Tentukan strategi adopsi identitas hibrid

Dalam tugas ini, Anda menentukan strategi adopsi identitas hibrid untuk solusi identitas hibrid Anda untuk memenuhi persyaratan bisnis yang dibahas dalam:

Tentukan strategi kebutuhan bisnis

Tugas pertama membahas menentukan kebutuhan bisnis organisasi. Ini bisa sangat luas dan cakupan creep dapat terjadi jika Anda tidak berhati-hati. Pada awalnya, tetap sederhana tetapi selalu ingat untuk merencanakan desain yang akan mengakomodasi dan memfasilitasi perubahan di masa depan. Terlepas dari apakah itu desain sederhana atau yang sangat kompleks, Azure Active Directory adalah platform Microsoft Identity yang mendukung Microsoft 365, Microsoft Online Services, dan aplikasi cloud aware.

Tentukan strategi integrasi

Microsoft memiliki tiga skenario integrasi utama yaitu identitas cloud, identitas yang disinkronkan, dan identitas federasi. Anda harus berencana mengadopsi salah satu strategi integrasi ini. Strategi yang Anda pilih dapat bervariasi dan keputusan dalam memilih satu mungkin termasuk, jenis pengalaman pengguna apa yang ingin Anda berikan, apakah Anda memiliki infrastruktur yang ada, dan apa yang paling hemat biaya.

Skenario integrasi

Skenario yang didefinisikan dalam gambar di atas adalah:

  • Identitas cloud: ini adalah identitas yang hanya ada di cloud. Dalam kasus Azure AD, mereka akan tinggal secara khusus di direktori Azure AD Anda.
  • Disinkronkan: ini adalah identitas yang ada di tempat dan di cloud. Menggunakan Azure AD Connect, pengguna ini dibuat atau bergabung dengan akun Azure AD yang sudah ada. Hash kata sandi pengguna disinkronkan dari lingkungan lokal ke cloud dalam apa yang disebut hash kata sandi. Saat menggunakan yang disinkronkan, satu peringatan adalah bahwa jika pengguna dinonaktifkan di lingkungan lokal, diperlukan waktu hingga tiga jam agar status akun tersebut muncul di Azure AD. Hal ini disebabkan oleh interval waktu sinkronisasi.
  • Federasi: identitas ini ada baik di tempat maupun di cloud. Menggunakan Azure AD Connect, pengguna ini dibuat atau bergabung dengan akun Azure AD yang sudah ada.

Catatan

Untuk informasi selengkapnya tentang opsi Sinkronisasi, baca Mengintegrasikan identitas lokal Anda dengan Azure Active Directory.

Tabel berikut membantu dalam menentukan kelebihan dan kekurangan dari masing-masing strategi berikut:

Strategi Kelebihan Kekurangan
Identitas cloud Lebih mudah dikelola untuk organisasi kecil.
Tidak ada yang perlu diinstal di tempat. Tak perlu perangkat keras tambahan
Mudah dinonaktifkan jika pengguna meninggalkan perusahaan
Pengguna harus masuk saat mengakses beban kerja di cloud
Kata sandi mungkin atau mungkin tidak sama untuk identitas cloud dan lokal
Disinkronkan Kata sandi lokal mengautentikasi direktori lokal dan cloud
Lebih mudah dikelola untuk organisasi kecil, menengah, atau besar
Pengguna dapat memiliki single sign-on (SSO) untuk beberapa sumber daya
Metode pilihan Microsoft untuk sinkronisasi
Lebih mudah dikelola
Beberapa pelanggan mungkin enggan menyinkronkan direktori mereka dengan cloud karena kebijakan perusahaan tertentu
Gabungan Pengguna dapat memiliki single sign-on (SSO)
Jika pengguna dihentikan atau pergi, akun dapat segera dinonaktifkan dan akses dicabut,
Mendukung skenario tingkat lanjut yang tidak dapat dicapai dengan disinkronkan
Langkah lainnya untuk menyiapkan dan mengonfigurasi
Pemeliharaan yang lebih tinggi
Mungkin memerlukan perangkat keras tambahan untuk infrastruktur STS
Mungkin memerlukan perangkat keras tambahan untuk menginstal server federasi. Perangkat lunak tambahan diperlukan jika AD FS digunakan
Memerlukan penyiapan ekstensif untuk SSO
Titik kegagalan kritis jika server federasi mati, pengguna tidak akan dapat mengautentikasi

Pengalaman klien

Strategi yang Anda gunakan akan menentukan pengalaman masuk pengguna. Tabel berikut memberi Anda informasi tentang apa yang seharusnya diharapkan oleh pengguna untuk menjadi pengalaman masuk mereka. Tidak semua penyedia identitas federasi mendukung SSO dalam semua skenario.

