次の方法で共有

Contoso 社の ID

  • [アーティクル]

Microsoft は、Microsoft Entra ID を通じて、サービスとしての ID (IDaaS) をクラウド オファリング全体に提供します。 Microsoft 365 for enterprise を採用するには、Contoso IDaaS ソリューションでオンプレミス ID プロバイダーを使用し、既存の信頼されたサード パーティ ID プロバイダーとのフェデレーション認証を含める必要がありました。

Contoso Active Directory Domain Services フォレスト

Contoso は、7 つのサブドメインを持つ contoso.com に 1 つのActive Directory Domain Services (AD DS) フォレストを使用します。1 つは世界のリージョンごとに 1 つです。 本社、地域ハブ オフィス、サテライト オフィスには、ローカルの認証と承認のためのドメイン コントローラーが含まれています。

リージョン ハブを含む世界各地のリージョン ドメインを持つ Contoso フォレストを次に示します。

Contoso のフォレストとドメインは世界中にあります。

Contoso は、Microsoft 365 ワークロードとサービスの認証と承認のために、contoso.com フォレスト内のアカウントとグループを使用することにしました。

Contoso フェデレーション認証インフラストラクチャ

Contoso 社では次のことが可能です。

  • お客様は、Microsoft、Facebook、または Google メール アカウントを使用して、会社のパブリック Web サイトにサインインします。
  • ベンダーとパートナーは、LinkedIn、Salesforce、または Google メール アカウントを使用して、会社のパートナーエクストラネットにサインインします。

パブリック Web サイト、パートナー エクストラネット、および一連のActive Directory フェデレーション サービス (AD FS) (AD FS) サーバーを含む Contoso DMZ を次に示します。 DMZ は、顧客、パートナー、インターネット サービスを含むインターネットに接続されています。

Contoso は、顧客とパートナーのフェデレーション認証をサポートします。

DMZ 内の AD FS サーバーは、パブリック Web サイトにアクセスするための ID プロバイダーによる顧客資格情報の認証と、パートナーエクストラネットへのアクセスのためのパートナー資格情報の認証を容易にします。

Contoso は、このインフラストラクチャを維持し、顧客とパートナーの認証に専念することにしました。 Contoso ID アーキテクトは、このインフラストラクチャを B2B および B2C ソリューションMicrosoft Entraへの変換を調査しています。

クラウドベース認証のためのパスワードハッシュ同期によるハイブリッドID

Contoso は、オンプレミスの AD DS フォレストを使用して、Microsoft 365 クラウド リソースへの認証を行いたいと考えていました。 パスワード ハッシュ同期 (PHS) を使用することにしました。

PHS は、オンプレミスの AD DS フォレストを、Microsoft 365 for Enterprise サブスクリプションのMicrosoft Entra テナントと同期し、ユーザー アカウントとグループ アカウントとハッシュ バージョンのユーザー アカウント パスワードをコピーします。

ディレクトリ同期を行うために、Contoso はパリのデータセンター内のサーバーに Microsoft Entra Connect ツールをデプロイしました。

Contoso AD DS フォレストをポーリングして変更をポーリングし、それらの変更を Microsoft Entra テナントと同期するMicrosoft Entra接続を実行しているサーバーを次に示します。

Contoso PHS ディレクトリ同期インフラストラクチャ。

ゼロ トラスト ID とデバイス アクセスの条件付きアクセス ポリシー

Contoso は、次の 3 つの保護レベルのMicrosoft Entra ID と Intune 条件付きアクセス ポリシーのセットを作成しました。

  • 開始点の 保護は、すべてのユーザー アカウントに適用されます。
  • エンタープライズ 保護は、上級リーダーシップとエグゼクティブ スタッフに適用されます。
  • 特殊なセキュリティ保護は 、高度に規制されたデータにアクセスできる財務、法務、研究部門の特定のユーザーに適用されます。

結果として得られる Contoso ID とデバイスの条件付きアクセス ポリシーのセットを次に示します。

Contoso の ID とデバイスの条件付きアクセス ポリシー。

次の手順

Contoso が Microsoft Endpoint Configuration Manager インフラストラクチャを使用して、organization全体に現在のWindows 10 Enterpriseをデプロイして維持する方法について説明します。

関連項目

Microsoft 365 ID の展開

Microsoft 365 for enterprise の概要

テスト ラボ ガイド