Opis typów tożsamości

  • 11 min

W usłudze Microsoft Entra ID istnieją różne typy obsługiwanych tożsamości. Pojęcia przedstawione w tej jednostce lekcyjnej to tożsamości użytkowników, tożsamości obciążeń, tożsamości urządzeń, tożsamości zewnętrzne i tożsamości hybrydowe.

Gdy zadajesz pytanie, do czego mogę przypisać tożsamość w identyfikatorze Entra firmy Microsoft, istnieją trzy kategorie.

  • Tożsamości można przypisywać do osób (ludzi), nazywanych tożsamościami użytkowników.
  • Tożsamości można przypisywać do urządzeń fizycznych, takich jak telefony komórkowe, komputery stacjonarne i urządzenia IoT.
  • Tożsamości można przypisywać do obiektów opartych na oprogramowaniu, takich jak aplikacje, maszyny wirtualne, usługi i kontenery. Te typy tożsamości są określane jako tożsamości obciążeń.

Diagram blokowy przedstawiający kategorie typów tożsamości. Kategorie składają się z tożsamości obciążeń, tożsamości urządzeń i tożsamości człowieka. Tożsamości obciążeń i urządzeń są grupowane w ramach tożsamości maszyn.

W tej lekcji rozważymy każdy typ tożsamości Microsoft Entra.

Użytkownik

Tożsamości użytkowników reprezentują osoby, takie jak pracownicy i użytkownicy zewnętrzni (klienci, konsultanti, dostawcy i partnerzy). W usłudze Microsoft Entra ID tożsamości użytkowników charakteryzują się sposobem uwierzytelniania i właściwości typu użytkownika.

Sposób uwierzytelniania użytkownika względem dzierżawy Microsoft Entra organizacji hostującej może być wewnętrzny lub zewnętrzny. Uwierzytelnianie wewnętrzne oznacza, że użytkownik ma konto w Microsoft Entra ID organizacji hosta. Uwierzytelnianie zewnętrzne oznacza, że użytkownik uwierzytelnia się przy użyciu zewnętrznego konta microsoft Entra, tożsamości sieci społecznościowej lub innego zewnętrznego dostawcy tożsamości.

Właściwość typu użytkownika opisuje relację użytkownika z dzierżawą organizacji hosta. Użytkownik może być gościem lub członkiem dzierżawy Microsoft Entra organizacji. Domyślnie goście mają ograniczone uprawnienia względem członków.

Cztery na cztery macierze przedstawiające typy tożsamości użytkowników obsługiwane na podstawie tego, czy są użytkownikami-gośćmi, czy członkami. Macierz pokazuje również typ użytkownika na podstawie tego, czy korzystają z uwierzytelniania wewnętrznego, czy zewnętrznego.

  • Członek wewnętrzny: ci użytkownicy są zwykle traktowani jako pracownicy twojej organizacji. Użytkownik uwierzytelnia się wewnętrznie za pośrednictwem Microsoft Entra ID swojej organizacji, a obiekt użytkownika utworzony w zasobie Microsoft Entra Directory ma typ użytkownika 'Członek'.
  • Gość zewnętrzny: zewnętrzni użytkownicy lub goście, w tym konsultantzy, dostawcy i partnerzy, zazwyczaj należą do tej kategorii. Użytkownik uwierzytelnia się przy użyciu zewnętrznego konta microsoft Entra lub zewnętrznego dostawcy tożsamości (takiego jak tożsamość społecznościowa), a jego obiekt użytkownika ma typ użytkownika gościa.
  • Członek zewnętrzny: ten scenariusz jest typowy w organizacjach składających się z wielu jednostek. Jeśli na przykład dzierżawy Microsoft Entra dla Contoso i Fabrikam znajdują się w jednej dużej organizacji, użytkownicy Contoso mogą być skonfigurowani w katalogu Fabrikam Microsoft Entra, aby uwierzytelniać się przy użyciu konta Contoso (zewnętrznego dla Fabrikam), ale mają typ użytkownika "Członek", co umożliwia dostęp na poziomie członka do zasobów Fabrikam.
  • Gość wewnętrzny: Ten scenariusz ma miejsce, gdy organizacje konfigurują Microsoft Entra wewnętrzne konta dla użytkowników zewnętrznych, takich jak dystrybutorów lub dostawców, ale oznaczają ich jako gości, ustawiając obiekt użytkownika UserType na Gość. Jest to scenariusz w starszej wersji, ponieważ jest teraz częściej używany do współpracy B2B, gdzie użytkownicy mogą używać własnych poświadczeń.