Aplikasi jaringan yang bergabung dengan Doman dan pribadi:

Aplikasi Identitas yang Disinkronkan Identitas Federasi
Penjelajah Web Autentikasi berbasis token single sign-on, terkadang diperlukan untuk menyediakan ID organisasi
Outlook Prompt untuk kredensial Prompt untuk kredensial
Skype for Business (Lync) Prompt untuk kredensial single sign-on untuk Lync, meminta kredensial untuk Exchange
OneDrive for Business Prompt untuk kredensial single sign-on
Langganan Office Pro Plus Prompt untuk kredensial single sign-on

Sumber eksternal atau tidak tepercaya:

Aplikasi Identitas yang Disinkronkan Identitas Federasi
Penjelajah Web Autentikasi berbasis token Autentikasi berbasis token
Langganan Outlook, Skype for Business (Lync), OneDrive for Business, Office Prompt untuk kredensial Prompt untuk kredensial
Exchange ActiveSync Prompt untuk kredensial single sign-on untuk Lync, meminta kredensial untuk Exchange
Aplikasi seluler Prompt untuk kredensial Prompt untuk kredensial

Jika Anda telah menentukan dari tugas 1 bahwa Anda memiliki IdP pihak ketiga atau akan menggunakannya untuk menyediakan Azure AD kepada federasi, Anda perlu mengetahui kapabilitas yang didukung berikut ini:

  • Setiap penyedia SAML 2.0 yang mematuhi SP-Lite dapat mendukung autentikasi ke Azure AD dan aplikasi terkait
  • Mendukung autentikasi pasif, yang memfasilitasi autentikasi ke OWA, SPO, dll.
  • Klien Exchange Online dapat didukung melalui SAML 2.0 Enhanced Client Profile (ECP)

Anda juga harus menyadari kemampuan apa yang tidak akan tersedia:

  • Tanpa dukungan WS-Trust/Federation, semua klien aktif lainnya putus
    • Itu berarti tidak ada klien Lync, klien OneDrive, Langganan Office, Office Mobile sebelum Office 2016
  • Transisi Office ke autentikasi pasif memungkinkan mereka untuk mendukung IdP SAML 2.0 murni, tetapi dukungan akan tetap berdasarkan klien berdasarkan klien

Catatan

Untuk daftar yang paling diperbarui baca artikel Daftar kompatibilitas federasi Azure AD.

Tentukan strategi sinkronisasi

Dalam tugas ini Anda akan menentukan alat yang akan digunakan untuk menyinkronkan data lokal organisasi ke cloud dan topologi apa yang harus Anda gunakan. Karena, sebagian besar organisasi menggunakan Active Directory, informasi tentang penggunaan Azure AD Connect untuk menjawab pertanyaan di atas disediakan dalam beberapa detail. Untuk lingkungan yang tidak memiliki Active Directory, ada informasi tentang penggunaan FIM 2010 R2 atau MIM 2016 untuk membantu merencanakan strategi ini. Namun, rilis Azure AD Connect di masa mendatang akan mendukung direktori LDAP, jadi tergantung pada linimasa Anda, informasi ini mungkin dapat membantu.

Alat sinkronisasi

Selama bertahun-tahun, beberapa alat sinkronisasi telah ada dan digunakan untuk berbagai skenario. Saat ini Azure AD Connect adalah alat pilihan untuk semua skenario yang didukung. AAD Sync dan DirSync juga masih ada dan bahkan mungkin hadir di lingkungan Anda sekarang.

Catatan

Untuk informasi terbaru mengenai kemampuan yang didukung dari setiap alat, baca artikel perbandingan alat integrasi direktori.

Topologi yang didukung

Ketika mendefinisikan strategi sinkronisasi, topologi yang digunakan harus ditentukan. Tergantung informasi yang ditentukan pada langkah 2 Anda dapat menentukan topologi mana yang tepat untuk digunakan. Forest tunggal, topologi Azure AD tunggal adalah yang paling umum dan terdiri dari satu forest Active Directory dan satu contoh Azure AD. Ini akan digunakan dalam sebagian besar skenario dan merupakan topologi yang diharapkan saat menggunakan instalasi Azure AD Connect Express seperti yang ditunjukkan pada gambar di bawah ini.

