שלב 3: זהות עבור דיירים של Microsoft 365 לארגונים
דייר Microsoft 365 שלך Microsoft Entra דייר שירות לניהול זהויות ואימות עבור כניסה. קביעת התצורה של תשתית הזהויות שלך נכונה היא חיונית לניהול הגישה וההרשאות של משתמשי Microsoft 365 עבור הארגון שלך.
ענן בלבד לעומת היברידי
להלן שני הסוגים של מודלי זהויות וההתאמות והיתרונות הטובים ביותר שלהם.
| מודל | תיאור | כיצד Microsoft 365 מאמת אישורי משתמש | הכי טוב עבור | ההטבה הגדולה ביותר |
|---|---|---|---|---|
| ענן בלבד | חשבון משתמש קיים רק בדייר Microsoft Entra עבור דייר Microsoft 365 שלך. | הדייר Microsoft Entra עבור דייר Microsoft 365 שלך מבצע את האימות באמצעות חשבון הזהות בענן. | ארגונים שאין להם או שאינם זקוקים Active Directory מקומי. | פשוט לשימוש. לא נדרשים כלים או שרתים נוספים של מדריך הכתובות. |
| היברידי | חשבון המשתמש קיים ב- Active Directory מקומי Domain Services שלך (AD DS) ויש עותק גם בדייר Microsoft Entra עבור דייר Microsoft 365 שלך. Microsoft Entra Connect פועל בשרת מקומי כדי לסנכרן שינויים של AD DS עם הדייר Microsoft Entra שלך. חשבון המשתמש במזהה Microsoft Entra עשוי לכלול גם גירסה עם פעולת Hash של סיסמת חשבון המשתמש AD DS שכבר בוצע בה פעולת Hash. | הדייר Microsoft Entra עבור דייר Microsoft 365 שלך מטפל בתהליך האימות או מנתב מחדש את המשתמש לספק זהויות אחר. | ארגונים המשתמשים ב- AD DS או ספק זהויות אחר. | המשתמשים יכולים להשתמש באותם אישורים בעת גישה למשאבים מקומיים או מבוססי ענן. |
להלן הרכיבים הבסיסיים של זהות בענן בלבד.
באיור זה, משתמשים מקומיים ומשתמשים מרוחקים ייכנסו באמצעות חשבונות בדייר Microsoft Entra של דייר Microsoft 365 שלהם.
להלן הרכיבים הבסיסיים של זהות היברידית.
באיור זה, משתמשים מקומיים ומשתמשים מרוחקים ייכנסו לדייר Microsoft 365 שלהם באמצעות חשבונות בדייר Microsoft Entra שהועתקו מה- AD DS המקומי שלהם.
מסנכרן את AD DS המקומי שלך
בהתאם לצרכים העסקיים ולדרישות הטכניות שלך, מודל הזהות ההיברידית וסינכרון מדריכי הכתובות הם הבחירה הנפוצה ביותר עבור לקוחות ארגוניים המאמצים את Microsoft 365. סינכרון מדריכי כתובות מאפשר לך לנהל זהויות ב- AD DS וכל העדכונים בחשבונות משתמשים, קבוצות ואנשי קשר מסונכרנים עם דייר Microsoft Entra של דייר Microsoft 365 שלך.
הערה
כאשר חשבונות משתמשים של AD DS מסונכרנים בפעם הראשונה, לא מוקצה להם באופן אוטומטי רשיון של Microsoft 365 ואין להם אפשרות לגשת לשירותים של Microsoft 365, כגון דואר אלקטרוני. תחילה עליך להקצות להם מיקום שימוש. לאחר מכן, הקצה רשיון בחשבונות משתמשים אלה, בנפרד או באופן דינאמי באמצעות חברות בקבוצה.
להלן שני סוגי האימות בעת שימוש במודל הזהות ההיברידית.
| סוג אימות | תיאור |
|---|---|
| אימות מנוהל | Microsoft Entra זהות מטפל בתהליך האימות באמצעות גירסה המאוחסנת באופן מקומי עם פעולת Hash של הסיסמה או שליחת האישורים לסוכן תוכנה מקומי לאימות על-ידי AD DS המקומי. קיימים שני סוגים של אימות מנוהל: סינכרון קודי Hash של סיסמאות (PHS) ואימות מעבר (PTA). עם PHS, Microsoft Entra מזהה מבצע את האימות עצמו. עם PTA, Microsoft Entra מזהה יש AD DS לבצע את האימות. |
| אימות מאוחד | Microsoft Entra מנתב מחדש את מחשב הלקוח המבקש אימות לספק זהויות אחר. |
ראה בחירת שיטת האימות הנכונה לקבלת מידע נוסף.
אכיפת כניסה חזקה
כדי להגביר את האבטחה של פרטי כניסה של משתמשים, השתמש בתכונות וביכולות בטבלה הבאה.
| יכולת | תיאור | מידע נוסף | דרישות רישוי |
|---|---|---|---|
| Windows Hello לעסקים | החלפת סיסמאות באימות דו-גורמי חזק בעת כניסה למכשיר Windows. שני הגורמים הם סוג חדש של אישור משתמש שמקושר למכשיר וביומטרי או PIN. | Windows Hello לעסקים כולל | Microsoft 365 E3 או E5 |
| Microsoft Entra הגנה באמצעות סיסמה | מזהה וחוסם סיסמאות חלשות ידועות ואת המשתנים שלהן, והוא יכול גם לחסום מונחים חלשים נוספים הספציפיים לארגון שלך. | קביעת תצורה Microsoft Entra הגנה באמצעות סיסמה | Microsoft 365 E3 או E5 |
| השתמש באימות רב-גורמי (MFA) | MFA דורש שהכניסה של המשתמש תהיה כפופה לאימות אחר מעבר לסיסמה של חשבון המשתמש, כגון אימות באמצעות אפליקציית טלפון חכם או הודעת טקסט שנשלחת לטלפון חכם. צפה בסרטון וידאו זה לקבלת הוראות לגבי האופן בו המשתמשים הגדירו MFA. | MFA עבור Microsoft 365 לארגונים | Microsoft 365 E3 או E5 |
| תצורות גישה לזהות ולמכשיר | הגדרות ומדיניות המורכבות מתכונות מומלצות המהוות דרישה מוקדמת וההגדרות שלהן בשילוב עם פריטי מדיניות של גישה מותנית, Intune ו- הגנה למזהה Microsoft Entra הקובעים אם יש להעניק בקשת גישה נתונה ותחת אילו תנאים. | תצורות גישה לזהות ולמכשיר | Microsoft 365 E3 או E5 |
| הגנה למזהה Microsoft Entra | הגן מפני פשרה באישור, כאשר תוקף קובע את שם החשבון והסיסמה של משתמש כדי לקבל גישה לשירותי ענן ולנתונים של ארגון. | הגנה למזהה Microsoft Entra | Microsoft 365 E5 או Microsoft 365 E3 באמצעות ההרחבה 'זהות & הגנה מפני איומים' |
תוצאות של שלב 3
עבור זהות עבור דייר Microsoft 365 שלך, קבעת:
- באיזה מודל זהות להשתמש.
- כיצד תאכף גישה חזקה למשתמש ולמכשיר.
להלן דוגמה לדייר עם רכיבי הזהות ההיברידית החדשים מסומנים.
באיור זה, לדייר יש:
- יער AD DS המסונכרן כעת עם הדייר Microsoft Entra באמצעות שרת סינכרון מדריכי כתובות Microsoft Entra התחבר.
- עותק של חשבונות המשתמשים של AD DS והאובייקטים האחרים מהיער AD DS.
- ערכה של מדיניות גישה מותנית לאכיפת כניסה וגישה מאובטחות של משתמשים בהתבסס על חשבון המשתמש.
תחזוקה מתמשכת עבור זהות
על בסיס קבוע, ייתכן שיהיה עליך:
- הוסף או שנה חשבונות משתמשים וקבוצות. עבור זהות בענן בלבד, אתה שומר על המשתמשים והקבוצות מבוססי הענן באמצעות Microsoft Entra כלים כגון מרכז הניהול של Microsoft 365 או PowerShell. עבור זהות היברידית, עליך לתחזק את המשתמשים והקבוצות המקומיים שלך באמצעות כלי AD DS.
- הוסף או שנה את תצורת הגישה לזהות ולמכשיר כדי לאכוף דרישות אבטחה של כניסה.
השלב הבא
המשך בהעברה כדי להעביר את שרתי Office המקומיים ואת הנתונים שלהם ל- Microsoft 365.
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור