Opis usługi Azure Active Directory i tożsamości usługi Office 365

Do zarządzania użytkownikami w usłudze Office 365 jest używana usługa uwierzytelniania opartego na chmurze Azure Active Directory. Podczas konfigurowania kont użytkowników i zarządzania nimi można dokonać wyboru spośród trzech głównych modeli tożsamości w usłudze Office 365:

Tożsamość w chmurze. Zarządzanie kontami użytkowników tylko w usłudze Office 365. Do zarządzania użytkownikami nie są wymagane żadne serwery lokalne — wszystko odbywa się w chmurze.

Tożsamość synchronizowana. Obiekty katalogu lokalnego są synchronizowane z usługą Office 365, a użytkownikami zarządza się lokalnie. Można też synchronizować hasła, aby użytkownicy mieli te same hasła w infrastrukturze lokalnej i w chmurze, ale nadal będą oni musieli logować się ponownie, aby używać usługi Office 365.

Tożsamość federacyjna. Obiekty katalogu lokalnego są synchronizowane z usługą Office 365, a użytkownikami zarządza się lokalnie. Użytkownicy mają te same hasła w infrastrukturze lokalnej i w chmurze. Nie muszą logować się ponownie, aby używać usługi Office 365. Jest to często nazywane logowaniem jednokrotnym.

Starannie wybierz model tożsamości, który będzie używany. Weź pod uwagę czas, istniejącą złożoność i koszty. Te czynniki są inne w każdej organizacji. W tym temacie omówiono te kluczowe pojęcia związane z poszczególnymi modelami tożsamości, aby ułatwić wybranie tożsamości, która będzie używana w danym wdrożeniu.

Ponadto jeśli wymagania się zmienią, można zmienić model tożsamości na inny.

Obejrzyj ten klip wideo, aby zapoznać się z omówieniem różnych modeli tożsamości.

Przeglądarka nie obsługuje klipu wideo. Instalowanie dodatku Microsoft Silverlight, Adobe Flash Player lub programu Internet Explorer 9.
Poczta e-mail w usłudze Office 365 dla firm

Możesz też skorzystać z doradców usługi Azure AD: doradcy programu Azure AD Connect, doradcy wdrażania usług AD FS, kreatora wdrażania usługi Azure RMS i przewodnika konfiguracji usługi Azure AD Premium.

Tożsamość w chmurze

W tym modelu do tworzenia użytkowników i zarządzania nimi służy centrum administracyjne usługi Office 365, a konta są przechowywane w usłudze Azure AD. Usługa Azure AD weryfikuje hasła. Usługa Azure AD to katalog w chmurze używany w usłudze Office 365. Nie są wymagane żadne serwery lokalne — wszystkim zarządza firma Microsoft. Gdy tożsamość i uwierzytelnianie są obsługiwane całkowicie w chmurze, zarządzanie kontami użytkowników i licencjami użytkowników umożliwiają centrum administracyjne usługi Office 365 oraz polecenia cmdlet programu Windows PowerShell.

Na poniższej ilustracji podsumowano sposób zarządzania użytkownikami w modelu tożsamości w chmurze.

W kroku 1 administrator łączy się z narzędziem „centrum administracyjne usługi Office 365” na platformie chmury firmy Microsoft w celu tworzenia użytkowników i zarządzania nimi.

W kroku 2 żądania tworzenia lub zarządzania są przekazywane do usługi Azure AD.

W kroku 3 w przypadku żądania zmiany zmiana jest wprowadza i ponownie kopiowana do narzędzia „centrum administracyjne usługi Office 365”.

W kroku 4 nowe konta użytkowników i zmiany w istniejących kontach użytkowników są ponownie kopiowane do usługi centrum administracyjne usługi Office 365.

Tożsamość i uwierzytelnianie zarządzane z poziomu chmury

Kiedy warto używać tożsamości w chmurze? Tożsamość w chmurze jest dobrym wyborem w następujących przypadkach:

  • Nie jest używany żaden inny lokalny katalog użytkowników.

  • Używany jest bardzo złożony katalog lokalny i chcesz wyeliminować potrzebę zintegrowania z nim usługi.

  • Używany jest katalog lokalny, ale chcesz skorzystać z wersji próbnej lub pilotażowej usługi Office 365. Gdy później zechcesz połączyć usługę z katalogiem lokalnym, będzie można dopasować użytkowników w chmurze do użytkowników lokalnych.

Aby rozpocząć wdrażanie tożsamości w chmurze, zobacz Konfigurowanie usługi Office 365 dla firm — Pomoc dla administratorów.

