Förstå Office 365-identitet och Azure Active Directory

I Office 365 används den molnbaserade användarautentiseringstjänsten Azure Active Directory för att hantera användare. Du kan välja bland tre huvudsakliga identitetsmodeller i Office 365 när du konfigurerar och hanterar användarkonton:

Molnidentitet. Hantera endast användarkonton i Office 365. Inga lokala servrar krävs för att hantera användare, allt görs i molnet.

Synkroniserad identitet. Synkronisera lokala katalogobjekt med Office 365 och hantera användarna lokalt. Du kan också synkronisera lösenord så att användarna har samma lösenord lokalt och i molnet, men de måste logga in igen för att kunna använda Office 365.

Federerad identitet. Synkronisera lokala katalogobjekt med Office 365 och hantera användarna lokalt. Användarna har samma lösenord lokalt och i molnet, och de behöver inte logga in igen för att kunna använda Office 365. Det kallas ofta enkel inloggning.

Det är viktigt att noga överväga vilken identitetsmodell du vill använda för att komma igång. Tänk på tid, befintlig komplexitet och kostnad. Faktorerna är olika för olika organisationer. Det här avsnittet tar upp de här viktiga begreppen för alla identitetsmodeller så att du kan få hjälp att välja den identitet som du vill använda för distributionen.

Du kan även växla till en annan identitetsmodell om kraven ändras.

Titta på videon och få en snabb överblick över olika identitetsmodeller.

Din webbläsare har inte stöd för video. Installera Microsoft Silverlight, Adobe Flash Player eller Internet Explorer 9.
Identitet i Office 365 för företag

Du kan även använda Azure AD-rådgivare: Azure AD Connect-rådgivaren, AD FS-distributionsrådgivaren, Azure RMS-distributionsguiden och Azure AD Premium-installationsguiden.

Molnidentitet

Med den här modellen skapar och hanterar du användare i Administrationscenter för Office 365 och kontona lagras i Azure AD. Azure AD verifierar lösenorden. Azure AD är den molnkatalog som används av Office 365. Inga lokala servrar krävs – Microsoft sköter allt åt dig. När identitet och autentisering hanteras helt i molnet kan du hantera användarkonton och användarlicenser via Administrationscenter för Office 365 eller Windows PowerShell-cmdlets.

Bilden nedan sammanfattar hur du hanterar användare i molnidentitetsmodellen.

I steg 1 ansluter administratören till Administrationscenter för Office 365 i Microsoft-molnplattformen för att skapa eller hantera användare.

I steg 2 skickas begäranden om att skapa eller hantera till Azure AD.

I steg 3 görs ändringen och kopieras tillbaka till Administrationscenter för Office 365 om det är en ändringsförfrågan.

I steg 4 kopieras nya användarkonton och ändringar av befintliga användarkonton tillbaka till Administrationscenter för Office 365.

Identitet och autentisering hanterad i molnet

När använder man molnidentitet? Molnidentitet är ett bra val i följande fall:

  • Du har ingen annan lokal användarkatalog.

  • Du har en mycket komplex lokal katalog och vill helt enkelt undvika arbetet med att integrera med den.

  • Du har en befintlig lokal katalog, men du vill köra en utvärderingsversion eller pilotversion av Office 365. Du kan senare matcha molnanvändarna mot lokala användare när du är klar att ansluta till den lokala katalogen.

Information om hur du kommer igång med molnidentitet finns i Konfigurera Office 365 för företag – hjälp för administratörer.

Integrera Office 365 med en katalogtjänst

Om du har en befintlig katalogmiljö lokalt kan du integrera Office 365 med katalogen med hjälp av synkroniserad identitet eller enkel inloggning och federerad identitet för att skapa och hantera användarna i Office 365.

Synkroniserad identitet

Med den här modellen hanterar du användaridentiteten på en lokal server och kontona och eventuellt lösenorden synkroniseras i molnet. Användaren anger samma lösenord lokalt som i molnet och vid inloggning verifieras lösenordet av Azure AD. Med den här modellen används ett verktyg för katalogsynkronisering för att synkronisera den lokala identiteten med Office 365.

För att kunna konfigurera den synkroniserade identitetsmodellen måste du ha en lokal katalog att synkronisera från och du måste installera ett verktyg för katalogsynkronisering. Du kör några konsekvenskontroller på den lokala katalogen innan du synkronisera kontona.

När du bör använda synkroniserade eller federerade identiteter:

Den här modellen:

Fungerar i följande situationer:

Synkroniserade identiteter

När du har en lokal katalog och vill synkronisera användarkonton och eventuellt lösenord. Om du även synkroniserar lösenord kommer användarna att använda samma lösenord för åtkomst till lokala resurser och Office 365.

När du i slutändan vill använda federerade identiteter, men kör en pilotversion av Office 365 eller av någon annan anledning inte är redo att avsätta tid för att distribuera Active Directory Federation Services (AD FS)-servrar ännu.

Federerade identiteter

När du behöver ett avancerat scenario, till exempel: befintlig federation, principkrav eller tekniska krav (mer information finns under Federerad identitet).

Följande diagram visar ett scenario med synkroniserad identitet och synkronisering av lösenord. Synkroniseringsverktyget ser till att lokala och molnbaserade identiteter för företagsanvändare är synkroniserade.

I steg 1 installerar du Microsoft Azure Active Directory Connect. Instruktioner finns i Konfigurera katalogsynkronisering i Office 365. Mer information om Azure Active Directory Connect finns i Integrera lokala identiteter med Azure Active Directory.

I steg 2 och 3 skapar du nya användare i den lokala katalogen. Synkroniseringsverktyget kontrollerar med jämna mellanrum om du har skapat nya identiteter i den lokala katalogen. Sedan tillhandahåller verktyget identiteterna till Azure AD, länkar de lokala och molnbaserade identiteterna till varandra, synkroniserar lösenord och gör dem synliga för dig via Administrationscenter för Office 365.

I steg 4 synkroniseras ändringar du gör av användarna i den lokala katalogen till Azure AD och görs tillgängliga för dig via Administrationscenter för Office 365.

Identitetsetablering med synkronisering

Information om hur du kommer igång med synkroniserad identitet finns i Förbereda för att tillhandahålla användare via katalogsynkronisering till Office 365 och Konfigurera katalogsynkronisering i Office 365.

Federerad identitet

Med den här modellen krävs en synkroniserad identitet men med en ändring av den modellen: användarens lösenord verifieras av den lokala identitetsprovidern. Det innebär att lösenordets hash inte behöver synkroniseras med Azure AD. Med den här modellen används Active Directory Federation Services (AD FS) eller en extern identitetsprovider.

Exempel på orsaker till att använda en federerad identitet:

  • Befintlig infrastruktur

    Om du redan har distribuerat AD FS av någon annan anledning vill du sannolikt använda det till Office 365 också.

    Om du redan använder en annan identitetsprovider bör du använda federerad identitet med Office 365. Microsoft har en lista över identitetsproviders som fungerar med Office 365.

    Om du använder Forefront Identity Manager bör du också använda federerad identitet med Office 365.

  • Tekniska krav

    Du har flera skogar i lokala AD DS (Active Directory Domain Services).

    Du har en lokal integrerad smartkortslösning.

    Du har ett befintligt anpassat hybridprogram, till exempel med SharePoint eller Microsoft Exchange Server.

  • Principkrav

    Du behöver inloggningsgranskning och/eller omedelbar inaktivering.

    Du behöver enkel inloggning.

    Du har inloggningsbegränsningar beroende på nätverksplats eller arbetstid.

    Du har andra principer som kräver federerad identitet.

Följande diagram visar ett scenario med federerad identitet och en hybrid av lokal och molnbaserad distribution. Den lokala katalogen i det här exemplet är AD FS. Synkroniseringsverktyget ser till att lokala och molnbaserade identiteter för företagsanvändare är synkroniserade.

I steg 1 installerar du Azure Active Directory Connect (mer information och nedladdningsinstruktioner finns här). Synkroniseringsverktyget håller Azure AD uppdaterad med de senaste ändringarna du gör i den lokala katalogen.

Instruktioner finns i Konfigurera katalogsynkronisering i Office 365. Du måste använda en anpassad installation av Azure AD Connect för att konfigurera enkel inloggning.

I steg 2 och 3 skapar du nya användare i lokala Active Directory. Synkroniseringsverktyget kontrollerar med jämna mellanrum om du har skapat nya identiteter på den lokala Active Directory-servern. Sedan tillhandahåller verktyget identiteterna till Azure AD, länkar de lokala och molnbaserade identiteterna till varandra och gör dem synliga för dig via Administrationscenter för Office 365.

I steg 4 och 5 synkroniseras ändringar som görs av identiteten i lokala Active Directory till Azure AD och görs tillgängliga för dig via Administrationscenter för Office 365.

I steg 6 och 7 loggar de federerade användarna in med AD FS. AD FS genererar en säkerhetstoken som skickas till Azure AD. Denna token verifieras och valideras och användarna auktoriseras sedan för Office 365.

Identitetsetablering med AD FS

Azure Active Directory-hanteringsportal

Om du har en betald prenumeration på Office 365, Microsoft Dynamics CRM Online, Enterprise Mobility Suite eller andra Microsoft-tjänster har du en kostnadsfri prenumeration på Azure AD. Det går visserligen att använda Azure AD för att skapa och hantera användar- och gruppkonton, men det är bra om du använder Administrationscenter för Office 365. Även om du kan lägga till användare i Azure-hanteringsportalen måste du till exempel fortfarande lägga till licenser i Administrationscenter för Office 365. Du måste aktivera prenumerationen för att komma åt Azure-hanteringsportalen.

Mer information finns i Vanliga frågor och svar om Azure AD Connect

Mer information finns i

Office 365-integrering med lokala miljöer

Förbereda för att tillhandahålla användare via katalogsynkronisering till Office 365

Windows PowerShell-cmdlets för Office 365

Åtgärda problem med katalogsynkronisering för Office 365

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Office Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×