Volba správné metody ověřování pro řešení hybridní identity Azure Active Directory

Volba správné metody ověřování je prvním zájmem organizací, které chtějí přesunout své aplikace do cloudu. Nevezměte toto rozhodnutí mírně, z následujících důvodů:

  1. Jedná se o první rozhodnutí organizace, která chce přejít do cloudu.

  2. Metoda ověřování je důležitou součástí přítomnosti organizace v cloudu. Řídí přístup ke všem cloudovým datům a prostředkům.

  3. Je základem všech ostatních pokročilých funkcí zabezpečení a uživatelského prostředí v Azure AD.

Identita je nová řídicí rovina zabezpečení IT, takže ověřování je ochrana přístupu organizace do nového cloudového světa. Organizace potřebují rovinu řízení identit, která posiluje jejich zabezpečení a udržuje cloudové aplikace v bezpečí před vetřelci.

Poznámka

Změna metody ověřování vyžaduje plánování, testování a potenciální výpadky. Postupné zavedení je skvělý způsob, jak otestovat migraci uživatelů z federace na cloudové ověřování.

Mimo rozsah

Organizace, které nemají stávající místní adresářové stopy, nejsou zaměřeny na tento článek. Tyto firmy obvykle vytvářejí identity jenom v cloudu, což nevyžaduje řešení hybridní identity. Identity jen pro cloud existují výhradně v cloudu a nejsou přidružené k odpovídajícím místním identitám.

Metody ověřování

Pokud je řešení hybridní identity Azure AD vaší novou řídicí rovinou, je ověřování základem cloudového přístupu. Volba správné metody ověřování je zásadním prvním rozhodnutím při nastavování řešení hybridní identity Azure AD. Implementujte metodu ověřování nakonfigurovanou pomocí služby Azure AD Connect, která také zřídí uživatele v cloudu.

Pokud chcete zvolit metodu ověřování, musíte zvážit čas, existující infrastrukturu, složitost a náklady na implementaci podle vašeho výběru. Tyto faktory se liší pro každou organizaci a můžou se v průběhu času měnit.

Azure AD podporuje následující metody ověřování pro hybridní řešení identit.

Cloudové ověřování

Když zvolíte tuto metodu ověřování, Azure AD zpracovává proces přihlašování uživatelů. V kombinaci s bezproblémovým jednotným přihlašováním se uživatelé můžou přihlásit ke cloudovým aplikacím, aniž by museli znovu zadávat svoje přihlašovací údaje. S cloudovým ověřováním si můžete vybrat ze dvou možností:

Synchronizace hodnot hash hesel Azure AD. Nejjednodušší způsob, jak povolit ověřování pro místní objekty adresáře ve službě Azure AD. Uživatelé můžou používat stejné uživatelské jméno a heslo, které používají místně, aniž by museli nasazovat další infrastrukturu. Některé prémiové funkce Azure AD, jako je Identity Protection a Azure AD Domain Services, vyžadují synchronizaci hodnot hash hesel bez ohledu na to, kterou metodu ověřování zvolíte.

Poznámka

Hesla se nikdy neukládají v jasném textu nebo šifrované pomocí reverzibilního algoritmu v Azure AD. Další informace o skutečném procesu synchronizace hodnot hash hesel najdete v tématu Implementace synchronizace hodnot hash hesel se synchronizací služby Azure AD Connect.

Předávací ověřování Azure AD Poskytuje jednoduché ověřování hesel pro ověřovací služby Azure AD pomocí softwarového agenta, který běží na jednom nebo několika místních serverech. Servery ověřují uživatele přímo ve vaší místní službě Active Directory, což zajišťuje, že ověření hesla neprobějde v cloudu.

Společnosti s požadavkem na zabezpečení, aby okamžitě vynucovaly stavy místních uživatelských účtů, zásady hesel a hodiny přihlašování, můžou tuto metodu ověřování použít. Další informace o skutečném předávacím procesu ověřování najdete v tématu Přihlášení uživatele pomocí předávacího ověřování Azure AD.

Federovaného ověřování

Když zvolíte tuto metodu ověřování, Služba Azure AD předá proces ověřování do samostatného důvěryhodného ověřovacího systému, jako je místní služba Active Directory Federation Services (AD FS), aby ověřila heslo uživatele.