Goście zewnętrzni i zewnętrzni członkowie to użytkownicy współpracy B2B, którzy należą do zewnętrznych tożsamości w Microsoft Entra ID, opisanych w kolejnej jednostce.

Tożsamości obciążeń

Tożsamość robocza to tożsamość przypisana obciążeniu oprogramowania, aby umożliwić uwierzytelnianie oraz dostęp do innych usług i zasobów.

Zabezpieczanie tożsamości obciążenia roboczego jest ważne, ponieważ obciążenie operacyjne może obsługiwać wiele poświadczeń do uzyskiwania dostępu do różnych zasobów, a te poświadczenia muszą być przechowywane w sposób bezpieczny. Trudno jest również śledzić, kiedy jest tworzona tożsamość obciążenia roboczego lub kiedy powinna zostać wycofana. Identyfikator obciążenia firmy Microsoft Entra pomaga rozwiązać te problemy.

W firmie Microsoft Entra tożsamości obciążeń to aplikacje, jednostki usługi i tożsamości zarządzane.

Aplikacje i zasady usługi

Główna tożsamość usługi to zasadniczo tożsamość dla aplikacji. Aby aplikacja delegować swoje funkcje tożsamości i dostępu do identyfikatora Entra firmy Microsoft, należy najpierw zarejestrować aplikację w usłudze Microsoft Entra ID, aby umożliwić jej integrację. Po zarejestrowaniu aplikacji jednostka usługi jest tworzona w każdej dzierżawie firmy Microsoft Entra, w której jest używana aplikacja. Jednostka usługi umożliwia korzystanie z podstawowych funkcji, takich jak uwierzytelnianie i autoryzacja aplikacji do zasobów zabezpieczonych przez dzierżawę firmy Microsoft Entra.

Aby jednostki usługi uzyskiwały dostęp do zasobów, deweloperzy aplikacji muszą zarządzać poświadczeniami i chronić je. Tożsamości zarządzane ułatwiają odciążanie tej odpowiedzialności od deweloperów.

Tożsamości zarządzane

Zarządzane tożsamości są typem głównego elementu usługi. Tożsamości zarządzane są automatycznie w usłudze Microsoft Entra ID, eliminując konieczność zarządzania danymi uwierzytelniającymi przez deweloperów. Tożsamości zarządzane zapewniają tożsamość aplikacji do użycia podczas nawiązywania połączenia z zasobami platformy Azure, które obsługują uwierzytelnianie firmy Microsoft Entra i mogą być używane bez dodatkowych kosztów.

Diagram pokazujący, jak deweloper może używać tożsamości zarządzanych do uzyskiwania dostępu do zasobów z kodu bez zarządzania poświadczeniami.

Istnieją dwa typy tożsamości zarządzanych: przypisana przez system i przypisana przez użytkownika.

  • Przypisane przez system. Niektóre zasoby platformy Azure, takie jak maszyny wirtualne, umożliwiają włączenie tożsamości zarządzanej bezpośrednio w zasobie. Po włączeniu tożsamości zarządzanej przypisanej przez system, tożsamość ta jest tworzona w usłudze Microsoft Entra i powiązana z cyklem życia tego zasobu Azure. Po usunięciu zasobu platforma Azure automatycznie usunie Twoją tożsamość.

  • Przypisana przez użytkownika. Możesz również utworzyć tożsamość zarządzaną jako autonomiczny zasób platformy Azure. Po utworzeniu tożsamości zarządzanej użytkownika, możesz przypisać ją do jednego lub więcej wystąpień usługi Azure. W przypadku tożsamości zarządzanych przypisanych przez użytkownika tożsamość jest zarządzana oddzielnie od zasobów, które go używają. Usunięcie zasobów korzystających z tożsamości zarządzanej przypisanej przez użytkownika nie powoduje usunięcia tożsamości; należy je jawnie usunąć.

