Opis usług katalogowych platformy Azure

  • 6 min

Microsoft Entra ID to usługa katalogowa, która umożliwia logowanie się i uzyskiwanie dostępu zarówno do aplikacji w chmurze firmy Microsoft, jak i aplikacji w chmurze, które tworzysz. Identyfikator Entra firmy Microsoft może również pomóc w utrzymaniu wdrożenia lokalna usługa Active Directory.

W środowiskach lokalnych usługa Active Directory uruchomiona w systemie Windows Server udostępnia usługę zarządzania tożsamościami i dostępem zarządzaną przez organizację. Microsoft Entra ID to oparta na chmurze usługa zarządzania tożsamościami i dostępem firmy Microsoft. Dzięki identyfikatorowi Entra firmy Microsoft możesz kontrolować konta tożsamości, ale firma Microsoft zapewnia, że usługa jest dostępna globalnie. Jeśli pracujesz z usługą Active Directory, identyfikator Entra firmy Microsoft będzie Ci znany.

W przypadku zabezpieczania tożsamości lokalnych przy użyciu usługi Active Directory firma Microsoft nie monitoruje prób logowania. Po połączeniu usługi Active Directory z identyfikatorem Entra firmy Microsoft firma Microsoft może pomóc w ochronie, wykrywając podejrzane próby logowania bez dodatkowych kosztów. Na przykład identyfikator Entra firmy Microsoft może wykrywać próby logowania z nieoczekiwanych lokalizacji lub nieznanych urządzeń.

KtoTo używa identyfikatora Entra firmy Microsoft?

Identyfikator Entra firmy Microsoft jest przeznaczony dla:

  • Administratorzy IT. Administracja istratorzy mogą użyć identyfikatora Entra firmy Microsoft do kontrolowania dostępu do aplikacji i zasobów na podstawie ich wymagań biznesowych.
  • Deweloperzy aplikacji. Deweloperzy mogą używać identyfikatora Entra firmy Microsoft do zapewnienia opartego na standardach podejścia do dodawania funkcjonalności do aplikacji, które tworzą, takich jak dodawanie funkcji logowania jednokrotnego do aplikacji lub umożliwienie aplikacji pracy z istniejącymi poświadczeniami użytkownika.
  • Użytkownicy. Użytkownicy mogą zarządzać swoimi tożsamościami i podejmować działania konserwacyjne, takie jak samoobsługowe resetowanie hasła.
  • Subskrybenci usług online. Subskrybenci usługi Microsoft 365, Microsoft Office 365, Azure i Microsoft Dynamics CRM Online już używają identyfikatora Entra firmy Microsoft do uwierzytelniania na swoim koncie.

Co robi identyfikator Entra firmy Microsoft?

Microsoft Entra ID udostępnia usługi, takie jak:

  • Uwierzytelnianie: obejmuje to weryfikowanie tożsamości w celu uzyskania dostępu do aplikacji i zasobów. Obejmuje również funkcje takie jak samoobsługowe resetowanie haseł, uwierzytelnianie wieloskładnikowe, niestandardowa lista zakazanych haseł i usługi inteligentnego blokowania.
  • Logowanie jednokrotne: logowanie jednokrotne umożliwia zapamiętanie tylko jednej nazwy użytkownika i jednego hasła w celu uzyskania dostępu do wielu aplikacji. Z użytkownikiem jest powiązana tylko jedna tożsamość, co upraszcza model zabezpieczeń. Gdy użytkownicy zmieniają role lub opuszczają organizację, modyfikacje dostępu są powiązane tylko z tą tożsamością, co znacznie zmniejsza nakład pracy potrzebny do zmiany lub wyłączenia kont.
  • Zarządzanie aplikacjami: możesz zarządzać aplikacjami w chmurze i lokalnymi przy użyciu identyfikatora Entra firmy Microsoft. Funkcje, takie jak serwer proxy aplikacji, aplikacje SaaS, portal Moje aplikacje i logowanie jednokrotne, zapewniają lepsze środowisko użytkownika.
  • Zarządzanie urządzeniami: wraz z kontami poszczególnych osób identyfikator Firmy Microsoft Entra obsługuje rejestrację urządzeń. Dzięki rejestracji urządzenia mogą być zarządzane przez narzędzia takie jak Microsoft Intune. Umożliwia również zasady dostępu warunkowego opartego na urządzeniach, aby ograniczyć próby dostępu tylko do tych, które pochodzą ze znanych urządzeń, niezależnie od żądania konta użytkownika.

