ID för Contoso Corporation

Microsoft tillhandahåller identitet som en tjänst (IDaaS) i sina molntjänster via Azure Active Directory (Azure AD). För att Microsoft 365 för företag var Contoso IDaaS-lösningen tvungen att använda deras lokala identitetsprovider och inkludera federerad autentisering med sina befintliga betrodda tredjepartsidentitetsproviders.

Contoso Active Directory Domain Services-skogen

Contoso använder en enda AD DS-skog (Active Directory Domain Services) för contosocom. med sju underdomäner, en för varje region i världen. Huvudkontoret, regionala navkontor och satellitkontor innehåller domänkontrollanter för lokal autentisering och verifiering.

Här är Contoso-skogen med regionala domäner för olika delar av världen som innehåller regionala nav.

Contosos skog och domäner över hela världen.

Contoso beslutade att använda konton och grupper i Contosocom-skogen. för autentisering och auktorisering för Microsoft 365 arbetsbelastningar och tjänster.

Infrastrukturen för federerad autentisering i Contoso

Med contoso kan:

  • Kunder kan använda sina Microsoft-, Facebook- eller Google Mail-konton för att logga in på företagets offentliga webbplats.
  • Leverantörer och partner kan använda sina LinkedIn-, Salesforce- eller Google Mail-konton för att logga in på företagets partnerextranät.

Här är Contoso DMZ som innehåller en offentlig webbplats, ett extranät för partner och en uppsättning AD FS-servrar (Active Directory Federation Services). DMZ är anslutet till internet som innehåller kunder, partners och internettjänster.

Contoso stöd för federerad autentisering för kunder och partner.

AD FS-servrar i DMZ underlättar autentisering av kunduppgifter genom deras identitetsproviders för åtkomst till den offentliga webbplatsen och partnerautentiseringsuppgifter för åtkomst till partnerextranätet.

Contoso beslutade att behålla den här infrastrukturen och avsätta den till autentisering för kunder och partner. Contosos identitetsarkitekter undersöker konverteringen av den här infrastrukturen till Azure AD B2B- och B2C-lösningar.

Hybrididentitet med synkronisering av lösenordshash för molnbaserad autentisering

Contoso ville använda den lokala AD DS-skogen för autentisering för Microsoft 365 och molnresurser. Den valde att använda synkronisering av lösenordshashar (PHS).

PHS synkroniserar den lokala AD DS-skogen med Azure AD-klientorganisationen för deras Microsoft 365 för enterprise-prenumeration, kopiering av användar- och gruppkonton och en hash-version av lösenord för användarkonton.

För att göra katalogsynkronisering distribuerade Contoso Azure AD Anslut-verktyget på en server i sitt Paris-datacenter.

Här är den server som kör Azure AD Anslut genomsöker Contoso AD DS-skogen efter ändringar och synkroniserar sedan dessa ändringar med Azure AD-klientorganisationen.

Infrastrukturen för Contoso PHS-katalogsynkronisering.

Villkorsstyrda åtkomstprinciper för nollförtroendeidentitet och enhetsåtkomst

Contoso skapade en uppsättning principer för villkorlig åtkomst för Azure AD och Intune för tre skyddsnivåer:

  • Startpunktsskydd gäller för alla användarkonton.
  • Företagsskyddet gäller för ledningsgruppen och ledningsgruppen.
  • Specialiserade säkerhetsskydd gäller för specifika användare på ekonomi-, juridik- och forskningsavdelningen som har tillgång till högreglerade data.

Här är den resulterande uppsättningen principer för Contoso-identitet och villkorsstyrd åtkomst på enheten.

Contosos principer för villkorsstyrd åtkomst för enheter och identitet.

Nästa steg

Lär dig hur Contoso använder sin Microsoft Endpoint Configuration Manager infrastruktur för att distribuera och hålla Windows 10 Enterprise i organisationen.

Se även

Distribuera identitet för Microsoft 365

Översikt över Microsoft 365 för företag

Testlabbguider