Integracja usługi Office 365 z usługą katalogową

Jeśli masz istniejące lokalne środowisko katalogu, możesz zintegrować usługę Office 365 z tym katalogiem przy użyciu tożsamości synchronizowanej lub logowania jednokrotnego z tożsamością federacyjną, aby tworzyć użytkowników i zarządzać nimi w usłudze Office 365.

Tożsamość synchronizowana

W tym modelu tożsamościami użytkowników zarządza się na serwerze lokalnym, a konta i (opcjonalnie) hasła są synchronizowane z chmurą. Użytkownik wpisuje to samo hasło w infrastrukturze lokalnej i w chmurze, a w momencie logowania to hasło jest weryfikowane w usłudze Azure AD. W tym modelu do synchronizacji tożsamości lokalnej z usługą Office 365 używane jest narzędzie do synchronizacji katalogów.

Aby skonfigurować model tożsamości synchronizowanej, musisz mieć katalog lokalny, który będzie źródłem podczas synchronizacji, i zainstalować narzędzie do synchronizacji katalogów. Przed zsynchronizowaniem kont wykonasz na katalogu lokalnym kilka testów spójności.

Kiedy warto używać tożsamości synchronizowanej lub federacyjnej:

Ten model:

Sprawdza się najlepiej w następujących sytuacjach:

Tożsamości synchronizowane

Używany jest katalog lokalny i konta użytkowników oraz (opcjonalnie) hasła mają być synchronizowane. Jeśli hasła będą synchronizowane, użytkownicy będą uzyskiwać dostęp do zasobów lokalnych i do usługi Office 365 za pomocą tych samych haseł.

Ostatecznie mają zostać wdrożone tożsamości federacyjne, ale używane jest wdrożenie pilotażowe usługi Office 365 lub z innego powodu nie można jeszcze poświęcić czasu na wdrożenie serwerów składnika Usługi federacyjne Active Directory (AD FS).

Tożsamości federacyjne

Wymagany jest scenariusz zaawansowany, związany na przykład z istniejącą federacją, zadami lub wymaganiami technicznymi (więcej informacji w sekcji Tożsamość federacyjna).

Na poniższym diagramie przedstawiono scenariusz modelu tożsamości synchronizowanej z synchronizacją haseł. Narzędzie do synchronizacji zapewnia synchronizację tożsamości użytkowników filmowych między infrastrukturą lokalną a chmurą.

W kroku 1 zainstalujesz program Microsoft Azure Active Directory Connect. Aby uzyskać instrukcje, zobacz Konfigurowanie synchronizacji katalogu w usłudze Office 365. Aby uzyskać więcej informacji na temat programu Azure Active Directory Connect, zobacz Integrowanie tożsamości lokalnych z usługą Azure Active Directory.

W krokach 2 i 3 utworzysz nowych użytkowników w katalogu lokalnym. Narzędzie do synchronizacji będzie okresowo sprawdzać, czy w katalogu lokalnym nie utworzono nowych tożsamości. Następnie zainicjuje obsługę administracyjną tych tożsamości w usłudze Azure AD, połączy ze sobą tożsamości lokalne i chmurowe, zsynchronizuje ich hasła i uwidoczni je w narzędziu „centrum administracyjne usługi Office 365”.

W kroku 4 po wprowadzeniu zmian w użytkownikach w katalogu lokalnym te zmiany będą synchronizowane z usługą Azure AD i udostępniane w narzędziu „centrum administracyjne usługi Office 365”.

Inicjowanie obsługi tożsamości z synchronizacją

Aby rozpocząć wdrażanie tożsamości synchronizowanej, zobacz Przygotowanie do tworzenia użytkowników za pomocą funkcji synchronizacji katalogów z usługą Office 365 oraz Konfigurowanie synchronizacji katalogów w usłudze Office 365.

Tożsamość federacyjna

Ten model różni się od modelu tożsamości synchronizowanej w jednym aspekcie: hasła użytkowników są weryfikowane przez lokalnego dostawcę tożsamości. Oznacza to, że skrót hasła nie musi być synchronizowany z usługą Azure AD. W tym modelu używany jest składnik Usługi federacyjne Active Directory (AD FS) lub dostawca tożsamości innego producenta.

Oto niektóre powody, dla których warto korzystać z tożsamości federacyjnej:

  • Istniejąca infrastruktura

    Jeśli wdrożono już usługi AD FS z innego powodu, prawdopodobnie korzystne jest używanie ich też na potrzeby usługi Office 365.

