Identitástípusok leírása
A Microsoft Entra-azonosítóban különböző típusú identitások támogatottak. Az egységben hallható és bevezetett kifejezések a felhasználói identitások, a számítási feladatok identitásai, az eszközidentitások, a külső identitások és a hibrid identitások. Ezeket a kifejezéseket az alábbi szakaszok részletesebben ismertetik.
Amikor felteszi a kérdést, hogy mihez rendelhetek identitást a Microsoft Entra-azonosítóban, három kategória van.
- Identitásokat rendelhet személyekhez (emberekhez). A személyekhez rendelt identitások például egy olyan szervezet alkalmazottai, amelyek általában belső felhasználókként vannak konfigurálva, és külső felhasználók, akik ügyfeleket, tanácsadókat, szállítókat és partnereket is magukban foglalnak. A mi céljaink szerint ezeket felhasználói identitásokként fogjuk használni.
- Identitásokat rendelhet fizikai eszközökhöz, például mobiltelefonokhoz, asztali számítógépekhez és IoT-eszközökhöz.
- Végül hozzárendelhet identitásokat szoftveralapú objektumokhoz, például alkalmazásokhoz, virtuális gépekhez, szolgáltatásokhoz és tárolókhoz. Ezeket az identitásokat munkaterhelési identitásoknak nevezzük.
Ebben a leckében a Microsoft Entra-identitás minden típusát figyelembe vesszük.
User
A felhasználói identitások olyan személyeket képviselnek, mint az alkalmazottak és a külső felhasználók (ügyfelek, tanácsadók, szállítók és partnerek). A Microsoft Entra-azonosítóban a felhasználói identitásokat a hitelesítés és a felhasználótípus tulajdonság jellemzi.
A felhasználó hitelesítésének módját a gazdaszervezet Microsoft Entra-bérlője határozza meg, és belső vagy külső is lehet. A belső hitelesítés azt jelenti, hogy a felhasználó rendelkezik egy fiókkal a gazdaszervezet Microsoft Entra-azonosítóján, és ezzel a fiókkal hitelesíti a Microsoft Entra-azonosítót. A külső hitelesítés azt jelenti, hogy a felhasználó egy másik szervezethez, közösségi hálózati identitáshoz vagy más külső identitásszolgáltatóhoz tartozó külső Microsoft Entra-fiókkal hitelesít.
A felhasználótípus tulajdonság a felhasználó szervezethez vagy pontosabban a gazdaszervezet bérlői jogviszonyához való viszonyát írja le. A felhasználó lehet vendég vagy a szervezet Microsoft Entra-bérlőjének tagja. Alapértelmezés szerint a szervezet vendégei korlátozott jogosultságokkal rendelkeznek a szervezet címtárában a szervezet tagjaihoz képest.
- Belső tag: Ezeket a felhasználókat általában a szervezet alkalmazottainak tekintik. A felhasználó belső hitelesítést a szervezet Microsoft Entra-azonosítóján keresztül, az erőforrásban létrehozott Microsoft Entra-címtárban létrehozott felhasználói objektum pedig a Tag UserType elemével rendelkezik.
- Külső vendég: A külső felhasználók vagy vendégek, beleértve a tanácsadókat, szállítókat és partnereket, általában ebbe a kategóriába tartoznak. A felhasználó külső Microsoft Entra-fiókkal vagy külső identitásszolgáltatóval (például közösségi identitással) hitelesít. A Microsoft Entra könyvtárban létrehozott felhasználói objektum a Vendég userType elemével rendelkezik, amely korlátozott vendégszintű engedélyeket biztosít számukra.
- Külső tag: Ez a forgatókönyv gyakori a több bérlőből álló szervezetekben. Vegye figyelembe azt a forgatókönyvet, amelyben a Contoso Microsoft Entra bérlő és a Fabrikam Microsoft Entra-bérlő egy nagy szervezet bérlői. A Contoso-bérlő felhasználóinak tagszintű hozzáférésre van szükségük a Fabrikam erőforrásaihoz. Ebben a forgatókönyvben a Contoso-felhasználók úgy vannak konfigurálva a Fabrikam Microsoft Entra könyvtárban, hogy a Fabrikamon kívüli Contoso-fiókjukkal hitelesítsék magukat, de rendelkeznek tagtípussal a Fabrikam szervezeti erőforrásaihoz való tagszintű hozzáférés engedélyezéséhez.
- Belső vendég: Ez a forgatókönyv akkor fordul elő, ha a forgalmazókkal, szállítókkal és szállítókkal együttműködő szervezetek belső Microsoft Entra-fiókokat állítanak be ezekhez a felhasználókhoz, de vendégként jelölik ki őket a UserType felhasználói objektum vendégként való beállításával. Vendégként csökkentett engedélyekkel rendelkeznek a címtárban. Ez örökölt forgatókönyvnek számít, mivel most már gyakoribb a B2B-együttműködés használata. A B2B-együttműködéssel a felhasználók saját hitelesítő adataikat használhatják, így külső identitásszolgáltatójuk kezelheti a hitelesítést és a fiók életciklusát.