Czy mogę połączyć lokalną usługę AD z identyfikatorem entra firmy Microsoft?

Jeśli masz środowisko lokalne z usługą Active Directory i wdrożeniem w chmurze przy użyciu identyfikatora Microsoft Entra ID, musisz zachować dwa zestawy tożsamości. Można jednak połączyć usługę Active Directory z identyfikatorem Entra firmy Microsoft, umożliwiając spójne środowisko tożsamości między chmurą i środowiskiem lokalnym.

Jedną z metod łączenia identyfikatora Entra firmy Microsoft z lokalną usługą AD jest użycie usługi Microsoft Entra Połączenie. Firma Microsoft Entra Połączenie synchronizuje tożsamości użytkowników między lokalna usługa Active Directory i identyfikatorem Entra firmy Microsoft. Firma Microsoft Entra Połączenie synchronizuje zmiany między obydwoma systemami tożsamości, dzięki czemu można używać takich funkcji jak logowanie jednokrotne, uwierzytelnianie wieloskładnikowe i samoobsługowe resetowanie haseł w obu systemach.

Co to jest usługa Microsoft Entra Domain Services?

Microsoft Entra Domain Services to usługa, która zapewnia zarządzane usługi domenowe, takie jak przyłączenie do domeny, zasady grupy, uproszczony protokół dostępu do katalogu (LDAP) i uwierzytelnianie Kerberos/NTLM. Podobnie jak microsoft Entra ID umożliwia korzystanie z usług katalogowych bez konieczności obsługi infrastruktury obsługującej ją, dzięki usługom Microsoft Entra Domain Services możesz korzystać z usług domenowych bez konieczności wdrażania, zarządzania i stosowania poprawek kontrolerów domeny w chmurze.

Domena zarządzana usług Microsoft Entra Domain Services umożliwia uruchamianie starszych aplikacji w chmurze, które nie mogą używać nowoczesnych metod uwierzytelniania lub gdy nie chcesz, aby wyszukiwanie katalogów zawsze wracało do lokalnego środowiska usług AD DS. Możesz przenieść te starsze aplikacje ze środowiska lokalnego do domeny zarządzanej i przenieść je bez konieczności zarządzania środowiskiem usług AD DS w chmurze.

Usługi Microsoft Entra Domain Services integrują się z istniejącą dzierżawą firmy Microsoft Entra. Ta integracja umożliwia użytkownikom logowanie się do usług i aplikacji połączonych z domeną zarządzaną przy użyciu istniejących poświadczeń. Możesz również użyć istniejących grup i kont użytkowników, aby zabezpieczyć dostęp do zasobów. Te funkcje zapewniają bezproblemowe przenoszenie zasobów lokalnych na platformę Azure.

Jak działają usługi Microsoft Entra Domain Services?

Podczas tworzenia domeny zarządzanej usług Microsoft Entra Domain Services należy zdefiniować unikatową przestrzeń nazw. Ta przestrzeń nazw to nazwa domeny. Dwa kontrolery domeny systemu Windows Server są następnie wdrażane w wybranym regionie świadczenia usługi Azure. To wdrożenie kontrolerów domeny jest nazywane zestawem replik.

Nie musisz zarządzać, konfigurować ani aktualizować tych kontrolerów domeny. Platforma Azure obsługuje kontrolery domeny w ramach domeny zarządzanej, w tym kopie zapasowe i szyfrowanie magazynowane przy użyciu usługi Azure Disk Encryption.

Czy informacje są synchronizowane?

Domena zarządzana jest skonfigurowana do przeprowadzania jednokierunkowej synchronizacji z usługi Microsoft Entra ID do usług Microsoft Entra Domain Services. Zasoby można tworzyć bezpośrednio w domenie zarządzanej, ale nie są one synchronizowane z powrotem do identyfikatora Entra firmy Microsoft. W środowisku hybrydowym z lokalnym środowiskiem usług AD DS firma Microsoft Entra Połączenie synchronizuje informacje o tożsamości z identyfikatorem Entra firmy Microsoft, który jest następnie synchronizowany z domeną zarządzaną.

Diagram of Microsoft Entra Connect Sync synchronizing information back to the Microsoft Entra tenant from on-premises AD.

Aplikacje, usługi i maszyny wirtualne na platformie Azure, które łączą się z domeną zarządzaną, mogą następnie korzystać z typowych funkcji usług Microsoft Entra Domain Services, takich jak przyłączanie do domeny, zasady grupy, protokół LDAP i uwierzytelnianie Kerberos/NTLM.