Käyttäjätietojen tyypit

  • 11 minuuttia

Microsoft Entra ID:ssä tuetaan erilaisia käyttäjätietoja. Tässä yksikössä esitetyt termit ovat käyttäjäidentiteetit, työkuorma-identiteetit, laiteidentiteetit, ulkoiset identiteetit ja hybridi-identiteetit.

Kun esität kysymyksen, mihin voin määrittää käyttäjätiedot Microsoft Entra -tunnuksella, luokkia on kolme.

  • Voit määrittää identiteettejä ihmisille (ihmisille), joita kutsutaan käyttäjäidentiteeteiksi.
  • Voit määrittää käyttäjätietoja fyysisille laitteille, kuten matkapuhelimille, pöytätietokoneille ja IoT-laitteille.
  • Voit määrittää identiteettejä ohjelmistopohjaisille objekteille, kuten sovelluksille, virtuaalikoneille, palveluille ja konteille. Näitä identiteettejä kutsutaan työkuorma-identiteetteiksi.

Lohkokaavio, joka näyttää käyttäjätietotyyppien luokat. Luokat koostuvat kuormituksen käyttäjätietoja, laitteen käyttäjätietoja ja inhimillisiä käyttäjätietoja. Kuormituksen ja laitteen käyttäjätiedot on ryhmitelty tietokoneen käyttäjätietojen alle.

Tässä osiossa tarkastellaan kutakin Microsoft Entra -käyttäjätietotyyppiä.

User

Käyttäjätiedot edustavat työntekijöitä, kuten työntekijöitä ja ulkoisia käyttäjiä (asiakkaita, konsultteja, toimittajia ja kumppaneita). Microsoft Entra ID:ssä käyttäjäidentiteetille on ominaista todentamisen ja käyttäjätyyppiominaisuuden perusteella.

Miten käyttäjä tunnistautuu suhteessa isäntäorganisaation Microsoft Entra -vuokralaiseen voi olla sisäistä tai ulkoista. Sisäinen tunnistautuminen tarkoittaa, että käyttäjällä on tili isäntäorganisaation Microsoft Entra -tunnuksella. Ulkoinen tunnistautuminen tarkoittaa, että käyttäjä tunnistautuu ulkoisella Microsoft Entra -tilillä, sosiaalisen verkoston identiteettillä tai muulla ulkoisella identiteettipalveluntarjoajalla.

Käyttäjätyyppiominaisuus kuvaa käyttäjän suhdetta isäntäorganisaation vuokrasuhteeseen. Käyttäjä voi olla vieras tai jäsen organisaation Microsoft Entra -vuokralainen. Oletuksena vierailla on rajalliset oikeudet suhteessa jäseniin.

Neljä neljästä -matriisi, joka näyttää tuetut käyttäjätietojen tyypit sen perusteella, ovatko ne vieras- vai jäsenkäyttäjiä. Matriisissa näytetään myös käyttäjätyyppi sen mukaan, käyttävätkö he sisäistä vai ulkoista todentamista.

  • Sisäinen jäsen: Näitä käyttäjiä pidetään yleensä organisaatiosi työntekijöinä. Käyttäjä todentaa sisäisesti organisaationsa Microsoft Entra -tunnuksen kautta, ja Microsoft Entra -hakemistossa luodulla käyttäjäobjektilla on Jäsen-käyttäjätyyppi.
  • Ulkoinen vieras: Ulkoiset käyttäjät tai vieraat, mukaan lukien konsultit, toimittajat ja kumppanit, kuuluvat yleensä tähän luokkaan. Käyttäjä tunnistautuu ulkoisella Microsoft Entra -tilillä tai ulkoisella identiteettipalveluntarjoajalla (kuten sosiaalisella identiteetillä), ja hänen käyttäjäobjektillaan on vieraan käyttäjätyyppi.
  • Ulkoinen jäsen: Tämä tilanne on yleinen organisaatioissa, jotka koostuvat useista vuokraajista. Esimerkiksi, jos Contoso- ja Fabrikam Microsoft Entra -vuokralaiset sijaitsevat yhdessä suuressa organisaatiossa, Contoso-käyttäjät voidaan konfiguroida Fabrikam Microsoft Entra -hakemistossa todentamaan Contoso-tilinsä (Fabrikamin ulkopuolella), mutta heillä on jäsenen käyttäjätyyppi, joka mahdollistaa jäsentason pääsyn Fabrikamin resursseihin.
  • Sisäinen vieras: Tämä tilanne on silloin, kun organisaatiot perustavat sisäisiä Microsoft Entra -tilejä ulkoisille käyttäjille, kuten jakelijoille tai toimittajille, mutta määrittelevät heidät vieraiksi asettamalla käyttäjäobjektin UserType Guestiksi. Tätä pidetään perinteisenä skenaariona, sillä B2B-yhteistyö on nykyään yleisempää, jolloin käyttäjät voivat käyttää omia tunnuksiaan.