A külső vendégek és a külső tagok üzleti (B2B) együttműködési felhasználók, akik a Microsoft Entra ID-ban a külső identitások kategóriájába tartoznak, és a következő leckében részletesebben is bemutatjuk.
Számítási feladatok identitásai
A számítási feladatok identitása egy szoftveres számítási feladathoz hozzárendelt identitás. Ez lehetővé teszi a szoftveres számítási feladatok hitelesítését és elérését más szolgáltatásokhoz és erőforrásokhoz. Ez segít a számítási feladatok biztonságossá tételében.
A számítási feladatok identitásainak biztonságossá tétele azért fontos, mert az emberi felhasználókkal ellentétben a szoftveres számítási feladatok több hitelesítő adatot is kezelhetnek a különböző erőforrások eléréséhez, és ezeket a hitelesítő adatokat biztonságosan kell tárolni. Azt is nehéz nyomon követni, hogy mikor jön létre a számítási feladat identitása, vagy mikor kell visszavonni. A vállalatok azt kockáztatják, hogy alkalmazásaikat vagy szolgáltatásaikat kihasználják vagy megsértik a számítási feladatok identitásainak biztonságossá tételével kapcsolatos nehézségek miatt.
Microsoft Entra Számítási feladat ID segít megoldani ezeket a problémákat a számítási feladatok identitásainak védelme során.
A Microsoft Entra-ban a számítási feladatok identitásai alkalmazások, szolgáltatásnevek és felügyelt identitások.
Alkalmazások és szolgáltatásnevek
A szolgáltatásnév lényegében egy alkalmazás identitása. Ahhoz, hogy egy alkalmazás delegálja identitását és hozzáférési funkcióit a Microsoft Entra-azonosítóba, az alkalmazásnak először regisztrálnia kell a Microsoft Entra-azonosítóval az integráció engedélyezéséhez. Az alkalmazás regisztrálása után létrejön egy szolgáltatásnév minden Olyan Microsoft Entra-bérlőben, ahol az alkalmazást használják. A szolgáltatásnév olyan alapvető funkciókat tesz lehetővé, mint az alkalmazás hitelesítése és engedélyezése a Microsoft Entra-bérlő által védett erőforrások számára.
Ahhoz, hogy a szolgáltatásnevek hozzáférhessenek a Microsoft Entra-bérlő által biztosított erőforrásokhoz, az alkalmazásfejlesztőknek kezelnie és védenie kell a hitelesítő adatokat. Ha nem megfelelően történik, ez biztonsági réseket okozhat. A felügyelt identitások segítenek kivenni ezt a felelősséget a fejlesztőtől.
Felügyelt identitások
A felügyelt identitások olyan szolgáltatásnevek, amelyek automatikusan a Microsoft Entra-azonosítóban vannak kezelve, és nem szükséges, hogy a fejlesztők kezeljenek hitelesítő adatokat. A felügyelt identitások olyan identitást biztosítanak az alkalmazások számára, amelyek a Microsoft Entra-hitelesítést támogató Azure-erőforrásokhoz való csatlakozáskor használhatók, és további költségek nélkül használhatók.
A felügyelt identitásokat támogató Azure-szolgáltatások listájáért tekintse meg az Összefoglalás és erőforrások egység További információ szakaszát.
A felügyelt identitásoknak két típusa létezik: rendszer által hozzárendelt és felhasználó által hozzárendelt.
Rendszer által hozzárendelt. Egyes Azure-erőforrások, például virtuális gépek lehetővé teszik a felügyelt identitások közvetlen engedélyezését az erőforráson. Ha engedélyezi a rendszer által hozzárendelt felügyelt identitást, létrejön egy identitás a Microsoft Entra-ban, amely az adott Azure-erőforrás életciklusához van kötve. Mivel az identitás az adott Azure-erőforrás életciklusához van kötve az erőforrás törlésekor, az Azure automatikusan törli Az identitást. A rendszer által hozzárendelt identitások például akkor találhatók, ha egy számítási feladat egyetlen Azure-erőforrásban található, például egy egyetlen virtuális gépen futó alkalmazásban.
Felhasználó által hozzárendelt. Felügyelt identitást önálló Azure-erőforrásként is létrehozhat. Miután létrehozott egy felhasználó által hozzárendelt felügyelt identitást, hozzárendelheti azt egy Azure-szolgáltatás egy vagy több példányához. Egy felhasználó által hozzárendelt felügyelt identitás például több virtuális géphez is hozzárendelhető. A felhasználó által hozzárendelt felügyelt identitások esetén az identitás kezelése külön történik az azt használó erőforrásoktól. A felhasználó által hozzárendelt felügyelt identitást használó erőforrások törlése nem törli az identitást. A felhasználó által hozzárendelt felügyelt identitást explicit módon törölni kell. Ez akkor hasznos, ha több olyan virtuális géppel rendelkezik, amelyek mindegyike azonos engedélykészlettel rendelkezik, de gyakran újra felhasználható. A virtuális gépek törlése nem befolyásolja a felhasználó által hozzárendelt felügyelt identitást. Hasonlóképpen létrehozhat egy új virtuális gépet, és hozzárendelheti a meglévő, felhasználó által hozzárendelt felügyelt identitáshoz.