Topologi yang didukung Single Forest Scenario Adalah umum bagi organisasi besar dan bahkan kecil untuk memiliki beberapa forest, seperti yang ditunjukkan pada Gambar 5.

Catatan

Untuk informasi selengkapnya tentang berbagai topologi lokal dan Azure AD dengan sinkronisasi Azure AD Connect baca artikel Topologi untuk Azure AD Connect.

topologi multi-forest

Multi-Forest Scenario

Jika demikian, maka topologi Azure AD tunggal multi-forest harus dipertimbangkan jika item berikut ini benar:

  • Pengguna hanya memiliki 1 identitas di semua forest - bagian pengguna yang mengidentifikasi secara unik di bawah ini menjelaskan hal ini secara lebih detail.
  • Pengguna mengautentikasi ke forest tempat identitas mereka berada
  • UPN dan Source Anchor (immutable id) akan berasal dari forest ini
  • Semua forest dapat diakses oleh Azure AD Connect - ini berarti tidak perlu bergabung dengan domain dan dapat ditempatkan di DMZ jika ini memfasilitasi ini.
  • Pengguna hanya memiliki satu kotak surat
  • Forest yang menjadi host kotak surat pengguna memiliki kualitas data terbaik untuk atribut yang terlihat di Exchange Global Address List (GAL)
  • Jika tidak ada kotak surat pada pengguna, maka forest apa pun dapat digunakan untuk menyumbangkan nilai-nilai ini
  • Jika Anda memiliki kotak surat yang ditautkan, maka ada juga akun lain di forest lain yang digunakan untuk masuk.

Catatan

Objek yang ada di lokal dan di cloud "terhubung" melalui pengidentifikasi unik. Dalam konteks Sinkronisasi Direktori, pengidentifikasi unik ini disebut sebagai SourceAnchor. Dalam konteks Single Sign-On, ini disebut sebagai ImmutableId. Konsep desain untuk Azure AD Connect untuk pertimbangan lebih lanjut mengenai penggunaan SourceAnchor.

Jika hal di atas tidak benar dan Anda memiliki lebih dari satu akun aktif atau lebih dari satu kotak surat, Azure AD Connect akan memilih satu dan mengabaikan yang lain. Jika Anda memiliki kotak surat tertaut tetapi tidak ada akun lain, akun ini tidak akan diekspor ke Azure AD dan pengguna tersebut tidak akan menjadi anggota grup mana pun. Ini berbeda dari bagaimana itu di masa lalu dengan DirSync dan disengaja untuk lebih mendukung skenario multi-forest ini. Skenario multi-forest ditunjukkan pada gambar di bawah ini.

beberapa penyewa Azure AD

Multi-forest beberapa skenario Azure AD

Disarankan untuk hanya memiliki satu direktori di Azure AD untuk organisasi tetapi didukung hubungan 1:1 disimpan di antara server sinkronisasi Azure AD Connect dan direktori Azure AD. Untuk setiap contoh Azure AD, Anda memerlukan instalasi Azure AD Connect. Selain itu, Azure AD, menurut desain diisolasi dan pengguna dalam satu contoh Azure AD tidak akan dapat melihat pengguna dalam contoh lain.

Dimungkinkan dan didukung untuk menghubungkan satu contoh Active Directory lokal ke beberapa direktori Azure AD seperti yang ditunjukkan pada gambar di bawah ini:

pemfilteran forest tunggal

Skenario penyaringan forest tunggal

Untuk melakukan ini, berikut ini harus benar:

  • Server sinkronisasi Azure AD Connect harus dikonfigurasi untuk pemfilteran sehingga masing-masing memiliki serangkaian objek yang saling eksklusif. Ini dilakukan, misalnya, dengan men-scoping setiap server ke domain atau OU tertentu.
  • Domain DNS hanya dapat didaftarkan dalam satu direktori Azure AD sehingga UPN pengguna di AD lokal harus menggunakan namespace terpisah
  • Pengguna dalam satu contoh Azure AD hanya akan dapat melihat pengguna dari instans mereka. Mereka tidak akan dapat melihat pengguna dalam contoh lain
  • Hanya salah satu direktori Azure AD yang dapat mengaktifkan hibrid Exchange dengan AD lokal
  • Eksklusivitas bersama juga berlaku untuk write-back. Ini membuat beberapa fitur write-back tidak didukung dengan topologi ini karena ini mengasumsikan konfigurasi satu di tempat. Ini termasuk:
    • Grup write-back dengan konfigurasi default
    • Write-back perangkat

Berikut ini tidak didukung dan tidak boleh dipilih sebagai implementasi:

  • Tidak didukung untuk memiliki beberapa server sinkronisasi Azure AD Connect yang terhubung ke direktori Azure AD yang sama bahkan jika mereka dikonfigurasi untuk menyinkronkan set objek yang saling eksklusif
  • Tidak didukung untuk menyinkronkan pengguna yang sama ke beberapa direktori Azure AD.
  • Juga tidak didukung untuk membuat perubahan konfigurasi untuk membuat pengguna di satu Azure AD muncul sebagai kontak di direktori Azure AD lain.
  • Juga tidak didukung untuk memodifikasi sinkronisasi Azure AD Connect untuk menyambungkan ke beberapa direktori Azure AD.
  • Direktori Azure AD diisolasi dengan desain. Tidak didukung untuk mengubah konfigurasi sinkronisasi Azure AD Connect untuk membaca data dari direktori Azure AD lain dalam upaya untuk membangun GAL umum dan terpadu antara direktori. Ini juga tidak didukung untuk mengekspor pengguna sebagai kontak ke AD lokal lain menggunakan sinkronisasi Azure AD Connect.

Catatan

Jika organisasi Anda membatasi komputer di jaringan Anda agar tidak tersambung ke Internet, artikel ini mencantumkan titik akhir (rentang alamat FQDN, IPv4, dan IPv6) yang harus Anda sertakan dalam daftar perkenankan keluar dan nternet Explorer Trusted Sites Zone komputer klien untuk memastikan komputer Anda berhasil menggunakan Microsoft 365. Untuk informasi selengkapnya baca URL dan rentang alamat IP Office 365.

Tentukan strategi autentikasi multifaktor

Dalam tugas ini Anda akan menentukan strategi autentikasi multifaktor untuk digunakan. Azure AD Multi-Factor Authentication hadir dalam dua versi berbeda. Salah satunya berbasis cloud dan yang lainnya berbasis lokal menggunakan Azure MFA Server. Berdasarkan evaluasi yang Anda lakukan di atas Anda dapat menentukan solusi mana yang benar untuk strategi Anda. Gunakan tabel di bawah ini untuk menentukan opsi desain mana yang paling sesuai dengan persyaratan keamanan perusahaan Anda:

Opsi desain multi-faktor:

Aset untuk diamankan MFA di cloud MFA lokal
aplikasi Microsoft ya ya
Aplikasi SaaS di galeri aplikasi ya ya
Aplikasi IIS yang diterbitkan melalui Azure AD App Proxy ya ya
Aplikasi IIS tidak diterbitkan melalui Azure AD App Proxy tidak ya
Akses jarak jauh sebagai VPN, RDG tidak ya

Meskipun Anda mungkin telah menyelesaikan solusi untuk strategi Anda, Anda masih perlu menggunakan evaluasi dari atas di mana pengguna Anda berada. Ini dapat menyebabkan solusi berubah. Gunakan tabel di bawah ini untuk membantu Anda menentukan ini:

Lokasi pengguna Opsi desain yang disukai
Azure Active Directory Multi-FactorAuthentication di cloud
Azure AD dan AD lokal menggunakan federasi dengan AD FS Keduanya
Azure AD dan AD lokal menggunakan Azure AD Connect tanpa sinkronisasi kata sandi Keduanya
Azure AD dan lokal menggunakan Azure AD Connect dengan sinkronisasi kata sandi Keduanya
AD Lokal Server Multi-Factor Authentication

Catatan

Anda juga harus memastikan bahwa opsi desain autentikasi multifaktor yang Anda pilih mendukung fitur yang diperlukan untuk desain Anda. Untuk informasi selengkapnya baca Pilih solusi keamanan multi-faktor untuk Anda.

Penyedia Multi-Factor Auth

Autentikasi multifaktor tersedia secara default untuk administrator global yang memiliki penyewa Azure Active Directory. Namun, jika Anda ingin memperluas autentikasi multifaktor ke semua pengguna Anda dan/atau ingin administrator global Anda untuk dapat mengambil fitur keuntungan seperti portal manajemen, salam khusus, dan laporan, maka Anda harus membeli dan mengonfigurasi Multi-Factor Authentication Provider.

Catatan

Anda juga harus memastikan bahwa opsi desain autentikasi multifaktor yang Anda pilih mendukung fitur yang diperlukan untuk desain Anda.

Langkah berikutnya

Menentukan persyaratan perlindungan data

Lihat juga

Gambaran umum pertimbangan desain