Microsoft Entra fundamentals (Podstawy firmy Microsoft)
Identyfikator entra firmy Microsoft zapewnia granicę tożsamości i dostępu dla zasobów platformy Azure i aplikacji zaufanych. Większość wymagań dotyczących separacji środowiska można spełnić za pomocą administracji delegowanej w jednej dzierżawie firmy Microsoft Entra. Ta konfiguracja zmniejsza obciążenie związane z zarządzaniem systemami. Jednak niektóre konkretne przypadki, na przykład kompletna izolacja zasobów i tożsamości, wymagają wielu dzierżaw.
Musisz określić architekturę separacji środowiska na podstawie Twoich potrzeb. Obszary, które należy wziąć pod uwagę, obejmują:
Separacja zasobów. Jeśli zasób może zmienić obiekty katalogu, takie jak obiekty użytkownika, a zmiana będzie zakłócać inne zasoby, zasób może być odizolowany w architekturze wielodostępnej.
Separacja konfiguracji. Konfiguracje dla całej dzierżawy mają wpływ na wszystkie zasoby. Wpływ niektórych konfiguracji dla całej dzierżawy można ograniczyć przy użyciu zasad dostępu warunkowego i innych metod. Jeśli potrzebujesz różnych konfiguracji dzierżawy, które nie mogą być objęte zakresem zasad dostępu warunkowego, może być potrzebna architektura wielodostępna.
Separacja administracyjna. Można delegować administrowanie grupami zarządzania, subskrypcjami, grupami zasobów, zasobami i niektórymi zasadami w ramach jednej dzierżawy. Administrator globalny zawsze ma dostęp do wszystkich elementów w dzierżawie. Jeśli musisz upewnić się, że środowisko nie udostępnia administratorom innego środowiska, potrzebujesz architektury wielodostępnej.
Aby zachować bezpieczeństwo, należy postępować zgodnie z najlepszymi rozwiązaniami dotyczącymi aprowizacji tożsamości, zarządzania uwierzytelnianiem, ładu tożsamości, zarządzania cyklem życia i operacji spójnych we wszystkich dzierżawach.
Terminologia
Ta lista terminów jest często skojarzona z identyfikatorem Entra firmy Microsoft i dotyczy tej zawartości:
Dzierżawa firmy Microsoft Entra. Dedykowane i zaufane wystąpienie identyfikatora Entra firmy Microsoft, które jest tworzone automatycznie podczas tworzenia konta organizacji w celu uzyskania subskrypcji usługi w chmurze firmy Microsoft. Przykłady subskrypcji to Microsoft Azure, Microsoft Intune lub Microsoft 365. Dzierżawa firmy Microsoft Entra zazwyczaj reprezentuje jedną organizację lub granicę zabezpieczeń. Dzierżawa firmy Microsoft Entra obejmuje użytkowników, grupy, urządzenia i aplikacje używane do zarządzania tożsamościami i dostępem (IAM) dla zasobów dzierżawy.
Środowisko. W kontekście tej zawartości środowisko jest kolekcją subskrypcji platformy Azure, zasobów platformy Azure i aplikacji skojarzonych z co najmniej jednym zestawem microsoft Entra. Dzierżawa firmy Microsoft Entra udostępnia płaszczyznę kontroli tożsamości w celu zarządzania dostępem do tych zasobów.
Środowisko produkcyjne. W kontekście tej zawartości środowisko produkcyjne to środowisko na żywo z infrastrukturą i usługami, z którymi użytkownicy końcowi bezpośrednio korzystają. Na przykład środowisko firmowe lub klienckie.
Środowisko nieprodukcyjne. W kontekście tej zawartości środowisko nieprodukcyjne odwołuje się do środowiska używanego w następujących celach:
Opracowywanie zawartości
Testowanie
Cele laboratorium
Środowiska nieprodukcyjne są często określane jako środowiska piaskownicy.
Tożsamość. Tożsamość to obiekt katalogu, który można uwierzytelnić i autoryzować w celu uzyskania dostępu do zasobu. Obiekty tożsamości istnieją dla tożsamości człowieka i tożsamości nieludzkich. Nieludzkie jednostki obejmują:
Obiekty aplikacji
Tożsamości obciążeń (wcześniej opisane jako zasady usługi)
Tożsamości zarządzane
Urządzenia
Tożsamości człowieka to obiekty użytkownika, które zazwyczaj reprezentują osoby w organizacji. Te tożsamości są tworzone i zarządzane bezpośrednio w identyfikatorze Entra firmy Microsoft lub są synchronizowane z lokalna usługa Active Directory do identyfikatora Entra firmy Microsoft dla danej organizacji. Te typy tożsamości są określane jako tożsamości lokalne. Mogą również istnieć obiekty użytkowników zaproszone przez organizację partnera lub dostawcę tożsamości społecznościowych przy użyciu współpracy microsoft Entra B2B. W tej zawartości odwołujemy się do tego typu tożsamości jako tożsamości zewnętrznych.
Tożsamości inne niż ludzkie obejmują żadną tożsamość, która nie jest skojarzona z człowiekiem. Ten typ tożsamości to obiekt, taki jak aplikacja, która wymaga uruchomienia tożsamości. W tej zawartości odwołujemy się do tego typu tożsamości jako tożsamości obciążenia. Różne terminy służą do opisywania tego typu tożsamości, w tym obiektów aplikacji i jednostek usługi.
Obiekt aplikacji. Aplikacja Firmy Microsoft Entra jest definiowana przez jej obiekt aplikacji. Obiekt znajduje się w dzierżawie firmy Microsoft Entra, w której zarejestrowano aplikację. Dzierżawa jest znana jako "domowa" dzierżawa aplikacji.
Aplikacje z jedną dzierżawą są tworzone tak, aby autoryzować tylko tożsamości pochodzące z dzierżawy "macierzystej".
Aplikacje wielodostępne umożliwiają uwierzytelnianie tożsamości z dowolnej dzierżawy firmy Microsoft Entra.
Obiekt jednostki usługi. Chociaż istnieją wyjątki, obiekty aplikacji można uznać za definicję aplikacji. Obiekty jednostki usługi można traktować jako wystąpienie aplikacji. Jednostki usługi zwykle odwołują się do obiektu aplikacji, a jeden obiekt aplikacji jest przywołyny przez wiele jednostek usługi w różnych katalogach.
Obiekty jednostki usługi są również tożsamościami katalogu, które mogą wykonywać zadania niezależnie od interwencji człowieka. Jednostka usługi definiuje zasady dostępu i uprawnienia dla użytkownika lub aplikacji w dzierżawie firmy Microsoft Entra. Ten mechanizm umożliwia korzystanie z podstawowych funkcji, takich jak uwierzytelnianie użytkownika lub aplikacji podczas logowania i autoryzacji podczas uzyskiwania dostępu do zasobów.
Identyfikator entra firmy Microsoft umożliwia uwierzytelnianie obiektów aplikacji i jednostki usługi przy użyciu hasła (znanego również jako wpis tajny aplikacji) lub certyfikatu. Nie zaleca się używania haseł dla jednostek usługi i zalecamy używanie certyfikatu , jeśli jest to możliwe.
Tożsamości zarządzane dla zasobów platformy Azure. Tożsamości zarządzane to specjalne jednostki usługi w identyfikatorze Entra firmy Microsoft. Ten typ jednostki usługi może służyć do uwierzytelniania w usługach, które obsługują uwierzytelnianie firmy Microsoft Entra bez konieczności przechowywania poświadczeń w kodzie lub obsługi zarządzania wpisami tajnymi. Aby uzyskać więcej informacji, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure?
Tożsamość urządzenia: tożsamość urządzenia sprawdza, czy urządzenie w przepływie uwierzytelniania przeszedł proces potwierdzania, że urządzenie jest uzasadnione i spełnia wymagania techniczne. Po pomyślnym zakończeniu tego procesu przez urządzenie skojarzona tożsamość może służyć do dalszej kontroli dostępu do zasobów organizacji. Za pomocą identyfikatora Entra firmy Microsoft urządzenia mogą uwierzytelniać się przy użyciu certyfikatu.
Niektóre starsze scenariusze wymagały użycia ludzkiej tożsamości w nieludzkich scenariuszach. Na przykład gdy konta usług używane w aplikacjach lokalnych, takich jak skrypty lub zadania wsadowe, wymagają dostępu do identyfikatora Entra firmy Microsoft. Ten wzorzec nie jest zalecany i zalecamy używanie certyfikatów. Jeśli jednak używasz tożsamości człowieka z hasłem do uwierzytelniania, chroń konta Microsoft Entra za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft.
Tożsamość hybrydowa. Tożsamość hybrydowa to tożsamość, która obejmuje środowiska lokalne i chmurowe. Rozwiązanie hybrydowe zapewnia możliwość korzystania z tej samej tożsamości w celu uzyskania dostępu do zasobów lokalnych i w chmurze. Źródło urzędu w tym scenariuszu jest zazwyczaj katalogiem lokalnym, a cykl życia tożsamości wokół aprowizacji, anulowania aprowizacji i przypisywania zasobów jest również oparty na środowisku lokalnym. Aby uzyskać więcej informacji, zobacz dokumentację tożsamości hybrydowej.
Obiekty katalogu. Dzierżawa firmy Microsoft Entra zawiera następujące typowe obiekty:
Obiekty użytkownika reprezentują tożsamości człowieka i nieludzkie tożsamości dla usług, które obecnie nie obsługują jednostek usługi. Obiekty użytkownika zawierają atrybuty, które mają wymagane informacje o użytkowniku, w tym dane osobowe, członkostwo w grupach, urządzenia i role przypisane do użytkownika.
Obiekty urządzeń reprezentują urządzenia skojarzone z dzierżawą firmy Microsoft Entra. Obiekty urządzeń zawierają atrybuty, które mają wymagane informacje o urządzeniu. Te obiekty obejmują system operacyjny, skojarzony użytkownik, stan zgodności i charakter skojarzenia z dzierżawą firmy Microsoft Entra. To skojarzenie może mieć wiele form w zależności od charakteru interakcji i poziomu zaufania urządzenia.
Przyłączone do domeny hybrydowej. Urządzenia należące do organizacji i przyłączone do lokalna usługa Active Directory i identyfikatora Entra firmy Microsoft. Zazwyczaj urządzenie zakupione i zarządzane przez organizację i zarządzane przez program System Center Configuration Manager.
Przyłączono do domeny Firmy Microsoft Entra. Urządzenia należące do organizacji i przyłączone do dzierżawy firmy Microsoft Entra w organizacji. Zazwyczaj urządzenie zakupione i zarządzane przez organizację, która jest przyłączona do identyfikatora Entra firmy Microsoft i zarządzane przez usługę, taką jak Microsoft Intune.
Zarejestrowano firmę Microsoft Entra. Urządzenia nienależące do organizacji, na przykład urządzenie osobiste używane do uzyskiwania dostępu do zasobów firmy. Organizacje mogą wymagać zarejestrowania urządzenia za pośrednictwem usługi Mobile Zarządzanie urządzeniami (MDM) lub wymuszone za pośrednictwem zarządzania aplikacjami mobilnymi (MAM) bez rejestracji w celu uzyskania dostępu do zasobów. Usługa, taka jak Microsoft Intune, może zapewnić tę możliwość.
Obiekty grupy zawierają obiekty do celów przypisywania dostępu do zasobów, stosowania kontrolek lub konfiguracji. Obiekty grupy zawierają atrybuty, które mają wymagane informacje o grupie, w tym nazwę, opis, członków grupy, właścicieli grup i typ grupy. Grupy w usłudze Microsoft Entra ID przyjmują wiele formularzy na podstawie wymagań organizacji. Te wymagania można spełnić przy użyciu identyfikatora Entra firmy Microsoft lub zsynchronizować z usługami lokalna usługa Active Directory Domain Services (AD DS).
Przypisane grupy. W przypisanych grupach użytkownicy są dodawani do grupy lub usuwani z grupy ręcznie, synchronizowani z lokalnych usług AD DS lub aktualizowani w ramach zautomatyzowanego przepływu pracy skryptów. Przypisaną grupę można zsynchronizować z lokalnych usług AD DS lub być w domu w usłudze Microsoft Entra ID.
Dynamiczne grupy członkostwa. W grupach członkostwa dynamicznego opartego na atrybutach użytkownicy są przypisywani do grupy automatycznie na podstawie zdefiniowanych atrybutów. Ten scenariusz umożliwia dynamiczne aktualizowanie członkostwa w grupach na podstawie danych przechowywanych w obiektach użytkownika. Grupę członkostwa dynamicznego można utworzyć tylko w identyfikatorze Entra firmy Microsoft.
Konto Microsoft (MSA). Subskrypcje i dzierżawy platformy Azure można tworzyć przy użyciu kont Microsoft (MSA). Konto Microsoft jest kontem osobistym (w przeciwieństwie do konta organizacyjnego) i jest często używane przez deweloperów i w scenariuszach wersji próbnej. W przypadku użycia konto osobiste jest zawsze gościem w dzierżawie firmy Microsoft Entra.
Obszary funkcjonalne firmy Microsoft Entra
Te obszary funkcjonalne są udostępniane przez identyfikator Entra firmy Microsoft, które są istotne dla izolowanych środowisk. Aby dowiedzieć się więcej na temat możliwości identyfikatora Entra firmy Microsoft, zobacz Co to jest identyfikator Entra firmy Microsoft?.
Uwierzytelnianie
Uwierzytelnianie. Identyfikator Entra firmy Microsoft zapewnia obsługę protokołów uwierzytelniania zgodnych z otwartymi standardami, takimi jak OpenID Connect, OAuth i SAML. Usługa Microsoft Entra ID udostępnia również funkcje umożliwiające organizacjom sfederowanie istniejących lokalnych dostawców tożsamości, takich jak usługi Active Directory Federation Services (AD FS) w celu uwierzytelniania dostępu do zintegrowanych aplikacji firmy Microsoft.
Microsoft Entra ID udostępnia wiodące w branży opcje silnego uwierzytelniania, których organizacje mogą używać do zabezpieczania dostępu do zasobów. Funkcje uwierzytelniania wieloskładnikowego firmy Microsoft, uwierzytelniania urządzeń i bez hasła umożliwiają organizacjom wdrażanie opcji silnego uwierzytelniania, które odpowiadają wymaganiom pracowników.
Logowanie jednokrotne (SSO). Po zalogowaniu jednokrotnym użytkownicy logowali się raz przy użyciu jednego konta, aby uzyskać dostęp do wszystkich zasobów, które ufają katalogowi, takim jak urządzenia przyłączone do domeny, zasoby firmy, aplikacje saas (software as a service) i wszystkie zintegrowane aplikacje firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Logowanie jednokrotne do aplikacji w usłudze Microsoft Entra ID.
Autoryzacja
Przypisanie dostępu do zasobów. Identyfikator Entra firmy Microsoft zapewnia i zabezpiecza dostęp do zasobów. Przypisywanie dostępu do zasobu w usłudze Microsoft Entra ID można wykonać na dwa sposoby:
Przypisanie użytkownika: użytkownik ma bezpośrednio przypisany dostęp do zasobu, a do użytkownika przypisano odpowiednią rolę lub uprawnienie.
Przypisanie grupy: grupa zawierająca co najmniej jednego użytkownika jest przypisana do zasobu, a do grupy jest przypisana odpowiednia rola lub uprawnienie
Zasady dostępu do aplikacji. Microsoft Entra ID zapewnia możliwości dalszego kontrolowania i zabezpieczania dostępu do aplikacji organizacji.
Dostęp warunkowy. Zasady dostępu warunkowego firmy Microsoft Entra to narzędzia umożliwiające przejście kontekstu użytkownika i urządzenia do przepływu autoryzacji podczas uzyskiwania dostępu do zasobów firmy Microsoft Entra. Organizacje powinny eksplorować użycie zasad dostępu warunkowego, aby umożliwić, odmówić lub ulepszyć uwierzytelnianie na podstawie użytkownika, ryzyka, urządzenia i kontekstu sieciowego. Aby uzyskać więcej informacji, zobacz dokumentację dotyczącą dostępu warunkowego firmy Microsoft.
Ochrona tożsamości Microsoft Entra. Ta funkcja umożliwia organizacjom automatyzowanie wykrywania i korygowania zagrożeń opartych na tożsamościach, badania ryzyka i eksportowania danych wykrywania ryzyka do narzędzi innych firm w celu dalszej analizy. Aby uzyskać więcej informacji, zobacz omówienie Ochrona tożsamości Microsoft Entra.
Administracja
Zarządzanie tożsamością. Microsoft Entra ID udostępnia narzędzia do zarządzania cyklem życia tożsamości użytkowników, grup i urządzeń. Firma Microsoft Entra Connect umożliwia organizacjom rozszerzanie bieżącego, lokalnego rozwiązania do zarządzania tożsamościami do chmury. Firma Microsoft Entra Connect zarządza aprowizowaniem, anulowaniem aprowizacji i aktualizacjami tych tożsamości w usłudze Microsoft Entra ID.
Microsoft Entra ID udostępnia również portal i interfejs API programu Microsoft Graph, aby umożliwić organizacjom zarządzanie tożsamościami lub integrowanie zarządzania tożsamościami firmy Microsoft Entra z istniejącymi przepływami pracy lub automatyzacją. Aby dowiedzieć się więcej na temat programu Microsoft Graph, zobacz Korzystanie z interfejsu API programu Microsoft Graph.
Zarządzanie urządzeniami. Identyfikator Entra firmy Microsoft służy do zarządzania cyklem życia i integracją z infrastrukturami zarządzania urządzeniami w chmurze i lokalnymi. Służy również do definiowania zasad w celu kontrolowania dostępu z urządzeń w chmurze lub lokalnych do danych organizacji. Identyfikator entra firmy Microsoft udostępnia usługi cyklu życia urządzeń w katalogu i aprowizację poświadczeń w celu włączenia uwierzytelniania. Zarządza również atrybutem klucza urządzenia w systemie, który jest poziomem zaufania. Ten szczegół jest ważny podczas projektowania zasad dostępu do zasobów. Aby uzyskać więcej informacji, zobacz dokumentację usługi Microsoft Entra Zarządzanie urządzeniami.
Zarządzanie konfiguracją. Identyfikator entra firmy Microsoft zawiera elementy usługi, które należy skonfigurować i którymi można zarządzać, aby upewnić się, że usługa jest skonfigurowana zgodnie z wymaganiami organizacji. Te elementy obejmują zarządzanie domenami, konfigurację logowania jednokrotnego i zarządzanie aplikacjami, ale kilka. Microsoft Entra ID udostępnia portal i interfejs API programu Microsoft Graph, aby umożliwić organizacjom zarządzanie tymi elementami lub integrację z istniejącymi procesami. Aby dowiedzieć się więcej na temat programu Microsoft Graph, zobacz Korzystanie z interfejsu API programu Microsoft Graph.
Ład korporacyjny
Cykl życia tożsamości. Identyfikator entra firmy Microsoft udostępnia możliwości tworzenia, pobierania, usuwania i aktualizowania tożsamości w katalogu, w tym tożsamości zewnętrznych. Microsoft Entra ID udostępnia również usługi automatyzowania cyklu życia tożsamości w celu zapewnienia, że jest on utrzymywany zgodnie z potrzebami organizacji. Na przykład użycie przeglądów dostępu w celu usunięcia użytkowników zewnętrznych, którzy nie zalogowali się jeszcze przez określony okres.
