Steg 1. Fastställa din molnidentitetsmodell

Microsoft 365 använder Azure Active Directory (Azure AD), en molnbaserad tjänst för användaridentitet och autentisering som ingår i din Microsoft 365-prenumeration, för att hantera identiteter och autentisering för Microsoft 365. Det är viktigt att du konfigurerar identitetsinfrastrukturen korrekt för att hantera Microsoft 365 användaråtkomst och behörigheter för din organisation.

Innan du börjar kan du titta på den här videon för en översikt över identitetsmodeller och autentisering för Microsoft 365.

Ditt första planeringsalternativ är din molnidentitetsmodell.

Microsofts molnidentitetsmodeller

Om du vill planera för användarkonton måste du först förstå de två identitetsmodellerna i Microsoft 365. Du kan endast underhålla organisationens identiteter i molnet, eller så kan du underhålla dina lokal Active Directory Domain Services-identiteter (AD DS) och använda dem för autentisering när användare får åtkomst till Microsoft 365 molntjänster.

Här är de två typerna av identiteter och deras bästa passform och fördelar.

Attribut Identitet endast för molnet Hybrididentitet
Definition Användarkontot finns bara i Azure AD-klientorganisationen för din Microsoft 365-prenumeration. Användarkontot finns i AD DS och en kopia finns också i Azure AD-klientorganisationen för din Microsoft 365-prenumeration. Användarkontot i Azure AD kan också innehålla en hashversion av det redan hashade AD DS-användarkontolösenordet.
Så här autentiserar Microsoft 365 användarautentiseringsuppgifter Azure AD-klientorganisationen för din Microsoft 365-prenumeration utför autentiseringen med molnidentitetskontot. Azure AD-klientorganisationen för din Microsoft 365-prenumeration hanterar antingen autentiseringsprocessen eller omdirigerar användaren till en annan identitetsprovider.
Bäst för Organisationer som inte har eller behöver en lokal AD DS. Organisationer som använder AD DS eller en annan identitetsprovider.
Största fördelen Enkelt att använda. Inga extra katalogverktyg eller servrar krävs. Användare kan använda samma autentiseringsuppgifter vid åtkomst till lokala eller molnbaserade resurser.

Identitet endast för molnet

En molnbaserad identitet använder användarkonton som bara finns i Azure AD. Identitet endast för molnet används vanligtvis av små organisationer som inte har lokala servrar eller inte använder AD DS för att hantera lokala identiteter.

Här är de grundläggande komponenterna i identiteter som endast är molnbaserade.

Grundläggande komponenter för molnbaserad identitet.

Både lokala och fjärranslutna användare (online) använder sina Azure AD-användarkonton och lösenord för att få åtkomst till Microsoft 365 molntjänster. Azure AD autentiserar användarautentiseringsuppgifter baserat på dess lagrade användarkonton och lösenord.

Administration

Eftersom användarkonton bara lagras i Azure AD hanterar du molnidentiteter med verktyg som Administrationscenter för Microsoft 365 och Windows PowerShell.

Hybrididentitet

Hybrididentiteten använder konton som har sitt ursprung i en lokal AD DS och har en kopia i Azure AD-klientorganisationen för en Microsoft 365 prenumeration. De flesta ändringar, med undantag för specifika kontoattribut, flödar bara på ett sätt. Ändringar som du gör i AD DS-användarkonton synkroniseras med deras kopia i Azure AD.

Azure AD Anslut tillhandahåller den pågående kontosynkroniseringen. Den körs på en lokal server, söker efter ändringar i AD DS och vidarebefordrar ändringarna till Azure AD. Med Azure AD Anslut kan du filtrera vilka konton som synkroniseras och om du vill synkronisera en hashversion av användarlösenord, så kallad synkronisering av lösenordshash (PHS).

När du implementerar hybrididentitet är din lokala AD DS den auktoritativa källan för kontoinformation. Det innebär att du utför administrationsuppgifter främst lokalt, som sedan synkroniseras till Azure AD.

Här är komponenterna i hybrididentiteten.

Komponenter i hybrididentitet.

Azure AD-klientorganisationen har en kopia av AD DS-kontona. I den här konfigurationen autentiseras både lokala och fjärranslutna användare som har åtkomst till Microsoft 365 molntjänster mot Azure AD.

Anteckning

Du måste alltid använda Azure AD Anslut för att synkronisera användarkonton för hybrididentitet. Du behöver synkroniserade användarkonton i Azure AD för att utföra licenstilldelning och grupphantering, konfigurera behörigheter och andra administrativa uppgifter som omfattar användarkonton.

