Identitástípusok leírása

  • 12 perc

A Microsoft Entra-azonosítóban különböző típusú identitások támogatottak. Az egységben hallható és bevezetett kifejezések a felhasználói identitások, a számítási feladatok identitásai, az eszközidentitások, a külső identitások és a hibrid identitások. Ezeket a kifejezéseket az alábbi szakaszok részletesebben ismertetik.

Amikor felteszi a kérdést, hogy mihez rendelhetek identitást a Microsoft Entra-azonosítóban, három kategória van.

  • Identitásokat rendelhet személyekhez (emberekhez). A személyekhez rendelt identitások például egy olyan szervezet alkalmazottai, amelyek általában belső felhasználókként vannak konfigurálva, és külső felhasználók, akik ügyfeleket, tanácsadókat, szállítókat és partnereket is magukban foglalnak. A mi céljaink szerint ezeket felhasználói identitásokként fogjuk használni.
  • Identitásokat rendelhet fizikai eszközökhöz, például mobiltelefonokhoz, asztali számítógépekhez és IoT-eszközökhöz.
  • Végül hozzárendelhet identitásokat szoftveralapú objektumokhoz, például alkalmazásokhoz, virtuális gépekhez, szolgáltatásokhoz és tárolókhoz. Ezeket az identitásokat munkaterhelési identitásoknak nevezzük.

Az identitástípusok kategóriáit bemutató blokkdiagram. A kategóriák számítási feladatok identitásaiból, eszközidentitásokból és emberi identitásokból állnak. A számítási feladatok és az eszközidentitások gépi identitások szerint vannak csoportosítva.

Ebben a leckében a Microsoft Entra-identitás minden típusát figyelembe vesszük.

User

A felhasználói identitások olyan személyeket képviselnek, mint az alkalmazottak és a külső felhasználók (ügyfelek, tanácsadók, szállítók és partnerek). A Microsoft Entra-azonosítóban a felhasználói identitásokat a hitelesítés és a felhasználótípus tulajdonság jellemzi.

A felhasználó hitelesítésének módját a gazdaszervezet Microsoft Entra-bérlője határozza meg, és belső vagy külső is lehet. A belső hitelesítés azt jelenti, hogy a felhasználó rendelkezik egy fiókkal a gazdaszervezet Microsoft Entra-azonosítóján, és ezzel a fiókkal hitelesíti a Microsoft Entra-azonosítót. A külső hitelesítés azt jelenti, hogy a felhasználó egy másik szervezethez, közösségi hálózati identitáshoz vagy más külső identitásszolgáltatóhoz tartozó külső Microsoft Entra-fiókkal hitelesít.

A felhasználótípus tulajdonság a felhasználó szervezethez vagy pontosabban a gazdaszervezet bérlői jogviszonyához való viszonyát írja le. A felhasználó lehet vendég vagy a szervezet Microsoft Entra-bérlőjének tagja. Alapértelmezés szerint a szervezet vendégei korlátozott jogosultságokkal rendelkeznek a szervezet címtárában a szervezet tagjaihoz képest.

Négy-négy mátrix, amely a támogatott felhasználói identitások típusait mutatja, attól függően, hogy vendég vagy tagfelhasználó. A mátrix a felhasználó típusát is megjeleníti attól függően, hogy belső vagy külső hitelesítést használnak-e.

