Sdílet prostřednictvím

Základy Microsoft Entra

  • Článek

Microsoft Entra ID poskytuje hranici identity a přístupu pro prostředky Azure a důvěřující aplikacím. Většinu požadavků na oddělení prostředí je možné splnit s delegovanou správou v jednom tenantovi Microsoft Entra. Tato konfigurace snižuje režijní náklady na správu vašich systémů. Některé konkrétní případy, například kompletní izolace prostředků a identit, ale vyžadují více tenantů.

Na základě vašich potřeb musíte určit architekturu oddělení prostředí. Mezi oblasti, které je potřeba zvážit, patří:

  • Oddělení prostředků. Pokud prostředek může změnit objekty adresáře, jako jsou objekty uživatele, a změna by ovlivnila jiné prostředky, může být prostředek potřeba izolovat v architektuře s více tenanty.

  • Oddělení konfigurace Konfigurace na úrovni tenanta ovlivňují všechny prostředky. Účinek některých konfigurací pro celého tenanta může být vymezen zásadami podmíněného přístupu a dalšími metodami. Pokud potřebujete různé konfigurace tenantů, na které není možné nastavit obor pomocí zásad podmíněného přístupu, možná budete potřebovat architekturu s více tenanty.

  • Oddělení správy. Správu skupin pro správu, předplatných, skupin prostředků, prostředků a některých zásad můžete delegovat v rámci jednoho tenanta. Globální správce má vždy přístup ke všemu v rámci tenanta. Pokud potřebujete zajistit, aby prostředí nesdílel správce s jiným prostředím, potřebujete architekturu s více tenanty.

Abyste zůstali v bezpečí, musíte dodržovat osvědčené postupy pro zřizování identit, správu ověřování, zásady správného řízení identit, správu životního cyklu a operace konzistentně napříč všemi tenanty.

Terminologie

Tento seznam termínů je běžně přidružený k ID Microsoft Entra a je relevantní pro tento obsah:

Tenant Microsoft Entra. Vyhrazená a důvěryhodná instance ID Microsoft Entra, která se automaticky vytvoří, když se vaše organizace zaregistruje k předplatnému cloudové služby Microsoftu. Mezi příklady předplatných patří Microsoft Azure, Microsoft Intune nebo Microsoft 365. Tenant Microsoft Entra obecně představuje jednu organizaci nebo hranici zabezpečení. Tenant Microsoft Entra zahrnuje uživatele, skupiny, zařízení a aplikace používané k provádění správy identit a přístupu (IAM) pro prostředky tenanta.

Prostředí. V kontextu tohoto obsahu je prostředí kolekcí předplatných Azure, prostředků Azure a aplikací přidružených k jednomu nebo více tenantům Microsoft Entra. Tenant Microsoft Entra poskytuje rovinu řízení identit pro řízení přístupu k těmto prostředkům.

Produkční prostředí. V kontextu tohoto obsahu je produkční prostředí živým prostředím s infrastrukturou a službami, se kterými koncoví uživatelé přímo pracují. Například firemní nebo zákaznické prostředí.

Neprodukční prostředí. V kontextu tohoto obsahu odkazuje neprodukční prostředí na prostředí, pro které se používá:

  • Vývoj

  • Testování

  • Účel cvičení

Neprodukční prostředí se běžně označují jako prostředí sandboxu.

Identita. Identita je objekt adresáře, který lze ověřit a autorizovat pro přístup k prostředku. Objekty identity existují pro lidské identity a identity, které nejsou lidské identity. Mezi nelidé entity patří:

  • Objekty aplikací

  • Identity úloh (dříve popsané jako principy služeb)

  • Spravované identity

  • Zařízení

Lidské identity jsou uživatelské objekty , které obecně představují lidi v organizaci. Tyto identity se buď vytvářejí a spravují přímo v MICROSOFT Entra ID, nebo se synchronizují z místní Active Directory do Microsoft Entra ID pro danou organizaci. Tyto typy identit se označují jako místní identity. Pomocí spolupráce Microsoft Entra B2B můžou být také objekty uživatelů pozvané z partnerské organizace nebo poskytovatele sociálních identit. V tomto obsahu označujeme tyto typy identit jako externí identity.