Ulkoiset vieraat ja jäsenet ovat B2B-yhteistyön käyttäjiä, jotka kuuluvat Microsoft Entra ID:n ulkoisiin identiteetteihin, kuten seuraavassa yksikössä kuvataan.

Kuormituksen käyttäjätiedot

Työkuorma-identiteetti on identiteetti, jonka annat ohjelmiston työkuormalle, jotta se voi tunnistautua ja käyttää muita palveluita ja resursseja.

Työkuorman identiteettien suojaaminen on tärkeää, koska ohjelmistokuorma voi käsitellä useita tunnuksia eri resurssien käyttämiseksi, ja nämä tunnistetiedot täytyy säilyttää turvallisesti. On myös vaikea seurata, milloin työkuorman identiteetti luodaan tai milloin se pitäisi peruuttaa. Microsoft Entra Workload ID auttaa ratkaisemaan nämä ongelmat.

Microsoft Entrassa kuormituksen käyttäjätiedot ovat sovelluksia, palvelun päänimiä ja hallittuja käyttäjätietoja.

Sovellukset ja palvelun päänimet

Palvelun päänimi on käytännössä sovelluksen käyttäjätieto. Jotta sovellus voi delegoida käyttäjätieto- ja käyttöoikeusfunktioitaan Microsoft Entra -tunnukseen, sovellus on ensin rekisteröitävä Microsoft Entra -tunnuksella, jotta se voidaan integroida. Kun sovellus on rekisteröity, palvelun päänimi luodaan jokaiseen Microsoft Entra -vuokraajaan, jossa sovellusta käytetään. Palvelun päänimi mahdollistaa perustoiminnot, kuten sovelluksen todentamisen ja käyttöoikeuksien myöntämisen, Microsoft Entra -vuokraajan suojattuihin resursseihin.

Jotta palvelupäämiehet voivat käyttää resursseja, sovelluskehittäjien on hallittava ja suojattava tunnuksia. Hallinnoidut identiteetit auttavat siirtämään tämän vastuun kehittäjiltä.

Hallitut käyttäjätiedot

Hallitut identiteetit ovat eräänlainen palvelupäähenkilö. Hallittuja identiteettejä hallitaan automaattisesti Microsoft Entra ID:ssä, mikä poistaa kehittäjien tarpeen hallita tunnuksia. Hallitut käyttäjätiedot tarjoavat käyttäjätiedot sovelluksille, joita käytetään muodostettaessa yhteyttä Microsoft Entra -todentamista tukeviin Azure-resursseihin. Niitä voidaan käyttää ilman lisäkustannuksia.

Kaavio, joka näyttää, miten kehittäjä voi käyttää hallittuja käyttäjätietoja saadakseen pääsyn resursseihin koodistaan ilman tunnistetietojen hallintaa.

Hallittuja käyttäjätietoja on kahdenlaisia: järjestelmän määrittäjä ja käyttäjän määrittämä.

  • Järjestelmä määritetty. Joidenkin Azure-resurssien, kuten näennäiskoneiden, avulla voit ottaa hallitut käyttäjätiedot käyttöön suoraan resurssissa. Kun otat käyttöön järjestelmän määrittämän hallitun identiteetin, Microsoft Entrassa luodaan identiteetti, joka on sidottu kyseisen Azure-resurssin elinkaareen. Kun resurssi poistetaan, Azure poistaa käyttäjätiedot automaattisesti puolestasi.

  • Käyttäjän määrittämä. Voit myös luoda hallitut käyttäjätiedot erillisenä Azure-resurssina. Kun olet luonut käyttäjän määrittämät hallitut käyttäjätiedot, voit määrittää sen vähintään yhteen Azure-palvelun esiintymään. Käyttäjän määrittämät hallitut käyttäjätiedot hallitsevat käyttäjätietoja erillään sitä käyttävistä resursseista. Käyttäjän määrittämän hallittua identiteettiä käyttävien resurssien poistaminen ei poista identiteettiä; se täytyy poistaa nimenomaisesti.

