Az Azure directory-szolgáltatások ismertetése

  • 6 perc

A Microsoft Entra ID egy címtárszolgáltatás, amely lehetővé teszi a microsoftos felhőalkalmazások és az Ön által fejlesztett felhőalkalmazások bejelentkezését és elérését. A Microsoft Entra ID segíthet a helyi Active Directory üzembe helyezésének fenntartásában is.

Helyszíni környezetek esetén a Windows Serveren futó Active Directory egy identitás- és hozzáférés-kezelési szolgáltatást biztosít, amelyet a szervezet felügyel. A Microsoft Entra ID a Microsoft felhőalapú identitás- és hozzáférés-kezelési szolgáltatása. A Microsoft Entra-azonosítóval Ön felügyelheti az identitásfiókokat, de a Microsoft biztosítja, hogy a szolgáltatás globálisan elérhető legyen. Ha már dolgozott az Active Directoryval, a Microsoft Entra-azonosító ismerős lesz.

Ha a helyszíni identitásokat az Active Directoryval védi, a Microsoft nem figyeli a bejelentkezési kísérleteket. Ha az Active Directoryt a Microsoft Entra-azonosítóval csatlakoztatja, a Microsoft további költségek nélkül észlelheti a gyanús bejelentkezési kísérleteket. A Microsoft Entra ID például képes észlelni a váratlan helyekről vagy ismeretlen eszközökről érkező bejelentkezési kísérleteket.

Ki használja a Microsoft Entra-azonosítót?

A Microsoft Entra-azonosító a következőhöz tartozik:

  • Informatikai rendszergazdák. Rendszergazda istratorok a Microsoft Entra-azonosítóval szabályozhatják az alkalmazásokhoz és erőforrásokhoz való hozzáférést az üzleti igényeik alapján.
  • Alkalmazásfejlesztők. A fejlesztők a Microsoft Entra ID-val szabványalapú megközelítést biztosíthatnak az általuk létrehozott alkalmazások funkcióinak hozzáadásához, például SSO-funkciók alkalmazáshoz való hozzáadásához, vagy egy alkalmazás számára a felhasználó meglévő hitelesítő adatainak használatához.
  • Felhasználók. A felhasználók kezelhetik identitásaikat, és karbantartási műveleteket hajthatnak végre, például önkiszolgáló jelszó-visszaállítást.
  • Online szolgáltatás előfizetői. A Microsoft 365, a Microsoft Office 365, az Azure és a Microsoft Dynamics CRM Online előfizetői már a Microsoft Entra-azonosítót használják a fiókjukba való hitelesítéshez.

Mit tesz a Microsoft Entra ID?

A Microsoft Entra ID az alábbiakhoz hasonló szolgáltatásokat nyújt:

  • Hitelesítés: Ez magában foglalja az alkalmazásokhoz és erőforrásokhoz való hozzáférés identitásának ellenőrzését. Olyan további funkciókat is magában foglal, mint az önkiszolgáló jelszóátállítás, a többtényezős hitelesítés (MFA), az egyéni tiltott jelszavak listája és az intelligens zárolási szolgáltatások.
  • Egyszeri bejelentkezés: Az egyszeri bejelentkezés (SSO) lehetővé teszi, hogy csak egy felhasználónevet és egy jelszót jegyezze fel több alkalmazás eléréséhez. A felhasználóhoz egyetlen identitás kapcsolódik, ami leegyszerűsíti a biztonsági modellt. Ha a felhasználók szerepkört váltanak vagy elhagyják a vállalatot, a hozzáférési módosítások ehhez az identitáshoz kapcsolódnak, ami nagyban csökkenti a fiókok megváltoztatására vagy letiltására fordítandó energiát.
  • Alkalmazáskezelés: A felhőbeli és a helyszíni alkalmazásokat a Microsoft Entra ID azonosítójával kezelheti. Az olyan funkciók, mint a alkalmazásproxy, az SaaS-alkalmazások, a Saját alkalmazások portál és az egyszeri bejelentkezés jobb felhasználói élményt nyújtanak.
  • Eszközkezelés: Az egyes személyek fiókjai mellett a Microsoft Entra ID támogatja az eszközök regisztrációját. A regisztráció lehetővé teszi az eszközök kezelését a Microsoft Intune-on és hasonló szolgáltatásokon keresztül. Lehetővé teszi továbbá, hogy az eszközalapú feltételes hozzáférési szabályzatok csak az ismert eszközökről érkező hozzáférési kísérletekre korlátozzák a hozzáférési kísérleteket, függetlenül a kérést kérő felhasználói fióktól.

Csatlakoztathatom a helyszíni AD-t a Microsoft Entra-azonosítóhoz?

