Microsoft 365 identitetsmodeller och Azure Active Directory
Denna artikel gäller för både Microsoft 365 Enterprise och Office 365 Enterprise.
Microsoft 365 använder Azure Active Directory (Azure AD), en molnbaserad användaridentitets- och autentiseringstjänst som ingår i din Microsoft 365-prenumeration, för att hantera identiteter och autentisering för Microsoft 365. Att konfigurera din identitetsinfrastruktur på rätt sätt är viktigt för Microsoft 365 att hantera användarnas åtkomst och behörigheter för din organisation.
Innan du börjar kan du titta på den här videon för att få en översikt över identitetsmodeller och autentisering för Microsoft 365.
Ditt första planeringsval är den Microsoft 365 identitetsmodellen.
Microsoft 365 identitetsmodeller
För att planera för användarkonton måste du först förstå de två identitetsmodellerna i Microsoft 365. Du kan endast underhålla organisationens identiteter i molnet, eller så kan du behålla dina lokala AD DS-identiteter (Active Directory Domain Services) och använda dem för autentisering när användare använder Microsoft 365 molntjänster.
Här är de två typerna av identitet och deras bästa form och fördelar.
| Attribut | Identitet endast för molnet | Hybrididentitet |
|---|---|---|
| Definition | Användarkontot finns bara i Azure AD-klientorganisationen för Microsoft 365 prenumeration. | Användarkontot finns i AD DS och en kopia finns också i Azure AD-klientorganisationen för Microsoft 365-prenumerationen. Användarkontot i Azure AD kan också innehålla en hashtaggad version av det redan hashtaggade lösenordet för AD DS-användarkontot. |
| Hur Microsoft 365 autentiseringsuppgifter för användare | Azure AD-klientorganisationen för Microsoft 365-prenumerationen utför autentiseringen med molnidentitetskontot. | Azure AD-klientorganisationen för Microsoft 365-prenumerationen hanterar antingen autentiseringsprocessen eller omdirigerar användaren till en annan identitetsleverantör. |
| Bäst för | Organisationer som inte har eller behöver en lokal AD DS. | Organisationer som använder AD DS eller en annan identitetsleverantör. |
| Största förmånen | Enkel att använda. Inga extra katalogverktyg eller servrar krävs. | Användarna kan använda samma autentiseringsuppgifter när de använder lokala eller molnbaserade resurser. |
Identitet endast för molnet
En identitet som bara är molnbaserad använder användarkonton som bara finns i Azure AD. Identitet endast i molnet används vanligtvis av små organisationer som inte har lokala servrar eller inte använder AD DS för att hantera lokala identiteter.
Här är de grundläggande komponenterna i identiteter som bara är molnbaserade.

Både lokala användare och fjärranvändare (online) använder sina Azure AD-användarkonton och lösenord för åtkomst Microsoft 365 molntjänster. Azure AD autentiserar användarautentiseringsuppgifter baserat på dess lagrade användarkonton och lösenord.
Administration
Eftersom användarkonton endast lagras i Azure AD hanterar du molnidentiteter med verktyg som Administrationscenter för Microsoft 365 och Windows PowerShell.
Hybrididentitet
Hybrididentitet använder konton som har sitt ursprung i en lokal AD DS och har en kopia i Azure AD-klientorganisationen för en Microsoft 365-prenumeration. Men de flesta ändringar flödar bara på ett sätt. Ändringar som du gör i AD DS-användarkonton synkroniseras till deras kopia i Azure AD. Men ändringar som görs i molnbaserade konton i Azure AD, till exempel nya användarkonton, synkroniseras inte med AD DS.
Med Azure AD Anslut kontinuerlig kontosynkronisering. Den körs på en lokal server, söker efter ändringar i AD DS och vidarebefordrar ändringarna till Azure AD. Med Azure AD Anslut kan du filtrera vilka konton som synkroniseras och om du vill synkronisera en hashtaggad version av användarlösenord, så kallad synkronisering av lösenordshashar (PHS).
När du implementerar hybrididentitet är din lokala AD DS den auktoritativa källan för kontoinformation. Det innebär att du oftast utför administrativa uppgifter lokalt, som sedan synkroniseras till Azure AD.
Här är komponenterna i hybrididentitet.

Azure AD-klientorganisationen har en kopia av AD DS-kontona. I den här konfigurationen autentiseras både lokala användare och fjärranvändare som öppnar Microsoft 365-molntjänster mot Azure AD.
Anteckning
Du måste alltid använda Azure AD Anslut för att synkronisera användarkonton för hybrididentitet. Du behöver de synkroniserade användarkontona i Azure AD för att utföra licenstilldelning och grupphantering, konfigurera behörigheter och andra administrativa uppgifter som omfattar användarkonton.
Administration
Eftersom de ursprungliga och auktoritativa användarkontona lagras i den lokala AD DS hanterar du dina identiteter med samma verktyg som du hanterar dina AD DS.
Du använder inte Administrationscenter för Microsoft 365 eller PowerShell för Microsoft 365 för att hantera synkroniserade användarkonton i Azure AD.
Nästa steg
Om du behöver den molnbaserade identitetsmodellen kan du gå till Molnidentitet.
Om du behöver hybrididentitetsmodellen kan du gå till Hybrididentitet.