Что собой представляет гибридная идентификация с использованием Azure Active Directory

Сегодня предприятия и организации все чаще комбинируют локальные и облачные приложения. Пользователям требуется доступ к этим приложениям как локально, так и в облаке. Управление пользователями и в локальной среде, и в облаке — непростая задача.

Решения корпорации Майкрософт для идентификации охватывают как локальные, так и облачные сценарии. Они позволяют создавать общие пользовательские удостоверения для проверки подлинности и авторизации для всех ресурсов, независимо от их расположения. Мы называем это гибридной идентификацией.

Гибридная идентификация Azure AD и механизм управления ею позволяют реализовать такие сложные сценарии.

Обеспечить гибридную идентификацию с использованием Azure AD можно с помощью одного из трех методов проверки подлинности в зависимости от сценария. Доступны следующие методы:

Эти методы проверки подлинности также предоставляют возможности единого входа. Единый вход обеспечивает пользователям автоматический вход в систему, когда они работают на корпоративных устройствах, подключенных к корпоративной сети.

См. дополнительные сведения о выборе правильного метода аутентификации для гибридного решения для идентификации Azure Active Directory.

Распространенные сценарии и рекомендации

В этом разделе приводится несколько распространенных сценариев гибридной идентификации и контроля доступа с рекомендациями по выбору оптимального варианта (вариантов) гибридной идентификации в каждом конкретном случае.

Мне нужно: PHS и SSO1 PTA и SSO2 AD FS3
Автоматически синхронизировать с облаком новые учетные записи пользователей, контакты и группы, создаваемые в моем локальном каталоге Active Directory Рекомендуемая Рекомендуемая Рекомендуемая
Настроить клиент для гибридных сценариев Microsoft 365. Рекомендуемая Рекомендуемая Рекомендуемая
Разрешить моим пользователям выполнять вход и обращаться к облачным службам с помощью локального пароля. Рекомендуемая Рекомендуемая Рекомендуемая
Реализовать единый вход с использованием учетных данных организации. Рекомендуемая Рекомендуемая Рекомендуемая
Обеспечить хранение хэша паролей вне облака. Рекомендуемая Рекомендуемая
Использовать облачные решения для многофакторной проверки подлинности. Рекомендуемая Рекомендуемая Рекомендуемая
Использовать локальные решения для Многофакторной идентификации. Рекомендуемая
Обеспечить поддержку проверки подлинности с использованием смарт-карт4. Рекомендуемая
Отображать уведомления об истечения срока действия пароля на портале Office и на рабочем столе Windows 10. Рекомендуемая

1 Синхронизация хэша паролей (PHS) и единый вход (SSO).

2 Сквозная проверка подлинности и единый вход.

3 Федеративный единый вход с AD FS.

4 AD FS можно интегрировать с корпоративной инфраструктурой открытых ключей PKI, чтобы разрешить вход с использованием сертификатов. Это могут быть программные сертификаты, развернутые с помощью доверенного канала подготовки, например MDM, GPO, или смарт-сертификаты (включая карты PIV/CAC) или Hello для бизнеса (доверенный сертификат). Дополнительные сведения о поддержке проверки подлинности с использованием смарт-карт см. в этом блоге.

Лицензионные требования для Azure AD Connect

Эта функция бесплатна и доступна в вашей подписке Azure.

Дальнейшие действия