Ha rendelkezik Egy Active Directoryt futtató helyszíni környezettel és egy Microsoft Entra-azonosítót használó felhőbeli üzembe helyezéssel, két identitáskészletet kell fenntartania. Az Active Directoryt azonban csatlakoztathatja a Microsoft Entra-azonosítóhoz, így egységes identitásélményt biztosít a felhő és a helyszíni rendszerek között.

A Microsoft Entra ID és a helyszíni AD összekapcsolásának egyik módja a Microsoft Entra Csatlakozás használata. A Microsoft Entra Csatlakozás szinkronizálja a felhasználói identitásokat helyi Active Directory és a Microsoft Entra-azonosító között. A Microsoft Entra Csatlakozás szinkronizálja a két identitásrendszer közötti változásokat, így használhat olyan funkciókat, mint az egyszeri bejelentkezés, a többtényezős hitelesítés és az önkiszolgáló jelszó-visszaállítás mindkét rendszerben.

Mi az a Microsoft Entra Domain Services?

A Microsoft Entra Domain Services egy olyan szolgáltatás, amely olyan felügyelt tartományi szolgáltatásokat biztosít, mint a tartományhoz való csatlakozás, a csoportházirend, az egyszerűsített címtárelérési protokoll (LDAP) és a Kerberos/NTLM-hitelesítés. A Microsoft Entra ID-hoz hasonlóan a címtárszolgáltatásokat is anélkül használhatja, hogy az azt támogató infrastruktúrát kellene fenntartania. A Microsoft Entra Domain Services szolgáltatással a tartományi szolgáltatások előnyeit élvezheti anélkül, hogy tartományvezérlőket (tartományvezérlőket) kellene telepítenie, kezelnie és javítania a felhőben.

A Microsoft Entra Domain Services által felügyelt tartomány lehetővé teszi az örökölt alkalmazások futtatását a felhőben, amelyek nem tudnak modern hitelesítési módszereket használni, vagy ahol nem szeretné, hogy a címtárkeresések mindig egy helyszíni AD DS-környezetbe térjenek vissza. Ezeket az örökölt alkalmazásokat a helyszíni környezetből egy felügyelt tartományba helyezheti át anélkül, hogy a felhőben kellene kezelnie az AD DS-környezetet.

A Microsoft Entra Domain Services integrálható a meglévő Microsoft Entra-bérlővel. Ez az integráció lehetővé teszi, hogy a felhasználók a meglévő hitelesítő adataikkal jelentkezzenek be a felügyelt tartományhoz csatlakoztatott szolgáltatásokba és alkalmazásokba. Meglévő csoportokat és felhasználói fiókokat is használhat az erőforrásokhoz való hozzáférés biztonságossá tételéhez. Ezek a funkciók zökkenőmentesebben emelik át a helyszíni erőforrásokat az Azure-ba.

Hogyan működik a Microsoft Entra Domain Services?

Felügyelt Microsoft Entra Domain Services-tartomány létrehozásakor egyedi névteret határoz meg. Ez a névtér a tartománynév. Ezután két Windows Server-tartományvezérlő lesz üzembe helyezve a kiválasztott Azure-régióban. A tartományvezérlők központi telepítését replikakészletnek nevezzük.

Ezeket a tartományvezérlőket nem kell kezelnie, konfigurálnia vagy frissítenie. Az Azure platform a felügyelt tartomány részeként kezeli a tartományvezérlőket, beleértve a biztonsági mentéseket és a inaktív állapotban lévő titkosítást az Azure Disk Encryption használatával.

Szinkronizálva van az információ?

A felügyelt tartomány úgy van konfigurálva, hogy egyirányú szinkronizálást végezzen a Microsoft Entra ID-ból a Microsoft Entra Domain Services szolgáltatásba. Az erőforrásokat közvetlenül a felügyelt tartományban hozhatja létre, de a rendszer nem szinkronizálja őket a Microsoft Entra-azonosítóval. A helyszíni AD DS-környezettel rendelkező hibrid környezetben a Microsoft Entra Csatlakozás szinkronizálja az identitásadatokat a Microsoft Entra-azonosítóval, amelyet aztán szinkronizál a felügyelt tartományba.

Diagram of Microsoft Entra Connect Sync synchronizing information back to the Microsoft Entra tenant from on-premises AD.

A felügyelt tartományhoz csatlakozó Azure-beli alkalmazások, szolgáltatások és virtuális gépek ezután használhatják a Microsoft Entra Domain Services gyakori funkcióit, például a tartományhoz való csatlakozást, a csoportházirendet, az LDAP-t és a Kerberos/NTLM-hitelesítést.