  • Belső tag: Ezeket a felhasználókat általában a szervezet alkalmazottainak tekintik. A felhasználó belső hitelesítést a szervezet Microsoft Entra-azonosítóján keresztül, az erőforrásban létrehozott Microsoft Entra-címtárban létrehozott felhasználói objektum pedig a Tag UserType elemével rendelkezik.
  • Külső vendég: A külső felhasználók vagy vendégek, beleértve a tanácsadókat, szállítókat és partnereket, általában ebbe a kategóriába tartoznak. A felhasználó külső Microsoft Entra-fiókkal vagy külső identitásszolgáltatóval (például közösségi identitással) hitelesít. A Microsoft Entra könyvtárban létrehozott felhasználói objektum a Vendég userType elemével rendelkezik, amely korlátozott vendégszintű engedélyeket biztosít számukra.
  • Külső tag: Ez a forgatókönyv gyakori a több bérlőből álló szervezetekben. Vegye figyelembe azt a forgatókönyvet, amelyben a Contoso Microsoft Entra bérlő és a Fabrikam Microsoft Entra-bérlő egy nagy szervezet bérlői. A Contoso-bérlő felhasználóinak tagszintű hozzáférésre van szükségük a Fabrikam erőforrásaihoz. Ebben a forgatókönyvben a Contoso-felhasználók úgy vannak konfigurálva a Fabrikam Microsoft Entra könyvtárban, hogy a Fabrikamon kívüli Contoso-fiókjukkal hitelesítsék magukat, de rendelkeznek tagtípussal a Fabrikam szervezeti erőforrásaihoz való tagszintű hozzáférés engedélyezéséhez.
  • Belső vendég: Ez a forgatókönyv akkor fordul elő, ha a forgalmazókkal, szállítókkal és szállítókkal együttműködő szervezetek belső Microsoft Entra-fiókokat állítanak be ezekhez a felhasználókhoz, de vendégként jelölik ki őket a UserType felhasználói objektum vendégként való beállításával. Vendégként csökkentett engedélyekkel rendelkeznek a címtárban. Ez örökölt forgatókönyvnek számít, mivel most már gyakoribb a B2B-együttműködés használata. A B2B-együttműködéssel a felhasználók saját hitelesítő adataikat használhatják, így külső identitásszolgáltatójuk kezelheti a hitelesítést és a fiók életciklusát.

A külső vendégek és a külső tagok üzleti (B2B) együttműködési felhasználók, akik a Microsoft Entra ID-ban a külső identitások kategóriájába tartoznak, és a következő leckében részletesebben is bemutatjuk.

Számítási feladatok identitásai

A számítási feladatok identitása egy szoftveres számítási feladathoz hozzárendelt identitás. Ez lehetővé teszi a szoftveres számítási feladatok hitelesítését és elérését más szolgáltatásokhoz és erőforrásokhoz. Ez segít a számítási feladatok biztonságossá tételében.

A számítási feladatok identitásainak biztonságossá tétele azért fontos, mert az emberi felhasználókkal ellentétben a szoftveres számítási feladatok több hitelesítő adatot is kezelhetnek a különböző erőforrások eléréséhez, és ezeket a hitelesítő adatokat biztonságosan kell tárolni. Azt is nehéz nyomon követni, hogy mikor jön létre a számítási feladat identitása, vagy mikor kell visszavonni. A vállalatok azt kockáztatják, hogy alkalmazásaikat vagy szolgáltatásaikat kihasználják vagy megsértik a számítási feladatok identitásainak biztonságossá tételével kapcsolatos nehézségek miatt.

Microsoft Entra Számítási feladat ID segít megoldani ezeket a problémákat a számítási feladatok identitásainak védelme során.

A Microsoft Entra-ban a számítási feladatok identitásai alkalmazások, szolgáltatásnevek és felügyelt identitások.

Alkalmazások és szolgáltatásnevek

A szolgáltatásnév lényegében egy alkalmazás identitása. Ahhoz, hogy egy alkalmazás delegálja identitását és hozzáférési funkcióit a Microsoft Entra-azonosítóba, az alkalmazásnak először regisztrálnia kell a Microsoft Entra-azonosítóval az integráció engedélyezéséhez. Az alkalmazás regisztrálása után létrejön egy szolgáltatásnév minden Olyan Microsoft Entra-bérlőben, ahol az alkalmazást használják. A szolgáltatásnév olyan alapvető funkciókat tesz lehetővé, mint az alkalmazás hitelesítése és engedélyezése a Microsoft Entra-bérlő által védett erőforrások számára.

