Что такое Azure Active Directory?
Azure Active Directory (Azure AD) — это облачная служба для управления удостоверениями и доступом. Azure AD позволяет вашим сотрудникам получать доступ к внешним ресурсам, таким как Microsoft 365, портал Azure и тысячи других приложений SaaS. Azure Active Directory также помогает им получать доступ к внутренним ресурсам, таким как приложения в корпоративной интрасети, и любым облачным приложениям, разработанным для вашей организации. Сведения о создании клиента см. в статье Краткое руководство. Создание нового клиента в Azure Active Directory.
Сведения о различиях между Active Directory и Azure Active Directory см. в статье Сравнение Active Directory с Azure Active Directory. Лучше понять базовые службы идентификации в Azure, например Azure AD и Microsoft 365, помогут плакаты о Microsoft Cloud для корпоративных архитекторов.
Кто использует Azure AD
Azure AD предоставляет различные преимущества для членов вашей организации в зависимости от их роли:
ИТ-администраторы используют Azure AD для управления доступом к приложениям и ресурсам приложений в зависимости от бизнес-требований. Например, ит-администратор может использовать Azure AD, чтобы требовать многофакторную проверку подлинности при доступе к важным ресурсам организации. Вы также можете использовать Azure AD для автоматизации подготовки пользователей между существующими Windows Server AD и облачными приложениями, включая Microsoft 365. Наконец, Azure AD предоставляет эффективные инструменты для автоматической защиты учетных данных и удостоверений пользователей и соответствия требованиям системы управления. Чтобы приступить к работе, зарегистрируйтесь для получения бесплатной 30-дневной пробной версии Azure Active Directory Premium.
Разработчики приложений могут использовать Azure AD в качестве поставщика проверки подлинности на основе стандартов, который помогает им добавлять единый вход (SSO) в приложения, которые работают с существующими учетными данными пользователя. Разработчики также могут использовать Azure AD API для создания персонализированных интерфейсов с использованием данных организации. Чтобы приступить к работе, зарегистрируйтесь для получения бесплатной 30-дневной пробной версии Azure Active Directory Premium. Дополнительные сведения см. в статье Платформа удостоверений Майкрософт (Azure Active Directory для разработчиков).
Подписчики Microsoft 365, Office 365, Azure или Dynamics CRM Online уже используют Azure AD, так как каждый клиент Microsoft 365, Office 365, Azure и Dynamics CRM Online автоматически становится клиентом Azure AD. Вы можете сразу приступить к управлению доступом к интегрированным облачным приложениям.
Что такое лицензии Azure AD?
Бизнес-службы Microsoft Online, такие как Microsoft 365 или Microsoft Azure, используют Azure AD для действий входа и защиты удостоверений. Если вы подписываетесь на любую бизнес-службу Microsoft Online, вы автоматически получаете доступ к Azure AD бесплатно.
Чтобы улучшить реализацию Azure AD, вы также можете добавить платные функции, обновив лицензии Azure Active Directory Premium P1 или Premium P2. Платные лицензии Azure AD используются на основе имеющегося бесплатного каталога. Лицензии предоставляют самообслуживание, улучшенный мониторинг, отчеты о безопасности и безопасный доступ для мобильных пользователей.
Примечание
Сведения о ценах для различных лицензий см. на странице цен на Azure Active Directory.
Дополнительные сведения о ценах на Azure AD можно узнать на форуме по Azure Active Directory.
Azure Active Directory Free. Предоставляет управление пользователями и группами, синхронизацию локальной службы каталогов, базовые отчеты, возможность самостоятельного изменения паролей для пользователей облака, единый вход в Azure, Microsoft 365 и многие другие популярные приложения SaaS.
Azure Active Directory Premium P1. В дополнение к возможностям в рамках предложения уровня "Бесплатный", P1 обеспечивает пользователям гибридный доступ к локальным и облачным ресурсам. Он также поддерживает расширенные функции администрирования, такие как динамические группы, самостоятельное управление группами, Microsoft Identity Manager и возможности обратной записи в облаке, которые позволяют самостоятельно сбрасывать пароль для локальных пользователей.
Azure Active Directory Premium P2. В дополнение к возможностям в рамках предложений уровня "Бесплатный" и P1, P2 также обеспечивает Защиту идентификации Azure Active Directory, которая предоставляет условный доступ к приложениям и критически важным данным компании на основе рисков, и привилегированное управление идентификацией, позволяющее выявлять, ограничивать и отслеживать администраторов и их доступ к ресурсам, а также предоставить JIT-доступ, когда это необходимо.