Identity, které nejsou lidské, zahrnují žádnou identitu, která není přidružená k člověku. Tento typ identity je objekt, například aplikace, která vyžaduje spuštění identity. V tomto obsahu označujeme tento typ identity jako identitu úlohy. K popisu tohoto typu identity, včetně objektů aplikace a instančních objektů, se používají různé termíny.

  • Objekt aplikace. Aplikace Microsoft Entra je definována objektem aplikace. Objekt se nachází v tenantovi Microsoft Entra, kde se aplikace zaregistrovala. Tenant se označuje jako "domovský" tenant aplikace.

    • Aplikace s jedním tenantem se vytvářejí tak, aby autorizovaly pouze identity pocházející z "domovského" tenanta.

    • Víceklientní aplikace umožňují ověřování identit z libovolného tenanta Microsoft Entra.

  • Instanční objekt. I když existují výjimky, objekty aplikace lze považovat za definici aplikace. Instanční objekty lze považovat za instanci aplikace. Instanční objekty obecně odkazují na objekt aplikace a jeden objekt aplikace je odkazován více instančními objekty napříč adresáři.

Instanční objekty jsou také identity adresáře, které mohou provádět úlohy nezávisle na zásahu člověka. Instanční objekt definuje zásady přístupu a oprávnění pro uživatele nebo aplikaci v tenantovi Microsoft Entra. Tento mechanismus umožňuje základní funkce, jako je ověřování uživatele nebo aplikace během přihlašování a autorizace během přístupu k prostředkům.

Id Microsoft Entra umožňuje ověřování objektů aplikace a instančního objektu pomocí hesla (označovaného také jako tajný kód aplikace) nebo pomocí certifikátu. Používání hesel pro instanční objekty se nedoporučuje a doporučujeme používat certifikát , kdykoli je to možné.

  • Spravované identity pro prostředky Azure Spravované identity jsou speciální instanční objekty v Microsoft Entra ID. Tento typ instančního objektu je možné použít k ověřování ve službách, které podporují ověřování Microsoft Entra, aniž by bylo nutné ukládat přihlašovací údaje do kódu nebo zpracovávat správu tajných kódů. Další informace najdete v tématu Co jsou spravované identity pro prostředky Azure?

  • Identita zařízení: Identita zařízení ověřuje, že zařízení v toku ověřování prošlo procesem ověření, že zařízení je legitimní a splňuje technické požadavky. Po úspěšném dokončení tohoto procesu se dá přidružená identita použít k dalšímu řízení přístupu k prostředkům organizace. Zařízení s ID Microsoft Entra se můžou ověřit pomocí certifikátu.

Některé starší scénáře vyžadovaly použití lidské identity v jiných než lidských scénářích. Například když účty služeb používané v místních aplikacích, jako jsou skripty nebo dávkové úlohy, vyžadují přístup k Microsoft Entra ID. Tento vzor se nedoporučuje a doporučujeme používat certifikáty. Pokud ale k ověřování používáte lidskou identitu s heslem, chraňte své účty Microsoft Entra pomocí vícefaktorového ověřování Microsoft Entra.

Hybridní identita. Hybridní identita je identita, která zahrnuje místní a cloudová prostředí. To poskytuje výhodu, že můžete použít stejnou identitu pro přístup k místním a cloudovým prostředkům. Zdrojem autority v tomto scénáři je obvykle místní adresář a životní cyklus identit související se zřizováním, zrušením zřizování a přiřazením prostředků se také řídí z místního prostředí. Další informace najdete v dokumentaci k hybridní identitě.

Objekty adresáře. Tenant Microsoft Entra obsahuje následující běžné objekty:

  • Uživatelské objekty představují lidské identity a identity, které nejsou lidské identity pro služby, které aktuálně nepodporují instanční objekty. Objekty uživatele obsahují atributy, které mají požadované informace o uživateli, včetně osobních údajů, členství ve skupinách, zařízení a rolí přiřazených uživateli.