Ahhoz, hogy a szolgáltatásnevek hozzáférhessenek a Microsoft Entra-bérlő által biztosított erőforrásokhoz, az alkalmazásfejlesztőknek kezelnie és védenie kell a hitelesítő adatokat. Ha nem megfelelően történik, ez biztonsági réseket okozhat. A felügyelt identitások segítenek kivenni ezt a felelősséget a fejlesztőtől.

Felügyelt identitások

A felügyelt identitások olyan szolgáltatásnevek, amelyek automatikusan a Microsoft Entra-azonosítóban vannak kezelve, és nem szükséges, hogy a fejlesztők kezeljenek hitelesítő adatokat. A felügyelt identitások olyan identitást biztosítanak az alkalmazások számára, amelyek a Microsoft Entra-hitelesítést támogató Azure-erőforrásokhoz való csatlakozáskor használhatók, és további költségek nélkül használhatók.

Diagram, amely bemutatja, hogy a fejlesztők hogyan használhatják a felügyelt identitásokat, hogy hitelesítő adatok kezelése nélkül férhessenek hozzá az erőforrásokhoz a kódjukból.

A felügyelt identitásokat támogató Azure-szolgáltatások listájáért tekintse meg az Összefoglalás és erőforrások egység További információ szakaszát.

A felügyelt identitásoknak két típusa létezik: rendszer által hozzárendelt és felhasználó által hozzárendelt.

  • Rendszer által hozzárendelt. Egyes Azure-erőforrások, például virtuális gépek lehetővé teszik a felügyelt identitások közvetlen engedélyezését az erőforráson. Ha engedélyezi a rendszer által hozzárendelt felügyelt identitást, létrejön egy identitás a Microsoft Entra-ban, amely az adott Azure-erőforrás életciklusához van kötve. Mivel az identitás az adott Azure-erőforrás életciklusához van kötve az erőforrás törlésekor, az Azure automatikusan törli Az identitást. A rendszer által hozzárendelt identitások például akkor találhatók, ha egy számítási feladat egyetlen Azure-erőforrásban található, például egy egyetlen virtuális gépen futó alkalmazásban.

  • Felhasználó által hozzárendelt. Felügyelt identitást önálló Azure-erőforrásként is létrehozhat. Miután létrehozott egy felhasználó által hozzárendelt felügyelt identitást, hozzárendelheti azt egy Azure-szolgáltatás egy vagy több példányához. Egy felhasználó által hozzárendelt felügyelt identitás például több virtuális géphez is hozzárendelhető. A felhasználó által hozzárendelt felügyelt identitások esetén az identitás kezelése külön történik az azt használó erőforrásoktól. A felhasználó által hozzárendelt felügyelt identitást használó erőforrások törlése nem törli az identitást. A felhasználó által hozzárendelt felügyelt identitást explicit módon törölni kell. Ez akkor hasznos, ha több olyan virtuális géppel rendelkezik, amelyek mindegyike azonos engedélykészlettel rendelkezik, de gyakran újra felhasználható. A virtuális gépek törlése nem befolyásolja a felhasználó által hozzárendelt felügyelt identitást. Hasonlóképpen létrehozhat egy új virtuális gépet, és hozzárendelheti a meglévő, felhasználó által hozzárendelt felügyelt identitáshoz.

Eszköz

Az eszköz egy hardver, például mobileszközök, laptopok, kiszolgálók vagy nyomtatók. Az eszközidentitások olyan információkat adnak a rendszergazdáknak, amelyek a hozzáféréssel vagy a konfigurációval kapcsolatos döntések meghozatalakor használhatók. Az eszközidentitások különböző módokon állíthatók be a Microsoft Entra-azonosítóban.

