Identität für die Contoso Corporation

Microsoft stellt Identity-as-a-Service (IDaaS) in seinen Cloudangeboten über Microsoft Entra ID bereit. Für die Einführung von Microsoft 365 Enterprise musste die IDaaS-Lösung von Contoso ihren lokalen Identitätsanbieter verwenden und die Verbundauthentifizierung mit ihren vorhandenen vertrauenswürdigen Identitätsanbietern von Drittanbietern einschließen.

Die Gesamtstruktur "Contoso Active Directory Domain Services"

Contoso verwendet eine einzelne Active Directory Domain Services -Gesamtstruktur (AD DS) für contoso.com mit sieben Unterdomänen, eine für jede Region der Welt. Die Zentrale, die Regionalstellen und die Zweigstellen enthalten Domänencontroller für die lokale Authentifizierung und Autorisierung.

Hier sehen Sie die Contoso-Gesamtstruktur mit regionalen Domänen für die verschiedenen Teile der Welt, die regionale Hubs enthalten.

Contoso hat sich entschieden, die Konten und Gruppen in der contoso.com Gesamtstruktur für die Authentifizierung und Autorisierung für seine Microsoft 365-Workloads und -Dienste zu verwenden.

Die Contoso-Verbundauthentifizierungsinfrastruktur

Contoso lässt Folgendes zu:

• Kunden, die ihre Microsoft-, Facebook- oder Google Mail-Konten verwenden, um sich bei der öffentlichen Website des Unternehmens anzumelden.
• Anbieter und Partner, die ihre LinkedIn-, Salesforce- oder Google Mail-Konten verwenden, um sich beim Partner-Extranet des Unternehmens anzumelden.

Dies ist die Contoso-DMZ, die eine öffentliche Website, ein Partner-Extranet und eine Gruppe von Active Directory-Verbunddienste (AD FS) -Servern (AD FS) enthält. Die DMZ ist mit dem Internet verbunden, das Kunden, Partner und Internetdienste enthält.

AD FS-Server in der DMZ ermöglichen die Authentifizierung von Kundenanmeldeinformationen durch ihre Identitätsanbieter für den Zugriff auf die öffentliche Website und die Partneranmeldeinformationen für den Zugriff auf das Partner-Extranet.

Contoso hat sich entschieden, diese Infrastruktur beizubehalten und für die Kunden- und Partnerauthentifizierung zu verwenden. Die Identitätsarchitekten von Contoso untersuchen die Konvertierung dieser Infrastruktur in Microsoft Entra B2B- und B2C-Lösungen.

Hybrididentität mit Kennwort-Hash-Synchronisierung für cloudbasierte Authentifizierung

Contoso wollte seine lokale AD DS-Gesamtstruktur für die Authentifizierung bei Microsoft 365-Cloudressourcen verwenden. Es hat sich für die Kennworthashsynchronisierung (Password Hash Synchronization, PHS) entschieden.

PHS synchronisiert die lokale AD DS-Gesamtstruktur mit dem Microsoft Entra Mandanten ihres Microsoft 365 Enterprise-Abonnements, wobei Benutzer- und Gruppenkonten und eine Hashversion von Benutzerkontenkennwörtern kopiert werden.

Für die Verzeichnissynchronisierung hat Contoso das tool Microsoft Entra Connect auf einem Server im Pariser Rechenzentrum bereitgestellt.

Dies ist der Server, der Microsoft Entra Connect ausführt, der die Contoso AD DS-Gesamtstruktur nach Änderungen abruft und diese Änderungen dann mit dem Microsoft Entra Mandanten synchronisiert.

Richtlinien für bedingten Zugriff für Zero Trust Identität und Gerätezugriff

Contoso hat eine Reihe von Richtlinien für Microsoft Entra-ID und bedingten Intune-Zugriff für drei Schutzebenen erstellt:

• Der Startpunktschutz gilt für alle Benutzerkonten.
• Unternehmensschutz gilt für Führungspositionen und Führungskräfte.
• Spezielle Sicherheitsschutzfunktionen gelten für bestimmte Benutzer in den Finanz-, Rechts- und Forschungsabteilungen, die Zugriff auf streng regulierte Daten haben.

Hier sehen Sie die resultierenden Identitäts- und Geräterichtlinien für den bedingten Zugriff von Contoso.

Nächster Schritt

Erfahren Sie, wie Contoso seine Microsoft Endpoint Configuration Manager-Infrastruktur verwendet, um Windows 10 Enterprise in seinen organization bereitzustellen und auf dem neuesten Stand zu halten.

Siehe auch

Bereitstellen der Identität für Microsoft 365

Übersicht über Microsoft 365 Enterprise

Testumgebungsanleitungen