Co to jest usługa Azure Active Directory?
Usługa Azure Active Directory (Azure AD) to chmurowa usługa do zarządzania tożsamościami i dostępem. Azure AD umożliwia pracownikom dostęp do zasobów zewnętrznych, takich jak platforma Microsoft 365, Azure Portal i tysiące innych aplikacji SaaS. Usługa Azure Active Directory pomaga również uzyskiwać dostęp do zasobów wewnętrznych, takich jak aplikacje w intranecie firmowym, oraz wszystkich aplikacji w chmurze opracowanych dla własnej organizacji. Aby dowiedzieć się, jak utworzyć dzierżawę, zobacz Szybki start: tworzenie nowej dzierżawy w usłudze Azure Active Directory.
Aby poznać różnice między usługami Active Directory i Azure Active Directory, zobacz Porównanie usługi Active Directory z usługą Azure Active Directory. Możesz również zapoznać się z plakatami z serii Microsoft Cloud for Enterprise Architects, aby lepiej zrozumieć podstawowe usługi tożsamości na platformie Azure, takie jak Azure AD i Microsoft-365.
Kto używa usługi Azure AD?
Azure AD zapewnia różne korzyści członkom organizacji na podstawie ich roli:
Administratorzy IT używają Azure AD do kontrolowania dostępu do aplikacji i zasobów aplikacji na podstawie wymagań biznesowych. Na przykład jako administrator IT możesz użyć Azure AD, aby wymagać uwierzytelniania wieloskładnikowego podczas uzyskiwania dostępu do ważnych zasobów organizacji. Możesz również użyć Azure AD do zautomatyzowania aprowizacji użytkowników między istniejącymi Windows Server AD i aplikacjami w chmurze, w tym platformą Microsoft 365. Ponadto usługa Azure AD zapewnia zaawansowane narzędzia, które automatycznie ułatwiają ochronę tożsamości użytkowników i poświadczeń zgodnie z wymaganiami nadzoru nad dostępem. Aby rozpocząć, utwórz konto bezpłatnej 30-dniowej wersji próbnej usługi Azure Active Directory w wersji Premium.
Deweloperzy aplikacji mogą używać Azure AD jako dostawcy uwierzytelniania opartego na standardach, który ułatwia dodawanie logowania jednokrotnego do aplikacji, które współdziałają z istniejącymi poświadczeniami użytkownika. Deweloperzy mogą również używać interfejsów API Azure AD do tworzenia spersonalizowanych środowisk przy użyciu danych organizacji. Aby rozpocząć, utwórz konto bezpłatnej 30-dniowej wersji próbnej usługi Azure Active Directory w wersji Premium. Aby uzyskać więcej informacji, możesz też przejść do strony Usługa Azure Active Directory dla deweloperów.
Subskrybenci usługi Microsoft 365, Office 365, Azure lub Dynamics CRM Online używają już Azure AD, ponieważ każda dzierżawa platformy Microsoft 365, Office 365, platformy Azure i usługi Dynamics CRM Online jest automatycznie dzierżawą usługi Azure AD. Możesz natychmiast rozpocząć zarządzanie dostępem do zintegrowanych aplikacji w chmurze.
Co to są licencje usługi Azure AD?
Usługi biznesowe online firmy Microsoft, takie jak Platforma Microsoft 365 lub Microsoft Azure, używają Azure AD do działań związanych z logowaniem i w celu ochrony tożsamości. Jeśli subskrybujesz dowolną usługę biznesową Microsoft Online, automatycznie uzyskasz dostęp do usługi Azure AD bezpłatnie.
Aby ulepszyć implementację Azure AD, możesz również dodać płatne funkcje, uaktualniając je do licencji Azure Active Directory — wersja Premium P1 lub Premium P2. Azure AD płatne licencje są oparte na istniejącym bezpłatnym katalogu. Licencje zapewniają samoobsługowe, ulepszone monitorowanie, raportowanie zabezpieczeń i bezpieczny dostęp dla użytkowników mobilnych.
Uwaga
Aby zapoznać się z cennikami tych licencji, zobacz Azure Active Directory — cennik.
Aby uzyskać więcej informacji o cenach Azure AD, skontaktuj się z forum usługi Azure Active Directory.
Usługa Azure Active Directory — wersja Bezpłatna. Zapewnia zarządzanie użytkownikami i grupami, synchronizację katalogów lokalnych, podstawowe raporty, samoobsługową zmianę hasła dla użytkowników chmury i logowanie jednokrotne na platformie Azure, platformie Microsoft 365 i wielu popularnych aplikacjach SaaS.
Usługa Azure Active Directory — wersja Premium P1. Oprócz funkcji bezpłatnych P1 umożliwia również użytkownikom hybrydowym dostęp do zasobów lokalnych i w chmurze. Obsługuje również zaawansowaną administrację, taką jak grupy dynamiczne, samoobsługowe zarządzanie grupami, Microsoft Identity Manager i funkcje zapisywania zwrotnego w chmurze, które umożliwiają samoobsługowe resetowanie haseł dla użytkowników lokalnych.
Usługa Azure Active Directory — wersja Premium P2. Oprócz funkcji Bezpłatna i P1 usługa P2 oferuje również usługę Azure Active Directory Identity Protection, która pomaga zapewnić dostęp warunkowy oparty na ryzyku do aplikacji oraz krytyczne dane firmy oraz Privileged Identity Management, aby ułatwić odnajdywanie, ograniczanie i monitorowanie administratorów oraz ich dostępu do zasobów oraz zapewnienie dostępu just in time w razie potrzeby.
Licencje funkcji „Płatność zgodnie z rzeczywistym użyciem”. Możesz również uzyskać licencje na funkcje, takie jak Azure Active Directory Business-to-Customer (B2C). Usługa B2C może ułatwić zapewnianie rozwiązań do zarządzania tożsamościami i dostępem dla aplikacji udostępnianych klientom. Aby uzyskać więcej informacji, zobacz dokumentację usługi Azure Active Directory B2C.
Aby uzyskać więcej informacji na temat kojarzenia subskrypcji platformy Azure do Azure AD, zobacz Kojarzenie lub dodawanie subskrypcji platformy Azure do usługi Azure Active Directory. Aby uzyskać więcej informacji na temat przypisywania licencji do użytkowników, zobacz Instrukcje: przypisywanie lub usuwanie licencji usługi Azure Active Directory.
Które funkcje działają w usłudze Azure AD?
Po wybraniu licencji Azure AD uzyskasz dostęp do niektórych lub wszystkich następujących funkcji:
| Kategoria | Opis |
|---|---|
| Zarządzanie aplikacjami | Zarządzanie aplikacjami w chmurze i lokalnymi przy użyciu serwer proxy aplikacji, logowania jednokrotnego, portalu Moje aplikacje i aplikacji SaaS (Software as a Service). Aby uzyskać więcej informacji, zobacz temat Jak zapewnić bezpieczny, zdalny dostęp do aplikacji lokalnych i dokumentację zarządzania aplikacjami. |
| Authentication | Zarządzanie samoobsługowym resetowaniem haseł, uwierzytelnianiem wieloskładnikowym, niestandardowymi listami zakazanych haseł i inteligentną blokadą usługi Azure Active Directory. Aby uzyskać więcej informacji, zobacz dokumentację uwierzytelniania w usłudze Azure AD. |
| Usługa Azure Active Directory dla deweloperów | Tworzenie aplikacji, które obsługują logowanie za pomocą wszystkich tożsamości firmy Microsoft oraz uzyskują tokeny w celu wywoływania programu Microsoft Graph, innych interfejsów API firmy Microsoft lub niestandardowych interfejsów API. Aby uzyskać więcej informacji, zobacz Platforma tożsamości firmy Microsoft (Azure Active Directory dla deweloperów). |
| Działania między firmami (B2B) | Zarządzanie użytkownikami-gośćmi i partnerami zewnętrznymi przy zachowaniu kontroli nad danymi firmowymi. Aby uzyskać więcej informacji, zobacz dokumentację usługi Azure Active Directory B2B. |
| Działania między firmami i klientami (B2C) | Dostosowywanie i kontrolowanie sposobu tworzenia kont, logowania się i zarządzania profilami przez użytkowników podczas korzystania z aplikacji. Aby uzyskać więcej informacji, zobacz dokumentację usługi Azure Active Directory B2C. |
| Dostęp warunkowy | Zarządzanie dostępem do aplikacji w chmurze. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dotyczącą dostępu warunkowego w usłudze Azure AD. |
| Zarządzanie urządzeniami | Zarządzanie sposobem uzyskiwania dostępu do danych firmowych przez urządzenia w chmurze lub lokalne. Aby uzyskać więcej informacji, zobacz dokumentację zarządzania urządzeniami w usłudze Azure AD. |
| Usługi domenowe | Przyłączanie maszyn wirtualnych platformy Azure do domeny bez używania kontrolerów domeny. Aby uzyskać więcej informacji, zobacz dokumentację usług Azure AD Domain Services. |
| Użytkownicy korporacyjni | Zarządzanie przypisaniami licencji, dostęp do aplikacji i konfigurowanie delegatów przy użyciu grup i ról administratora. Aby uzyskać więcej informacji, zobacz dokumentację zarządzania użytkownikami usługi Azure Active Directory. |
| Tożsamość hybrydowa | Używanie programów Azure Active Directory Connect i Connect Health w celu udostępniania pojedynczej tożsamości użytkownika na potrzeby uwierzytelniania i autoryzacji we wszystkich zasobach, niezależnie od lokalizacji (w chmurze lub lokalnie). Aby uzyskać więcej informacji, zobacz dokumentację tożsamości hybrydowej. |
| Nadzór nad tożsamościami | Zarządzanie tożsamością w organizacji za pośrednictwem mechanizmów kontroli dostępu pracowników, partnerów biznesowych, dostawców, usług i aplikacji. Można też przeprowadzać przeglądy dostępu. Aby uzyskać więcej informacji, zobacz dokumentację zarządzania tożsamościami w usłudze Azure AD i temat Przeglądy dostępu w usłudze Azure AD. |
| Identity Protection | Wykrywanie potencjalnych luk w zabezpieczeniach wpływających na tożsamości w organizacji, konfigurowanie zasad w celu reagowania na podejrzane działania oraz podejmowanie odpowiednich działań w celu rozwiązywania problemów. Aby uzyskać więcej informacji, zobacz Usługa Azure AD Identity Protection. |
| Tożsamości zarządzane dla zasobów platformy Azure | Udostępnij usługom platformy Azure automatycznie zarządzaną tożsamość w Azure AD, która może uwierzytelniać dowolną usługę uwierzytelniania obsługiwaną przez Azure AD, w tym Key Vault. Aby uzyskać więcej informacji, zobacz Czym są tożsamości zarządzane dla zasobów platformy Azure?. |
| Privileged Identity Management (PIM) | Kontrolowanie i monitorowanie dostępu w organizacji oraz zarządzanie nim. Ta funkcja obejmuje dostęp do zasobów w usługach Azure AD i Azure oraz innych usługach Online firmy Microsoft, takich jak Microsoft 365 lub Intune. Aby uzyskać więcej informacji, zobacz Usługa Azure AD Privileged Identity Management. |
| Raporty i monitorowanie | Uzyskiwanie szczegółowych informacji dotyczących zabezpieczeń i wzorców użycia w danym środowisku. Aby uzyskać więcej informacji, zobacz Raporty i monitorowanie w usłudze Azure Active Directory. |
| Tożsamości obciążeń | Nadaj tożsamości obciążeniu oprogramowania (takie jak aplikacja, usługa, skrypt lub kontener) w celu uwierzytelniania i uzyskiwania dostępu do innych usług i zasobów. Aby uzyskać więcej informacji, zobacz często zadawane pytania dotyczące tożsamości obciążeń. |
Terminologia
Aby lepiej zrozumieć Azure AD i jego dokumentację, zalecamy zapoznanie się z następującymi terminami.
| Termin lub pojęcie | Opis |
|---|---|
| Tożsamość | Coś, co może być uwierzytelnione. Tożsamość może być użytkownikiem z nazwą użytkownika i hasłem. Tożsamości obejmują również aplikacje lub inne serwery, które mogą wymagać uwierzytelniania za pośrednictwem kluczy tajnych lub certyfikatów. |
| Konto | Tożsamość, która ma skojarzone z nim dane. Nie możesz mieć konta bez tożsamości. |
| Konto usługi Azure AD | Tożsamość utworzona za pośrednictwem Azure AD lub innej usługi w chmurze firmy Microsoft, takiej jak Microsoft 365. Tożsamości są przechowywane w usłudze Azure AD i dostępne dla subskrypcji usług w chmurze organizacji. To konto jest też czasami nazywane kontem służbowym. |
| Administrator konta | Ta klasyczna rola administratora subskrypcji określa właściciela subskrypcji odpowiedzialnego za rozliczenia. Ta rola umożliwia zarządzanie wszystkimi subskrypcjami na koncie. Aby uzyskać więcej informacji, zobacz Role platformy Azure, role Azure AD i klasyczne role administratora subskrypcji. |
| Administrator usługi | Ta klasyczna rola administratora subskrypcji umożliwia zarządzanie wszystkimi zasobami platformy Azure, włącznie z dostępem. Ta rola ma takie same uprawnienia dostępu co użytkownik, któremu przypisano rolę właściciela w zakresie subskrypcji. Aby uzyskać więcej informacji, zobacz Role platformy Azure, role Azure AD i klasyczne role administratora subskrypcji. |
| Właściciel | Ta rola ułatwia zarządzanie wszystkimi zasobami platformy Azure, włącznie z dostępem. Ta rola jest oparta na nowszym systemie autoryzacji o nazwie Kontrola dostępu oparta na rolach platformy Azure (Azure RBAC), która zapewnia szczegółowe zarządzanie dostępem do zasobów platformy Azure. Aby uzyskać więcej informacji, zobacz Role platformy Azure, role Azure AD i klasyczne role administratora subskrypcji. |
| Administrator globalny usługi Azure AD | Ta rola administratora jest automatycznie przypisywana osobie, która utworzyła dzierżawę usługi Azure AD. Może istnieć wielu administratorów globalnych, ale tylko administratorzy globalni mogą przypisywać użytkownikom role administratora (włącznie z przypisywaniem innych administratorów globalnych). Aby uzyskać więcej informacji o różnych rolach administratorów, zobacz Administrator role permissions in Azure Active Directory (Uprawnienia ról administratorów w usłudze Azure Active Directory). |
| Subskrypcja platformy Azure | Używana do płacenia za usługi platformy Azure w chmurze. Możesz mieć wiele subskrypcji. Są one połączone z kartą kredytową. |
| Dzierżawa platformy Azure | dedykowane i zaufane wystąpienie usługi Azure AD. Dzierżawa jest tworzona automatycznie po zarejestrowaniu się organizacji w celu uzyskania subskrypcji usługi w chmurze firmy Microsoft. Te subskrypcje obejmują platformę Microsoft Azure, Microsoft Intune lub platformę Microsoft 365. Dzierżawa usługi Azure reprezentuje jedną organizację. |
| Pojedyncza dzierżawa | Dzierżawy platformy Azure, które uzyskują dostęp do innych usług w dedykowanym środowisku, są uznawane za jedną dzierżawę. |
| Wiele dzierżaw | Dzierżawy platformy Azure, które uzyskują dostęp do innych usług w środowisku współużytkowanym przez wiele organizacji, są uznawane za wiele dzierżaw. |
| Katalog usługi Azure AD | Każda dzierżawa platformy Azure ma dedykowany, zaufany katalog usługi Azure AD. Katalog usługi Azure AD zawiera użytkowników, grupy i aplikacje dzierżawy oraz jest używany do obsługi funkcji zarządzania tożsamościami i dostępem dla zasobów dzierżawy. |
| Domena niestandardowa | Każdy nowy katalog Azure AD zawiera początkową nazwę domeny, na przykład domainname.onmicrosoft.com. Oprócz tej początkowej nazwy można również dodać nazwy domen organizacji. Nazwy domen organizacji obejmują nazwy używane do prowadzenia działalności biznesowej, a użytkownicy używają ich do uzyskiwania dostępu do zasobów organizacji do listy. Dodanie niestandardowych nazw domen ułatwia tworzenie nazw użytkowników takich jak alain@contoso.com, które są znajome dla użytkowników. |
| Konto Microsoft (nazywane też kontem MSA) | Konta osobiste, które zapewniają dostęp do produktów firmy Microsoft i usług w chmurze zorientowanych na konsumentów. Te produkty i usługi obejmują programy Outlook, OneDrive, Xbox LIVE lub Microsoft 365. Konto Microsoft jest tworzone i przechowywane w systemie kont tożsamości konsumentów firmy Microsoft. |