Wybieranie modelu integracji firmy Microsoft Entra

  • 13 min

Microsoft Entra ID nie jest usług AD DS w chmurze; Zamiast tego jest to zupełnie nowa usługa katalogowa przeznaczona dla aplikacji opartych na chmurze i internetowych, która udostępnia niektóre funkcje usług AD DS. Zespół IT firmy Contoso może zaimplementować identyfikator Entra firmy Microsoft i zsynchronizować swoje tożsamości lokalne z chmurą. Te kroki umożliwiłyby pracownikom firmy Contoso korzystanie z logowania jednokrotnego w celu uzyskania dostępu do zasobów lokalnych i powiązanych zasobów w dzierżawie platformy Azure.

Zespół IT może użyć identyfikatora Entra firmy Microsoft, aby zwiększyć produktywność pracowników, usprawnić procesy IT i poprawić bezpieczeństwo w celu wdrożenia różnych usług w chmurze. Pracownicy firmy Contoso mogą uzyskiwać dostęp do aplikacji online przy użyciu jednego konta użytkownika. Firma Contoso może również wykonywać centralne zarządzanie użytkownikami przy użyciu dobrze znanych poleceń cmdlet programu Windows PowerShell. Warto również zauważyć, że ponieważ identyfikator Entra firmy Microsoft jest wysoce skalowalny i wysoce dostępny zgodnie z projektem, zespół IT nie będzie musiał utrzymywać powiązanej infrastruktury ani martwić się o odzyskiwanie po awarii.

Jako składnik platformy Azure identyfikator Entra firmy Microsoft może obsługiwać uwierzytelnianie wieloskładnikowe w ramach ogólnej strategii dostępu dla usług w chmurze, zapewniając w ten sposób dodatkową warstwę zabezpieczeń. Kontrola dostępu oparta na rolach (RBAC), samoobsługowe hasło, zarządzanie grupami i rejestracja urządzeń zapewniają rozwiązania do zarządzania tożsamościami gotowymi do użycia w przedsiębiorstwie. Usługa Microsoft Entra ID zapewnia również zaawansowaną ochronę tożsamości oprócz ulepszonego raportowania i zgłaszania alertów, które mogą pomóc w bardziej wydajnym rozpoznawaniu zagrożeń.

Omówienie identyfikatora Entra firmy Microsoft

Microsoft Entra ID jest częścią oferty platformy jako usługi (PaaS) i działa jako usługa katalogowa zarządzana przez firmę Microsoft w chmurze. Nie jest to część podstawowej infrastruktury, którą klienci posiadają i zarządzają, ani nie jest to oferta IaaS. Chociaż oznacza to, że masz mniejszą kontrolę nad jego implementacją, oznacza to również, że nie trzeba poświęcać zasobów na jego wdrożenie ani konserwację.

A screenshot of the Microsoft Entra admin center, Microsoft Entra pane with a line graph of sign-ins.

Dzięki identyfikatorowi Entra firmy Microsoft masz również dostęp do zestawu funkcji, które nie są natywnie dostępne w usługach AD DS, takich jak obsługa uwierzytelniania wieloskładnikowego, ochrony tożsamości i samoobsługowego resetowania haseł. Możesz użyć identyfikatora Entra firmy Microsoft, aby zapewnić bezpieczniejszy dostęp do zasobów opartych na chmurze dla organizacji i osób indywidualnych, wykonując następujące czynności:

  • Konfigurowanie dostępu do aplikacji.
  • Konfigurowanie logowania jednokrotnego do aplikacji SaaS opartych na chmurze.
  • Zarządzanie użytkownikami i grupami.
  • Aprowizowanie użytkowników.
  • Włączanie federacji między organizacjami.
  • Zapewnianie rozwiązania do zarządzania tożsamościami.
  • Identyfikowanie nieregularnych działań logowania.
  • Konfigurowanie uwierzytelniania wieloskładnikowego.
  • Rozszerzanie istniejących implementacji lokalna usługa Active Directory na identyfikator Entra firmy Microsoft.
  • Konfigurowanie serwer proxy aplikacji dla aplikacji w chmurze i lokalnych.
  • Konfigurowanie dostępu warunkowego dla użytkowników i urządzeń.

Dzierżawy firmy Microsoft Entra

W przeciwieństwie do lokalnych usług AD DS, identyfikator Entra firmy Microsoft jest wielodostępny zgodnie z projektem i jest implementowany specjalnie w celu zapewnienia izolacji między poszczególnymi wystąpieniami katalogu. Jest to największy na świecie wielodostępny katalog, obsługujący ponad milion wystąpień usług katalogowych, z miliardami żądań uwierzytelniania tygodniowo. Termin dzierżawa w tym kontekście zazwyczaj reprezentuje firmę lub organizację, która zarejestrowała się w celu uzyskania subskrypcji usługi opartej na chmurze firmy Microsoft, takiej jak Microsoft 365, Microsoft Intune lub Azure, z których każdy używa identyfikatora Microsoft Entra.

Jednak z punktu widzenia technicznego termin dzierżawa reprezentuje pojedyncze wystąpienie firmy Microsoft Entra. W ramach subskrypcji platformy Azure można utworzyć wiele dzierżaw firmy Microsoft Entra. Posiadanie wielu dzierżaw firmy Microsoft Entra może być wygodne, jeśli chcesz przetestować funkcje firmy Microsoft Entra w jednej dzierżawie bez wpływu na inne.

Uwaga

W dowolnym momencie subskrypcja platformy Azure musi być skojarzona z jedną i tylko jedną dzierżawą firmy Microsoft Entra. Można jednak skojarzyć tę samą dzierżawę firmy Microsoft Entra z wieloma subskrypcjami platformy Azure.

Każda dzierżawa firmy Microsoft Entra ma przypisaną domyślną nazwę domeny DNS, która składa się z unikatowego prefiksu. Prefiks pochodzi od nazwy konta Microsoft używanego do tworzenia subskrypcji platformy Azure lub jawnie podanej podczas tworzenia dzierżawy microsoft Entra i następuje onmicrosoft.com sufiks. Dodanie co najmniej jednej niestandardowej nazwy domeny do tej samej dzierżawy firmy Microsoft Entra jest możliwe i typowe. Ta nazwa korzysta z przestrzeni nazw domeny DNS, która jest właścicielem odpowiedniej firmy lub organizacji; na przykład Contoso.com. Dzierżawa microsoft Entra służy jako granica zabezpieczeń i kontener dla obiektów Firmy Microsoft Entra, takich jak użytkownicy, grupy i aplikacje.

Charakterystyka identyfikatora entra firmy Microsoft

Chociaż identyfikator Entra firmy Microsoft ma wiele podobieństw do usług AD DS, istnieje również wiele różnic. Należy pamiętać, że używanie identyfikatora Entra firmy Microsoft nie jest takie samo jak wdrażanie kontrolera domeny usług AD DS na maszynie wirtualnej platformy Azure, a następnie dodawanie go do domeny lokalnej.

Porównując identyfikator Entra firmy Microsoft z usługami AD DS, należy pamiętać o cechach firmy Microsoft, które różnią się od usług AD DS:

  • Microsoft Entra ID jest przede wszystkim rozwiązaniem do obsługi tożsamości i jest przeznaczony dla aplikacji internetowych przy użyciu komunikacji HTTP (port 80) i HTTPS (port 443).
  • Microsoft Entra ID to wielodostępna usługa katalogowa.
  • Użytkownicy i grupy firmy Microsoft Entra są tworzone w płaskiej strukturze i nie ma żadnych jednostek organizacyjnych (OU) ani obiektów zasad grupy (GPO).
  • Nie można wykonywać zapytań dotyczących identyfikatora Entra firmy Microsoft przy użyciu protokołu LDAP; Zamiast tego identyfikator Entra firmy Microsoft używa interfejsu API REST za pośrednictwem protokołu HTTP i HTTPS.
  • Identyfikator Entra firmy Microsoft nie używa uwierzytelniania Kerberos; Zamiast tego używa protokołów HTTP i HTTPS, takich jak Security Assertion Markup Language (SAML), Web Services Federation (WS-Federation) i OpenID Połączenie do uwierzytelniania. Używa również protokołu Open Authorization (OAuth) do autoryzacji.
  • Identyfikator Entra firmy Microsoft obejmuje usługi federacyjne, a wiele usług innych firm jest sfederowane i ufają identyfikatorowi Microsoft Entra ID.

Opcje integracji firmy Microsoft Entra

Małe organizacje, które nie mają katalogu lokalnego, takiego jak usługi AD DS, mogą w pełni polegać na identyfikatorze Entra firmy Microsoft jako usłudze uwierzytelniania i autoryzacji. Jednak liczba tych organizacji jest nadal dość mała, więc większość firm szuka sposobu integracji lokalnych usług AD DS z identyfikatorem Entra firmy Microsoft. Firma Microsoft oferuje zarządzanie tożsamościami i dostępem w skali chmury za pośrednictwem identyfikatora Entra firmy Microsoft, co zapewnia kilka opcji integracji usług AD DS z platformą Azure. Te opcje opisano w poniższej tabeli.

Opcje opis
Rozszerzanie lokalnych usług AD DS na platformę Azure Dzięki tej opcji hostujesz maszyny wirtualne na platformie Azure, które następnie są podwyższane do poziomu kontrolerów domeny w lokalnych usługach AD DS.
Synchronizowanie lokalnych usług AD DS z identyfikatorem Entra firmy Microsoft Synchronizacja katalogów propaguje informacje o użytkownikach, grupach i kontaktach do identyfikatora Entra firmy Microsoft i przechowuje te informacje zsynchronizowane. W tym scenariuszu użytkownicy będą używać różnych haseł do uzyskiwania dostępu do zasobów w chmurze i lokalnych, a procesy uwierzytelniania są oddzielne.
Synchronizowanie usług AD DS z identyfikatorem entra firmy Microsoft przy użyciu synchronizacji skrótów haseł W tym podejściu lokalne usługi AD DS synchronizują obiekty z identyfikatorem Entra firmy Microsoft, ale także wysyła skróty haseł dla obiektów użytkownika do identyfikatora Entra firmy Microsoft. Dzięki tej opcji użytkownicy mogą uzyskiwać dostęp do aplikacji i zasobów obsługujących identyfikatory firmy Microsoft, podając takie samo hasło jak bieżące logowanie lokalne. W przypadku użytkowników końcowych takie podejście zapewnia takie samo środowisko logowania.
Implementowanie logowania jednokrotnego między lokalnymi usługami AD DS i identyfikatorem entra firmy Microsoft Ta opcja obsługuje największy zakres funkcji integracji i umożliwia użytkownikowi zalogowanie się na platformie Azure po uwierzytelnieniu za pośrednictwem lokalnych usług AD DS. Technologia zapewniająca tę funkcję jest nazywana federacją, którą można zaimplementować za pomocą usług Active Directory Federation Services (AD FS). Usługi AD FS opierają się na zestawie serwerów federacyjnych i serwerów proxy, które mają postać usługi roli serwera serwer proxy aplikacji sieci Web. Alternatywą dla wdrażania usług AD FS można również użyć technologii uwierzytelniania przekazywanego, która zapewnia prawie te same wyniki co usługi AD FS. Nie używa jednak serwer proxy aplikacji sieci Web i wymaga mniej złożonej infrastruktury niż usługi AD FS.

Katalog Microsoft Entra nie jest rozszerzeniem katalogu lokalnego. Jest to raczej kopia, która zawiera te same obiekty i tożsamości. Zmiany wprowadzone w tych elementach w środowisku lokalnym są kopiowane do identyfikatora Entra firmy Microsoft, ale zmiany wprowadzone w identyfikatorze Entra firmy Microsoft nie są replikowane z powrotem do domeny lokalnej.

Napiwek

Możesz również użyć identyfikatora Entra firmy Microsoft bez użycia katalogu lokalnego. W takim przypadku identyfikator Entra firmy Microsoft działa jako główne źródło wszystkich informacji o tożsamości, a nie zawiera danych replikowanych z katalogu lokalnego.