Tietoja Office 365 -käyttäjätiedoista ja Azure Active Directorysta

Office 365:ssä käytetään käyttäjien hallinnointiin Azure Active Directorya, joka on pilvipohjainen käyttäjien todentamispalvelu. Voit valita, mitä Office 365 -tunnistetietomallia käytetään käyttäjätilien määrittämisessä ja hallinnoinnissa. Valittavissa olevia päämalleja on kolme:

Pilvimalli. Käyttäjätilejä hallinnoidaan ainoastaan Office 365:ssä. Käyttäjien hallinnoinnissa ei tarvita paikallisia palvelimia, vaan kaikki tehdään pilvessä.

Synkronointimalli. Paikalliset hakemisto-objektit synkronoidaan Office 365:n kanssa ja käyttäjien hallinnointi hoidetaan paikallisesti. Voit myös synkronoida salasanat niin, että käyttäjät voivat käyttää samaa salasanaa paikallisesti ja pilvessä. Heidän on kuitenkin kirjauduttava uudelleen sisään Office 365 -käyttöä varten.

Liittoutumismalli. Paikalliset hakemisto-objektit synkronoidaan Office 365:n kanssa ja käyttäjien hallinnointi hoidetaan paikallisesti. Käyttäjät voivat käyttää samaa salasanaa paikallisesti ja pilvessä. Heidän ei tarvitse kirjautua uudelleen sisään Office 365 -käyttöä varten. Tästä toimintamallista käytetään myös nimitystä kertakirjautuminen.

Ennen järjestelmän käyttöönottoa on tärkeää miettiä huolellisesti, mitä tunnistetietomallia kannattaa käyttää. Valinnassa on hyvä ottaa huomioon ajankäyttöön liittyvät asiat, kustannukset sekä nykyisen järjestelmän monimutkaisuus. Nämä tekijät vaihtelevat organisaatiokohtaisesti. Valinnan helpottamiseksi tähän artikkeliin on koottu avaintekijöihin liittyvää tietoa kunkin mallin osalta.

Tunnistetietomallia voi myös vaihtaa, jos organisaation vaatimukset muuttuvat ajan myötä.

Katso tältä videolta lyhyt yleiskatsaus eri tunnistetietomalleista.

Selaimesi ei tue videotoimintoa. Asenna Microsoft Silverlight, Adobe Flash Player tai Internet Explorer 9.
Tunnistetiedot Office 365 for Businessissa

Voit käyttää myös Azure AD -neuvojia: Azure AD Connect -neuvoja, AD FS -käyttöönottoneuvoja, ohjattu Azure RMS -käyttöönotto ja Azure AD Premium -asennusohjeet.

Pilvimalli

Tässä mallissa käyttäjät luodaan ja niitä hallinnoidaan käyttämällä Office 365 -hallintakeskusta. Tilien tallennussijaintina on Azure AD. Azure AD vahvistaa salasanat. Azure AD on Office 365:n käyttämä pilvihakemisto. Paikallisia palvelimia ei tarvita — Microsoft hoitaa niiden tehtävät puolestasi. Kun todentaminen ja tunnistetietojen käsittely tapahtuu kokonaan pilvessä, voit hallinnoida käyttäjätilejä ja käyttäjien käyttöoikeuksia käyttämällä Office 365 -hallintakeskusta tai Windows PowerShellin cmdlets-komentoja.

Seuraavassa kuvassa esitetään, kuinka käyttäjien hallinnointi toteutuu pilvimallia käytettäessä.

Vaiheessa 1 järjestelmänvalvoja muodostaa yhteyden Microsoftin pilviympäristöön, missä hän luo ja hallinnoi käyttäjiä käyttämällä Office 365 -hallintakeskusta.

Vaiheessa 2 luonti- tai hallinnointipyynnöt välitetään Azure AD:hen.

Vaiheessa 3 (jos kyseessä on muutospyyntö) haluttu muutos tehdään ja se kopioidaan takaisin Office 365 -hallintakeskus -ympäristöön.

Vaiheessa 4 uudet käyttäjätilit sekä aiempiin käyttäjätileihin tehdyt muutokset kopioidaan takaisin Office 365 -hallintakeskus -ympäristöön.

Pilvihallitut käyttäjätiedot ja todentaminen

Milloin pilvimallia kannattaa käyttää? Pilvimalli on hyvä vaihtoehto seuraavissa tapauksissa:

  • Muuta paikallista käyttäjähakemistoa ei ole.

  • Paikallinen hakemisto on hyvin monimutkainen, ja sen integroiminen uuteen järjestelmään tuntuu liian työläältä.

  • Käytössä on paikallinen hakemisto, mutta haluat kokeilla Office 365:tä. Voit myöhemmin täsmäyttää pilvikäyttäjien ja paikallisten käyttäjien tiedot, kun olet valmis muodostamaan yhteyden paikalliseen hakemistoon.