Лицензии на использование функций с оплатой по мере использования. Вы также можете получить лицензии для таких функций, как Azure Active Directory бизнес-клиент (B2C). B2C помогает предоставлять решения для управления идентификацией и доступом для клиентских приложений. Дополнительные сведения см. в статье об Azure Active Directory B2C.
Дополнительные сведения о сопоставлении подписки Azure с Azure AD см. в статье Связывание или добавление подписки Azure в Azure Active Directory. Дополнительные сведения о назначении лицензий пользователям см. в статье Практическое руководство. Назначение или удаление лицензий Azure Active Directory.
Какие функции поддерживает Azure AD?
После выбора лицензии Azure AD вы получите доступ к некоторым или всем следующим функциям:
| Категория | Описание |
|---|---|
| Управление приложениями | Управление облачными и локальными приложениями с помощью Application Proxy, единого входа, портала "Мои приложения" и приложений модели "программное обеспечение как услуга" (SaaS). Дополнительные сведения см. в статье об обеспечении безопасного удаленного доступа к локальным приложениям и документации по управлению приложениями. |
| Аутентификация | Администрирование самостоятельного сброса пароля, многофакторной проверки подлинности, настраиваемого списка запрещенных паролей и смарт-блокировки в Azure Active Directory. Чтобы узнать больше, ознакомьтесь с документацией по аутентификации Azure AD. |
| Azure Active Directory для разработчиков | Создание приложений, которые разрешают вход со всеми удостоверениями Майкрософт, получение маркеров для вызова Microsoft Graph, других API Майкрософт или настраиваемых API. Дополнительные сведения см. в статье Платформа удостоверений Майкрософт (Azure Active Directory для разработчиков). |
| Категория "бизнес — бизнес" (B2B) | Управление гостевыми пользователями и внешними партнерами и сохранение контроля над корпоративными данными. Дополнительные сведения см. в документации по Azure Active Directory B2B. |
| Категория "бизнес — потребитель" (B2C) | Настройка и контроль регистрации и входа пользователей, а также управление их профилями, когда они используют ваши приложения. Дополнительные сведения см. в статье об Azure Active Directory B2C. |
| Условный доступ | Управление доступом к облачным приложениям. Дополнительные сведения см. в документации по условному доступу в Azure AD. |
| Управление устройствами | Управление тем, как облачные и локальные устройства получают доступ к корпоративным данным. Дополнительные сведения см. в статье Документация по управлению устройствами в Azure AD. |
| Доменные службы | Присоединение виртуальных машин Azure к домену без использования контроллеров домена. Дополнительные сведения см. на странице Документация по доменным службам Azure AD. |
| Пользователи Enterprise | Управление назначениями лицензий, доступ к приложениям и настройка делегатов с использованием групп и ролей администратора. Дополнительные сведения см. в документации по управлению Azure Active Directory. |
| Гибридное удостоверение | Использование Azure Active Directory Connect и Connect Health для предоставления одного идентификатора пользователя для аутентификации и авторизации во всех ресурсах, независимо от расположения (локально или в облаке). Дополнительные сведения см. в статье Документация по гибридной идентификации. |
| Identity Governance | Управление идентификацией для приложений организации с задействованием сотрудников, бизнес-партнеров, поставщиков, служб и элементов управления доступом к приложениям. Вы также можете выполнять проверки доступа. Дополнительные сведения см. в документации по системе управления идентификацией Azure AD и проверке доступа Azure AD. |
| Защита идентификации | Определение потенциальных уязвимостей, влияющих на удостоверения организации, настройка политик для ответа на подозрительную активность и выполнение соответствующих действий для ее устранения. Дополнительные сведения см. в статье Защита идентификации Azure Active Directory. |
| Управляемые удостоверения для ресурсов Azure | Предоставление службам Azure автоматически управляемого удостоверения в Azure AD, с помощью которого можно пройти проверку подлинности в любой поддерживаемой службе Azure AD, включая Key Vault. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure. |
| Управление привилегированными пользователями (PIM) | Управление, контроль и мониторинг доступа в организации. Эта возможность включает доступ к ресурсам в Azure AD и Azure, а также к остальным веб-службам Майкрософт, таким как Microsoft 365 или Intune. Дополнительные сведения см. в статье об Azure Active Directory Privileged Identity Management. |
| Отчеты и мониторинг | Получение ценных сведений о безопасности и особенностях использования ресурсов в вашей среде. Дополнительные сведения см. в статье Создание отчетов и мониторинг в Azure Active Directory. |
| Удостоверения рабочих нагрузок | Предоставьте удостоверение рабочей нагрузке программного обеспечения (например, приложению, службе, скрипту или контейнеру) для проверки подлинности и доступа к другим службам и ресурсам. Дополнительные сведения см. в разделе Часто задаваемые вопросы об удостоверениях рабочей нагрузки. |
Терминология
Чтобы лучше понять Azure AD и сопутствующую документацию, мы рекомендуем изучить приведенные ниже термины.
