שלב 1: קביעת מודל הזהות בענן
עיין בכל התוכן של העסק הקטן שלנו בנושא עסקים קטנים כדי לעזור & למידה.
Microsoft 365 משתמש במזהה Microsoft Entra, שירות מבוסס ענן של זהות משתמש ואימות הכלול במנוי Microsoft 365 שלך, כדי לנהל זהויות ואימות עבור Microsoft 365. קביעת התצורה של תשתית הזהויות שלך נכונה היא חיונית לניהול הגישה וההרשאות של משתמשי Microsoft 365 עבור הארגון שלך.
לפני שתתחיל, צפה בסרטון וידאו זה לקבלת מבט כולל על מודלי זהויות ואימות עבור Microsoft 365.
בחירת התכנון הראשונה שלך היא מודל הזהות בענן.
מודלים של זהויות בענן של Microsoft
כדי לתכנן עבור חשבונות משתמשים, תחילה עליך להבין את שני מודלי הזהויות ב- Microsoft 365. באפשרותך לשמור על זהויות הארגון שלך בענן בלבד, או לשמור על זהות Active Directory מקומי Domain Services (AD DS) ולהשתמש בהן לאימות כאשר משתמשים ניגשים לשירותי הענן של Microsoft 365.
להלן שני סוגי הזהות וההתאימות והיתרונות הטובים ביותר שלהם.
| תכונה | זהות בענן בלבד | זהות היברידית |
|---|---|---|
| הגדרה | חשבון משתמש קיים רק בדייר Microsoft Entra עבור מנוי Microsoft 365 שלך. | חשבון המשתמש קיים ב- AD DS, וגם עותק נמצא Microsoft Entra עבור מנוי Microsoft 365 שלך. חשבון המשתמש במזהה Microsoft Entra עשוי לכלול גם גירסה עם פעולת Hash של סיסמת חשבון המשתמש AD DS שכבר בוצע בה פעולת Hash. |
| כיצד Microsoft 365 מאמת אישורי משתמש | The Microsoft Entra tenant for your Microsoft 365 subscription performs the authentication with the cloud identity account. | הדייר Microsoft Entra עבור מנוי Microsoft 365 שלך מטפל בתהליך האימות או מנתב מחדש את המשתמש לספק זהויות אחר. |
| הכי טוב עבור | ארגונים שאין להם או זקוקים ל- AD DS מקומי. | ארגונים המשתמשים ב- AD DS או ספק זהויות אחר. |
| ההטבה הגדולה ביותר | פשוט לשימוש. לא נדרשים כלים או שרתים נוספים של מדריך הכתובות. | המשתמשים יכולים להשתמש באותם אישורים בעת גישה למשאבים מקומיים או מבוססי ענן. |
זהות בענן בלבד
זהות בענן בלבד משתמשת בחשבונות משתמשים הקיימים רק Microsoft Entra זהה. זהות בענן בלבד משמשת בדרך כלל ארגונים קטנים שאין להם שרתים מקומיים או שאינם משתמשים ב- AD DS כדי לנהל זהויות מקומיות.
להלן הרכיבים הבסיסיים של זהות בענן בלבד.
הן משתמשים מקומיים והן משתמשים מרוחקים (מקוונים) משתמשים בחשבונות המשתמשים Microsoft Entra שלהם כדי לגשת לשירותי הענן של Microsoft 365. Microsoft Entra מאמת אישורי משתמש בהתבסס על חשבונות המשתמשים והסיסמאות המאוחסנים שלהם.
ניהול
מאחר שחשבונות משתמשים מאוחסנים רק Microsoft Entra שלך, אתה מנהל זהויות בענן באמצעות כלים כגון מרכז הניהול של Microsoft 365 ו- Windows PowerShell.
זהות היברידית
זהות היברידית משתמשת בחשבונות שמקורם ב- AD DS מקומי ויש להם עותק Microsoft Entra של מנוי Microsoft 365. רוב השינויים, למעט תכונות חשבון ספציפיות, זרימה חד-כיוונית בלבד. שינויים שתבצע בחשבונות המשתמשים של AD DS יסונכרנו עם העותק שלהם Microsoft Entra שלך.