Agentin identiteetit

Kun tekoälyagentit yleistyvät organisaatioissa, heidän resurssien saatavuuden turvaaminen on ratkaisevan tärkeää. Microsoft Entra Agent ID laajentaa identiteetin ja pääsyn hallintaominaisuuksia tekoälyagenteille tarjoamalla tarkoitukseen rakennetut agenttiidentiteetit. Nämä ovat Microsoft Entran erikoistuneita identiteettejä, jotka eroavat perinteisistä työkuorma-identiteeteistä, ja joiden avulla organisaatiot voivat rekisteröidä agentteja, toteuttaa ehdollisia pääsykäytäntöjä agentin riskin perusteella sekä hallita agentin elinkaaria nimettyjen omistajien ja sponsoreiden kanssa vastuullisuuden varmistamiseksi. Agentin identiteetit tukevat sekä osallistuvia skenaarioita, joissa agentti toimii käyttäjän puolesta, että valvomattomia tilanteita, joissa agentti toimii itsenäisesti. Microsoft Entra Agent ID kuvataan tarkemmin seuraavassa osiossa.

Laite

Laite on laitteisto-osa, kuten mobiililaitteet, kannettavat tietokoneet, palvelimet tai tulostimet. Laitteen käyttäjätiedot antavat järjestelmänvalvojille tietoja, joita he voivat käyttää käyttöoikeus- tai määrityspäätöksiä tehtäessä. Laitteen käyttäjätiedot voidaan määrittää eri tavoin Microsoft Entra -tunnuksessa.

  • Microsoft Entra -rekisteröidyt laitteet. Microsoft Entralla rekisteröityjen laitteiden tavoitteena on tarjota käyttäjille tukea omien laitteiden (BYOD) tai mobiililaitteiden skenaarioiden tuomiselle. Näissä tilanteissa käyttäjä voi käyttää organisaatiosi resursseja henkilökohtaisella laitteella.
  • Microsoft Entra liittyi mukaan. Microsoft Entraan liitetty laite on Laite, joka on liitetty Microsoft Entra -tunnukseen organisaatiotilin kautta ja jota käytetään sitten kirjautumisessa sisään laitteeseen. Microsoft Entraan yhdistetyt laitteet ovat yleensä organisaation omistamia.
  • Microsoft Entra -yhdistelmälaitteet. Organisaatiot, joissa on olemassa olevia paikallisia Active Directory -toteutuksia, voivat hyötyä Microsoft Entra ID:n tarjoamista toiminnoista ottamalla käyttöön Microsoft Entra -yhdistelmälaitteita. Nämä laitteet on yhdistetty sekä paikalliseen Active Directoryyn että Microsoft Entra ID:hen, ja ne vaativat organisaatiotilin kirjautumiseen laitteeseen.

Laitteiden rekisteröinti ja liittäminen Microsoft Entra ID:hen antaa käyttäjille kertakirjautumisen (SSO) pilvipohjaisiin resursseihin ja paikallisiin sovelluksiin.

IT-ylläpitäjät voivat käyttää työkaluja, kuten Microsoft Intunea, hallitakseen organisaation laitteiden käyttöä.

Ryhmät

Microsoft Entra ID:ssä, jos sinulla on useita identiteettejä, joilla on samat käyttöoikeudet, voit luoda ryhmän, joka antaa käyttöoikeudet kaikille jäsenille sen sijaan, että määrittäisit pääsyn erikseen. Tämä on linjassa Zero Trust -periaatteen kanssa, jossa pääsy rajoitetaan vain niille, jotka sitä tarvitsevat.

Ryhmätyyppejä on kaksi:

  • Suojaus: Käyttöoikeusryhmä on yleisin ryhmätyyppi, ja sitä käytetään jaettujen resurssien käyttäjien ja laitteiden käyttöoikeuksien hallintaan. Esimerkiksi voit luoda turvallisuusryhmän tietylle tietoturvapolitiikalle, kuten itsepalvelusalasanan palautukselle tai ehdollisen pääsyn käytännölle. Turvallisuusryhmän jäseniin voi kuulua käyttäjiä (mukaan lukien ulkoiset käyttäjät), laitteet, muut ryhmät, palvelupäähenkilöt ja agentin identiteetit.

  • Microsoft 365: Microsoft 365 -ryhmää, jota kutsutaan usein myös jakeluryhmäksi, käytetään käyttäjien ryhmittelyssä yhteistyötarpeiden mukaan. Esimerkiksi voit antaa ryhmän jäsenille pääsyn yhteiseen postilaatikkoon, kalenteriin, tiedostoihin, SharePoint-sivustoihin ja muuhun. Microsoft 365 -ryhmän jäsenet voivat sisältää vain käyttäjiä, myös organisaatiosi ulkopuolisia käyttäjiä.

Ryhmät voidaan määrittää sallimaan jäsenten määritys, joka on valittu manuaalisesti tai ne voidaan määrittää dynaamista jäsenyyttä varten. Dynaaminen jäsenyys käyttää sääntöjä käyttäjätietojen automaattiseen lisäämiseen ja poistamiseen.