  • Objekty zařízení představují zařízení přidružená k tenantovi Microsoft Entra. Objekty zařízení obsahují atributy, které mají požadované informace o zařízení. To zahrnuje operační systém, přidružený uživatel, stav dodržování předpisů a povahu přidružení k tenantovi Microsoft Entra. Toto přidružení může mít více forem v závislosti na povaze interakce a úrovně důvěryhodnosti zařízení.

    • Hybridní doména připojená. Zařízení vlastněná organizací a připojená k místní Active Directory a ID Microsoft Entra. Obvykle se jedná o zařízení zakoupené a spravované organizací a spravované nástrojem System Center Configuration Manager.

    • Microsoft Entra Domain Join. Zařízení vlastněná organizací a připojená k tenantovi Microsoft Entra organizace. Obvykle zařízení zakoupené a spravované organizací, která je připojená k Microsoft Entra ID a spravuje ji služba, jako je Microsoft Intune.

    • Společnost Microsoft Entra byla zaregistrována. Zařízení, která nepatří organizaci, například osobní zařízení sloužící k přístupu k prostředkům společnosti. Organizace můžou vyžadovat registraci zařízení prostřednictvím mobilních Správa zařízení (MDM) nebo vynucování prostřednictvím správy mobilních aplikací (MAM) bez registrace pro přístup k prostředkům. Tuto funkci může poskytovat služba, jako je Microsoft Intune.

  • Objekty skupiny obsahují objekty pro účely přiřazování přístupu k prostředkům, použití ovládacích prvků nebo konfigurace. Objekty skupiny obsahují atributy, které mají požadované informace o skupině, včetně názvu, popisu, členů skupiny, vlastníků skupin a typu skupiny. Skupiny v MICROSOFT Entra ID mají více formulářů na základě požadavků organizace a mohou být hlavní v Microsoft Entra ID nebo synchronizované ze služby místní Active Directory Domain Services (AD DS).

    • Přiřazené skupiny V přiřazených skupinách se uživatelé přidávají nebo odebírají ze skupiny ručně, synchronizují z místní služby AD DS nebo se aktualizují jako součást automatizovaného skriptovaného pracovního postupu. Přiřazenou skupinu je možné synchronizovat z místní služby AD DS nebo ji lze spravovat v MICROSOFT Entra ID.

    • Dynamické skupiny členství. V dynamických skupinách se uživatelům přiřadí skupina automaticky na základě definovaných atributů. Díky tomu se členství ve skupinách dynamicky aktualizuje na základě dat uložených v uživatelských objektech. Dynamická skupina může být domovem pouze v Microsoft Entra ID.

Účet Microsoft (MSA) Předplatná a tenanty Azure můžete vytvářet pomocí účtů Microsoft (MSA). Účet Microsoft je osobní účet (na rozdíl od účtu organizace) a běžně ho používají vývojáři a pro zkušební scénáře. Při použití je osobní účet vždy hostem v tenantovi Microsoft Entra.

Funkční oblasti Microsoft Entra

Jedná se o funkční oblasti poskytované ID Microsoft Entra, které jsou relevantní pro izolovaná prostředí. Další informace o možnostech Microsoft Entra ID najdete v tématu Co je Microsoft Entra ID?.

Ověřování

Ověřování. Microsoft Entra ID poskytuje podporu pro ověřovací protokoly kompatibilní s otevřenými standardy, jako jsou OpenID Connect, OAuth a SAML. Microsoft Entra ID také poskytuje možnosti, které organizacím umožňují federovat stávající místní zprostředkovatele identity, jako je Active Directory Federation Services (AD FS) (AD FS), k ověřování přístupu k integrovaným aplikacím Microsoft Entra.