Microsoft Entra Connect מספק את סינכרון החשבון המתמשך. היא פועלת בשרת מקומי, בודקת אם קיימים שינויים ב- AD DS ומעברת שינויים אלה Microsoft Entra זהה. Microsoft Entra Connect מספקת את היכולת לסנן את החשבונות המסונכרנים ואם לסנכרן גירסה עם פעולת Hash של סיסמאות משתמשים, שנקראת סינכרון קוד Hash של סיסמאות (PHS).
בעת יישום זהות היברידית, AD DS המקומי שלך הוא המקור הסמכותי עבור פרטי חשבון. משמעות הדבר היא שאתה מבצע משימות ניהול בעיקר באופן מקומי, אשר מסונכרנות לאחר מכן עם Microsoft Entra שלך.
להלן הרכיבים של זהות היברידית.
לדייר Microsoft Entra עותק של חשבונות AD DS. בתצורה זו, משתמשים מקומיים ומשתמשים מרוחקים שניגישה לשירותי ענן של Microsoft 365 מאומתים מול Microsoft Entra זהה.
הערה
עליך תמיד להשתמש ב- Microsoft Entra כדי לסנכרן חשבונות משתמשים עבור זהות היברידית. דרושים לך חשבונות המשתמש המסונכרנים במזהה Microsoft Entra כדי לבצע ניהול הקצאות וקבוצה של רשיונות, להגדיר הרשאות ומשימות ניהול אחרות הכוללות חשבונות משתמשים.
סינכרון זהות היברידית ומדריכי כתובות עבור Microsoft 365
בהתאם לצרכים העסקיים ולדרישות הטכניות שלך, מודל הזהות ההיברידית וסינכרון מדריכי הכתובות הם הבחירה הנפוצה ביותר עבור לקוחות ארגוניים המאמצים את Microsoft 365. סינכרון מדריכי כתובות מאפשר לך לנהל זהויות ב- Active Directory Domain Services (AD DS) שלך וכל העדכונים בחשבונות המשתמשים, בקבוצות ואנשי הקשר מסונכרנים עם דייר Microsoft Entra של מנוי Microsoft 365 שלך.
הערה
כאשר חשבונות משתמשים של AD DS מסונכרנים בפעם הראשונה, לא מוקצה להם באופן אוטומטי רשיון של Microsoft 365 ואין להם אפשרות לגשת לשירותים של Microsoft 365, כגון דואר אלקטרוני. תחילה עליך להקצות להם מיקום שימוש. לאחר מכן, הקצה רשיון בחשבונות משתמשים אלה, בנפרד או באופן דינאמי באמצעות חברות בקבוצה.
אימות עבור זהות היברידית
קיימים שני סוגים של אימות בעת שימוש במודל הזהות ההיברידית:
אימות מנוהל
Microsoft Entra זהות מטפל בתהליך האימות באמצעות גירסה המאוחסנת באופן מקומי עם פעולת Hash של הסיסמה או שליחת האישורים לסוכן תוכנה מקומי לאימות על-ידי AD DS המקומי.
אימות מאוחד
Microsoft Entra מנתב מחדש את מחשב הלקוח המבקש אימות לספק זהויות אחר.
אימות מנוהל
קיימים שני סוגים של אימות מנוהל:
סינכרון Hash של סיסמאות (PHS)
Microsoft Entra מזהה מבצע את האימות עצמו.
אימות מעבר (PTA)
Microsoft Entra מזהה יש AD DS לבצע את האימות.
סינכרון Hash של סיסמאות (PHS)
באמצעות PHS, אתה מסנכרן את חשבונות המשתמשים של AD DS עם Microsoft 365 ומנהל את המשתמשים באופן מקומי. Hashs של סיסמאות משתמש מסונכרנות מ- AD DS Microsoft Entra מזהה משתמש כך שלמשתמשים תהיה סיסמה זהה בסביבה המקומית ובענן. זוהי הדרך הפשוטה ביותר לאפשר אימות עבור זהויות AD DS במזהה Microsoft Entra זה.
