Vysvětlení identity Office 365 a služby Azure Active Directory

Důležité :  Tento článek je strojově přeložený – přečtěte si toto upozornění. Anglickou verzi tohoto článku pro referenci najdete tady.

Office 365 používá ke správě uživatelů cloudovou ověřovací službu Azure Active Directory. Při vytváření a správě uživatelských účtů můžete v Office 365 volit ze tří hlavních modelů identity:

Cloudová identita. Spravujete uživatelské účty jenom v Office 365. Ke správě uživatelů nepotřebujete místní servery, všechno probíhá v cloudu.

Synchronizovaná identita. Synchronizujete místní adresářové objekty s Office 365 a spravujete uživatele místně. Můžete taky synchronizovat hesla, aby uživatelé měli stejné heslo v místním prostředí i v cloudu. Aby mohli používat Office 365, musí se ale znova přihlásit.

Federovaná identita. Synchronizujete místní adresářové objekty s Office 365 a spravujete uživatele místně. Uživatelé mají stejné heslo v místním prostředí i v cloudu. Aby mohli používat Office 365, nemusí se znova přihlašovat. To se často označuje jako jednotné přihlašování.

Měli byste důkladně zvážit, který model pro nastavení a zprovoznění použijete. Myslete na časovou náročnost, stávající složitost a náklady. Tyto faktory jsou v každé organizaci jiné. Toto téma popisuje klíčové koncepty všech modelů identity, abyste si mohli zvolit takovou identitu, kterou budete chtít ve vašem nasazení používat.

Pokud se vaše požadavky změní, můžete přejít na jiný model identity.

Podívejte se na toto video vám přináší rychlý přehled různých identity modely.

Váš prohlížeč nepodporuje video. Nainstalujte si Microsoft Silverlight, Adobe Flash Player nebo Internet Explorer 9.
Identity v Office 365 pro firmy

Můžete taky použít poradců Azure AD: Azure AD Connect advisor, advisor nasazení služby AD FS, Průvodce nasazením Azure RMSa spustíte Průvodce nastavením Azure AD Premium.

Cloudová identita

U tohoto modelu se k vytváření a správě uživatelů používá Centrum pro správu Office 365 a účty se ukládají ve službě Azure AD. Služba Azure AD ověřuje hesla. Azure AD je cloudová adresářová služba, kterou používá Office 365. Nepotřebujete místní servery – všechno za vás spravuje Microsoft. Když se identita a ověření zpracovává kompletně v cloudu, můžete spravovat uživatelské účty a uživatelské licence přes Centrum pro správu Office 365 nebo pomocí rutin prostředí Windows PowerShell.

Následující obrázek shrnuje, jak probíhá správa uživatelů v modelu cloudové identity.

V kroku 1 se správce připojí k Centru pro správu Office 365 v cloudové platformě Microsoftu a vytvoří nebo spravuje uživatele.

V kroku 2 se žádosti o vytvoření nebo správu předají službě Azure AD.

Pokud je to žádost o změnu, v kroku 3 se tato změna provede a zkopíruje se zpět do Centra pro správu Office 365.

V kroku 4 se nové uživatelské účty a změny existujících uživatelských účtů zkopírují zpět do Centra pro správu Office 365.

Identity a ověření spravované v cloudu

Kdy je vhodné použít cloudovou identitu? Cloudová identita je vhodná v těchto případech:

  • Nemáte žádný jiný místní adresář uživatelů.

  • Máte velmi složitý místní adresář a nechcete se zabývat jeho integrací.

  • Máte stávající místní adresář, ale chcete spustit zkušební nebo pilotní nasazení Office 365. Až budete později připraveni připojit se k vašemu místnímu adresáři, můžete propojit cloudové uživatele s místními uživateli.

Jestli chcete začít cloudovou identitu používat, podívejte se na článek Nastavení Office 365 pro firmy – nápověda pro správce.

Integrace Office 365 s adresářovou službou

Pokud máte existující adresářové prostředí v místním nasazení, můžete Office 365 integrovat se svým adresářem tak, že uživatele v Office 365 vytvoříte a budete spravovat s použitím synchronizované identity nebo jednotného přihlašování a federované identity.

Synchronizovaná identita

U tohoto modelu se identita uživatelů spravuje na místním serveru a účty (a případně i hesla) se synchronizují do cloudu. Uživatel zadává v místním nasazení stejné heslo jako v cloudu. Heslo při přihlašování ověřuje služba Azure AD. Tento model používá nástroj pro synchronizaci adresáře pro synchronizaci místní identity s Office 365.

Když chcete nakonfigurovat model synchronizované identity, musíte mít místní adresář, ze kterého budete synchronizovat, a musíte si nainstalovat nástroj pro synchronizaci adresáře. Než budete účty synchronizovat, spustíte na místním adresáři několik kontrol konzistence.

Kdy je vhodné používat synchronizované nebo federované identity:

Tento model:

Funguje v těchto situacích:

Synchronizované identity

Máte místní adresář a chcete synchronizovat uživatelské účty a případně i hesla. Pokud budete synchronizovat i hesla, budou mít uživatelé stejné heslo pro přístup k místním prostředkům i k Office 365.

Nakonec sice budete chtít federované identity, ale teď provozujete pilotní nasazení Office 365 nebo z nějakého jiného důvodu zatím nemáte čas nasadit servery AD FS (Active Directory Federation Services).

Federované identity

Potřebujete rozšířený scénář, například z těchto důvodů: existující federace, zásady nebo technické požadavky (další informace najdete v části Federovaná identita).

Následující diagram znázorňuje scénář synchronizovaných identit se synchronizací hesel. Místní a cloudové podnikové identity uživatelů synchronizuje synchronizační nástroj.

