זהות עבור חברת Contoso
Microsoft מספקת זהות כשירות (IDaaS) בכל הצעות הענן שלה באמצעות Microsoft Entra זהה. כדי לאמץ את Microsoft 365 לארגונים, פתרון Contoso IDaaS היה צריך להשתמש בספק הזהויות המקומי שלו ולכלול אימות מאוחד עם ספקי הזהויות המהימנים החיצוניים הקיימים שלהם.
יער Active Directory Domain Services קונטוסו
Contoso משתמש ביער Active Directory Domain Services (AD DS) יחיד עבור contoso.com עם שבעה תחומי משנה, אחד עבור כל אזור בעולם. המשרדים הראשיים, משרדי הרכזת האזוריים וסניףי הלוויין מכילים בקרי תחום לאימות ולאישור מקומיים.
הנה יער Contoso עם תחומים אזוריים עבור החלקים השונים של העולם המכילים רכזות אזוריות.
Contoso החליטה להשתמש בחשבונות ובקבוצות ביער contoso.com לאימות ולאישור עבור עומסי העבודה והשירותים של Microsoft 365.
תשתית האימות המאוחד של Contoso
Contoso מאפשר:
- לקוחות המשתמשים בחשבונות Microsoft, Facebook או Google Mail שלהם כדי להיכנס לאתר האינטרנט הציבורי של החברה.
- ספקים ושותפים כדי להשתמש בחשבונות LinkedIn, Salesforce או Google Mail שלהם כדי להיכנס לאקסטרא-נט של השותף של החברה.
הנה ה- DMZ של Contoso המכיל אתר אינטרנט ציבורי, אקסטרא-נט של שותף וערכה של שרתי Active Directory Federation Services (AD FS). ה- DMZ מחובר לאינטרנט המכיל לקוחות, שותפים ושירותים באינטרנט.
שרתי AD FS ב- DMZ מאפשרים אימות של אישורי לקוחות על-ידי ספקי הזהויות שלהם לגישה לאתר האינטרנט הציבורי ולאישורי השותף לקבלת גישה לאקסטרא-נט של השותף.
Contoso החליטה לשמור על תשתית זו ולהקדיש אותה לאימות לקוחות והשותפים. ארכיטקטי הזהויות של Contoso חוקרים את ההמרה של תשתית זו כדי Microsoft Entra B2B ו- B2C.
זהות היברידית עם סינכרון קוד Hash של סיסמאות עבור אימות מבוסס ענן
Contoso רצה להשתמש ביער AD DS המקומי שלו לאימות למשאבי ענן של Microsoft 365. היא החליטה להשתמש בסינכרון קוד Hash של סיסמאות (PHS).
PHS מסנכרן את היער המקומי של AD DS עם דייר Microsoft Entra של מנוי Microsoft 365 לארגונים, העתקת חשבונות משתמשים וקבוצה וגירסת Hash של סיסמאות חשבון משתמש.
כדי לבצע סינכרון מדריכי כתובות, Contoso פרוס Microsoft Entra הכלי Connect בשרת במרכז הנתונים של פריס.
הנה השרת שבו פועל שרת Microsoft Entra חבר תשאול ליער Contoso AD DS עבור שינויים ולאחר מכן סנכרון שינויים אלה עם הדייר Microsoft Entra שלך.
מדיניות גישה מותנית עבור אפס אמון זהות וגישה למכשירים
Contoso יצר ערכה של Microsoft Entra מדיניות גישה מותנית של Intune עבור שלוש רמות הגנה:
- הגנות נקודת התחלה חלות על כל חשבונות המשתמשים.
- הגנות ארגוניות חלות על ההנהלה הבכירה ועל הצוות המנהלי.
- הגנות אבטחה מיוחדות חלות על משתמשים ספציפיים במחלקות הכספים, המשפטיות ומחקר שיש להם גישה לנתונים המווסתים ביותר.
להלן ערכת התוצאות של מדיניות גישה מותנית של Contoso וזהות מכשיר.
השלב הבא
למד כיצד Contoso משתמשת בתשתית נקודות הקצה Configuration Manager Microsoft כדי לפרוס ולשמור על העדכניות Windows 10 Enterprise ברחבי הארגון.
למידע נוסף
משוב
https://aka.ms/ContentUserFeedback.
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה:שלח והצג משוב עבור