Share via

זהות עבור חברת Contoso

  • מאמר

Microsoft מספקת זהות כשירות (IDaaS) בכל הצעות הענן שלה באמצעות Microsoft Entra זהה. כדי לאמץ את Microsoft 365 לארגונים, פתרון Contoso IDaaS היה צריך להשתמש בספק הזהויות המקומי שלו ולכלול אימות מאוחד עם ספקי הזהויות המהימנים החיצוניים הקיימים שלהם.

יער Active Directory Domain Services קונטוסו

Contoso משתמש ביער Active Directory Domain Services (AD DS) יחיד עבור contoso.com עם שבעה תחומי משנה, אחד עבור כל אזור בעולם. המשרדים הראשיים, משרדי הרכזת האזוריים וסניףי הלוויין מכילים בקרי תחום לאימות ולאישור מקומיים.

הנה יער Contoso עם תחומים אזוריים עבור החלקים השונים של העולם המכילים רכזות אזוריות.

היער והתחום של Contoso ברחבי העולם.

Contoso החליטה להשתמש בחשבונות ובקבוצות ביער contoso.com לאימות ולאישור עבור עומסי העבודה והשירותים של Microsoft 365.

תשתית האימות המאוחד של Contoso

Contoso מאפשר:

  • לקוחות המשתמשים בחשבונות Microsoft, Facebook או Google Mail שלהם כדי להיכנס לאתר האינטרנט הציבורי של החברה.
  • ספקים ושותפים כדי להשתמש בחשבונות LinkedIn, Salesforce או Google Mail שלהם כדי להיכנס לאקסטרא-נט של השותף של החברה.

הנה ה- DMZ של Contoso המכיל אתר אינטרנט ציבורי, אקסטרא-נט של שותף וערכה של שרתי Active Directory Federation Services (AD FS). ה- DMZ מחובר לאינטרנט המכיל לקוחות, שותפים ושירותים באינטרנט.

תמיכת Contoso עבור אימות מאוחד עבור לקוחות ושותפים.

שרתי AD FS ב- DMZ מאפשרים אימות של אישורי לקוחות על-ידי ספקי הזהויות שלהם לגישה לאתר האינטרנט הציבורי ולאישורי השותף לקבלת גישה לאקסטרא-נט של השותף.

Contoso החליטה לשמור על תשתית זו ולהקדיש אותה לאימות לקוחות והשותפים. ארכיטקטי הזהויות של Contoso חוקרים את ההמרה של תשתית זו כדי Microsoft Entra B2B ו- B2C.

זהות היברידית עם סינכרון קוד Hash של סיסמאות עבור אימות מבוסס ענן

Contoso רצה להשתמש ביער AD DS המקומי שלו לאימות למשאבי ענן של Microsoft 365. היא החליטה להשתמש בסינכרון קוד Hash של סיסמאות (PHS).

PHS מסנכרן את היער המקומי של AD DS עם דייר Microsoft Entra של מנוי Microsoft 365 לארגונים, העתקת חשבונות משתמשים וקבוצה וגירסת Hash של סיסמאות חשבון משתמש.

כדי לבצע סינכרון מדריכי כתובות, Contoso פרוס Microsoft Entra הכלי Connect בשרת במרכז הנתונים של פריס.

הנה השרת שבו פועל שרת Microsoft Entra חבר תשאול ליער Contoso AD DS עבור שינויים ולאחר מכן סנכרון שינויים אלה עם הדייר Microsoft Entra שלך.

תשתית סינכרון מדריכי הכתובות של Contoso PHS.

מדיניות גישה מותנית עבור אפס אמון זהות וגישה למכשירים

Contoso יצר ערכה של Microsoft Entra מדיניות גישה מותנית של Intune עבור שלוש רמות הגנה:

  • הגנות נקודת התחלה חלות על כל חשבונות המשתמשים.
  • הגנות ארגוניות חלות על ההנהלה הבכירה ועל הצוות המנהלי.
  • הגנות אבטחה מיוחדות חלות על משתמשים ספציפיים במחלקות הכספים, המשפטיות ומחקר שיש להם גישה לנתונים המווסתים ביותר.

להלן ערכת התוצאות של מדיניות גישה מותנית של Contoso וזהות מכשיר.

מדיניות הגישה המותנה של Contoso וה לזהות ולמכשיר.

השלב הבא

למד כיצד Contoso משתמשת בתשתית נקודות הקצה Configuration Manager Microsoft כדי לפרוס ולשמור על העדכניות Windows 10 Enterprise ברחבי הארגון.

למידע נוסף

פריסת זהות עבור Microsoft 365

Microsoft 365 למבט כולל על הארגון

מדריכי מעבדת בדיקות