Ověřovací systém může poskytovat další pokročilé požadavky na ověřování. Příklady jsou ověřování založené na čipových kartách nebo vícefaktorové ověřování třetích stran. Další informace najdete v tématu Nasazení služby Active Directory Federation Services.

Následující část vám pomůže rozhodnout, která metoda ověřování je pro vás nejvhodnější pomocí rozhodovacího stromu. Pomůže vám určit, jestli se má nasadit cloudové nebo federované ověřování pro vaše řešení hybridní identity Azure AD.

Rozhodovací strom

Azure AD authentication decision tree

Podrobnosti o rozhodovacích otázkách:

  1. Azure AD může zpracovávat přihlašování pro uživatele, aniž by museli spoléhat na místní komponenty k ověření hesel.
  2. Azure AD může předat přihlášení uživatele důvěryhodnému poskytovateli ověřování, jako je služba AD FS microsoftu.
  3. Pokud potřebujete použít zásady zabezpečení služby Active Directory na úrovni uživatele, jako je vypršení platnosti účtu, zakázaný účet, vypršení platnosti hesla, uzamčení účtu a doba přihlášení jednotlivých uživatelů, vyžaduje Azure AD některé místní komponenty.
  4. Funkce přihlašování, které Azure AD nativně nepodporuje:
    • Přihlaste se pomocí čipových karet nebo certifikátů.
    • Přihlaste se pomocí místního MFA Serveru.
    • Přihlaste se pomocí řešení ověřování třetích stran.
    • Místní řešení ověřování s více lokalitami
  5. Azure AD Identity Protection vyžaduje synchronizaci hodnot hash hesel bez ohledu na to, jakou metodu přihlašování zvolíte, aby uživatelé měli sestavu nevracených přihlašovacích údajů . Organizace můžou převzít služby při selhání synchronizace hodnot hash hesel, pokud se jejich primární metoda přihlášení nezdaří a je nakonfigurovaná před událostí selhání.

Poznámka

Azure AD Identity Protection vyžaduje licence Azure AD Premium P2 .

Podrobné aspekty

Cloudové ověřování: Synchronizace hodnot hash hesel

  • Úsilí. Synchronizace hodnot hash hesel vyžaduje nejmenší úsilí týkající se nasazení, údržby a infrastruktury. Tato úroveň úsilí se obvykle vztahuje na organizace, které potřebují, aby se uživatelé přihlásili jenom k Microsoftu 365, aplikacím SaaS a dalším prostředkům založeným na Azure AD. Když je synchronizace hodnot hash hesel zapnutá, je součástí procesu synchronizace služby Azure AD Connect a spouští se každých dvě minuty.

  • Uživatelské prostředí. Pokud chcete zlepšit přihlašování uživatelů, nasaďte bezproblémové jednotné přihlašování pomocí synchronizace hodnot hash hesel. Bezproblémové jednotné přihlašování eliminuje nepotřebné výzvy, když se uživatelé přihlásí.

  • Pokročilé scénáře Pokud se organizace rozhodnou, je možné používat přehledy z identit pomocí sestav Azure AD Identity Protection se službou Azure AD Premium P2. Příkladem je zpráva o úniku přihlašovacích údajů. Windows Hello pro firmy má specifické požadavky při použití synchronizace hodnot hash hesel. Služba Azure AD Domain Services vyžaduje synchronizaci hodnot hash hesel pro zřízení uživatelů s podnikovými přihlašovacími údaji ve spravované doméně.

    Organizace, které vyžadují vícefaktorové ověřování se synchronizací hodnot hash hesel, musí používat vlastní ovládací prvky azure AD Multi-Factor Authentication nebo podmíněného přístupu. Tyto organizace nemůžou používat metody vícefaktorového ověřování třetích stran ani místní vícefaktorové ověřování, které spoléhají na federaci.

Poznámka

Podmíněný přístup Azure AD vyžaduje licence Azure AD Premium P1 .

  • Provozní kontinuita Použití synchronizace hodnot hash hesel s cloudovým ověřováním je vysoce dostupné jako cloudová služba, která se škáluje na všechna datacentra Microsoftu. Pokud chcete zajistit, aby synchronizace hodnot hash hesel po delší dobu nespadla, nasaďte druhý server Azure AD Connect v přípravném režimu v pohotovostní konfiguraci.

  • Důležité informace. V současné době synchronizace hodnot hash hesel nevynucuje okamžitě změny v místních stavech účtů. V takovém případě má uživatel přístup ke cloudovým aplikacím, dokud se stav uživatelského účtu nesynchronuje do Azure AD. Organizace můžou chtít toto omezení překonat spuštěním nového synchronizačního cyklu po hromadné aktualizaci místních stavů uživatelských účtů. Příkladem je zakázání účtů.

Poznámka

Stavy uzamčení hesla a uzamčení účtu se v současné době nesynchronizují s Azure AD se službou Azure AD Connect. Když změníte heslo uživatele a nastavíte , že uživatel musí změnit heslo při dalším přihlašovacím příznaku, hodnota hash hesla se nebude synchronizovat s Azure AD s Azure AD Connect, dokud uživatel nezmění heslo.

Postup nasazení najdete v implementaci synchronizace hodnot hash hesel .

Cloudové ověřování: Předávací ověřování

  • Úsilí. Pro předávací ověřování potřebujete jeden nebo více (doporučujeme tři) odlehčené agenty nainstalované na existujících serverech. Tito agenti musí mít přístup k místním službám Active Directory Domain Services, včetně místních řadičů domény AD. Potřebují odchozí přístup k internetu a přístup k vašim řadičům domény. Z tohoto důvodu se nepodporuje nasazení agentů v hraniční síti.

    Předávací ověřování vyžaduje nekontrénovaný síťový přístup k řadičům domény. Veškerý síťový provoz se šifruje a omezuje na požadavky na ověřování. Další informace o tomto procesu najdete v podrobných informacích o zabezpečení předávacího ověřování.

  • Uživatelské prostředí. Pokud chcete zlepšit přihlašování uživatelů, nasaďte bezproblémové jednotné přihlašování s předávacím ověřováním. Bezproblémové jednotné přihlašování eliminuje zbytečné výzvy po přihlášení uživatelů.

  • Pokročilé scénáře Předávací ověřování vynucuje zásady místního účtu v době přihlášení. Přístup je například odepřen, když je stav účtu místního uživatele zakázaný, uzamčený nebo jeho heslo vyprší nebo pokus o přihlášení spadá mimo dobu, kdy se uživatel může přihlásit.

    Organizace, které vyžadují vícefaktorové ověřování s předávacím ověřováním, musí používat vlastní ovládací prvky Azure AD Multi-Factor Authentication (MFA) nebo Podmíněný přístup. Tyto organizace nemůžou používat metodu vícefaktorového ověřování třetí strany ani místního prostředí, která závisí na federaci. Pokročilé funkce vyžadují, aby se synchronizace hodnot hash hesel nasadila bez ohledu na to, jestli zvolíte předávací ověřování. Příkladem je zpráva o úniku přihlašovacích údajů identity Identity Protection.

  • Provozní kontinuita. Doporučujeme nasadit dva další předávací ověřovací agenty. Tyto doplňky jsou navíc k prvnímu agentu na serveru Azure AD Connect. Toto další nasazení zajišťuje vysokou dostupnost žádostí o ověření. Když máte nasazené tři agenty, může jeden agent stále selhat, když je pro údržbu vypnutý jiný agent.

    Kromě předávacíhoověřováníhoch Funguje jako záložní metoda ověřování, pokud už primární metoda ověřování není k dispozici.

  • Důležité informace. Synchronizaci hodnot hash hesel můžete použít jako metodu ověřování zálohování pro předávací ověřování, když agenti nemůžou ověřit přihlašovací údaje uživatele kvůli významnému místnímu selhání. K převzetí služeb při selhání synchronizace hodnot hash hesel nedojde automaticky a k ručnímu přepnutí metody přihlašování musíte použít Azure AD Connect.

    Další důležité informace o předávacím ověřování, včetně podpory alternativních ID, najdete v nejčastějších dotazech.

Postup nasazení najdete v implementaci předávacího ověřování .

Federovaného ověřování

  • Úsilí. Federovaný ověřovací systém spoléhá na externí důvěryhodný systém k ověřování uživatelů. Některé společnosti chtějí znovu použít stávající investice do federovaného systému se svým hybridním řešením identit Azure AD. Údržba a správa federovaného systému spadá mimo kontrolu služby Azure AD. Je na organizaci pomocí federovaného systému, aby se zajistilo bezpečné nasazení a dokáže zpracovat zatížení ověřování.