Jos haluat ryhtyä käyttämään pilvimallia, katso Office 365 for Businessin määrittäminen - järjestelmänvalvojan ohje.

Office 365:n integrointi hakemistopalvelun kanssa

Jos paikallinen hakemistoympäristö on jo käytössä, voit integroida Office 365:n hakemiston kanssa käyttämällä joko synkronointimallia tai kertakirjautumista ja liittoutumismallia ja sitten luoda ja hallinnoida käyttäjiä Office 365:ssä.

Synkronointimalli

Tässä mallissa käyttäjien tunnistetietoja hallinnoidaan paikallisessa palvelimessa, ja tilit (sekä valinnaisesti salasanat) synkronoidaan pilveen. Käyttäjä pystyy käyttämään samaa salasanaa paikallisesti ja pilvessä, ja kun hän kirjautuu sisään, Azure AD vahvistaa salasanan. Tässä mallissa käytetään hakemistosynkronointityökalua paikallisten tunnistetietojen synkronointiin Office 365:een.

Jos haluat määrittää käyttöösi synkronointimallin, sinulla on oltava synkronoitava paikallinen hakemisto ja sinun on asennettava hakemistosynkronointityökalu. Ennen kuin tilit synkronoidaan, paikalliseen hakemistoon kannattaa tehdä joitakin yhtenäisyystarkistuksia.

Milloin synkronointi- tai liittoutumismallia kannattaa käyttää?

Malli

Suositeltavat käyttötilanteet

Synkronointimalli

Käytössä on paikallinen hakemisto, ja haluat synkronoida käyttäjätilit ja mahdollisesti salasanat. Jos myös salasanat synkronoidaan, käyttäjät käyttävät samaa salasanaa paikallisissa resursseissa ja Office 365:ssä.

Ensisijaisena tarkoituksena on käyttää liittoutumismallia, mutta organisaatiossa on meneillään Office 365:n pilottikokeilu tai et ole jostakin muusta syystä vielä valmis Active Directory Federation Services (AD FS -liittoutumispalvelut) -palvelinten käyttöönottoon.

Liittoutumismalli

Tarvitset kehittyneemmän ratkaisun esimerkiksi olemassa olevan liittomuotoisen järjestelmän, toimintakäytäntöjen tai teknisten vaatimusten vuoksi. (Katso kohtaa Liittoutumismalli.)

Seuraavassa kuvassa kuvataan synkronointimallia, jossa on salasanan synkronointi käytössä. Yrityksen paikalliset sekä pilvessä olevat käyttäjien tunnistetiedot pidetään synkronoituina synkronointityökalun avulla.

Vaiheessa 1 asennetaan Microsoft Azure Active Directory Connect. Katso ohjeet artikkelista Hakemistosynkronoinnin määrittäminen Office 365:ssä. Katso lisätietoja Azure Active Directory Connectista artikkelista Paikallisten henkilöllisyyksien integrointi Azure Active Directoryn kanssa.

Vaiheissa 2 ja 3 luodaan uudet käyttäjät paikalliseen hakemistoon. Synkronointityökalu tarkistaa paikallisesta hakemistosta säännöllisesti, oletko luonut uusia tunnistetietoja. Sitten se toimittaa kyseiset tunnistetiedot Azure AD:hen, linkittää paikalliset ja pilvessä olevat tunnistetiedot toisiinsa, synkronoi salasanat ja tuo ne näkyville Office 365 -hallintakeskus -ympäristöön.

Vaiheessa 4, kun teet muutoksia paikallisessa hakemistossa oleviin käyttäjiin, muutokset synkronoidaan Azure AD:hen ja tuodaan näkyville Office 365 -hallintakeskus -ympäristöön.

Käyttäjätietojen valmistelu synkronoinnilla

Katso henkilöllisyyden synkronoinnin aloitus artikkelista Käyttäjien Office 365 -käytön valmistelu hakemistosynkronoinnin avulla ja Hakemistosynkronoinnin määrittäminen Office 365:ssä.

Liittoutumismalli

Tämä malli vaatii synkronointimallin käyttöä, mutta synkronointimallia muutetaan niin, että käyttäjän salasanan vahvistamisesta vastaa paikallinen tunnistetietojen toimittaja. Tämä tarkoittaa, että salasanan hajautusarvoa ei tarvitse synkronoida Azure AD:hen. Tässä mallissa käytetään Active Directory Federation Services (AD FS -liittoutumispalvelut) -palveluja tai kolmannen osapuolen tunnistetietojen toimittajaa.

Liittoutumismallia kannattaa käyttää seuraavissa tilanteissa:

  • Olemassa oleva infrastruktuuri

    Jos AD FS on jo otettu käyttöön jostakin muusta syystä, haluat todennäköisesti hyödyntää sitä myös Office 365:n kanssa.

    Jos käytössäsi on jo jokin muu tunnistetietojen toimittaja, haluat käyttää liittoutumismallia Office 365:n kanssa. Microsoftilla on luettelo tunnistetietojen toimittajista, joita voi käyttää Office 365:n yhteydessä.

    Jos käytössäsi on Forefront Identity Manager, haluat myös käyttää liittoutumismallia Office 365:n kanssa.

  • Tekniset vaatimukset

    Paikallisessa Active Directory Domain Services (AD DS) -palvelussa on useita toimialuepuuryhmiä.

    Käytössä on paikallinen integroitu älykorttiratkaisu.

    Käytössä on mukautettu koostesovellus esimerkiksi SharePointin tai Microsoft Exchange Serverin kanssa.

  • Käytäntövaatimukset

    Käytössä on oltava kirjautumisen valvonta ja/tai mahdollisuus poistaa tili nopeasti käytöstä.

    Käytössä on oltava kertakirjautuminen.

    Käytössä on verkkosijainnin tai työajan mukaan määräytyviä kirjautumisrajoituksia.

    Käytössä on muita liittoutumismallia vaativia käytäntöjä.

Seuraavassa kuvassa kuvataan liittoutumismallia, joka on käytössä sekä paikallista ratkaisua että pilvipalveluja hyödyntävässä yhdistelmäympäristössä. Paikallisena hakemistona on tässä esimerkissä AD FS. Yrityksen paikalliset sekä pilvessä olevat käyttäjien tunnistetiedot pidetään synkronoituina synkronointityökalun avulla.

Vaiheessa 1 asennetaan Azure Active Directory Connect (katso lisätietoja ja latausohjeet täältä). Synkronointityökalun avulla Azure AD pysyy ajantasaisena, jos paikalliseen hakemistoon tehdään muutoksia.

Katso ohjeet artikkelista Hakemistosynkronoinnin määrittäminen Office 365:ssä. Sinun on käytettävä erityisesti Azure AD Connectin mukautettua asennusta kertakirjautumisen määrittämiseksi.

Vaiheissa 2 ja 3 luodaan uudet käyttäjät paikalliseen Active Directory -hakemistoon. Synkronointityökalu tarkistaa säännöllisesti paikallisesta Active Directory -palvelimesta, oletko luonut uusia tunnistetietoja. Sitten se toimittaa kyseiset tunnistetiedot Azure AD:hen, linkittää paikalliset ja pilvessä olevat tunnistetiedot toisiinsa ja tuo ne näkyville Office 365 -hallintakeskus -ympäristöön.

Vaiheissa 4 ja 5, kun muutoksia tehdään paikallisessa Active Directory -hakemistossa oleviin tunnistetietoihin, muutokset synkronoidaan Azure AD:hen ja tuodaan näkyville Office 365 -hallintakeskus -ympäristöön.

Vaiheissa 6 ja 7 liittoutuneet käyttäjät kirjautuvat sisään AD FS:n avulla. AD FS luo suojaustunnuksen, ja kyseinen tunnus välitetään Azure AD:hen. Tunnus tarkistetaan ja vahvistetaan, minkä jälkeen käyttäjillä on lupa käyttää Office 365:tä.

Käyttäjätietojen valmistelu AD FS:llä

Azure Active Directoryn hallintaportaali

Jos käytössäsi on maksullinen Office 365-, Microsoft Dynamics CRM Online-, Enterprise Mobility Suite- tai muu Microsoft-palvelutilaus, voit käyttää Azure AD:tä maksutta. Vaikka käyttäjä- ja ryhmätilien luonti ja hallinnointi onnistuu myös Azure AD:ssä, kannattaa käyttää Office 365 -hallintakeskusta. Vaikka voit esimerkiksi lisätä käyttäjiä Azuren hallintaportaalissa, tarvitset Office 365 -hallintakeskusta, kun lisäät käyttöoikeudet. Jos haluat käyttää Azuren hallintaportaalia, sinun on aktivoitava tilauksesi.

Saat lisätietoja kohdasta Azure AD Connectin usein kysytyt kysymykset

Katso myös

Office 365:n integrointi paikallisten ympäristöjen kanssa

Käyttäjien Office 365 -käytön valmistelu hakemistosynkronoinnin avulla

Windows PowerShellin cmdlet-komennot Office 365 -käyttöä varten

Office 365:n hakemistosynkronoinnin ongelmien vianmääritys

Kehitä taitojasi
Tutustu koulutusmateriaaliin
Saat uudet ominaisuudet ensimmäisten joukossa
Liity Office Insider -käyttäjiin

Oliko näistä tiedoista hyötyä?

Kiitos palautteesta!

Kiitos palautteestasi! Näyttää siltä, että Office-tukiedustajamme avusta voi olla sinulle hyötyä.

×