Microsoft Entra ID poskytuje špičkové možnosti silného ověřování, které můžou organizace použít k zabezpečení přístupu k prostředkům. Vícefaktorové ověřování Microsoft Entra, ověřování zařízení a možnosti bez hesla umožňují organizacím nasazovat možnosti silného ověřování, které vyhovují požadavkům zaměstnanců.

Jednotné přihlašování (SSO) S jednotným přihlašováním se uživatelé přihlašují jednou pomocí jednoho účtu pro přístup ke všem prostředkům, které důvěřují adresáři, jako jsou zařízení připojená k doméně, firemní prostředky, aplikace SaaS (software jako služba) a všechny integrované aplikace Microsoft Entra. Další informace najdete v tématu jednotné přihlašování k aplikacím v Microsoft Entra ID.

Autorizace

Přiřazení přístupu k prostředkům Microsoft Entra ID poskytuje a zabezpečuje přístup k prostředkům. Přiřazení přístupu k prostředku v ID Microsoft Entra se dá provést dvěma způsoby:

  • Přiřazení uživatele: Uživateli je přiřazen přístup přímo k prostředku a příslušné roli nebo oprávnění je uživateli přiřazena.

  • Přiřazení skupiny: Skupina obsahující jednoho nebo více uživatelů se přiřadí k prostředku a příslušná role nebo oprávnění jsou přiřazené skupině.

Zásady přístupu k aplikacím Microsoft Entra ID poskytuje možnosti pro další kontrolu a zabezpečení přístupu k aplikacím vaší organizace.

Podmíněný přístup. Zásady podmíněného přístupu Microsoft Entra jsou nástroje pro přenesení kontextu uživatele a zařízení do toku autorizace při přístupu k prostředkům Microsoft Entra. Organizace by měly prozkoumat použití zásad podmíněného přístupu k povolení, zamítnutí nebo vylepšení ověřování na základě kontextu uživatele, rizika, zařízení a sítě. Další informace najdete v dokumentaci k podmíněnému přístupu společnosti Microsoft Entra.

Microsoft Entra ID Protection. Tato funkce umožňuje organizacím automatizovat detekci a nápravu rizik založených na identitě, zkoumat rizika a exportovat data detekce rizik do nástrojů třetích stran pro další analýzu. Další informace najdete v přehledu služby Microsoft Entra ID Protection.

Správa

Správa identit. Microsoft Entra ID poskytuje nástroje pro správu životního cyklu identit uživatelů, skupin a zařízení. Microsoft Entra Connect umožňuje organizacím rozšířit aktuální místní řešení správy identit do cloudu. Microsoft Entra Connect spravuje zřizování, rušení zřizování a aktualizace těchto identit v Microsoft Entra ID.

Microsoft Entra ID také poskytuje portál a rozhraní Microsoft Graph API, které organizacím umožňuje spravovat identity nebo integrovat správu identit Microsoft Entra do stávajících pracovních postupů nebo automatizace. Další informace o Microsoft Graphu najdete v tématu Použití rozhraní Microsoft Graph API.

Správa zařízení. Id Microsoft Entra se používá ke správě životního cyklu a integrace s cloudovými a místními infrastrukturami pro správu zařízení. Slouží také k definování zásad pro řízení přístupu z cloudu nebo místních zařízení k datům organizace. Microsoft Entra ID poskytuje služby životního cyklu zařízení v adresáři a zřizování přihlašovacích údajů pro povolení ověřování. Spravuje také klíčový atribut zařízení v systému, který je úrovní důvěryhodnosti. Tyto podrobnosti jsou důležité při návrhu zásad přístupu k prostředkům. Další informace naleznete v dokumentaci microsoft Entra Správa zařízení.

Správa konfigurace. Microsoft Entra ID obsahuje prvky služby, které je potřeba nakonfigurovat a spravovat, aby se zajistilo, že je služba nakonfigurovaná na požadavky organizace. Mezi tyto prvky patří správa domény, konfigurace jednotného přihlašování a správa aplikací, které se mají pojmenovat, ale několik. Microsoft Entra ID poskytuje portál a rozhraní Microsoft Graph API, aby organizace mohly tyto prvky spravovat nebo integrovat do stávajících procesů. Další informace o Microsoft Graphu najdete v tématu Použití rozhraní Microsoft Graph API.