V kroku 1 nainstalujete nástroj Microsoft Azure Active Directory Connect. Další informace najdete v článku Nastavení synchronizace adresářů v Office 365. Další informace o nástroji Azure Active Directory Connect najdete v článku o integraci místních identit se službou Azure Active Directory.

V krocích 2 a 3 vytvoříte nové uživatele v místním adresáři. Synchronizační nástroj pravidelně kontroluje, jestli jste v místním adresáři vytvořili nějaké nové identity. Pak tyto identity poskytne službě Azure AD, propojí místní a cloudové identity mezi sebou, synchronizuje hesla a zpřístupní vám je přes Centrum pro správu Office 365.

Když uděláte změny uživatelů v místním adresáři, v kroku 4 se tyto změny synchronizují do Azure AD a zpřístupní se vám přes Centrum pro správu Office 365.

Zřizování identit se synchronizací

Jestli chcete začít synchronizovanou identitu používat, podívejte se na články Příprava zřizování uživatelů v Office 365 prostřednictvím synchronizace adresářů a Nastavení synchronizace adresářů v Office 365.

Federovaná identita

Tento model vyžaduje synchronizovanou identitu, ale s jednou změnou tohoto modelu: uživatelské heslo ověřuje místní zprostředkovatel identity. Znamená to, že hodnota hash hesla nemusí být synchronizovaná do Azure AD. Tento model používá službu AD FS (Active Directory Federation Services) nebo nezávislého zprostředkovatele identity.

Tady jsou některé důvody pro použití federované identity:

  • Existující infrastruktura

    Pokud jste už službu AD FS nasadili z nějakého jiného důvodu, budete ji nejspíš chtít používat taky pro Office 365.

    Pokud už používáte nějakého jiného zprostředkovatele identity, budete chtít u Office 365 používat federovanou identitu. Microsoft nabízí seznam zprostředkovatelů identity fungujících s Office 365.

    Pokud používáte Forefront Identity Manager, budete taky chtít u Office 365 používat federovanou identitu.

  • Technické požadavky

    V místní službě AD DS (Active Directory Domain Services) máte několik doménových struktur.

    Máte místně integrované řešení čipových karet.

    Máte stávající vlastní hybridní nasazení, které například zahrnuje SharePoint nebo Microsoft Exchange Server.

  • Požadavky zásad

    Požadujete audit přihlašování a/nebo okamžitý zákaz.

    Požadujete jednotné přihlašování.

    Máte omezení přihlašování s ohledem na síťové umístění nebo pracovní hodiny.

    Máte jiné zásady, které vyžadují federovanou identitu.

Následující diagram znázorňuje scénář federované identity s místním a cloudovým nasazením. Místním adresářem je v tomto příkladu AD FS. Místní a cloudové podnikové identity uživatelů synchronizuje synchronizační nástroj.

V kroku 1 nainstalujete Azure Active Directory Connect (další informace a pokyny ke stažení najdete tady). Synchronizační nástroj pomáhá aktualizovat Azure AD nejnovějšími změnami, které uděláte v místním adresáři.

Pokyny najdete v článku Nastavení synchronizace adresářů v Office 365. Abychom byli konkrétní, budete muset použít vlastní instalaci nástroje Azure AD Connect k nastavení jednotného přihlašování.

V krocích 2 a 3 vytvoříte nové uživatele v místním adresáři Active Directory. Synchronizační nástroj pravidelně kontroluje, jestli jste na místním serveru Active Directory vytvořili nějaké nové identity. Pak tyto identity poskytne službě Azure AD, propojí místní a cloudové identity mezi sebou, synchronizuje hesla a zpřístupní vám je přes Centrum pro správu Office 365.

Když uděláte změny identity v místním adresáři Active Directory, v krocích 4 a 5 se tyto změny synchronizují do Azure AD a zpřístupní se přes Centrum pro správu Office 365.

V krocích 6 a 7 se federovaní uživatelé přihlašují pomocí AD FS. AD FS vygeneruje token zabezpečení a tento token se předá do Azure AD. Token se ověří a zkontroluje se jeho platnost a uživatelé jsou pak autorizovaní pro Office 365.

Zřizování identit se službou AD FS

Portál pro správu služby Azure Active Directory

Pokud máte placené předplatné na Office 365, Microsoft Dynamics CRM Online, Enterprise Mobility Suite nebo jiné služby Microsoftu, máte předplatné na Azure AD zdarma. I když můžete k vytváření uživatelských a skupinových účtů používat portál Azure AD, je vhodné používat Centrum pro správu Office 365. Například uživatele můžete sice přidat na portálu pro správu Azure, ale licence musíte přidat v Centru pro správu Office 365. Abyste měli přístup na portál pro správu Azure, musíte si aktivovat předplatné.

Další informace najdete v článku Azure AD Connect – časté otázky.

Poznámka : Upozornění ke strojovému překladu: Tento článek přeložil počítačový systém bez zásahu člověka. Společnost Microsoft nabízí tyto strojové překlady proto, aby umožnila uživatelům, kteří nemluví anglicky, získat informace o produktech, službách a technologiích této společnosti. Protože je tento článek strojově přeložený, může obsahovat slovní, syntaktické nebo gramatické chyby.

Viz taky

Integrace Office 365 s místním prostředím

Příprava zřizování uživatelů v Office 365 prostřednictvím synchronizace adresářů

Rutiny prostředí Windows PowerShell pro Office 365

Řešení problémů se synchronizací adresářů v Office 365

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojte se k účastníkům programu Office Insiders

Byly tyto informace užitečné?

Děkujeme vám za zpětnou vazbu.

Děkujeme vám za váš názor. Vypadá to, že bude užitečné, když vás spojíme s některým z našich agentů z podpory Office.

×