Steg 3. Identitet för dina Microsoft 365 för företagsklientorganisationer
Din Microsoft 365-klientorganisation innehåller en Microsoft Entra klient för att hantera identiteter och autentisering för inloggningar. Det är viktigt att du konfigurerar identitetsinfrastrukturen på rätt sätt för att hantera Microsoft 365-användaråtkomst och -behörigheter för din organisation.
Endast moln jämfört med hybrid
Här är de två typerna av identitetsmodeller och deras bästa passform och fördelar.
| Modell | Beskrivning | Så här autentiserar Microsoft 365 användarautentiseringsuppgifter | Bäst för | Största fördelen |
|---|---|---|---|---|
| Endast molnet | Användarkontot finns bara i den Microsoft Entra klientorganisationen för din Microsoft 365-klientorganisation. | Den Microsoft Entra klientorganisationen för din Microsoft 365-klient utför autentiseringen med molnidentitetskontot. | Organisationer som inte har eller behöver en lokal Active Directory. | Enkelt att använda. Inga extra katalogverktyg eller servrar krävs. |
| Hybrid | Användarkontot finns i din lokal Active Directory Domain Services (AD DS) och en kopia finns också i Microsoft Entra klientorganisationen för din Microsoft 365-klientorganisation. Microsoft Entra Connect körs på en lokal server för att synkronisera AD DS-ändringar i din Microsoft Entra klientorganisation. Användarkontot i Microsoft Entra-ID kan också innehålla en hash-version av det redan hashade AD DS-användarkontolösenordet. | Den Microsoft Entra klientorganisationen för din Microsoft 365-klientorganisation hanterar antingen autentiseringsprocessen eller omdirigerar användaren till en annan identitetsprovider. | Organisationer som använder AD DS eller en annan identitetsprovider. | Användare kan använda samma autentiseringsuppgifter vid åtkomst till lokala eller molnbaserade resurser. |
Här är de grundläggande komponenterna i molnbaserad identitet.
I den här bilden loggar lokala och fjärranslutna användare in med konton i Microsoft Entra klientorganisationen för sin Microsoft 365-klientorganisation.
Här är de grundläggande komponenterna i hybrididentiteten.
I den här bilden loggar lokala och fjärranslutna användare in på sin Microsoft 365-klientorganisation med konton i Microsoft Entra klientorganisation som har kopierats från deras lokala AD DS.
Synkronisera din lokala AD DS
Beroende på dina affärsbehov och tekniska krav är hybrididentitetsmodellen och katalogsynkroniseringen det vanligaste valet för företagskunder som använder Microsoft 365. Med katalogsynkronisering kan du hantera identiteter i din AD DS och alla uppdateringar av användarkonton, grupper och kontakter synkroniseras med Microsoft Entra klientorganisationen för din Microsoft 365-klientorganisation.
Obs!
När AD DS-användarkonton synkroniseras för första gången tilldelas de inte automatiskt en Microsoft 365-licens och kan inte komma åt Microsoft 365-tjänster, till exempel e-post. Du måste först tilldela dem en användningsplats. Tilldela sedan en licens till dessa användarkonton, antingen individuellt eller dynamiskt via gruppmedlemskap.
Här är de två typerna av autentisering när du använder hybrididentitetsmodellen.
| Autentiseringstyp | Beskrivning |
|---|---|
| Hanterad autentisering | Microsoft Entra ID hanterar autentiseringsprocessen med hjälp av en lokalt lagrad hashversion av lösenordet eller skickar autentiseringsuppgifterna till en lokal programvaruagent som ska autentiseras av den lokala AD DS. Det finns två typer av hanterad autentisering: synkronisering av lösenordshash (PHS) och direktautentisering (PTA). Med PHS utför Microsoft Entra ID själva autentiseringen. Med PTA Microsoft Entra ID:t utför AD DS autentiseringen. |
| Federerad autentisering | Microsoft Entra ID omdirigerar klientdatorn och begär autentisering till en annan identitetsprovider. |
Mer information finns i Välja rätt autentiseringsmetod .
Framtvinga starka inloggningar
Om du vill öka säkerheten för användarinloggningar använder du funktionerna i följande tabell.
| Funktion | Beskrivning | Mer information | Licensieringskrav |
|---|---|---|---|
| Windows Hello för företag | Ersätter lösenord med stark tvåfaktorautentisering vid inloggning på en Windows-enhet. De två faktorerna är en ny typ av användaruppgifter som är kopplade till en enhet och ett biometriskt attribut eller en PIN-kod. | översikt över Windows Hello för företag | Microsoft 365 E3 eller E5 |
| Microsoft Entra lösenordsskydd | Identifierar och blockerar kända svaga lösenord och deras varianter och kan även blockera ytterligare svaga termer som är specifika för din organisation. | Konfigurera Microsoft Entra lösenordsskydd | Microsoft 365 E3 eller E5 |
| Använd multifaktorautentisering (MFA) | MFA kräver att användarinloggningar är föremål för en annan verifiering utöver användarkontolösenordet, till exempel verifiering med en smartphone-app eller ett sms som skickas till en smartphone. I den här videon finns instruktioner om hur användare konfigurerar MFA. | MFA för Microsoft 365 för företag | Microsoft 365 E3 eller E5 |
| Konfigurationer av identiteter och enhetsåtkomst | Inställningar och principer som består av rekommenderade nödvändiga funktioner och deras inställningar i kombination med villkorlig åtkomst, Intune och Microsoft Entra ID Protection principer som avgör om en viss åtkomstbegäran ska beviljas och under vilka villkor. | Konfigurationer för identitets- och enhetsåtkomst | Microsoft 365 E3 eller E5 |
| Microsoft Entra ID Protection | Skydda mot intrång i autentiseringsuppgifter, där en angripare fastställer en användares kontonamn och lösenord för att få åtkomst till en organisations molntjänster och data. | Microsoft Entra ID Protection | Microsoft 365 E5 eller Microsoft 365 E3 med tillägget Identity & Threat Protection |
Resultat av steg 3
För identitet för din Microsoft 365-klientorganisation har du fastställt:
- Vilken identitetsmodell som ska användas.
- Så här framtvingar du stark användar- och enhetsåtkomst.
Här är ett exempel på en klientorganisation med de nya hybrididentitetselementen markerade.
I den här bilden har klientorganisationen:
- En AD DS-skog som synkroniseras med Microsoft Entra klientorganisation med hjälp av en katalogsynkroniseringsserver och Microsoft Entra Anslut.
- En kopia av AD DS-användarkonton och andra objekt från AD DS-skogen.
- En uppsättning principer för villkorsstyrd åtkomst för att framtvinga säkra användarinloggningar och åtkomst baserat på användarkontot.
Pågående underhåll av identitet
Löpande kan du behöva:
- Lägga till eller ändra användarkonton och grupper. För molnbaserad identitet underhåller du dina molnbaserade användare och grupper med Microsoft Entra verktyg som Administrationscenter för Microsoft 365 eller PowerShell. För hybrididentitet underhåller du dina lokala användare och grupper med AD DS-verktyg.
- Lägg till eller ändra konfigurationen för identitets- och enhetsåtkomst för att framtvinga säkerhetskrav för inloggning.
Nästa steg
Fortsätt med migreringen för att migrera dina lokala Office-servrar och deras data till Microsoft 365.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för