Řízení

Životní cyklus identity Microsoft Entra ID poskytuje možnosti pro vytváření, načítání, odstraňování a aktualizaci identit v adresáři, včetně externích identit. Microsoft Entra ID také poskytuje služby pro automatizaci životního cyklu identity, aby se zajistilo, že je udržován v souladu s potřebami vaší organizace. Pomocí kontrol accessu můžete například odebrat externí uživatele, kteří se nepřihlásili po zadané období.

Vytváření sestav a analýzy Důležitým aspektem zásad správného řízení identit je přehled o akcích uživatelů. Microsoft Entra ID poskytuje přehled o vzorech zabezpečení a využití vašeho prostředí. Mezi tyto přehledy patří podrobné informace o:

  • K čemu mají uživatelé přístup

  • Odkud k němu přistupují

  • Zařízení, která používají

  • Aplikace používané pro přístup

Id Microsoft Entra poskytuje také informace o akcích, které se provádějí v rámci ID Microsoft Entra, a hlásí bezpečnostní rizika. Další informace naleznete v tématu Microsoft Entra sestavy a monitorování.

Auditování: Auditování poskytuje sledovatelnost prostřednictvím protokolů pro všechny změny provedené konkrétními funkcemi v rámci ID Microsoft Entra. Mezi příklady aktivit nalezených v protokolech auditu patří změny všech prostředků v rámci ID Microsoft Entra, jako je přidání nebo odebrání uživatelů, aplikací, skupin, rolí a zásad. Vytváření sestav v Microsoft Entra ID umožňuje auditovat aktivity přihlašování, rizikové přihlášení a uživatele označené příznakem rizika. Další informace najdete v tématu Sestavy aktivit auditu na webu Azure Portal.

Získejte přístup k certifikaci. Certifikace přístupu je proces, který potvrzuje, že uživatel má nárok na přístup k prostředku v určitém okamžiku. Kontroly přístupu Microsoft Entra průběžně kontrolují členství ve skupinách nebo aplikacích a poskytují přehled o tom, jestli se vyžaduje přístup nebo jestli se má odebrat. To organizacím umožňuje efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazování rolí, aby se zajistilo, že k přístupu budou mít přístup jenom ti správní lidé. Další informace naleznete v tématu Co jsou kontroly přístupu Microsoft Entra?

Privilegovaný přístup. Microsoft Entra Privileged Identity Management (PIM) poskytuje aktivaci rolí na základě času a schválení, která zmírňují rizika nadměrného, zbytečného nebo zneužití přístupových oprávnění k prostředkům Azure. Používá se k ochraně privilegovaných účtů snížením doby vystavení oprávnění a zvýšením viditelnosti jejich použití prostřednictvím sestav a výstrah.

Samoobslužná správa

Registrace přihlašovacích údajů. Microsoft Entra ID poskytuje možnosti pro správu všech aspektů životního cyklu identit uživatelů a samoobslužných funkcí, které snižují zatížení helpdesku organizace.

Správa skupin Microsoft Entra ID poskytuje možnosti, které uživatelům umožňují požádat o členství ve skupině pro přístup k prostředkům a vytvářet skupiny, které je možné použít k zabezpečení prostředků nebo spolupráce. Tyto funkce může organizace řídit tak, aby byly zavedeny příslušné kontroly.

Správa identit a přístupu uživatelů (IAM)

Azure AD B2C. Azure AD B2C je služba, která se dá povolit v předplatném Azure, aby poskytovala identitám uživatelům aplikace určené pro zákazníky vaší organizace. Jedná se o samostatný ostrůvek identity a tito uživatelé se nezobrazují v tenantovi Microsoft Entra organizace. Azure AD B2C spravuje správci v tenantovi přidruženém k předplatnému Azure.

Další kroky