  • Uživatelské prostředí. Uživatelské prostředí federovaného ověřování závisí na implementaci funkcí, topologie a konfigurace federační farmy. Některé organizace potřebují tuto flexibilitu k přizpůsobení a konfiguraci přístupu k federační farmě tak, aby vyhovovaly požadavkům na zabezpečení. Je například možné nakonfigurovat interně připojené uživatele a zařízení tak, aby se uživatelé přihlašovali automaticky, aniž byste je museli vyzvat k zadání přihlašovacích údajů. Tato konfigurace funguje, protože se už přihlásili ke svým zařízením. V případě potřeby některé pokročilé funkce zabezpečení ztěžují proces přihlašování uživatelů.

  • Pokročilé scénáře Řešení federovaného ověřování se vyžaduje v případě, že zákazníci mají požadavek na ověřování, který Azure AD nativně nepodporuje. Podívejte se na podrobné informace, které vám pomůžou zvolit správnou možnost přihlášení. Vezměte v úvahu následující běžné požadavky:

    • Ověřování, které vyžaduje čipové karty nebo certifikáty
    • Místní servery MFA nebo poskytovatelé vícefaktorového ověřování třetích stran vyžadující federovaného zprostředkovatele identity.
    • Ověřování pomocí řešení ověřování třetích stran Podívejte se na seznam kompatibility federace Azure AD.
    • Přihlaste se, který vyžaduje sAMAccountName, například DOMAIN\username, místo hlavního názvu uživatele (UPN), například user@domain.com.
  • Provozní kontinuita. Federované systémy obvykle vyžadují pole serverů s vyrovnáváním zatížení, které se označuje jako farma. Tato farma je nakonfigurovaná v interní síti a topologii hraniční sítě, aby byla zajištěna vysoká dostupnost požadavků na ověřování.

    Nasaďte synchronizaci hodnot hash hesel společně s federovaným ověřováním jako metodu ověřování zálohování, pokud už primární metoda ověřování není k dispozici. Příkladem je, že místní servery nejsou dostupné. Některé velké podnikové organizace vyžadují federační řešení pro podporu více internetových příchozích dat nakonfigurovaných pomocí geografického DNS pro požadavky na ověřování s nízkou latencí.

  • Důležité informace. Federované systémy obvykle vyžadují větší investici do místní infrastruktury. Většina organizací zvolí tuto možnost, pokud už má místní investici do federace. A pokud je to silný obchodní požadavek na použití zprostředkovatele s jednou identitou. Federace je složitější pro provoz a řešení potíží v porovnání s řešeními cloudového ověřování.

Pro nesměrovatelnou doménu, která se nedá ověřit v Azure AD, potřebujete další konfiguraci pro implementaci přihlášení ID uživatele. Tento požadavek se označuje jako podpora alternativních přihlašovacích ID. Viz Konfigurace alternativního přihlašovacího ID pro omezení a požadavky. Pokud se rozhodnete použít poskytovatele vícefaktorového ověřování třetí strany s federací, ujistěte se, že poskytovatel podporuje WS-Trust, aby se zařízení mohla připojit k Azure AD.

Postup nasazení najdete v tématu Nasazení federačních serverů .

Poznámka

Když nasadíte řešení hybridní identity Azure AD, musíte implementovat jednu z podporovaných topologií služby Azure AD Connect. Další informace o podporovaných a nepodporovaných konfiguracích najdete v topologiích pro Azure AD Connect.

Diagramy architektury

Následující diagramy popisují komponenty architektury vysoké úrovně vyžadované pro každou metodu ověřování, kterou můžete použít se svým hybridním řešením identit Azure AD. Poskytují přehled, který vám pomůže porovnat rozdíly mezi řešeními.

  • Jednoduchost řešení synchronizace hodnot hash hesel:

    Azure AD hybrid identity with Password hash synchronization

  • Požadavky agenta předávacího ověřování s využitím dvou agentů pro redundanci:

    Azure AD hybrid identity with Pass-through Authentication

  • Komponenty vyžadované pro federaci v hraniční a interní síti vaší organizace:

    Azure AD hybrid identity with federated authentication

Porovnání metod

Aspekty Synchronizace hodnot hash hesel + bezproblémové jednotné přihlašování Předávací ověřování + bezproblémové jednotné přihlašování Federace se službou AD FS
Kde probíhá ověřování? V cloudu V cloudu po zabezpečené výměně ověření hesla s místním ověřovacím agentem Místní
Jaké jsou požadavky na místní server nad rámec systému zřizování: Azure AD Connect? Žádné Jeden server pro každého dalšího ověřovacího agenta Dva nebo více serverů AD FS

