ID för Contoso Corporation
Microsoft tillhandahåller identitet som en tjänst (IDaaS) i sina molntjänster via Azure Active Directory (Azure AD). För att Microsoft 365 för företag var Contoso IDaaS-lösningen tvungen att använda deras lokala identitetsprovider och inkludera federerad autentisering med sina befintliga betrodda tredjepartsidentitetsproviders.
Contoso Active Directory Domain Services-skogen
Contoso använder en enda AD DS-skog (Active Directory Domain Services) för contosocom. med sju underdomäner, en för varje region i världen. Huvudkontoret, regionala navkontor och satellitkontor innehåller domänkontrollanter för lokal autentisering och verifiering.
Här är Contoso-skogen med regionala domäner för olika delar av världen som innehåller regionala nav.
Contoso beslutade att använda konton och grupper i Contosocom-skogen. för autentisering och auktorisering för Microsoft 365 arbetsbelastningar och tjänster.
Infrastrukturen för federerad autentisering i Contoso
Med contoso kan:
- Kunder kan använda sina Microsoft-, Facebook- eller Google Mail-konton för att logga in på företagets offentliga webbplats.
- Leverantörer och partner kan använda sina LinkedIn-, Salesforce- eller Google Mail-konton för att logga in på företagets partnerextranät.
Här är Contoso DMZ som innehåller en offentlig webbplats, ett extranät för partner och en uppsättning AD FS-servrar (Active Directory Federation Services). DMZ är anslutet till internet som innehåller kunder, partners och internettjänster.

AD FS-servrar i DMZ underlättar autentisering av kunduppgifter genom deras identitetsproviders för åtkomst till den offentliga webbplatsen och partnerautentiseringsuppgifter för åtkomst till partnerextranätet.
Contoso beslutade att behålla den här infrastrukturen och avsätta den till autentisering för kunder och partner. Contosos identitetsarkitekter undersöker konverteringen av den här infrastrukturen till Azure AD B2B- och B2C-lösningar.
Hybrididentitet med synkronisering av lösenordshash för molnbaserad autentisering
Contoso ville använda den lokala AD DS-skogen för autentisering för Microsoft 365 och molnresurser. Den valde att använda synkronisering av lösenordshashar (PHS).
PHS synkroniserar den lokala AD DS-skogen med Azure AD-klientorganisationen för deras Microsoft 365 för enterprise-prenumeration, kopiering av användar- och gruppkonton och en hash-version av lösenord för användarkonton.
För att göra katalogsynkronisering distribuerade Contoso Azure AD Anslut-verktyget på en server i sitt Paris-datacenter.
Här är den server som kör Azure AD Anslut genomsöker Contoso AD DS-skogen efter ändringar och synkroniserar sedan dessa ändringar med Azure AD-klientorganisationen.

Villkorsstyrda åtkomstprinciper för nollförtroendeidentitet och enhetsåtkomst
Contoso skapade en uppsättning principer för villkorlig åtkomst för Azure AD och Intune för tre skyddsnivåer:
- Startpunktsskydd gäller för alla användarkonton.
- Företagsskyddet gäller för ledningsgruppen och ledningsgruppen.
- Specialiserade säkerhetsskydd gäller för specifika användare på ekonomi-, juridik- och forskningsavdelningen som har tillgång till högreglerade data.
Här är den resulterande uppsättningen principer för Contoso-identitet och villkorsstyrd åtkomst på enheten.
Nästa steg
Lär dig hur Contoso använder sin Microsoft Endpoint Configuration Manager infrastruktur för att distribuera och hålla Windows 10 Enterprise i organisationen.
Se även
Distribuera identitet för Microsoft 365