Trinn 1. Finn ut hvilken skyidentitetsmodell du har
Ta en titt på alt innholdet i små bedrifter om småbedriftshjelp & læring.
Microsoft 365 bruker Microsoft Entra-ID, en skybasert brukeridentitets- og godkjenningstjeneste som er inkludert i Microsoft 365-abonnementet, til å administrere identiteter og godkjenning for Microsoft 365. Det er viktig å konfigurere identitetsinfrastrukturen riktig for å administrere brukertilgang og tillatelser for Microsoft 365 for organisasjonen.
Før du begynner, kan du se denne videoen for å få en oversikt over identitetsmodeller og godkjenning for Microsoft 365.
Det første planleggingsvalget er skyidentitetsmodellen din.
Identitetsmodeller for Microsoft-skyen
Hvis du vil planlegge for brukerkontoer, må du først forstå de to identitetsmodellene i Microsoft 365. Du kan bare vedlikeholde organisasjonens identiteter i skyen, eller du kan vedlikeholde lokal Active Directory Domain Services (AD DS)-identiteter og bruke dem til godkjenning når brukere får tilgang til Microsoft 365-skytjenester.
Her er de to identitetstypene og deres beste tilpasning og fordeler.
| Attributt | Identitet kun i skyen | Hybrid identitet |
|---|---|---|
| Definisjon | Brukerkontoen finnes bare i den Microsoft Entra leieren for Microsoft 365-abonnementet. | Brukerkontoen finnes i AD DS, og en kopi er også i den Microsoft Entra tenanten for Microsoft 365-abonnementet. Brukerkontoen i Microsoft Entra-ID kan også inneholde en hash-kodet versjon av det allerede hash-kodede AD DS-brukerkontopassordet. |
| Slik godkjenner Microsoft 365 brukerlegitimasjon | Den Microsoft Entra leieren for Microsoft 365-abonnementet utfører godkjenningen med skyidentitetskontoen. | Den Microsoft Entra leieren for Microsoft 365-abonnementet håndterer godkjenningsprosessen eller omdirigerer brukeren til en annen identitetsleverandør. |
| Best for | Organisasjoner som ikke har eller trenger en lokal AD DS. | Organisasjoner som bruker AD DS eller en annen identitetsleverandør. |
| Største fordel | Enkelt å bruke. Ingen ekstra katalogverktøy eller servere kreves. | Brukere kan bruke samme legitimasjon når de får tilgang til lokale eller skybaserte ressurser. |
Identitet kun i skyen
En skybasert identitet bruker brukerkontoer som bare finnes i Microsoft Entra-ID. Bare skyidentitet brukes vanligvis av små organisasjoner som ikke har lokale servere eller ikke bruker AD DS til å administrere lokale identiteter.
Her er de grunnleggende komponentene i bare skyidentitet.
Både lokale og eksterne (online) brukere bruker sine Microsoft Entra brukerkontoer og passord for å få tilgang til Microsoft 365-skytjenester. Microsoft Entra godkjenner brukerlegitimasjon basert på de lagrede brukerkontoene og passordene.
Administrasjon
Siden brukerkontoer bare lagres i Microsoft Entra-ID, administrerer du skyidentiteter med verktøy som Administrasjonssenter for Microsoft 365 og Windows PowerShell.
Hybrid identitet
Hybrid identitet bruker kontoer som kommer fra et lokalt AD DS og har en kopi i Microsoft Entra-leieren til et Microsoft 365-abonnement. De fleste endringer, med unntak av bestemte kontoattributter, flyter bare én vei. Endringer du gjør i AD DS-brukerkontoer, synkroniseres med kopien i Microsoft Entra-ID.
Microsoft Entra Connect gir den pågående kontosynkroniseringen. Den kjører på en lokal server, ser etter endringer i AD DS og videresender disse endringene til Microsoft Entra-ID. Microsoft Entra Connect gir muligheten til å filtrere hvilke kontoer som synkroniseres, og om du vil synkronisere en hash-kodet versjon av brukerpassord, kjent som synkronisering av hash for passord (PHS).
Når du implementerer hybrid identitet, er din lokale AD DS den autoritative kilden for kontoinformasjon. Dette betyr at du for det meste utfører administrasjonsoppgaver lokalt, som deretter synkroniseres til Microsoft Entra-ID.
Her er komponentene i hybrid identitet.
Den Microsoft Entra leieren har en kopi av AD DS-kontoene. I denne konfigurasjonen godkjenner både lokale og eksterne brukere som har tilgang til Microsoft 365-skytjenester, mot Microsoft Entra-ID.
Obs!
Du må alltid bruke Microsoft Entra Koble til for å synkronisere brukerkontoer for hybrid identitet. Du trenger de synkroniserte brukerkontoene i Microsoft Entra-ID for å utføre lisenstilordning og gruppeadministrasjon, konfigurere tillatelser og andre administrative oppgaver som omfatter brukerkontoer.
Hybrid identitet og katalogsynkronisering for Microsoft 365
Avhengig av dine forretningsbehov og tekniske krav, er hybrid identitetsmodell og katalogsynkronisering det vanligste valget for bedriftskunder som tar i bruk Microsoft 365. Med katalogsynkronisering kan du administrere identiteter i Active Directory Domain Services (AD DS), og alle oppdateringer for brukerkontoer, grupper og kontakter synkroniseres med den Microsoft Entra leieren av Microsoft 365-abonnementet.