Dva nebo více serverů WAP v hraniční síti nebo síti DMZ
Jaké jsou požadavky na místní internet a sítě nad rámec systému zřizování? Žádné Odchozí přístup k internetu ze serverů s agenty ověřování Příchozí internetový přístup k serverům WAP v hraniční síti

Příchozí síťový přístup k serverům AD FS ze serverů WAP v hraniční síti

Vyrovnávání zatížení sítě
Existuje požadavek na certifikát TLS/SSL? Ne Ne Ano
Existuje řešení monitorování stavu? Nevyžadováno Stav agenta poskytovaný Centrem pro správu Azure Active Directory Azure AD Connect Health
Získají uživatelé jednotné přihlašování ke cloudovým prostředkům ze zařízení připojených k doméně v rámci podnikové sítě? Ano s bezproblémovým jednotným přihlašováním Ano s bezproblémovým jednotným přihlašováním Ano
Jaké typy přihlašování se podporují? UserPrincipalName + heslo

ověřování Windows-Integrated s využitím bezproblémového jednotného přihlašování

Alternativní přihlašovací ID
UserPrincipalName + heslo

ověřování Windows-Integrated s využitím bezproblémového jednotného přihlašování

Alternativní přihlašovací ID
UserPrincipalName + heslo

sAMAccountName + heslo

ověřování Windows-Integrated

Ověřování certifikátů a čipových karet

Alternativní přihlašovací ID
Podporuje se Windows Hello pro firmy? Model důvěryhodnosti klíče Model důvěryhodnosti klíče
Vyžaduje funkční úroveň domény Windows Serveru 2016.
Model důvěryhodnosti klíče

Model důvěryhodnosti certifikátů
Jaké jsou možnosti vícefaktorového ověřování? Azure AD MFA

Vlastní ovládací prvky s podmíněným přístupem*
Azure AD MFA

Vlastní ovládací prvky s podmíněným přístupem*
Azure AD MFA

Server Azure MFA

Vícefaktorové ověřování třetích stran

Vlastní ovládací prvky s podmíněným přístupem*
Jaké stavy uživatelských účtů se podporují? Zakázané účty
(až 30minutové zpoždění)
Zakázané účty

Uzamčený účet

Platnost účtu vypršela.

Vypršela platnost hesla

Hodiny přihlášení
Zakázané účty

Uzamčený účet

Platnost účtu vypršela.

Vypršela platnost hesla

Hodiny přihlášení
Jaké jsou možnosti podmíněného přístupu? Podmíněný přístup Azure AD s Azure AD Premium Podmíněný přístup Azure AD s Azure AD Premium Podmíněný přístup Azure AD s Azure AD Premium

Pravidla deklarací identity služby AD FS
Podporuje se blokování starších protokolů? Ano Ano Ano
Můžete přizpůsobit logo, obrázek a popis na přihlašovacích stránkách? Ano, s Azure AD Premium Ano, s Azure AD Premium Ano
Jaké pokročilé scénáře se podporují? Inteligentní uzamčení hesla

Sestavy nevracených přihlašovacích údajů s využitím Azure AD Premium P2
Inteligentní uzamčení hesla Systém ověřování s nízkou latencí ve více lokalitách

Uzamčení extranetu služby AD FS

Integrace se systémy identit třetích stran

Poznámka

Vlastní ovládací prvky v podmíněném přístupu Azure AD v současné době nepodporují registraci zařízení.

Doporučení

Váš systém identit zajišťuje přístup uživatelů ke cloudovým aplikacím a obchodním aplikacím, které migrujete a zpřístupníte v cloudu. Aby mohli autorizovaní uživatelé pracovat s citlivými daty vaší organizace, řídí ověřování přístup k aplikacím.

Použijte nebo povolte synchronizaci hodnot hash hesel podle toho, kterou metodu ověřování zvolíte, z následujících důvodů:

  1. Vysoká dostupnost a zotavení po havárii. Předávací ověřování a federace závisí na místní infrastruktuře. Pro předávací ověřování zahrnují místní nároky hardware serveru a sítě, které agenti předávacího ověřování vyžadují. U federace je místní stopa ještě větší. Vyžaduje servery ve vaší hraniční síti k žádostem o ověření proxy serveru a interním federačním serverům.