Tożsamości agentów

Ponieważ agenci sztucznej inteligencji stają się bardziej rozpowszechniony w organizacjach, zabezpieczenie dostępu do zasobów ma kluczowe znaczenie. Identyfikator programu Microsoft Entra Agent rozszerza możliwości zarządzania tożsamościami i dostępem do agentów sztucznej inteligencji, zapewniając specjalnie utworzone tożsamości agentów. Są to wyspecjalizowane tożsamości w Microsoft Entra, różniące się od tradycyjnych tożsamości obciążeń, które umożliwiają organizacjom rejestrowanie agentów, wymuszanie zasad dostępu warunkowego na podstawie ryzyka agenta oraz zarządzanie cyklem życia agentów z wyznaczonymi właścicielami i sponsorami dla zapewnienia odpowiedzialności. Tożsamości agentów obsługują zarówno scenariusze nadzorowane, w których agent działa w imieniu użytkownika, jak i scenariusze nienadzorowane, w których agent działa autonomicznie. Identyfikator Microsoft Entra Agent jest opisany bardziej szczegółowo w następnej jednostce.

Urządzenie

Urządzenie to sprzęt, taki jak urządzenia przenośne, laptopy, serwery lub drukarki. Tożsamość urządzenia udostępnia administratorom informacje, których mogą używać podczas podejmowania decyzji dotyczących dostępu lub konfiguracji. Tożsamości urządzeń można skonfigurować na różne sposoby w usłudze Microsoft Entra ID.

  • Zarejestrowane urządzenia Microsoft Entra. Celem zarejestrowanych urządzeń Microsoft Entra jest zapewnienie użytkownikom wsparcia dla scenariuszy Bring Your Own Device (BYOD) lub urządzeń mobilnych. W tych scenariuszach użytkownik może uzyskać dostęp do zasobów organizacji przy użyciu urządzenia osobistego.
  • Microsoft Entra dołączył. Urządzenie dołączone do firmy Microsoft Entra to urządzenie przyłączone do usługi Microsoft Entra ID za pośrednictwem konta organizacyjnego, które jest następnie używane do logowania się na urządzeniu. Urządzenia dołączone do Microsoft Entra są zwykle własnością organizacji.
  • Hybydowe urządzenia połączone z Microsoft Entra. Organizacje z istniejącymi lokalnymi implementacjami Active Directory mogą korzystać z funkcji udostępnianych przez Microsoft Entra ID, wdrażając hybrydowe urządzenia dołączone do Microsoft Entra. Te urządzenia są przyłączone zarówno do lokalnej usługi Active Directory, jak i identyfikatora Entra firmy Microsoft, i wymagają konta organizacyjnego do zalogowania się na urządzeniu.

Rejestrowanie i dołączanie urządzeń do usługi Microsoft Entra ID zapewnia użytkownikom logowanie jednokrotne (SSO) do zasobów opartych na chmurze i aplikacji lokalnych.

Administratorzy IT mogą używać narzędzi, takich jak Usługa Microsoft Intune, aby kontrolować sposób używania urządzeń organizacji.

Grupy

W usłudze Microsoft Entra ID, jeśli masz kilka tożsamości z tymi samymi potrzebami dostępu, możesz utworzyć grupę, aby przyznać uprawnienia dostępu wszystkim członkom, zamiast przypisywać dostęp indywidualnie. Jest to zgodne z zasadą Zero Trust ograniczania dostępu tylko do tych, którzy jej potrzebują.

Istnieją dwa typy grup:

  • Zabezpieczenia: Grupa zabezpieczeń jest najczęstszym typem grupy i służy do zarządzania dostępem użytkowników i urządzeń do udostępnionych zasobów. Można na przykład utworzyć grupę zabezpieczeń dla określonych zasad zabezpieczeń, takich jak samoobsługowe resetowanie hasła lub do użycia z zasadami dostępu warunkowego. Członkowie grupy zabezpieczeń mogą zawierać użytkowników (w tym użytkowników zewnętrznych), urządzeń, innych grup, jednostek usługi i tożsamości agentów.

  • Microsoft 365: grupa platformy Microsoft 365, która jest często nazywana grupą dystrybucyjną, jest używana do grupowania użytkowników zgodnie z potrzebami współpracy. Możesz na przykład przyznać członkom grupy dostęp do udostępnionej skrzynki pocztowej, kalendarza, plików, witryn programu SharePoint i innych. Członkowie grupy platformy Microsoft 365 mogą zawierać tylko użytkowników, w tym użytkowników spoza organizacji.

Grupy można skonfigurować tak, aby zezwalały na przypisywanie członków, które są wybierane ręcznie lub można je skonfigurować na potrzeby członkostwa dynamicznego. Członkostwo dynamiczne używa reguł do automatycznego dodawania i usuwania tożsamości.