Raportowanie i analiza. Ważnym aspektem zapewniania ładu tożsamości jest wgląd w akcje użytkownika. Identyfikator Entra firmy Microsoft zapewnia wgląd w wzorce zabezpieczeń i użycia środowiska. Te szczegółowe informacje obejmują szczegółowe informacje na temat:
Do czego uzyskują dostęp użytkownicy
Skąd uzyskują dostęp
Używane urządzenia
Aplikacje używane do uzyskiwania dostępu
Identyfikator Entra firmy Microsoft zawiera również informacje na temat akcji wykonywanych w ramach identyfikatora Entra firmy Microsoft oraz raportów dotyczących zagrożeń bezpieczeństwa. Aby uzyskać więcej informacji, zobacz Microsoft Entra reports and monitoring (Raporty i monitorowanie firmy Microsoft).
Inspekcja. Inspekcja zapewnia możliwość śledzenia za pośrednictwem dzienników dla wszystkich zmian wprowadzonych przez określone funkcje w ramach identyfikatora Entra firmy Microsoft. Przykłady działań znalezionych w dziennikach inspekcji obejmują zmiany wprowadzone w dowolnych zasobach w ramach identyfikatora Entra firmy Microsoft, takie jak dodawanie lub usuwanie użytkowników, aplikacji, grup, ról i zasad. Raportowanie w usłudze Microsoft Entra ID umożliwia inspekcję działań logowania, ryzykownych logów i użytkowników oflagowanych pod kątem ryzyka. Aby uzyskać więcej informacji, zobacz Inspekcja raportów aktywności w witrynie Azure Portal.
Uzyskiwanie dostępu do certyfikacji. Certyfikacja dostępu to proces udowodnienia, że użytkownik ma prawo mieć dostęp do zasobu w danym momencie. Przeglądy dostępu firmy Microsoft Entra stale przeglądają członkostwa w grupach lub aplikacjach i zapewniają szczegółowe informacje, aby określić, czy dostęp jest wymagany, czy powinien zostać usunięty. Ten certyfikat umożliwia organizacjom efektywne zarządzanie członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról, aby upewnić się, że tylko odpowiednie osoby nadal mają dostęp. Aby uzyskać więcej informacji, zobacz Co to są przeglądy dostępu firmy Microsoft Entra?
Dostęp uprzywilejowany. Usługa Microsoft Entra Privileged Identity Management (PIM) zapewnia aktywację roli opartą na czasie i zatwierdzania w celu ograniczenia ryzyka nadmiernego, niepotrzebnego lub nieprawidłowego użycia uprawnień dostępu do zasobów platformy Azure. Służy do ochrony uprzywilejowanych kont przez obniżenie czasu ujawnienia uprawnień i zwiększenie wglądu w ich użycie za pośrednictwem raportów i alertów.
Samoobsługowe zarządzanie
Rejestracja poświadczeń. Usługa Microsoft Entra ID zapewnia możliwości zarządzania wszystkimi aspektami cyklu życia tożsamości użytkownika i możliwościami samoobsługi w celu zmniejszenia obciążenia działu pomocy technicznej organizacji.
Zarządzanie grupami. Identyfikator Entra firmy Microsoft udostępnia możliwości, które umożliwiają użytkownikom żądanie członkostwa w grupie na potrzeby dostępu do zasobów. Użyj identyfikatora Entra firmy Microsoft, aby utworzyć grupy, których można użyć do zabezpieczania zasobów lub współpracy. W związku z tym organizacje mogą korzystać z odpowiednich mechanizmów kontroli, które wprowadziły w celu kontrolowania tych możliwości.
Zarządzanie tożsamościami i dostępem użytkowników (IAM)
Azure AD B2C. Azure AD B2C to usługa, która może być włączona w subskrypcji platformy Azure w celu zapewnienia tożsamości użytkownikom aplikacji przeznaczonych dla klientów w organizacji. Ta usługa jest oddzielną ofertą tożsamości, dlatego ci użytkownicy zwykle nie pojawiają się w dzierżawie firmy Microsoft Entra w organizacji. Usługa Azure AD B2C jest zarządzana przez administratorów w dzierżawie skojarzonej z subskrypcją platformy Azure.