Общие сведения об удостоверениях Office 365 и службе Azure Active Directory

В Office 365 для управления пользователями применяется облачная служба проверки подлинности пользователей Azure Active Directory. При настройке учетных записей пользователей и управлении ими в Office 365 можно выбрать одну из трех основных моделей удостоверений, перечисленных ниже

Облачные удостоверения. Управление учетными записями пользователей осуществляется только в Office 365. Для управления пользователями не нужны локальные серверы, так как все задачи можно выполнять в облаке.

Синхронизированные удостоверения. Синхронизируйте объекты локального каталога с Office 365 и управляйте пользователями локально. Вы также можете синхронизировать пароли, чтобы пользователи могли вводить один пароль в локальной среде и в облаке, но им необходимо будет повторно выполнить вход для работы в Office 365.

Федеративные удостоверения. Синхронизируйте объекты локального каталога с Office 365 и управляйте пользователями локально. Пользователи вводят один и тот же пароль в локальной среде и в облаке, и им не нужно повторно выполнять вход для работы в Office 365. Эту модель часто называют единым входом.

Важно тщательно обдумать выбор модели удостоверений при настройке среды. Оцените необходимое время, существующие сложности и затраты. Эти факторы различаются в разных организациях. В данной статье мы рассмотрим эти ключевые понятия для каждой модели удостоверений, чтобы помочь вам выбрать оптимальную модель для развертывания среды.

При изменении потребностей в будущем вы сможете перейти на другую модель удостоверений.

Просмотрите краткий видеообзор различных моделей удостоверений.

Браузер не поддерживает видео. Установите Microsoft Silverlight, Adobe Flash Player или Internet Explorer 9.
Удостоверения в Office 365 для бизнеса

Вы также можете использовать помощники Azure AD: помощник по настройке синхронизации каталогов, помощник по развертыванию AD FS, мастер развертывания Azure RMS и руководство по настройке Azure AD Premium.

Облачное удостоверение

В этой модели создание пользователей и управление ими осуществляются в Центре администрирования Office 365, а их учетные записи хранятся в Azure AD. Azure AD проверяет пароли. Azure AD — это облачный каталог, который используется в Office 365. Локальные серверы не нужны, так как корпорация Майкрософт берет все задачи управления на себя. Если управление удостоверениями и проверка подлинности реализованы полностью в облаке, вы можете управлять учетными записями и лицензиями пользователей через Центр администрирования Office 365 или с помощью командлетов PowerShell в Windows.

На рисунке ниже проиллюстрировано управление пользователями в модели облачных удостоверений.

На шаге 1 администратор подключается к Центру администрирования Office 365 на облачной платформе Майкрософт для создания пользователей или управления ими.

На шаге 2 запросы на изменение или управление передаются в Azure AD.

На шаге 3, если это запрос на изменение, то оно выполняется и копируется обратно в Центр администрирования Office 365.

На шаге 4 новые учетные записи пользователей и изменения в существующих учетных записях копируются в Центр администрирования Office 365.

Облачное удостоверение и проверка подлинности

Когда стоит использовать облачные удостоверения? Облачные удостоверения хорошо подходят в следующих случаях:

  • у вас нет другого локального каталога пользователей;

  • у вас очень сложный локальный каталог, поэтому вы хотите избежать трудозатрат, которые потребуются для интеграции с ним;

  • у вас есть локальный каталог, но необходимо запустить пробную версию или пилотную среду Office 365. Позже, когда все будет готово для подключения к локальному каталогу, вы сможете сопоставить пользователей в облаке с локальными пользователями.

Сведения о том, как начать работу с облачными удостоверениями, см. в статье Настройка Office 365 для бизнеса — справка для администраторов.

Интеграция Office 365 со службой каталогов

Если у вас уже есть локальная среда каталога, вы можете интегрировать Office 365 с каталогом, воспользовавшись моделью синхронизированных удостоверений или развернув единый вход и федеративные удостоверения, чтобы создавать пользователей и управлять ими в Office 365.

Синхронизированные удостоверения

В этой модели вы управляете удостоверениями пользователей на локальном сервере и синхронизируете учетные записи и, при желании, пароли с облаком. Пользователь вводит один и тот же пароль в локальной среде и в облаке; при выполнении входа Azure AD проверяет пароль. В этой модели используется средство синхронизации каталогов для синхронизации локального удостоверения с Office 365.

Чтобы настроить модель синхронизированных удостоверений, нужно иметь локальный каталог, с которым будет выполняться синхронизация, а также установить средство синхронизации каталогов. Перед синхронизацией учетных записей необходимо выполнить в локальном каталоге несколько проверок на согласованность.

В таблице ниже поясняется, в каких случаях нужно использовать синхронизированные и федеративные удостоверения.

Модель

Ситуации применения модели

Синхронизированные удостоверения

У вас есть локальный каталог, и вы хотите синхронизировать учетные записи пользователей и, возможно, пароли. Если выполнять синхронизацию паролей, пользователи смогут вводить один и тот же пароль для доступа к локальным ресурсам и к Office 365.

В конечном итоге вы планируете внедрить федеративные удостоверения, но сейчас запускаете пилотную среду Office 365, или вы по какой-либо иной причине пока не готовы выделить время на развертывание серверов служб федерации Active Directory (AD FS).

Федеративные удостоверения

Вам нужен расширенный сценарий, связанный, например, с существующей федерацией, политиками или техническими требованиями (дополнительные сведения см. в разделе Федеративные удостоверения).

