A Microsoft Entra-azonosító vizsgálata
A diákoknak ismernie kell a Active Directory tartományi szolgáltatások (AD DS vagy hagyományosan csak "Active Directory"). Az AD DS egy címtárszolgáltatás, amely lehetővé teszi a címtáradatok, például a felhasználói fiókok és jelszavak tárolását, és elérhetővé teszi ezeket az adatokat a hálózati felhasználók, rendszergazdák és egyéb eszközök és szolgáltatások számára. Szolgáltatásként fut a Windows Serveren, más néven tartományvezérlőn.
A Microsoft Entra ID a szolgáltatásként nyújtott platform (PaaS) része, és Microsoft által felügyelt címtárszolgáltatásként működik a felhőben. Ez nem része az ügyfelek által birtokolt és kezelt alapvető infrastruktúrának, és nem is szolgáltatásajánlat. Bár ez azt jelenti, hogy kevésbé szabályozhatja a megvalósítást, az azt is jelenti, hogy nem kell erőforrásokat szentelnie az üzembe helyezésre vagy karbantartásra.
A Microsoft Entra-azonosítóval olyan funkciókhoz is hozzáférhet, amelyek natív módon nem érhetők el az AD DS-ben, például a többtényezős hitelesítés, az identitásvédelem és az önkiszolgáló jelszó-visszaállítás támogatása.
A Microsoft Entra ID használatával biztonságosabb hozzáférést biztosíthat a felhőalapú erőforrásokhoz a szervezetek és az egyének számára a következőkkel:
- Alkalmazásokhoz való hozzáférés konfigurálása
- Egyszeri bejelentkezés (SSO) konfigurálása felhőalapú SaaS-alkalmazásokra
- Felhasználók és csoportok kezelése
- Felhasználók kiépítése
- Szervezetek közötti összevonás engedélyezése
- Identitáskezelési megoldás biztosítása
- Szabálytalan bejelentkezési tevékenység azonosítása
- Többtényezős hitelesítés konfigurálása
- Meglévő helyi Active Directory-implementációk kiterjesztése a Microsoft Entra-azonosítóra
- Alkalmazásproxy konfigurálása felhőbeli és helyi alkalmazásokhoz
- Feltételes hozzáférés konfigurálása felhasználók és eszközök számára
A Microsoft Entra külön Azure-szolgáltatást alkot. A legelemibb formája, amelyet minden új Azure-előfizetés automatikusan tartalmaz, nem jár többletköltséggel, és ingyenes szintnek nevezzük. Ha előfizet valamelyik Microsoft Online üzleti szolgáltatásra (például a Microsoft 365-ra vagy a Microsoft Intune-ra), automatikusan megkapja a Microsoft Entra-azonosítót az összes ingyenes funkcióhoz való hozzáféréssel.
Megjegyzés:
Alapértelmezés szerint, amikor új Azure-előfizetést hoz létre Egy Microsoft-fiók használatával, az előfizetés automatikusan tartalmaz egy új, Alapértelmezett címtár nevű Microsoft Entra-bérlőt.
A fejlettebb identitáskezelési funkciók némelyikéhez a Microsoft Entra ID fizetős verzióira van szükség, amelyeket alapszintű és prémium szintű csomagok formájában kínálnak. Ezen funkciók némelyike automatikusan szerepel a Microsoft 365-előfizetések részeként létrehozott Microsoft Entra-példányokban is. A Microsoft Entra-verziók közötti különbségeket a modul későbbi részében tárgyaljuk.
A Microsoft Entra ID implementálása nem ugyanaz, mint virtuális gépek üzembe helyezése az Azure-ban, AD DS hozzáadása, majd néhány tartományvezérlő üzembe helyezése egy új erdőhöz és tartományhoz. A Microsoft Entra ID egy másik szolgáltatás, amely sokkal inkább arra összpontosít, hogy identitáskezelési szolgáltatásokat nyújtson a webalapú alkalmazások számára, ellentétben az AD DS-sel, amely inkább a helyszíni alkalmazásokra összpontosít.
Microsoft Entra-bérlők
Az AD DS-sel ellentétben a Microsoft Entra ID több-bérlős kialakítású, és kifejezetten az egyes címtárpéldányok elkülönítésének biztosítására van implementálva. Ez a világ legnagyobb több-bérlős címtára, amely több mint egymillió címtárszolgáltatás-példányt üzemeltet, több milliárd hitelesítési kéréssel hetente. Ebben a kontextusban a bérlő kifejezés általában egy olyan vállalatot vagy szervezetet jelöl, amely feliratkozott egy Microsoft felhőalapú szolgáltatásra, például a Microsoft 365-re, az Intune-ra vagy az Azure-ra, amelyek mindegyike Microsoft Entra-azonosítót használ. Technikai szempontból azonban a bérlő kifejezés egy adott Microsoft Entra-példányt jelöl. Egy Azure-előfizetésen belül több Microsoft Entra-bérlőt is létrehozhat. Több Microsoft Entra-bérlő használata akkor lehet kényelmes, ha az egyik bérlőben szeretné tesztelni a Microsoft Entra funkcióit anélkül, hogy az hatással lenne a többire.
Egy Azure-előfizetést bármikor társítani kell egy, és csak egy Microsoft Entra-bérlőhöz. Ez a társítás lehetővé teszi, hogy engedélyeket adjon az Azure-előfizetés erőforrásainak (RBAC-n keresztül) az adott Microsoft Entra-bérlőben található felhasználóknak, csoportoknak és alkalmazásoknak.
Megjegyzés:
Ugyanazt a Microsoft Entra-bérlőt több Azure-előfizetéssel is társíthatja. Ez lehetővé teszi, hogy ugyanazokat a felhasználókat, csoportokat és alkalmazásokat használja több Azure-előfizetés erőforrásainak kezeléséhez.
Minden Microsoft Entra-bérlőhöz hozzá van rendelve az alapértelmezett DNS-tartománynév, amely egy egyedi előtagból áll. Az Azure-előfizetés létrehozásához használt Vagy a Microsoft Entra-bérlő létrehozásakor explicit módon megadott Microsoft-fiók nevéből származó előtagot a onmicrosoft.com utótag követi. Legalább egy egyéni tartománynév hozzáadása ugyanahhoz a Microsoft Entra-bérlőhöz lehetséges és gyakori. Ez a név azt a DNS-tartománynévteret használja, amelyet a megfelelő vállalat vagy szervezet birtokol. A Microsoft Entra-bérlő biztonsági határként és tárolóként szolgál a Microsoft Entra-objektumokhoz, például a felhasználókhoz, csoportokhoz és alkalmazásokhoz. Egyetlen Microsoft Entra-bérlő több Azure-előfizetést is támogathat.
Microsoft Entra séma
A Microsoft Entra séma kevesebb objektumtípust tartalmaz, mint az AD DS. Különösen nem tartalmazza a számítógéposztály definícióját, bár az eszközosztályt is tartalmazza. Az eszközök Microsoft Entra-hoz való csatlakoztatásának folyamata jelentősen eltér a számítógépek AD DS-hez való csatlakoztatásának folyamatától. A Microsoft Entra séma is könnyen bővíthető, és a bővítmények teljes mértékben megfordíthatóak.
A hagyományos számítógép-tartománytagság támogatásának hiánya azt jelenti, hogy a Microsoft Entra-azonosítóval nem kezelheti a számítógépeket vagy a felhasználói beállításokat hagyományos felügyeleti technikákkal, például csoportházirend-objektumokkal (CSOPORTHÁZIREND-kkel). Ehelyett a Microsoft Entra ID és szolgáltatásai a modern felügyelet fogalmát határozzák meg. A Microsoft Entra ID elsődleges erőssége a címtárszolgáltatások biztosítása; felhasználói, eszköz- és alkalmazásadatok tárolása és közzététele; és a felhasználók, eszközök és alkalmazások hitelesítésének és engedélyezésének kezelése. Ezeknek a funkcióknak a hatékonysága és hatékonysága a felhőalapú szolgáltatások, például a Microsoft 365 meglévő üzembe helyezésén alapul, amelyek identitásszolgáltatóként a Microsoft Entra-azonosítóra támaszkodnak, és több millió felhasználót támogatnak.
A Microsoft Entra ID nem tartalmazza a szervezeti egység (OU) osztályt, ami azt jelenti, hogy nem rendezheti az objektumait egyéni tárolók hierarchiájába, amelyet a helyszíni AD DS-környezetekben gyakran használnak. Ez azonban nem jelentős hiányosság, mivel az AD DS szervezeti egységeit elsősorban a csoportházirendek hatókörének meghatározására és delegálására használják. Az objektumok csoporttagságuk alapján történő rendszerezésével egyenértékű elrendezéseket végezhet el.
Az alkalmazás- és servicePrincipal-osztályok objektumai a Microsoft Entra ID-ban lévő alkalmazásokat jelölik. Az Alkalmazásosztály egy objektuma egy alkalmazásdefiníciót tartalmaz, és a servicePrincipal osztály egy objektuma az aktuális Microsoft Entra-bérlőben található példányát képezi. A két jellemzőcsoport elkülönítésével egy alkalmazást definiálhat egy bérlőben, és több bérlő között is használhatja, ha minden bérlőben létrehoz egy szolgáltatásnév-objektumot ehhez az alkalmazáshoz. A Microsoft Entra ID létrehozza a szolgáltatásnév objektumot, amikor regisztrálja a megfelelő alkalmazást az adott Microsoft Entra-bérlőben.