Докладні відомості про ідентичності Office 365 і службу Azure Active Directory

Увага! : Цю статтю перекладено за допомогою служби машинного перекладу; див. застереження. Версію цієї статті англійською мовою див. тут для отримання довідки.

Для керування користувачами Office 365 використовує хмарну службу автентифікації користувачів Azure Active Directory. Під час настроювання облікових записів користувачів і керування ними можна вибрати три основні моделі ідентифікації в Office 365:

Хмарна ідентичність. Керування обліковими записами користувачів лише в Office 365. Щоб керувати користувачами, не потрібні локальні сервери. Це все відбувається в хмарі.

Синхронізована ідентичність. Синхронізація об’єктів із локального каталогу з Office 365 і локальне керування користувачами. Крім того, можна синхронізувати паролі, щоб користувачі мали однаковий пароль локально й у хмарі, але щоб використовувати Office 365, вони мають увійти знову.

Федеративна ідентичність. Синхронізація об’єктів із локального каталогу з Office 365 і локальне керування користувачами. Користувачі мають однаковий пароль локально й у хмарі, і їм не потрібно входити повторно, щоб використовувати Office 365. Часто це називають єдиним входом.

Слід обережно використовувати модель ідентифікації, яка застосовуватиметься для підготовки та початку роботи. Врахуйте час, наявні складнощі та витрати. Ці фактори в кожній організації відрізняються. У цій статті розглядаються основні чинники, які допомагають у виборі типу ідентичності для розгортання для кожної моделі ідентифікації.

Крім того, якщо вимоги зміняться, можна перейти на іншу модель ідентифікації.

Перегляньте це відео, щоб стислий огляд різних посвідчень моделі.

Ваш браузер не підтримує відео. Інсталюйте Microsoft Silverlight, Adobe Flash Player або Internet Explorer 9.
Посвідчення в службі Office 365 для бізнесу

Можна також використовувати Azure AD консультанти: Azure AD Connect advisor, AD FS розгортання advisor, Майстер розгортання Azure RMSта посібник із настроювання Azure AD преміум.

Хмарна ідентичність

У цій моделі створення та керування користувачами в Центр адміністрування Office 365 та зберігати облікові записи в Azure AD. Azure AD перевіряє паролів. Azure AD – це хмара каталогів, який використовується в Office 365. Ні локальні сервери обов'язкові – Microsoft керує все, що для вас. Коли ідентифікації та автентифікації обробляються повністю у хмарі, можна настроїти облікові записи користувачів і ліцензій користувачів за допомогою Центр адміністрування Office 365 або Windows PowerShell командлети.

На рисунку нижче наведено способи керування користувачами в хмарній моделі ідентифікації.

На кроці 1 адміністратор підключається до Центру адміністрування Office 365 на хмарній платформі Microsoft, щоб створювати користувачів і керувати ними.

На кроці 2 запити на створення та керування передаються до Azure AD.

На кроці 3 зміни вносяться й копіюються назад до Центру адміністрування Office 365, якщо це запит на змінення.

На кроці 4 нові облікові записи користувачів і зміни в наявних облікових записах буде скопійовано назад до Центру адміністрування Office 365.

Додавання подання таблиці запиту до вихідної таблиці.

Коли варто використовувати хмарну ідентичність? Хмарна ідентичність – це зручно, коли:

  • немає іншого локального каталогу користувачів;

  • є дуже складний локальний каталог і потрібно уникнути складнощів з інтеграцією;

  • є локальний каталог, але потрібно запустити ознайомлювальну або пілотну версію Office 365. Пізніше, коли все буде готово, щоб підключитися до локального каталогу, можна зіставити хмарних користувачів із локальними.

Щоб дізнатися більше про хмарну ідентичність, див. статтю Настроювання служби "Office 365 для бізнесу" – довідка для адміністраторів.

Інтеграція Office 365 зі службою каталогів

Якщо у вас є середовище локальних каталогів, можна інтегрувати службу Office 365 із каталогом, синхронізуючи ідентичності або використовуючи єдиний вхід із федеративними ідентичностями. Так можна створювати й упорядковувати користувачів в Office 365.

Синхронізована ідентичність

У цій моделі ви керуєте ідентичностями користувачів на локальному сервері, а потім облікові записи (а за потреби й паролі) синхронізуються з хмарою. Користувач вводить локально той самий пароль, який він вводить у хмарі, а під час входу пароль перевіряється в Azure AD. У цій моделі використовується засіб синхронізації каталогів, щоб синхронізувати локальні ідентичності зі службою Office 365.

Щоб настроїти модель ідентифікації за допомогою синхронізованих ідентичностей, слід мати локальний каталог, з яким буде виконуватися синхронізація, а також інсталювати засіб синхронізації служби каталогів. Перед синхронізацією облікових записів буде запущено кілька перевірок цілісності локального каталогу.

Якщо потрібно використовувати синхронізовані або федеративні ідентичності:

Модель

Оптимальні умови використання

Синхронізовані ідентичності

Є локальний каталог і потрібно синхронізувати облікові записи користувачів і, за необхідності, паролі. Якщо також потрібно синхронізувати паролі, користувачі використовуватимуть той самий пароль, який вони використовують для доступ до локальних ресурсів і Office 365.

Якщо потрібні винятково федеративні ідентичності, але запущено пілотну версію Office 365 або розгортання серверів Служба об’єднання AD FS не виконано з іншої причини.

Федеративні ідентичності

Якщо потрібно реалізувати більш складний сценарій, наприклад із застосуванням федерації, вимог до політик або технічних вимог (докладні відомості див. в статті Федеративна ідентичність).

На схемі нижче показано сценарій для синхронізованої ідентичності із синхронізацією паролів. Засіб синхронізації синхронізує локальні та хмарні ідентичності корпоративних користувачів.

На кроці 1 інсталюється Microsoft Azure Active Directory Connect. Відповідні вказівки наведено в статті Настроювання синхронізації служби каталогів в Office 365. Докладні відомості про Azure Active Directory Connect див. в статті Інтеграція локальних ідентичностей з Azure Active Directory.

На кроках 2 та 3 створюються нові користувачі в локальному каталозі. Засіб синхронізації періодично перевірятиме локальний каталог на наявність нових створених ідентичностей. Потім він передає ці ідентичності до Azure AD, поєднує локальні та хмарні ідентичності між собою, синхронізує паролі та робить їх видимими в Центрі адміністрування Office 365.

На кроці 4 після внесення змін до користувачів у локальному каталозі ці зміни синхронізуються з Azure AD й будуть доступні в Центрі адміністрування Office 365.

Підготовка та синхронізація ідентичностей

Щоб почати роботу із синхронізованими ідентичностями, див. статті Підготовка до надання користувачам доступу до Office 365 через синхронізацію служби каталогів і Настроювання синхронізації служби каталогів в Office 365.

Федеративна ідентичність

Для цієї моделі потрібні синхронізовані ідентичності, але з однією відмінністю: пароль користувача перевіряє локальний постачальник ідентичностей. Це означає, що геш пароля не потрібно синхронізувати з Azure AD. У цій моделі використовується служба об’єднання AD FS 2.0 або сторонній постачальник ідентичностей.

Ось кілька підстав, щоб скористатися федеративними ідентичностями:

  • Наявна інфраструктура

    Якщо з певних міркувань службу AD FS уже розгорнуто, логічно було б використовувати її також і для Office 365.

    Якщо вже використовується інший постачальник ідентичностей, можливо, варто використовувати федеративні ідентичності з Office 365. Корпорація Майкрософт надає список постачальників ідентичностей, які працюють з Office 365.

    Якщо використовується диспетчер ідентифікації Forefront, знадобиться також використовувати федеративну ідентичність із Office 365.

  • Технічні вимоги

    Локальна служба доменів Active Directory (AD DS) містить кілька лісів.

    Є інтегроване локальне рішення на основі смарт-карток.

    Є настроювана гібридна програма, наприклад із SharePoint або Microsoft Exchange Server.

  • Вимоги до політики

    Потрібен аудит і/або можливість миттєво вимкнути вхід.

    Потрібен єдиний вхід.

    Є обмеження на вхід за мережевим розташуванням або годинами роботи.

    У вас є інші чинні політики, які вимагають федеративну ідентичність.

На схемі нижче показано сценарій для федеративної ідентичності з гібридним локальним і хмарним розгортанням. Локальний каталог у цьому прикладі – це AD FS. Засіб синхронізації синхронізує локальні та хмарні ідентичності корпоративних користувачів.

На кроці 1 інсталюється Azure Active Directory Connect (докладні відомості та вказівки із завантаження див. тут). Засіб синхронізації дає змогу зберегти в Azure AD актуальні зміни з локального каталогу.

Відповідні вказівки наведено в статті Настроювання синхронізації служби каталогів в Office 365. Зокрема, щоб настроїти єдиний вхід, вам знадобиться використати вибіркову інсталяцію Azure AD Connect.

На кроках 2 та 3 створюються нові користувачі в локальному каталозі Active Directory. Засіб синхронізації періодично перевірятиме локальний сервер Active Directory на наявність нових створених ідентичностей. Потім він передає ці ідентичності до Azure AD, поєднує локальні та хмарні ідентичності між собою та робить їх видимими в Центрі адміністрування Office 365.

На кроках 4 та 5 після внесення змін до ідентичності в локальному каталозі Active Directory ці зміни синхронізуються з Azure AD і доступні в Центрі адміністрування Office 365.

На кроках 6 і 7 федеративні користувачі входять за допомогою AD FS. AD FS генерує маркер безпеки, і цей маркер передається до Azure AD. Справжність маркера перевіряється та затверджується, а потім користувачам надається дозвіл для Office 365.

До та після вирівнювання

Портал керування Azure Active Directory

Якщо ви маєте передплату на службу Office 365, Microsoft Dynamics CRM Online, Enterprise Mobility Suite або іншу службу Microsoft, у вас уже безкоштовна передплату на Azure AD. Хоча ви можете використовувати Azure AD, щоб створювати користувачів і групи облікових записів і керувати ними, радимо вам використовувати Центр адміністрування Office 365. Наприклад, навіть якщо на порталі керування Azure можна додати користувачів, усе одно потрібно додавати ліцензії в Центр адміністрування Office 365. Щоб отримати доступ до порталу керування Azure, необхідно активувати передплату.

Докладні відомості див. в статті Azure AD Connect: запитання й відповіді

Примітка : Застереження про машинний переклад: Цю статтю перекладено комп’ютерною системою без втручання людини. Корпорація Майкрософт пропонує таку послугу, щоб іншомовні користувачі могли дізнаватися про продукти, служби й технології Microsoft. Оскільки статтю перекладено за допомогою служби машинного перекладу, вона може містити смислові, синтаксичні або граматичні помилки.

Див. також

Інтеграція Office 365 із локальними середовищами

Підготовка до надання користувачам доступу до Office 365 через синхронізацію служби каталогів

Командлети Windows PowerShell для Office 365

Усунення проблем із синхронізацією служби каталогів в Office 365

Отримуйте нові функції раніше за інших
Приєднайтеся до оцінювачів Office

Ця інформація корисна?

Дякуємо за ваш відгук!

Дякуємо за відгук! Схоже, вам може стати в нагоді допомога одного з наших спеціалістів служби підтримки Office, з яким ми вас можемо з’єднати.

×