Eszköz
Az eszköz egy hardver, például mobileszközök, laptopok, kiszolgálók vagy nyomtatók. Az eszközidentitások olyan információkat adnak a rendszergazdáknak, amelyek a hozzáféréssel vagy a konfigurációval kapcsolatos döntések meghozatalakor használhatók. Az eszközidentitások különböző módokon állíthatók be a Microsoft Entra-azonosítóban.
- Microsoft Entra regisztrált eszközök. A Microsoft Entra által regisztrált eszközök célja, hogy támogatást nyújtsanak a felhasználóknak saját eszköz (BYOD) vagy mobileszköz-forgatókönyvek használatához. Ezekben az esetekben a felhasználók személyes eszköz használatával férhetnek hozzá a szervezet erőforrásaihoz. A Microsoft Entra regisztrált eszközei anélkül regisztrálnak a Microsoft Entra-azonosítóra, hogy szervezeti fiókra kellene bejelentkezni az eszközre.
- A Microsoft Entra csatlakozott. A Microsoft Entra-hoz csatlakoztatott eszköz egy szervezeti fiókon keresztül a Microsoft Entra-azonosítóhoz csatlakoztatott eszköz, amelyet aztán az eszközre való bejelentkezéshez használnak. A Microsoft Entra-hoz csatlakoztatott eszközök általában a szervezet tulajdonában vannak.
- Microsoft Entra hibrid csatlakoztatott eszközök. A meglévő helyi Active Directory-implementációkkal rendelkező szervezetek kihasználhatják a Microsoft Entra ID által biztosított funkciókat a Microsoft Entra hibrid csatlakoztatott eszközök implementálásával. Ezek az eszközök csatlakoznak a helyi Active Directory és a Microsoft Entra-azonosítóhoz, amely megköveteli, hogy a szervezeti fiók bejelentkezjen az eszközre.
Az eszközök Microsoft Entra-azonosítóhoz való regisztrálása és csatlakoztatása egyszeri bejelentkezést (SSO) biztosít a felhasználóknak a felhőalapú erőforrásokhoz. Emellett a Microsoft Entra-hoz csatlakozó eszközök is élvezhetik az egyszeri bejelentkezés nyújtotta előnyöket az helyi Active Directory támaszkodó erőforrások és alkalmazások számára.
Az informatikai rendszergazdák olyan eszközöket használhatnak, mint a Microsoft Intune, amely egy felhőalapú szolgáltatás, amely a mobileszköz-kezelésre (MDM) és a mobilalkalmazás-kezelésre (MAM) összpontosít, a szervezet eszközeinek használatának szabályozásához. További információ: Microsoft Intune.
Csoportok
A Microsoft Entra-azonosítóban, ha több azonos hozzáférési igényű identitással rendelkezik, létrehozhat egy csoportot. A csoportok használatával hozzáférési engedélyeket adhat a csoport összes tagjának ahelyett, hogy külön hozzáférési jogosultságokat kellene hozzárendelnie. A Microsoft Entra-erőforrásokhoz való hozzáférés korlátozása csak azokra az identitásokra, akiknek hozzáférésre van szükségük, a Teljes felügyelet egyik alapvető biztonsági alapelve.
Két csoporttípus létezik:
Biztonság: A biztonsági csoport a leggyakoribb csoporttípus, amely a megosztott erőforrásokhoz való felhasználói és eszközhozzáférés kezelésére szolgál. Létrehozhat például egy biztonsági csoportot egy adott biztonsági szabályzathoz, például az önkiszolgáló jelszó-visszaállításhoz, vagy feltételes hozzáférési szabályzattal az MFA megköveteléséhez. A biztonsági csoport tagjai lehetnek felhasználók (beleértve a külső felhasználókat is), az eszközök, más csoportok és szolgáltatásnevek. A biztonsági csoportok létrehozásához Microsoft Entra rendszergazdai szerepkör szükséges.
Microsoft 365: A Microsoft 365-csoportot, amelyet gyakran terjesztési csoportnak is neveznek, a felhasználók együttműködési igények szerinti csoportosítására használják. Például hozzáférést adhat a csoport tagjainak egy megosztott postaládához, naptárhoz, sharePoint-webhelyekhez és egyebekhez. A Microsoft 365-csoportok tagjai csak felhasználókat tartalmazhatnak, beleértve a szervezeten kívüli felhasználókat is. Mivel a Microsoft 365-csoportok együttműködésre szolgálnak, az alapértelmezett beállítás az, hogy a felhasználók Microsoft 365-csoportokat hozhatnak létre, így önnek nincs szüksége rendszergazdai szerepkörre.
A csoportok konfigurálhatók úgy, hogy lehetővé tegyék a tagok hozzárendelését, amelyek manuálisan vannak kiválasztva, vagy dinamikus tagságra konfigurálhatók. A dinamikus tagság szabályokkal automatikusan hozzáadja és eltávolítja az identitásokat.