    Pokud se chcete vyhnout kritickým bodům selhání, nasaďte redundantní servery. Požadavky na ověřování se pak budou vždy obsluhovat, pokud některá komponenta selže. Předávací ověřování i federace také spoléhají na řadiče domény, aby reagovaly na žádosti o ověření, což může také selhat. Mnoho z těchto komponent potřebuje údržbu, aby zůstala v pořádku. Výpadky jsou pravděpodobnější, když se údržba neplánuje a implementuje správně. Vyhněte se výpadkům pomocí synchronizace hodnot hash hesel, protože cloudová ověřovací služba Microsoft Azure AD se škáluje globálně a je vždy dostupná.

  2. Přežití v místním výpadku. Následky výpadku místní sítě způsobené kybernetickým útokem nebo katastrofou můžou být značné, od poškození reputace značky až po zneškodněnou organizaci, která se s útokem nemůže vypořádat. V poslední době byla řada organizací obětí malwarových útoků, včetně cíleného ransomwaru, což způsobilo, že se jejich místní servery snížily. Když Microsoft pomáhá zákazníkům řešit tyto druhy útoků, uvidí dvě kategorie organizací:

    • Organizace, které dříve také zapnuly synchronizaci hodnot hash hesel nad federovaným nebo předávacím ověřováním, změnily primární metodu ověřování tak, aby pak používaly synchronizaci hodnot hash hesel. Byli zpátky online během několika hodin. Pomocí přístupu k e-mailu prostřednictvím Microsoftu 365 pracovali na řešení problémů a přístupu k dalším cloudovým úlohám.

    • Organizace, které dříve nepovolily synchronizaci hodnot hash hesel, se musely uchýlovat k nedůvěryhodným e-mailovým systémům externích příjemců pro komunikaci, aby se vyřešily problémy. V těchto případech jim trvalo týdny obnovit místní infrastrukturu identit, než se uživatelé mohli znovu přihlásit ke cloudovým aplikacím.

  3. Ochrana identit. Jedním z nejlepších způsobů ochrany uživatelů v cloudu je Azure AD Identity Protection se službou Azure AD Premium P2. Microsoft průběžně prohledává internet pro seznamy uživatelů a hesel, které špatní aktéři prodávají a zpřístupní na tmavém webu. Azure AD může tyto informace použít k ověření, jestli dojde k ohrožení uživatelského jména a hesel ve vaší organizaci. Proto je důležité povolit synchronizaci hodnot hash hesel bez ohledu na to, jakou metodu ověřování používáte, ať už jde o federované nebo předávací ověřování. Nevracené přihlašovací údaje se zobrazí jako sestava. Pomocí těchto informací můžete zablokovat nebo vynutit, aby uživatelé změnili svá hesla, když se pokusí přihlásit pomocí nevracených hesel.

Závěr

Tento článek popisuje různé možnosti ověřování, které můžou organizace nakonfigurovat a nasadit, aby podporovaly přístup ke cloudovým aplikacím. Aby organizace splňovaly různé obchodní, bezpečnostní a technické požadavky, můžou si vybrat mezi synchronizací hodnot hash hesel, předávacím ověřováním a federací.

Zvažte každou metodu ověřování. Řeší úsilí o nasazení řešení a zkušenosti uživatele s procesem přihlašování vaše obchodní požadavky? Vyhodnoťte, jestli vaše organizace potřebuje pokročilé scénáře a funkce provozní kontinuity jednotlivých metod ověřování. Nakonec vyhodnoťte aspekty jednotlivých metod ověřování. Brání vám některá z nich v implementaci vaší volby?

Další kroky

V dnešním světě jsou hrozby přítomné 24 hodin denně a pocházejí z celého světa. Implementujte správnou metodu ověřování a zmírní vaše bezpečnostní rizika a chrání vaše identity.

Začněte se službou Azure AD a nasaďte správné řešení ověřování pro vaši organizaci.

Pokud přemýšlíte o migraci z federovaného na cloudové ověřování, přečtěte si další informace o změně metody přihlašování. Pokud chcete pomoct s plánováním a implementací migrace, použijte tyto plány nasazení projektu nebo zvažte použití nové funkce postupného zavedení k migraci federovaných uživatelů na používání cloudového ověřování ve fázovaném přístupu.