Sprawdzanie identyfikatora entra firmy Microsoft

Ukończone

Uczniowie powinni zapoznać się z usługami domena usługi Active Directory (AD DS lub tradycyjnie nazywanymi tylko "Active Directory"). AD DS to usługa katalogowa, która udostępnia metody przechowywania danych katalogu, takich jak konta użytkowników i hasła, oraz udostępnia te dane użytkownikom sieci, administratorom i innym urządzeniom i usługom. Działa jako usługa w systemie Windows Server, nazywana kontrolerem domeny.

Microsoft Entra ID jest częścią oferty platformy jako usługi (PaaS) i działa jako usługa katalogowa zarządzana przez firmę Microsoft w chmurze. Nie jest to część podstawowej infrastruktury, którą klienci posiadają i zarządzają, ani nie jest to oferta infrastruktura jako usługa. Chociaż oznacza to, że masz mniejszą kontrolę nad jego implementacją, oznacza to również, że nie trzeba poświęcać zasobów na jego wdrożenie ani konserwację.

Dzięki identyfikatorowi Entra firmy Microsoft masz również dostęp do zestawu funkcji, które nie są natywnie dostępne w usługach AD DS, takich jak obsługa uwierzytelniania wieloskładnikowego, ochrony tożsamości i samoobsługowego resetowania haseł.

Możesz użyć identyfikatora Entra firmy Microsoft, aby zapewnić bezpieczniejszy dostęp do zasobów opartych na chmurze dla organizacji i osób indywidualnych, wykonując następujące czynności:

• Konfigurowanie dostępu do aplikacji
• Konfigurowanie logowania jednokrotnego w aplikacjach SaaS opartych na chmurze
• Zarządzanie użytkownikami i grupami
• Aprowizowanie użytkowników
• Włączanie federacji między organizacjami
• Zapewnianie rozwiązania do zarządzania tożsamościami
• Identyfikowanie nieregularnego działania logowania
• Konfigurowanie uwierzytelniania wieloskładnikowego
• Rozszerzanie istniejących implementacji lokalna usługa Active Directory na identyfikator Entra firmy Microsoft
• Konfigurowanie serwer proxy aplikacji dla aplikacji w chmurze i lokalnych
• Konfigurowanie dostępu warunkowego dla użytkowników i urządzeń

Firma Microsoft Entra stanowi oddzielną usługę platformy Azure. Jego najbardziej podstawowa forma, którą każda nowa subskrypcja platformy Azure obejmuje automatycznie, nie ponosi żadnych dodatkowych kosztów i jest nazywana warstwą Bezpłatna. Jeśli subskrybujesz dowolne usługi biznesowe online firmy Microsoft (na przykład Microsoft 365 lub Microsoft Intune), automatycznie uzyskasz identyfikator Entra firmy Microsoft z dostępem do wszystkich bezpłatnych funkcji.

Uwaga

Domyślnie podczas tworzenia nowej subskrypcji platformy Azure przy użyciu konta Microsoft subskrypcja automatycznie uwzględnia nową dzierżawę usługi Microsoft Entra o nazwie Default Directory.

Niektóre z bardziej zaawansowanych funkcji zarządzania tożsamościami wymagają płatnych wersji identyfikatora Entra firmy Microsoft oferowanego w postaci warstw Podstawowa i Premium. Niektóre z tych funkcji są również automatycznie uwzględniane w wystąpieniach firmy Microsoft Entra generowanych w ramach subskrypcji platformy Microsoft 365. Różnice między wersjami entra firmy Microsoft zostały omówione w dalszej części tego modułu.

Implementowanie identyfikatora Entra firmy Microsoft nie jest takie samo jak wdrażanie maszyn wirtualnych na platformie Azure, dodawanie usług AD DS, a następnie wdrażanie niektórych kontrolerów domeny dla nowego lasu i domeny. Microsoft Entra ID to inna usługa, znacznie bardziej skoncentrowana na dostarczaniu usług zarządzania tożsamościami aplikacjom internetowym, w przeciwieństwie do usług AD DS, która jest bardziej skoncentrowana na aplikacjach lokalnych.

Dzierżawy firmy Microsoft Entra

W przeciwieństwie do usług AD DS, identyfikator Entra firmy Microsoft jest wielodostępny według projektu i jest implementowany specjalnie w celu zapewnienia izolacji między poszczególnymi wystąpieniami katalogu. Jest to największy na świecie wielodostępny katalog, który hostuje ponad milion wystąpień usług katalogowych, z miliardami żądań uwierzytelniania tygodniowo. Termin dzierżawa w tym kontekście zazwyczaj reprezentuje firmę lub organizację, która zarejestrowała się w celu uzyskania subskrypcji usługi opartej na chmurze firmy Microsoft, takiej jak Microsoft 365, Intune lub Azure, z których każdy używa identyfikatora Firmy Microsoft Entra. Jednak z punktu widzenia technicznego termin dzierżawa reprezentuje pojedyncze wystąpienie firmy Microsoft Entra. W ramach subskrypcji platformy Azure można utworzyć wiele dzierżaw firmy Microsoft Entra. Posiadanie wielu dzierżaw firmy Microsoft Entra może być wygodne, jeśli chcesz przetestować funkcje firmy Microsoft Entra w jednej dzierżawie bez wpływu na inne.

W dowolnym momencie subskrypcja platformy Azure musi być skojarzona z jedną i tylko z jedną dzierżawą firmy Microsoft Entra. To skojarzenie umożliwia przyznawanie uprawnień do zasobów w subskrypcji platformy Azure (za pośrednictwem kontroli dostępu opartej na rolach) użytkownikom, grupom i aplikacjom, które istnieją w tej konkretnej dzierżawie firmy Microsoft Entra.

Uwaga

Tę samą dzierżawę firmy Microsoft Entra można skojarzyć z wieloma subskrypcjami platformy Azure. Dzięki temu można zarządzać zasobami w wielu subskrypcjach platformy Azure za pomocą tych samych użytkowników, grup i aplikacji.

Każda dzierżawa firmy Microsoft Entra ma przypisaną domyślną nazwę domeny systemu nazw domen (DNS), składającą się z unikatowego prefiksu. Prefiks pochodzący z nazwy konta Microsoft używanego do tworzenia subskrypcji platformy Azure lub jawnie udostępniany podczas tworzenia dzierżawy microsoft Entra, następuje sufiks onmicrosoft.com . Dodanie co najmniej jednej niestandardowej nazwy domeny do tej samej dzierżawy firmy Microsoft Entra jest możliwe i typowe. Ta nazwa korzysta z przestrzeni nazw domeny DNS, która jest właścicielem odpowiedniej firmy lub organizacji. Dzierżawa microsoft Entra służy jako granica zabezpieczeń i kontener dla obiektów Firmy Microsoft Entra, takich jak użytkownicy, grupy i aplikacje. Jedna dzierżawa firmy Microsoft Entra może obsługiwać wiele subskrypcji platformy Azure.

Schemat Entra firmy Microsoft

Schemat Firmy Microsoft Entra zawiera mniej typów obiektów niż schemat usług AD DS. W szczególności nie zawiera definicji klasy komputera, chociaż zawiera klasę urządzenia. Proces dołączania urządzeń do firmy Microsoft Entra różni się znacznie od procesu dołączania komputerów do usług AD DS. Schemat Firmy Microsoft Entra jest również łatwo rozszerzalny, a jego rozszerzenia są w pełni odwracalne.

Brak obsługi tradycyjnego członkostwa w domenie komputera oznacza, że nie można używać identyfikatora Entra firmy Microsoft do zarządzania komputerami lub ustawieniami użytkownika przy użyciu tradycyjnych technik zarządzania, takich jak obiekty zasad grupy (GPO). Zamiast tego firma Microsoft Entra ID i jej usługi definiują koncepcję nowoczesnego zarządzania. Podstawową siłą identyfikatora Firmy Microsoft jest dostarczanie usług katalogowych; przechowywanie i publikowanie danych użytkownika, urządzenia i aplikacji; oraz obsługa uwierzytelniania i autoryzacji użytkowników, urządzeń i aplikacji. Skuteczność i wydajność tych funkcji są widoczne na podstawie istniejących wdrożeń usług w chmurze, takich jak Microsoft 365, które opierają się na identyfikatorze Entra firmy Microsoft jako dostawcy tożsamości i obsłudze milionów użytkowników.

Identyfikator Entra firmy Microsoft nie zawiera klasy jednostki organizacyjnej (OU), co oznacza, że nie można rozmieścić swoich obiektów w hierarchii kontenerów niestandardowych, która jest często używana we lokalnych wdrożeniach usług AD DS. Nie jest to jednak istotne rozwiązanie, ponieważ jednostki organizacyjne w usługach AD DS są używane głównie na potrzeby określania zakresu zasad grupy i delegowania. Można osiągnąć równoważne ustalenia, organizując obiekty na podstawie ich członkostwa w grupie.

Obiekty klas Application i servicePrincipal reprezentują aplikacje w identyfikatorze Entra firmy Microsoft. Obiekt w klasie Application zawiera definicję aplikacji, a obiekt w klasie servicePrincipal stanowi jego wystąpienie w bieżącej dzierżawie firmy Microsoft Entra. Oddzielenie tych dwóch zestawów cech umożliwia zdefiniowanie aplikacji w jednej dzierżawie i użycie jej w wielu dzierżawach przez utworzenie obiektu jednostki usługi dla tej aplikacji w każdej dzierżawie. Identyfikator Entra firmy Microsoft tworzy obiekt jednostki usługi podczas rejestrowania odpowiedniej aplikacji w tej dzierżawie firmy Microsoft Entra.