    Jeśli jest już używany inny dostawca tożsamości, prawdopodobnie korzystne jest używanie tożsamości federacyjnej z usługą Office 365. Firma Microsoft udostępnia listę dostawców tożsamości współdziałających z usługą Office 365.

    Jeśli jest już używany program Forefront Identity Manager, korzystne jest też używanie tożsamości federacyjnej z usługą Office 365.

  • Wymagania techniczne

    W lokalnym składniku Usługi domenowe Active Directory (AD DS) używanych jest wiele lasów.

    Używane jest lokalne zintegrowane rozwiązanie kart inteligentnych.

    Używana jest istniejąca niestandardowa aplikacja hybrydowa, na przykład z programem SharePoint lub Microsoft Exchange Server.

  • Wymagania dotyczące zasad

    Wymagana jest inspekcja logowania lub natychmiastowe wyłączenie.

    Wymagane jest logowanie jednokrotne.

    Stosowane są ograniczenia logowania na podstawie lokalizacji sieci lub godzin pracy.

    Stosowane są inne zasady wymagające tożsamości federacyjnej.

Na poniższym diagramie przedstawiono scenariusz z tożsamością federacyjną z wdrożeniem hybrydowym w infrastrukturze lokalnej i w chmurze. Katalogiem lokalnym w tym przykładzie są usługi AD FS. Narzędzie do synchronizacji zapewnia synchronizację tożsamości użytkowników filmowych między infrastrukturą lokalną a chmurą.

W kroku 1 zainstalujesz program Azure Active Directory Connect (więcej informacji i instrukcje pobierania znajdziesz tutaj). Narzędzie do synchronizacji zapewnia aktualność usługi Azure AD pod względem najnowszych zmian wprowadzanych w katalogu lokalnym.

Aby uzyskać instrukcje, zobacz Konfigurowanie synchronizacji katalogów w usłudze Office 365. W szczególności konieczne będzie skonfigurowanie logowania jednokrotnego za pomocą instalacji niestandardowej programu Azure AD Connect.

W krokach 2 i 3 utworzysz nowych użytkowników w lokalnej usłudze Active Directory. Narzędzie do synchronizacji będzie okresowo sprawdzać, czy na lokalnym serwerze usługi Active Directory nie utworzono nowych tożsamości. Następnie zainicjuje obsługę administracyjną tych tożsamości w usłudze Azure AD, połączy ze sobą tożsamości lokalne i chmurowe i uwidoczni je w narzędziu „centrum administracyjne usługi Office 365”.

W krokach 4 i 5 po wprowadzeniu zmian w tożsamościach w lokalnej usłudze Active Directory te zmiany będą synchronizowane z usługą Azure AD i udostępniane w narzędziu „centrum administracyjne usługi Office 365”.

W krokach 6 i 7 użytkownicy federacyjni będą logować się przy usług AD FS. Usługi AD FS będą generować tokeny zabezpieczeń, które będą przekazywane do usługi Azure AD. Po sprawdzeniu i zweryfikowaniu takiego tokenu użytkownik zostanie autoryzowany w usłudze Office 365.

Inicjowanie obsługi tożsamości z usługami AD FS

Portal zarządzania usługi Azure Active Directory

Jeśli masz płatną subskrypcję usługi Office 365, Microsoft Dynamics CRM Online, Enterprise Mobility Suite lub innych usług firmy Microsoft, masz też bezpłatną subskrypcję usługi Azure AD. Mimo że można tworzyć konta użytkowników i grup oraz zarządzać nimi w usłudze Azure AD, lepszym rozwiązaniem jest używanie narzędzia „centrum administracyjne usługi Office 365”. Na przykład nawet jeśli dodano użytkowników w Portalu zarządzania Azure, nadal trzeba dodać licencje w narzędziu „centrum administracyjne usługi Office 365”. Aby uzyskać dostęp do Portalu zarządzania Azure, musisz aktywować swoją subskrypcję.

Aby uzyskać więcej informacji, zobacz często zadawane pytania dotyczące programu Azure AD Connect.

Zobacz też

Integracja usługi Office 365 ze środowiskami lokalnymi

Przygotowywanie do zapewniania obsługi użytkowników za pomocą funkcji synchronizacji katalogów z usługą Office 365

Polecenia cmdlet programu Windows PowerShell dla usługi Office 365

Rozwiązywanie problemów dotyczących synchronizacji katalogów w usłudze Office 365

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów pakietu Office

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×