其指派 Microsoft 365 授權,也無法存取 Microsoft 365 服務,例如電子郵件。 您必須首先為他們指派使用位置。 然後,可以採用個別方式單獨或透過群組成員資格,動態地將授權指派給這些使用者帳戶。
以下是使用混合式身分識別模型時的兩種驗證類型。
| 驗證類型 | 描述 |
|---|---|
| 管理的驗證 | Microsoft Entra 識別碼會使用本機儲存的哈希版本密碼來處理驗證程式,或將認證傳送至內部部署軟體代理程式,以供內部部署 AD DS 驗證。 受控驗證有兩種類型:密碼哈希同步 (PHS) 和傳遞驗證 (PTA) 。 使用 PHS 時,Microsoft Entra 標識符會自行執行驗證。 使用 PTA 時,Microsoft Entra 標識元會讓 AD DS 執行驗證。 |
| 同盟驗證 | Microsoft Entra標識碼會將要求驗證的用戶端電腦重新導向至另一個識別提供者。 |
請參閲 選擇正確的驗證方法 以深入了解。
強制執行強式登入
若要提高使用者登入的安全性,請使用下表中的功能。
| 功能 | 描述 | 其他資訊 | 授權需求 |
|---|---|---|---|
| Windows Hello 企業版 | 在 Windows 裝置上登入時,以強式雙因素驗證取代密碼。 雙因素是一種新的使用者認證類型,可與裝置和生物特徵或 PIN 相繫結。 | Windows Hello 企業版概觀 | Microsoft 365 E3 或 E5 |
| Microsoft Entra 密碼保護 | 偵測並封鎖已知的弱式密碼及其變體,也可以封鎖貴組織特有的額外弱式字詞。 | 設定 Microsoft Entra 密碼保護 | Microsoft 365 E3 或 E5 |
| 使用多重要素驗證 (MFA) | MFA 要求使用者登入必須受限於用戶帳戶密碼以外的另一個驗證,例如使用智慧型手機應用程式進行驗證或傳送至智慧型手機的簡訊。 如需使用者如何設定 MFA 的指示,請參閱 這段影片 。 | 適用於 Microsoft 365 企業版的 MFA | Microsoft 365 E3 或 E5 |
| 身分識別與裝置存取設定 | 由建議的必要條件功能及其設定所組成的設定和原則,結合了條件式存取、Intune 和 Microsoft Entra ID Protection 原則,以判斷是否應該授與指定的存取要求,以及在哪些條件下。 | 身分識別與裝置存取設定 | Microsoft 365 E3 或 E5 |
| Microsoft Entra ID Protection | 防止認證洩露,攻擊者可在其中判斷使用者的帳戶名稱和密碼,以取得組織雲端服務和數據的存取權。 | Microsoft Entra ID Protection | 使用身分識別 & 威脅防護附加元件 Microsoft 365 E5 或 Microsoft 365 E3 |
步驟 3 的結果
針對 Microsoft 365 租使用者的身分識別,您已判斷:
- 要使用的身分識別模型。
- 如何強制執行強式使用者和裝置存取。
以下是已醒目提示新混合式身分識別元素的租用戶範例。
在此圖中,租使用者具有:
- 使用目錄同步處理伺服器與 Microsoft Entra Connect 與 Microsoft Entra 租使用者同步處理的 AD DS 樹系。
- AD DS 使用者帳戶和其他對象的複本,來自 AD DS 樹系。
- 一組條件式存取原則,可根據使用者帳戶強制執行安全的使用者登入和存取。
身分識別的持續維護
您可能需要持續進行:
- 新增或修改用戶帳戶和群組。 針對僅限雲端身分識別,您可以使用 Microsoft 365 系統管理中心 或 PowerShell 等 Microsoft Entra 工具來維護雲端式使用者和群組。 針對混合式身分識別,您可以使用AD DS工具維護內部部署使用者和群組。
- 新增或修改您的身分識別和裝置存取設定,以強制執行登入安全性需求。
下一步
繼續 移 轉,以將內部部署 Office 伺服器及其數據遷移至 Microsoft 365。