בעת שינוי או איפוס של סיסמאות באופן מקומי, פעולות ה- Hash החדשות של הסיסמאות מסונכרנות עם מזהה Microsoft Entra כך שהמשתמשים שלך יוכלו תמיד להשתמש באותה סיסמה עבור משאבי ענן ומשאבים מקומיים. סיסמאות המשתמשים לעולם לא נשלחות אל מזהה Microsoft Entra או מאוחסנות במזהה Microsoft Entra בטקסט רגיל. תכונות פרימיום מסוימות של Microsoft Entra זהות, כגון Identity Protection, דורשות PHS ללא קשר לשיטה שבה נבחרה שיטת האימות.
ראה בחירת שיטת האימות הנכונה לקבלת מידע נוסף.
אימות מעבר (PTA)
PTA מספק אימות סיסמה פשוט עבור Microsoft Entra באמצעות סוכן תוכנה הפועל בשרת מקומי אחד או יותר כדי לאמת את המשתמשים ישירות עם AD DS. עם PTA, אתה מסנכרן חשבונות משתמשים של AD DS עם Microsoft 365 ומנהל את המשתמשים באופן מקומי.
PTA מאפשר למשתמשים שלך להיכנס הן למשאבים והן ליישומים של Microsoft 365 מקומיים באמצעות החשבון והסיסמה המקומיים שלהם. תצורה זו מאמתת סיסמאות משתמשים ישירות מול AD DS המקומי שלך מבלי לאחסן Hash של סיסמאות ב- Microsoft Entra שלך.
PTA מיועד גם לארגונים בעלי דרישת אבטחה לאכוף באופן מיידי מצבים של חשבונות משתמשים מקומיים, מדיניות סיסמאות ו שעות כניסה.
ראה בחירת שיטת האימות הנכונה לקבלת מידע נוסף.
אימות מאוחד
אימות מאוחד מיועד בראש ובראשונה לארגונים גדולים עם דרישות אימות מורכבות יותר. זהויות AD DS מסונכרנות עם Microsoft 365 וחשבונות המשתמשים מנוהלים באופן מקומי. עם אימות מאוחד, למשתמשים יש סיסמה זהה בסביבה המקומית ובענן והם אינם צריכים להיכנס שוב כדי להשתמש ב- Microsoft 365.
אימות מאוחד יכול לתמוך בדרישות אימות נוספות, כגון אימות מבוסס כרטיס חכם או אימות רב-גורמי של ספק חיצוני, והוא נדרש בדרך כלל כאשר לארגונים יש דרישת אימות אינן נתמכות במקור על-ידי Microsoft Entra זהה.
ראה בחירת שיטת האימות הנכונה לקבלת מידע נוסף.
עבור ספקי אימות וזהות של ספקים חיצוניים, ניתן לסנכרן אובייקטים של מדריך הכתובות המקומי עם Microsoft 365 וגישת משאבי ענן המנוהלות בראש ובראשונה על-ידי ספק זהויות (IdP) של ספק חיצוני. אם הארגון שלך משתמש בפתרון איחוד של ספק חיצוני, באפשרותך להגדיר כניסה באמצעות פתרון זה עבור Microsoft 365 בתנאי שפתרון האיחוד של ספק חיצוני תואם למזהה Microsoft Entra זה.
עיין ברשימת Microsoft Entra התאימות של האיחוד לקבלת מידע נוסף.
ניהול
מאחר שחשבונות המשתמשים המקוריים והשרתיים מאוחסנים ב- AD DS המקומי, אתה מנהל את הזהויות שלך באמצעות אותם כלים שאתה מנהל את AD DS.
אינך משתמש ב- מרכז הניהול של Microsoft 365 או ב- PowerShell עבור Microsoft 365 כדי לנהל חשבונות משתמשים מסונכרנים Microsoft Entra זה.
השלב הבא
המשך לשלב 2 כדי לאבטח את חשבונות מנהל המערכת הכללי שלך.
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור