Co to jest usługa Azure Active Directory?

Usługa Azure Active Directory (Azure AD) to chmurowa usługa do zarządzania tożsamościami i dostępem. Ta usługa pomaga pracownikom uzyskiwać dostęp do zasobów zewnętrznych, takich jak Microsoft 365, Azure Portal i tysiące innych aplikacji SaaS. Usługa Azure Active Directory pomaga również uzyskiwać dostęp do zasobów wewnętrznych, takich jak aplikacje w firmowej sieci intranetowej, wraz z aplikacjami w chmurze opracowanymi dla własnej organizacji. Aby uzyskać więcej informacji na temat tworzenia dzierżawy dla organizacji, zobacz Szybki start: tworzenie nowej dzierżawy w usłudze Azure Active Directory.

Aby poznać różnice między usługą Active Directory i usługą Azure Active Directory, zobacz Porównanie usługi Active Directory z usługą Azure Active Directory. Możesz również zapoznać się z plakatami Microsoft Cloud for Enterprise Architects Series, aby lepiej zrozumieć podstawowe usługi tożsamości na platformie Azure, takie jak Azure AD i Microsoft-365.

Kto używa usługi Azure AD?

Usługa Azure AD jest przeznaczona dla następujących użytkowników:

  • Administratorzy IT: jako administrator IT użyj Azure AD, aby kontrolować dostęp do aplikacji i zasobów aplikacji na podstawie wymagań biznesowych. Możesz na przykład użyć usługi Azure AD, aby wymagać uwierzytelniania wieloskładnikowego podczas uzyskiwania dostępu do ważnych zasobów organizacji. Można również użyć Azure AD do zautomatyzowania aprowizacji użytkowników między istniejącymi Windows Server AD a aplikacjami w chmurze, w tym Microsoft 365. Ponadto usługa Azure AD zapewnia zaawansowane narzędzia, które automatycznie ułatwiają ochronę tożsamości użytkowników i poświadczeń zgodnie z wymaganiami nadzoru nad dostępem. Aby rozpocząć, utwórz konto bezpłatnej 30-dniowej wersji próbnej usługi Azure Active Directory w wersji Premium.

  • Deweloperzy aplikacji: jako deweloper aplikacji możesz użyć Azure AD jako podejścia opartego na standardach do dodawania logowania jednokrotnego do aplikacji, co pozwala na pracę z istniejącymi poświadczeniami użytkownika. Azure AD udostępnia również interfejsy API, które mogą pomóc w tworzeniu spersonalizowanych środowisk aplikacji przy użyciu istniejących danych organizacyjnych. Aby rozpocząć, utwórz konto bezpłatnej 30-dniowej wersji próbnej usługi Azure Active Directory w wersji Premium. Aby uzyskać więcej informacji, możesz też przejść do strony Usługa Azure Active Directory dla deweloperów.

  • Microsoft 365, Office 365, azure lub subskrybentów usługi Dynamics CRM Online: jako subskrybent używasz już Azure AD. Każda dzierżawa produktów Microsoft 365, Office 365, Azure i Dynamics CRM Online staje się automatycznie dzierżawą usługi Azure AD. Możesz od razu zacząć zarządzać dostępem do zintegrowanych aplikacji w chmurze.

Co to są licencje usługi Azure AD?

Microsoft usługi biznesowe online, takie jak Microsoft 365 lub Microsoft Azure, wymagają Azure AD na potrzeby działań związanych z logowaniem i ochrony tożsamości. Jeśli subskrybujesz dowolną usługę biznesową Microsoft Online, automatycznie uzyskasz Azure AD z dostępem do wszystkich bezpłatnych funkcji.

Aby zwiększyć implementację Azure AD, możesz również dodać płatne możliwości, uaktualniając do licencji Azure Active Directory — wersja Premium P1 lub Premium P2. Azure AD płatne licencje są oparte na istniejącym bezpłatnym katalogu. Licencje zapewniają samoobsługowe, ulepszone monitorowanie, raportowanie zabezpieczeń i bezpieczny dostęp dla użytkowników mobilnych.

Uwaga

Aby zapoznać się z cennikami tych licencji, zobacz Azure Active Directory — cennik.

Aby uzyskać więcej informacji na temat Azure AD cennika, skontaktuj się z forum usługi Azure Active Directory.

  • Usługa Azure Active Directory — wersja Bezpłatna. Zapewnia zarządzanie użytkownikami i grupami, synchronizację katalogów lokalnych, podstawowe raporty, samoobsługową zmianę hasła dla użytkowników chmury i logowanie jednokrotne na platformie Azure, Microsoft 365 i wiele popularnych aplikacji SaaS.

  • Usługa Azure Active Directory — wersja Premium P1. Oprócz bezpłatnych funkcji P1 umożliwia również użytkownikom hybrydowym dostęp zarówno do zasobów lokalnych, jak i w chmurze. Obsługuje również zaawansowaną administrację, taką jak grupy dynamiczne, samoobsługowe zarządzanie grupami, Microsoft Identity Manager i funkcje zapisywania zwrotnego w chmurze, które umożliwiają samoobsługowe resetowanie haseł dla użytkowników lokalnych.

  • Usługa Azure Active Directory — wersja Premium P2. Oprócz funkcji Bezpłatna i P1 usługa P2 oferuje również usługę Azure Active Directory Identity Protection, która pomaga zapewnić dostęp warunkowy oparty na ryzyku do aplikacji oraz krytyczne dane firmy oraz Privileged Identity Management, aby ułatwić odnajdywanie, ograniczanie i monitorowanie administratorów oraz ich dostępu do zasobów oraz zapewnienie dostępu just in time w razie potrzeby.

  • Licencje funkcji „Płatność zgodnie z rzeczywistym użyciem”. Istnieje też możliwość uzyskania licencji dodatkowych funkcji, takich jak usługa Azure Active Directory Business-to-Customer (B2C). Usługa B2C może ułatwić zapewnianie rozwiązań do zarządzania tożsamościami i dostępem dla aplikacji udostępnianych klientom. Aby uzyskać więcej informacji, zobacz dokumentację usługi Azure Active Directory B2C.

Aby uzyskać więcej informacji na temat kojarzenia subskrypcji platformy Azure do Azure AD, zobacz Kojarzenie lub dodawanie subskrypcji platformy Azure do usługi Azure Active Directory. Aby uzyskać więcej informacji na temat przypisywania licencji do użytkowników, zobacz Instrukcje: przypisywanie lub usuwanie licencji usługi Azure Active Directory.

Które funkcje działają w usłudze Azure AD?

Po wybraniu licencji Azure AD uzyskasz dostęp do niektórych lub wszystkich następujących funkcji organizacji:

Kategoria Opis
Zarządzanie aplikacjami Zarządzanie aplikacjami w chmurze i lokalnymi przy użyciu aplikacji serwer proxy aplikacji, logowania jednokrotnego, portalu Moje aplikacje i aplikacji SaaS (Software as a Service). Aby uzyskać więcej informacji, zobacz temat Jak zapewnić bezpieczny, zdalny dostęp do aplikacji lokalnych i dokumentację zarządzania aplikacjami.
Authentication Zarządzanie samoobsługowym resetowaniem haseł, uwierzytelnianiem wieloskładnikowym, niestandardowymi listami zakazanych haseł i inteligentną blokadą usługi Azure Active Directory. Aby uzyskać więcej informacji, zobacz dokumentację uwierzytelniania w usłudze Azure AD.
Usługa Azure Active Directory dla deweloperów Tworzenie aplikacji, które obsługują logowanie za pomocą wszystkich tożsamości firmy Microsoft oraz uzyskują tokeny w celu wywoływania programu Microsoft Graph, innych interfejsów API firmy Microsoft lub niestandardowych interfejsów API. Aby uzyskać więcej informacji, zobacz Platforma tożsamości firmy Microsoft (Azure Active Directory dla deweloperów).
Działania między firmami (B2B) Zarządzanie użytkownikami-gośćmi i partnerami zewnętrznymi przy zachowaniu kontroli nad danymi firmowymi. Aby uzyskać więcej informacji, zobacz dokumentację usługi Azure Active Directory B2B.
Działania między firmami i klientami (B2C) Dostosowywanie i kontrolowanie sposobu tworzenia kont, logowania się i zarządzania profilami przez użytkowników podczas korzystania z aplikacji. Aby uzyskać więcej informacji, zobacz dokumentację usługi Azure Active Directory B2C.
Dostęp warunkowy Zarządzanie dostępem do aplikacji w chmurze. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dotyczącą dostępu warunkowego w usłudze Azure AD.
Zarządzanie urządzeniami Zarządzanie sposobem uzyskiwania dostępu do danych firmowych przez urządzenia w chmurze lub lokalne. Aby uzyskać więcej informacji, zobacz dokumentację zarządzania urządzeniami w usłudze Azure AD.
Usługi domenowe Przyłączanie maszyn wirtualnych platformy Azure do domeny bez używania kontrolerów domeny. Aby uzyskać więcej informacji, zobacz dokumentację usług Azure AD Domain Services.
Użytkownicy korporacyjni Zarządzanie przypisaniami licencji, dostęp do aplikacji i konfigurowanie delegatów przy użyciu grup i ról administratora. Aby uzyskać więcej informacji, zobacz dokumentację zarządzania użytkownikami usługi Azure Active Directory.
Tożsamość hybrydowa Używanie programów Azure Active Directory Connect i Connect Health w celu udostępniania pojedynczej tożsamości użytkownika na potrzeby uwierzytelniania i autoryzacji we wszystkich zasobach, niezależnie od lokalizacji (w chmurze lub lokalnie). Aby uzyskać więcej informacji, zobacz dokumentację tożsamości hybrydowej.
Nadzór nad tożsamościami Zarządzanie tożsamością w organizacji za pośrednictwem mechanizmów kontroli dostępu pracowników, partnerów biznesowych, dostawców, usług i aplikacji. Można też przeprowadzać przeglądy dostępu. Aby uzyskać więcej informacji, zobacz dokumentację zarządzania tożsamościami w usłudze Azure AD i temat Przeglądy dostępu w usłudze Azure AD.
Identity Protection Wykrywanie potencjalnych luk w zabezpieczeniach wpływających na tożsamości w organizacji, konfigurowanie zasad w celu reagowania na podejrzane działania oraz podejmowanie odpowiednich działań w celu rozwiązywania problemów. Aby uzyskać więcej informacji, zobacz Usługa Azure AD Identity Protection.
Tożsamości zarządzane dla zasobów platformy Azure Zapewnij usługom platformy Azure automatyczną tożsamość zarządzaną w Azure AD, która może uwierzytelniać dowolną usługę uwierzytelniania obsługiwaną przez Azure AD, w tym Key Vault. Aby uzyskać więcej informacji, zobacz Czym są tożsamości zarządzane dla zasobów platformy Azure?.
Privileged Identity Management (PIM) Kontrolowanie i monitorowanie dostępu w organizacji oraz zarządzanie nim. Ta funkcja obejmuje dostęp do zasobów w usługach Azure AD i Azure oraz innych usługach online Microsoft, takich jak Microsoft 365 lub Intune. Aby uzyskać więcej informacji, zobacz Usługa Azure AD Privileged Identity Management.
Raporty i monitorowanie Uzyskiwanie szczegółowych informacji dotyczących zabezpieczeń i wzorców użycia w danym środowisku. Aby uzyskać więcej informacji, zobacz Raporty i monitorowanie w usłudze Azure Active Directory.

Terminologia

Aby lepiej zrozumieć Azure AD i jego dokumentację, zalecamy zapoznanie się z następującymi terminami.

Termin lub pojęcie Opis
Tożsamość Coś, co może być uwierzytelnione. Tożsamość może być użytkownikiem z nazwą użytkownika i hasłem. Tożsamości obejmują również aplikacje lub inne serwery, które mogą wymagać uwierzytelniania za pomocą kluczy tajnych lub certyfikatów.
Konto Tożsamość, z którą są skojarzone dane. Nie możesz mieć konta bez tożsamości.
Konto usługi Azure AD Tożsamość utworzona za pośrednictwem Azure AD lub innej usługi Microsoft w chmurze, takiej jak Microsoft 365. Tożsamości są przechowywane w usłudze Azure AD i dostępne dla subskrypcji usług w chmurze organizacji. To konto jest też czasami nazywane kontem służbowym.
Administrator konta Ta klasyczna rola administratora subskrypcji określa właściciela subskrypcji odpowiedzialnego za rozliczenia. Ta rola umożliwia zarządzanie wszystkimi subskrypcjami na koncie. Aby uzyskać więcej informacji, zobacz Klasyczne role administratora subskrypcji, role platformy Azure i role administratora Azure AD.
Administrator usługi Ta klasyczna rola administratora subskrypcji umożliwia zarządzanie wszystkimi zasobami platformy Azure, włącznie z dostępem. Ta rola ma takie same uprawnienia dostępu co użytkownik, któremu przypisano rolę właściciela w zakresie subskrypcji. Aby uzyskać więcej informacji, zobacz Klasyczne role administratora subskrypcji, role platformy Azure i role administratora Azure AD.
Właściciel Ta rola ułatwia zarządzanie wszystkimi zasobami platformy Azure, włącznie z dostępem. Ta rola jest oparta na nowszym systemie autoryzacji o nazwie Kontrola dostępu oparta na rolach (RBAC) platformy Azure, która zapewnia szczegółowe zarządzanie dostępem do zasobów platformy Azure. Aby uzyskać więcej informacji, zobacz Klasyczne role administratora subskrypcji, role platformy Azure i role administratora Azure AD.
Administrator globalny usługi Azure AD Ta rola administratora jest automatycznie przypisywana osobie, która utworzyła dzierżawę usługi Azure AD. Może istnieć wielu administratorów globalnych, ale tylko administratorzy globalni mogą przypisywać użytkownikom role administratora (włącznie z przypisywaniem innych administratorów globalnych). Aby uzyskać więcej informacji o różnych rolach administratorów, zobacz Administrator role permissions in Azure Active Directory (Uprawnienia ról administratorów w usłudze Azure Active Directory).
Subskrypcja platformy Azure Używana do płacenia za usługi platformy Azure w chmurze. Możesz mieć wiele subskrypcji. Są one połączone z kartą kredytową.
Dzierżawa platformy Azure dedykowane i zaufane wystąpienie usługi Azure AD. Dzierżawa jest tworzona automatycznie, gdy organizacja zarejestruje się w celu uzyskania subskrypcji usługi w chmurze Microsoft. Te subskrypcje obejmują Microsoft Azure, Microsoft Intune lub Microsoft 365. Dzierżawa usługi Azure reprezentuje jedną organizację.
Pojedyncza dzierżawa Dzierżawy platformy Azure, które uzyskują dostęp do innych usług w dedykowanym środowisku, są uznawane za jedną dzierżawę.
Wiele dzierżaw Dzierżawy platformy Azure, które uzyskują dostęp do innych usług w środowisku współużytkowanym przez wiele organizacji, są uznawane za wiele dzierżaw.
Katalog usługi Azure AD Każda dzierżawa platformy Azure ma dedykowany, zaufany katalog usługi Azure AD. Katalog usługi Azure AD zawiera użytkowników, grupy i aplikacje dzierżawy oraz jest używany do obsługi funkcji zarządzania tożsamościami i dostępem dla zasobów dzierżawy.
Domena niestandardowa Każdy nowy katalog Azure AD zawiera początkową nazwę domeny, na przykład domainname.onmicrosoft.com. Oprócz tej początkowej nazwy można również dodać nazwy domen organizacji. Nazwy domen organizacji obejmują nazwy używane do prowadzenia działalności biznesowej, a użytkownicy uzyskują dostęp do zasobów organizacji do listy. Dodanie niestandardowych nazw domen ułatwia tworzenie nazw użytkowników takich jak alain@contoso.com, które są znajome dla użytkowników.
Konto Microsoft (nazywane też kontem MSA) Konta osobiste, które zapewniają dostęp do zorientowanych na konsumentów Microsoft produktów i usług w chmurze. Te produkty i usługi obejmują programy Outlook, OneDrive, Xbox LIVE lub Microsoft 365. Konto Microsoft jest tworzone i przechowywane w systemie kont tożsamości konsumentów firmy Microsoft.

Następne kroki