Contoso Corporation 的身分識別
Microsoft 透過Azure Active Directory (Azure AD) ,在其雲端供應專案中提供身分識別即服務 (IDaaS) 。 若要採用企業Microsoft 365,Contoso IDaaS 解決方案必須使用其內部部署身分識別提供者,並將其現有受信任的協力廠商身分識別提供者納入同盟驗證。
Contoso Active Directory 網域服務樹系
Contoso 會針對 contosocom . 使用單一Active Directory 網域服務 (AD DS) 樹系,其中包含七個子域,每個區域各一個子域。 總部、地區中心辦公室和衛星辦公室包含用於本機驗證與授權的網域控制站。
以下是 Contoso 樹系,其具有包含區域中樞之全球不同地區的區域網域。
Contoso 決定使用 contosocom . 樹系中的帳戶和群組,對其Microsoft 365工作負載和服務進行驗證和授權。
Contoso 同盟驗證基礎結構
Contoso 允許︰
- 客戶使用其 Microsoft、Facebook 或 Google Mail 帳戶登入公司的公用網站。
- 供應商和合作夥伴使用其LinkedIn、Salesforce 或 Google Mail 帳戶來登入公司的合作夥伴外部網路。
以下是 Contoso DMZ,其中包含公用網站、合作夥伴外部網路,以及一組 Active Directory 同盟服務 (AD FS) 伺服器。 DMZ 會連線到包含客戶、合作夥伴和網際網路服務的網際網路。
DMZ 中的 AD FS 伺服器可協助其識別提供者驗證客戶認證,以存取公用網站和合作夥伴認證以存取合作夥伴外部網路。
Contoso 決定保留此基礎結構,並將其專用於客戶和合作夥伴驗證。 Contoso 身分識別架構師正在調查此基礎結構轉換到 Azure AD B2B 和 B2C 的解決方案。
用於雲端式驗證的混合式身分識別和密碼雜湊同步
Contoso 想要使用其內部部署 AD DS 樹系進行驗證,以Microsoft 365雲端資源。 它決定使用密碼雜湊同步處理 (PHS) 。
PHS 會將內部部署 AD DS 樹系與企業訂用帳戶Microsoft 365的Azure AD租使用者進行同步處理,並複製使用者和群組帳戶,以及使用者帳戶密碼的雜湊版本。
為了執行目錄同步處理,Contoso 已在其巴黎資料中心的伺服器上部署Azure AD 連線工具。
以下是執行Azure AD 連線輪詢 Contoso AD DS 樹系以取得變更,然後將這些變更與Azure AD租使用者同步處理的伺服器。
零信任身分識別和裝置存取的條件式存取原則
Contoso 已針對三個保護層級建立一組 Azure AD 和 Intune 的條件式存取原則:
- 起始點 保護適用于所有使用者帳戶。
- Enterprise 保護適用于資深領導階層和主管人員。
- 特殊安全 性保護適用于財務、法律和研究部門中可存取高度管制資料的特定使用者。
以下是產生的一組 Contoso 身分識別和裝置條件式存取原則。
下一步
瞭解 Contoso 如何使用其Microsoft Endpoint Configuration Manager基礎結構,在整個組織中部署和保留目前的Windows 10 企業版。