  • Microsoft Entra regisztrált eszközök. A Microsoft Entra által regisztrált eszközök célja, hogy támogatást nyújtsanak a felhasználóknak saját eszköz (BYOD) vagy mobileszköz-forgatókönyvek használatához. Ezekben az esetekben a felhasználók személyes eszköz használatával férhetnek hozzá a szervezet erőforrásaihoz. A Microsoft Entra regisztrált eszközei anélkül regisztrálnak a Microsoft Entra-azonosítóra, hogy szervezeti fiókra kellene bejelentkezni az eszközre.
  • A Microsoft Entra csatlakozott. A Microsoft Entra-hoz csatlakoztatott eszköz egy szervezeti fiókon keresztül a Microsoft Entra-azonosítóhoz csatlakoztatott eszköz, amelyet aztán az eszközre való bejelentkezéshez használnak. A Microsoft Entra-hoz csatlakoztatott eszközök általában a szervezet tulajdonában vannak.
  • Microsoft Entra hibrid csatlakoztatott eszközök. A meglévő helyi Active Directory-implementációkkal rendelkező szervezetek kihasználhatják a Microsoft Entra ID által biztosított funkciókat a Microsoft Entra hibrid csatlakoztatott eszközök implementálásával. Ezek az eszközök csatlakoznak a helyi Active Directory és a Microsoft Entra-azonosítóhoz, amely megköveteli, hogy a szervezeti fiók bejelentkezjen az eszközre.

Az eszközök Microsoft Entra-azonosítóhoz való regisztrálása és csatlakoztatása egyszeri bejelentkezést (SSO) biztosít a felhasználóknak a felhőalapú erőforrásokhoz. Emellett a Microsoft Entra-hoz csatlakozó eszközök is élvezhetik az egyszeri bejelentkezés nyújtotta előnyöket az helyi Active Directory támaszkodó erőforrások és alkalmazások számára.

Az informatikai rendszergazdák olyan eszközöket használhatnak, mint a Microsoft Intune, amely egy felhőalapú szolgáltatás, amely a mobileszköz-kezelésre (MDM) és a mobilalkalmazás-kezelésre (MAM) összpontosít, a szervezet eszközeinek használatának szabályozásához. További információ: Microsoft Intune.

Csoportok

A Microsoft Entra-azonosítóban, ha több azonos hozzáférési igényű identitással rendelkezik, létrehozhat egy csoportot. A csoportok használatával hozzáférési engedélyeket adhat a csoport összes tagjának ahelyett, hogy külön hozzáférési jogosultságokat kellene hozzárendelnie. A Microsoft Entra-erőforrásokhoz való hozzáférés korlátozása csak azokra az identitásokra, akiknek hozzáférésre van szükségük, a Teljes felügyelet egyik alapvető biztonsági alapelve.

Két csoporttípus létezik:

  • Biztonság: A biztonsági csoport a leggyakoribb csoporttípus, amely a megosztott erőforrásokhoz való felhasználói és eszközhozzáférés kezelésére szolgál. Létrehozhat például egy biztonsági csoportot egy adott biztonsági szabályzathoz, például az önkiszolgáló jelszó-visszaállításhoz, vagy feltételes hozzáférési szabályzattal az MFA megköveteléséhez. A biztonsági csoport tagjai lehetnek felhasználók (beleértve a külső felhasználókat is), az eszközök, más csoportok és szolgáltatásnevek. A biztonsági csoportok létrehozásához Microsoft Entra rendszergazdai szerepkör szükséges.

  • Microsoft 365: A Microsoft 365-csoportot, amelyet gyakran terjesztési csoportnak is neveznek, a felhasználók együttműködési igények szerinti csoportosítására használják. Például hozzáférést adhat a csoport tagjainak egy megosztott postaládához, naptárhoz, sharePoint-webhelyekhez és egyebekhez. A Microsoft 365-csoportok tagjai csak felhasználókat tartalmazhatnak, beleértve a szervezeten kívüli felhasználókat is. Mivel a Microsoft 365-csoportok együttműködésre szolgálnak, az alapértelmezett beállítás az, hogy a felhasználók Microsoft 365-csoportokat hozhatnak létre, így önnek nincs szüksége rendszergazdai szerepkörre.

A csoportok konfigurálhatók úgy, hogy lehetővé tegyék a tagok hozzárendelését, amelyek manuálisan vannak kiválasztva, vagy dinamikus tagságra konfigurálhatók. A dinamikus tagság szabályokkal automatikusan hozzáadja és eltávolítja az identitásokat.