Descrieți tipurile de identități

  • 11 minute

În Microsoft Entra ID, există tipuri diferite de identități acceptate. Termenii pe care îi introduci în această unitate sunt identitățile utilizatorilor, identităților sarcinilor de lucru, identităților dispozitivelor, identităților externe și identităților hibride.

Atunci când adresați întrebarea, la ce pot atribui o identitate în Microsoft Entra ID, există trei categorii.

  • Poți atribui identități persoanelor (oamenilor), denumite identități de utilizator.
  • Puteți atribui identități dispozitivelor fizice, cum ar fi telefoane mobile, computere desktop și dispozitive IoT.
  • Poți atribui identități obiectelor bazate pe software, cum ar fi aplicații, mașini virtuale, servicii și containere. Aceste tipuri de identități sunt denumite identități ale sarcinii de lucru.

O diagramă de bloc care afișează categoriile de tipuri de identitate. Categoriile constau din identități ale volumului de lucru, identităților dispozitivelor și identităților umane. Volumul de lucru și identitățile dispozitivelor sunt grupate sub identitățile mașinii.

În această unitate, considerăm fiecare tip de identitate Microsoft Entra.

Utilizator

Identitățile utilizatorilor reprezintă persoane, cum ar fi angajații și utilizatorii externi (clienți, consultanți, distribuitori și parteneri). În Microsoft Entra ID, identitățile utilizatorilor sunt caracterizate prin modul în care se autentifică și proprietatea de tip utilizator.

Modul în care utilizatorul se autentifică în raport cu chiriașul Microsoft Entra al organizației gazdă poate fi intern sau extern. Autentificarea internă înseamnă că utilizatorul are un cont pe Microsoft Entra ID-ul organizației gazdă. Autentificarea externă înseamnă că utilizatorul se autentifică folosind un cont extern Microsoft Entra, o identitate de rețea socială sau alt furnizor extern de identitate.

Proprietatea de tip utilizator descrie relația utilizatorului cu închirierea organizației gazdă. Utilizatorul poate fi oaspete sau membru al chiriașului Microsoft Entra al organizației. În mod implicit, oaspeții au privilegii limitate față de membri.

A four by four matrix showing the types of user identities supported based on whether they's guest or member user. Matricea arată, de asemenea, tipul de utilizator pe baza utilizării autentificării interne sau externe.

  • Membru intern: Acești utilizatori sunt considerați de obicei angajați ai organizației dvs. Utilizatorul se autentifică intern prin ID-ul Microsoft Entra al organizației, iar obiectul de utilizator creat în directorul Microsoft Entra al resursei are un UserType al membrului.
  • Invitat extern: Utilizatorii externi sau invitații, inclusiv consultanți, distribuitori și parteneri, se încadrează de obicei în această categorie. Utilizatorul se autentifică folosind un cont extern Microsoft Entra sau un furnizor extern de identitate (cum ar fi o identitate socială), iar obiectul său utilizator are un UserType of Guest.
  • Membru extern: Acest scenariu este comun în organizațiile care constau în mai multe entități găzduite. De exemplu, dacă chiriașii Microsoft Entra Contoso și Fabrikam se află într-o organizație mare, utilizatorii Contoso pot fi configurați în directorul Microsoft Entra Fabrikam să se autentifice cu contul lor Contoso (extern la Fabrikam), dar să aibă un UserType de membru, permițând accesul la nivel de membru la resursele Fabrikam.
  • Oaspete intern: Acest scenariu apare atunci când organizațiile configurează conturi interne Microsoft Entra pentru utilizatori externi, cum ar fi distribuitori sau furnizori, dar îi desemnează ca oaspeți prin setarea obiectului utilizator UserType pe Guest. Acesta este considerat un scenariu moștenit, deoarece acum este mai comun să se folosească colaborarea B2B, unde utilizatorii își pot folosi propriile acreditări.

Invitații externi și membrii externi sunt utilizatori de colaborare B2B care se încadrează sub identități externe în Microsoft Entra ID, descrise în unitatea următoare.

Identități ale volumului de lucru

O identitate de sarcină de lucru este o identitate pe care o atribui unei încărcături software pentru a-i permite să se autentifice și să acceseze alte servicii și resurse.

Securizarea identității sarcinilor de lucru este importantă deoarece o încărcătură software poate gestiona mai multe credențiale pentru a accesa resurse diferite, iar aceste credențiale trebuie stocate în siguranță. Este, de asemenea, dificil de urmărit când este creată o identitate de sarcină de lucru sau când ar trebui revocată. Microsoft Entra Workload ID ajută la rezolvarea acestor probleme.

În Microsoft Entra, identitățile volumului de lucru sunt aplicații, conturi principale de serviciu și identități gestionate.

Aplicații și principali de serviciu

Un principal de serviciu este, în esență, o identitate pentru o aplicație. Pentru ca o aplicație să-și delege identitatea și funcțiile de acces la Microsoft Entra ID, aplicația trebuie să fie înregistrată mai întâi cu Microsoft Entra ID pentru a-i activa integrarea. După ce este înregistrată o aplicație, se creează un cont principal de serviciu în fiecare entitate găzduită Microsoft Entra unde este utilizată aplicația. Entitatea principală de serviciu permite caracteristici de bază, cum ar fi autentificarea și autorizarea aplicației pentru resursele securizate de entitatea găzduită Microsoft Entra.

Pentru ca principalii de servicii să poată accesa resursele, dezvoltatorii de aplicații trebuie să gestioneze și să protejeze acreditările. Identitățile gestionate ajută la preluarea acestei responsabilități de către dezvoltatori.

Identități gestionate

Identitățile gestionate sunt un tip de principal de serviciu. Identitățile gestionate sunt gestionate automat în Microsoft Entra ID și elimină necesitatea ca dezvoltatorii să gestioneze acreditările. Identitățile gestionate furnizează o identitate pentru aplicațiile de utilizat atunci când se conectează la resurse Azure care acceptă autentificarea Microsoft Entra și pot fi utilizate fără costuri suplimentare.

O diagramă care arată cum un dezvoltator poate utiliza identități gestionate pentru a obține acces la resurse din codul său fără a gestiona acreditările.

Există două tipuri de identități gestionate: atribuite de sistem și atribuite utilizatorilor.

  • Atribuit sistemului. Unele resurse Azure, cum ar fi mașinile virtuale, vă permit să activați o identitate gestionată direct pe resursă. Când activezi o identitate gestionată atribuită sistemului, se creează o identitate în Microsoft Entra legată de ciclul de viață al acelei resurse Azure. Atunci când resursa este ștearsă, Azure șterge automat identitatea pentru dvs.

  • Atribuit de utilizator. De asemenea, puteți crea o identitate gestionată ca resursă Azure independentă. După ce creați o identitate gestionată atribuită de utilizator, o puteți atribui uneia sau mai multor instanțe ale unui serviciu Azure. Cu identitățile gestionate atribuite de utilizator, identitatea este gestionată separat de resursele care îl utilizează. Ștergerea resurselor care folosesc identitatea gestionată atribuită de utilizator nu șterge identitatea; Trebuie șters explicit.

Identitățile agenților

Pe măsură ce agenții AI devin tot mai prezenți în organizații, asigurarea accesului lor la resurse este esențială. Microsoft Entra Agent ID extinde capabilitățile de gestionare a identității și accesului agenților AI, oferind identități speciale pentru agenți. Acestea sunt identități specializate în Microsoft Entra, distincte de identitățile tradiționale ale volumului de lucru, care permit organizațiilor să înregistreze agenți, să impună politici de acces condiționat bazate pe riscul agentului și să guverneze ciclurile de viață ale agenților cu proprietari și sponsori desemnați pentru responsabilitate. Identitățile agenților susțin atât scenarii cu asistență, în care agentul acționează în numele unui utilizator, cât și scenarii nesupravegheate, unde agentul operează autonom. Microsoft Entra Agent ID este descris în detaliu în următoarea unitate.

Dispozitiv

Un dispozitiv este un dispozitiv hardware, cum ar fi dispozitive mobile, laptopuri, servere sau imprimante. O identitate de dispozitiv le oferă administratorilor informații pe care le pot utiliza atunci când iau decizii de acces sau de configurare. Identitățile dispozitivelor pot fi configurate în moduri diferite în Microsoft Entra ID.

  • Dispozitive microsoft Entra înregistrate. Scopul dispozitivelor Microsoft Entra înregistrate este să le ofere utilizatorilor asistență pentru a vă oferi propriile scenarii de dispozitiv (BYOD) sau dispozitive mobile. În aceste situații, un utilizator poate accesa resursele organizației tale folosind un dispozitiv personal.
  • Microsoft Entra s-a alăturat. Un dispozitiv asociat la Microsoft Entra este un dispozitiv asociat la Microsoft Entra ID printr-un cont de organizație, care este utilizat apoi pentru a vă conecta la dispozitiv. Dispozitivele asociate la Microsoft Entra sunt deținute în general de organizație.
  • Dispozitivele microsoft Entra hibrid asociate. Organizațiile cu implementări Active Directory locale existente pot beneficia de funcționalitatea furnizată de Microsoft Entra ID, prin implementarea dispozitivelor hibride asociate la Microsoft Entra. Aceste dispozitive sunt conectate atât la Active Directory-ul local, cât și la Microsoft Entra ID-ul și necesită un cont organizațional pentru a se conecta la dispozitiv.

Înregistrarea și conectarea dispozitivelor la Microsoft Entra ID oferă utilizatorilor Single Sign-on (SSO) către resurse cloud și aplicații on-premises.

Administratorii IT pot folosi instrumente precum Microsoft Intune pentru a controla modul în care sunt utilizate dispozitivele unei organizații.

Grupuri

În Microsoft Entra ID, dacă ai mai multe identități cu aceleași nevoi de acces, poți crea un grup care să acorde permisiuni de acces tuturor membrilor, în loc să atribui acces individual. Acest lucru se aliniază cu principiul Zero Trust de a limita accesul doar celor care au nevoie.

Există două tipuri de grup:

  • Securitate: Un grup de securitate este cel mai comun tip de grup și este utilizat pentru a gestiona accesul utilizatorilor și dispozitivelor la resursele partajate. De exemplu, poți crea un grup de securitate pentru o anumită politică de securitate, cum ar fi resetarea parolei self-service sau pentru utilizare cu o politică de acces condiționat. Membrii unui grup de securitate pot include utilizatori (inclusiv utilizatori externi), dispozitive, alte grupuri, principal de servicii și identități de agenți.

  • Microsoft 365: Un grup Microsoft 365, denumit adesea grup de distribuire, este utilizat pentru gruparea utilizatorilor în funcție de necesitățile de colaborare. De exemplu, poți oferi membrilor grupului acces la o cutie poștală partajată, calendar, fișiere, site-uri SharePoint și altele. Membrii unui grup Microsoft 365 pot include doar utilizatori, inclusiv utilizatori din afara organizației.

Grupurile pot fi configurate pentru a permite membrilor să fie atribuiți, care este selectată manual sau pot fi configurate pentru apartenența dinamică. Apartenența dinamică utilizează reguli pentru a adăuga și a elimina automat identitățile.