На следующей схеме показан сценарий использования синхронизированных удостоверений с синхронизацией паролей. Средство синхронизации поддерживает локальные и облачные удостоверения корпоративных пользователей в синхронизированном состоянии.

На шаге 1 нужно установить Microsoft Azure Active Directory Connect. Инструкции см. в статье Настройка синхронизации каталогов в Office 365. Дополнительные сведения о службе Azure Active Directory Connect см. в статье Интеграция локальных удостоверений с Azure Active Directory.

На шагах 2 и 3 вы создаете новых пользователей в локальном каталоге. Средство синхронизации периодически проверяет локальный каталог на наличие новых удостоверений, созданных вами. Затем оно предоставляет эти удостоверения в Azure AD, связывает локальное и облачное удостоверения друг с другом, синхронизирует пароли и делает их видимыми для вас в Центре администрирования Office 365.

На шаге 4, по мере того как вы вносите изменения в учетные записи пользователей в локальном каталоге, эти изменения синхронизируются с Azure AD и становятся видимыми для вас в Центре администрирования Office 365.

Подготовка удостоверений с синхронизацией

Сведения о том, как начать работу с синхронизированными удостоверениями, см. в статьях Подготовка пользователей к работе путем синхронизации каталогов с Office 365 и Настройка синхронизации каталогов в Office 365.

Федеративные удостоверения

Эта модель имеет одно отличие от модели синхронизированных удостоверений (хотя здесь они тоже нужны): пароли пользователей проверяет локальный поставщик удостоверений. Это означает, что нет необходимости синхронизировать хэш пароля с Azure AD. В этой модели используются Службы федерации Active Directory (ADFS) или сторонний поставщик удостоверений.

Ниже перечислены некоторые ситуации, в которых целесообразно использовать федеративные удостоверения.

  • Существующая инфраструктура

    Если у вас по какой-либо причине уже развернуты службы AD FS, вполне логично использовать их и для Office 365.

    Если вы уже используете другого поставщика удостоверений, имеет смысл внедрить федеративные удостоверения в Office 365. Корпорация Майкрософт предоставляет список поставщиков удостоверений, которые работают с Office 365.

    Если вы используете диспетчер Forefront Identity Manager, то наверняка захотите применять федеративные удостоверения в Office 365.

  • Технические требования

    В ваших локальных доменных службах Active Directory (AD DS) есть несколько лесов.

    У вас есть локальное интегрированное решение для смарт-карт.

    У вас есть специализированное гибридное приложение, например, связанное с SharePoint или Microsoft Exchange Server.

  • Требования политик

    Вам нужен аудит входа пользователей или возможность немедленного запрета.

    Требуется единый вход.

    Действуют ограничения на вход, связанные с расположением в сети или рабочими часами.

    Применяются другие политики, для которых требуются федеративные удостоверения.

На следующей схеме показан сценарий использования федеративных удостоверений в гибридном развертывании с локальной и облачной средами. Локальный каталог в этом примере — AD FS. Средство синхронизации поддерживает локальные и облачные удостоверения корпоративных пользователей в синхронизированном состоянии.

На шаге 1 выполняется установка Azure Active Directory Connect (дополнительные сведения и инструкции по скачиванию можно найти здесь). Средство синхронизации помогает поддерживать Azure AD в актуальном состоянии с учетом последних изменений, внесенных вами в локальный каталог.

Инструкции см. в статье Настройка синхронизации каталогов в Office 365. В частности, вам потребуется использовать выборочную установку Azure AD Connect, чтобы настроить единый вход.

На шагах 2 и 3 вы создаете новых пользователей в локальном каталоге Active Directory. Средство синхронизации периодически проверяет локальный сервер Active Directory на наличие новых удостоверений, созданных вами. Затем оно предоставляет эти удостоверения в , связывает локальное и облачное удостоверения друг с другом и делает их видимыми для вас в Центре администрирования Office 365.

На шагах 4 и 5, по мере внесения изменений в удостоверения в локальном каталоге Active Directory, эти изменения синхронизируются с Azure AD и становятся видимыми для вас в Центре администрирования Office 365.

На шагах 6 и 7 федеративные пользователи выполняют вход в AD FS. Службы федерации AD FS создают маркер безопасности, который передается в Azure AD. Маркер проходит проверку, и пользователи получают разрешение на вход в Office 365.

Подготовка удостоверений с помощью AD FS

Портал управления Azure Active Directory

Если у вас есть платная подписка на Office 365, Microsoft Dynamics CRM Online, Enterprise Mobility Suite или другие службы Майкрософт, это означает, что у вас также есть бесплатная подписка на Azure AD. Вы можете использовать Azure AD для создания учетных записей пользователей и групп и управления ими, но мы рекомендуем выполнять эти задачи в Центре администрирования Office 365. Например, даже если вы добавите пользователей на портале управления Azure, вам все равно придется добавлять лицензии в Центре администрирования Office 365. Для получения доступа к порталу управления Azure вам нужно активировать подписку.

Дополнительные сведения см. в статье Azure AD Connect: вопросы и ответы

См. также

Интеграция Office 365 с локальными средами

Подготовка пользователей к работе путем синхронизации каталогов с Office 365

Командлеты Windows PowerShell для Office 365

Устранение проблем с синхронизацией службы каталогов для Office 365

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×