Obs!
Når AD DS-brukerkontoer synkroniseres for første gang, blir de ikke automatisk tilordnet en Microsoft 365-lisens og får ikke tilgang til Microsoft 365-tjenester, for eksempel e-post. Du må først tilordne dem en bruksplassering. Deretter tilordner du en lisens til disse brukerkontoene, enten enkeltvis eller dynamisk gjennom gruppemedlemskap.
Godkjenning for hybrid identitet
Det finnes to typer godkjenning når du bruker hybrididentitetsmodellen:
Administrert godkjenning
Microsoft Entra-ID håndterer godkjenningsprosessen ved hjelp av en lokalt lagret hash-versjon av passordet, eller sender legitimasjonen til en lokal programvareagent som skal godkjennes av den lokale AD DS.
Organisasjonsbasert godkjenning
Microsoft Entra-ID omdirigerer klientdatamaskinen som ber om godkjenning til en annen identitetsleverandør.
Administrert godkjenning
Det finnes to typer administrert godkjenning:
Synkronisering av hash for passord (PHS)
Microsoft Entra-ID utfører selve godkjenningen.
Direktegodkjenning (PTA)
Microsoft Entra-ID har AD DS til å utføre godkjenningen.
Synkronisering av hash for passord (PHS)
Med PHS kan du synkronisere AD DS-brukerkontoer med Microsoft 365 og administrere brukerne lokalt. Hash-koder for brukerpassord synkroniseres fra AD DS til Microsoft Entra-ID slik at brukerne har samme passord lokalt og i skyen. Dette er den enkleste måten å aktivere godkjenning for AD DS-identiteter i Microsoft Entra-ID på.
Når passord endres eller tilbakestilles lokalt, synkroniseres de nye hash-kodene for passord til Microsoft Entra-ID, slik at brukerne alltid kan bruke samme passord for skyressurser og lokale ressurser. Brukerpassordene sendes aldri til Microsoft Entra-ID eller lagres i Microsoft Entra-ID i klartekst. Noen premiumfunksjoner for Microsoft Entra-ID, for eksempel Identitetsbeskyttelse, krever PHS uavhengig av hvilken godkjenningsmetode som er valgt.
Se hvordan du velger riktig godkjenningsmetode for å finne ut mer.
Direktegodkjenning (PTA)
PTA gir en enkel passordvalidering for Microsoft Entra godkjenningstjenester ved hjelp av en programvareagent som kjører på én eller flere lokale servere for å validere brukerne direkte med AD DS. Med PTA synkroniserer du AD DS-brukerkontoer med Microsoft 365 og administrerer brukerne lokalt.
PTA gjør det mulig for brukerne å logge på både lokale ressurser og Microsoft 365-ressurser og -programmer ved hjelp av den lokale kontoen og passordet. Denne konfigurasjonen validerer brukerpassord direkte mot den lokale AD DS-en uten å lagre hash-koder for passord i Microsoft Entra-ID.
PTA er også for organisasjoner med et sikkerhetskrav om umiddelbart å håndheve lokale brukerkontotilstander, passordpolicyer og påloggingstimer.
Se hvordan du velger riktig godkjenningsmetode for å finne ut mer.
Organisasjonsbasert godkjenning
Organisasjonsbasert godkjenning er hovedsakelig for store bedriftsorganisasjoner med mer komplekse godkjenningskrav. AD DS-identiteter synkroniseres med Microsoft 365, og brukerkontoer administreres lokalt. Med samlet godkjenning har brukerne det samme passordet lokalt og i skyen, og de trenger ikke å logge på igjen for å bruke Microsoft 365.
Organisasjonsbasert godkjenning kan støtte ekstra godkjenningskrav, for eksempel smartkortbasert godkjenning eller en tredjeparts godkjenning med flere faktorer, og er vanligvis nødvendig når organisasjoner har et godkjenningskrav som ikke støttes opprinnelig av Microsoft Entra-ID.
Se hvordan du velger riktig godkjenningsmetode for å finne ut mer.
For tredjepartsleverandører av godkjenning og identitet kan lokale katalogobjekter synkroniseres til Microsoft 365 og skyressurstilgang som hovedsakelig administreres av en tredjeparts identitetsleverandør (IdP). Hvis organisasjonen bruker en tredjeparts forbundsløsning, kan du konfigurere pålogging med den løsningen for Microsoft 365 forutsatt at tredjeparts forbundsløsningen er kompatibel med Microsoft Entra-ID.
Se kompatibilitetslisten for Microsoft Entra forbund for å finne ut mer.
Administrasjon
Fordi de opprinnelige og autoritative brukerkontoene er lagret i den lokale AD DS, administrerer du identitetene dine med de samme verktøyene som du administrerer AD DS.
Du bruker ikke Administrasjonssenter for Microsoft 365 eller PowerShell for Microsoft 365 til å administrere synkroniserte brukerkontoer i Microsoft Entra-ID.
Neste trinn:
Fortsett med trinn 2 for å sikre de globale administratorkontoene.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for