Hybrididentitets- och katalogsynkronisering för Microsoft 365

Beroende på dina affärsbehov och tekniska krav är hybrididentitetsmodellen och katalogsynkroniseringen det vanligaste valet för företagskunder som inför Microsoft 365. Med katalogsynkronisering kan du hantera identiteter i din Active Directory Domain Services (AD DS) och alla uppdateringar av användarkonton, grupper och kontakter synkroniseras med Azure Active Directory (Azure AD) klientorganisationen för din Microsoft 365-prenumeration.

Anteckning

När AD DS-användarkonton synkroniseras för första gången tilldelas de inte automatiskt en Microsoft 365 licens och kan inte komma åt Microsoft 365 tjänster, till exempel e-post. Du måste först tilldela dem en användningsplats. Tilldela sedan en licens till dessa användarkonton, antingen individuellt eller dynamiskt via gruppmedlemskap.

Autentisering för hybrididentitet

Det finns två typer av autentisering när du använder hybrididentitetsmodellen:

  • Hanterad autentisering

    Azure AD hanterar autentiseringsprocessen med hjälp av en lokalt lagrad hashversion av lösenordet eller skickar autentiseringsuppgifterna till en lokal programvaruagent som ska autentiseras av den lokala AD DS.

  • Federerad autentisering

    Azure AD omdirigerar klientdatorn och begär autentisering till en annan identitetsprovider.

Hanterad autentisering

Det finns två typer av hanterad autentisering:

  • Synkronisering av lösenordshash (PHS)

    Azure AD utför själva autentiseringen.

  • Direktautentisering (PTA)

    Azure AD har AD DS som utför autentiseringen.

Synkronisering av lösenordshash (PHS)

Med PHS synkroniserar du dina AD DS-användarkonton med Microsoft 365 och hanterar dina användare lokalt. Hashvärden för användarlösenord synkroniseras från din AD DS till Azure AD så att användarna har samma lösenord lokalt och i molnet. Det här är det enklaste sättet att aktivera autentisering för AD DS-identiteter i Azure AD.

Synkronisering av lösenordshash (PHS).

När lösenord ändras eller återställs lokalt synkroniseras de nya lösenordshashvärdena till Azure AD så att användarna alltid kan använda samma lösenord för molnresurser och lokala resurser. Användarlösenorden skickas aldrig till Azure AD eller lagras i Azure AD i klartext. Vissa premiumfunktioner i Azure AD, till exempel Identity Protection, kräver PHS oavsett vilken autentiseringsmetod som väljs.

Mer information finns i Välja rätt autentiseringsmetod .

Direktautentisering (PTA)

PTA tillhandahåller en enkel lösenordsverifiering för Azure AD-autentiseringstjänster med hjälp av en programvaruagent som körs på en eller flera lokala servrar för att verifiera användarna direkt med din AD DS. Med PTA synkroniserar du AD DS-användarkonton med Microsoft 365 och hanterar dina användare lokalt.

Direktautentisering (PTA).

MED PTA kan dina användare logga in på både lokala och Microsoft 365 resurser och program med sitt lokala konto och lösenord. Den här konfigurationen validerar användarnas lösenord direkt mot din lokala AD DS utan att lagra lösenordshashvärden i Azure AD.

PTA är också till för organisationer med ett säkerhetskrav för att omedelbart framtvinga lokala användarkontotillstånd, lösenordsprinciper och inloggningstimmar.

Mer information finns i Välja rätt autentiseringsmetod .

Federerad autentisering

Federerad autentisering är främst för stora företagsorganisationer med mer komplexa autentiseringskrav. AD DS-identiteter synkroniseras med Microsoft 365 och användarkonton hanteras lokalt. Med federerad autentisering har användarna samma lösenord lokalt och i molnet och de behöver inte logga in igen för att använda Microsoft 365.

Federerad autentisering kan stödja ytterligare autentiseringskrav, till exempel smartkortsbaserad autentisering eller en multifaktorautentisering från tredje part och krävs vanligtvis när organisationer har ett autentiseringskrav som inte stöds internt av Azure AD.

Mer information finns i Välja rätt autentiseringsmetod .

För tredjepartsautentisering och identitetsprovidrar kan lokala katalogobjekt synkroniseras till Microsoft 365 och åtkomst till molnresurser som främst hanteras av en identitetsprovider från tredje part (IdP). Om din organisation använder en federationslösning från tredje part kan du konfigurera inloggning med den lösningen för Microsoft 365 förutsatt att federationslösningen från tredje part är kompatibel med Azure AD.

Mer information finns i kompatibilitetslistan för Azure AD-federation .

Administration

Eftersom de ursprungliga och auktoritativa användarkontona lagras i den lokala AD DS hanterar du dina identiteter med samma verktyg som du hanterar din AD DS.

Du använder inte Administrationscenter för Microsoft 365 eller PowerShell för Microsoft 365 för att hantera synkroniserade användarkonton i Azure AD.

Nästa steg

Skydda dina Microsoft 365 privilegierade konton

Fortsätt med steg 2 för att skydda dina globala administratörskonton.