| Термин или понятие | Описание |
|---|---|
| Идентификация | То, что может пройти аутентификацию. Удостоверением может быть пользователь с именем пользователя и паролем. Удостоверения также включают в себя приложения и другие серверы, которые могут потребовать аутентификацию с помощью секретных ключей или сертификатов. |
| Учетная запись | Удостоверение, с которым связаны данные. У вас не может быть учетной записи без удостоверения. |
| Учетная запись Azure AD | Удостоверение, созданное с помощью Azure AD или другой облачной службы Майкрософт, например Microsoft 365. Удостоверения хранятся в каталоге Azure AD и доступны для подписок на облачные службы организации. Эту учетную запись также иногда называют рабочей или учебной учетной записью. |
| Администратор учетной записи | Это классическая роль администратора подписки, по сути, является владельцем выставления счетов подписки. Эта роль позволяет управлять всеми подписками в учетной записи. Дополнительные сведения см. в статье Роли Azure, роли Azure AD и роли классического администратора подписки. |
| Администратор служб | Классическая роль администратора подписки позволяет управлять всеми ресурсами Azure, а также доступом к ним. Эта роль имеет эквивалентные права доступа для пользователя, которому назначена роль владельца в области действия подписки. Дополнительные сведения см. в статье Роли Azure, роли Azure AD и роли классического администратора подписки. |
| Владелец | Эта роль позволяет управлять всеми ресурсами Azure, а также доступом к ним. Эта роль создана на основе новой системы авторизации под названием "управление доступом на основе ролей Azure" (Azure RBAC), которая обеспечивает точное управление доступом к ресурсам Azure. Дополнительные сведения см. в статье Роли Azure, роли Azure AD и роли классического администратора подписки. |
| Глобальный администратор Azure AD | Эта роль администратора будет автоматически назначена тому, кто создал клиент Azure AD. У вас может быть несколько глобальных администраторов. Только они могут присваивать роли администратора (включая назначение других глобальных администраторов) пользователям. Дополнительные сведения о различных ролях администраторов см. в статье Разрешения роли администратора в Azure Active Directory. |
| Подписка Azure. | Используется для платы за облачные службы Azure. У вас может быть множество подписок, связанных с кредитной картой. |
| Клиент Azure | Выделенный и доверенный экземпляр Azure AD. Клиент создается автоматически при оформлении организацией подписки на облачные службы Майкрософт. К таким подпискам относятся Microsoft Azure, Microsoft Intune или Microsoft 365. Клиент Azure представляет одну организацию. |
| Однотенантное приложение | Клиенты Azure, которые получают доступ к другим службам в выделенной среде, считаются однотенантными. |
| Поддержка нескольких клиентов | Клиенты Azure, которые обращаются к службам в общей среде в нескольких организациях, считаются мультитенантными. |
| Каталог Azure AD | Каждый клиент Azure имеет выделенный доверенный каталог Azure AD. Каталог Azure AD включает приложения, группы и пользователей клиента и используется для выполнения функций управления идентификацией и доступом для ресурсов клиента. |
| Личный домен | Каждый новый каталог Azure AD получает исходное доменное имя, например domainname.onmicrosoft.com. Кроме этого имени, можно также добавить доменные имена организации. Доменные имена организации включают в себя имена, которые вы используете для ведения бизнеса, а пользователи — для доступа к ресурсам вашей организации. Добавив имена личных доменов, вы сможете создать привычные для пользователей имена пользователей, например alain@contoso.com. |
| Учетная запись Майкрософт (также называемая MSA) | Личные учетные записи, которые предоставляют доступ к ориентированным на потребителя продуктам и облачным службам Майкрософт. К этим продуктам и службам относятся Outlook, OneDrive, Xbox LIVE или Microsoft 365. Ваша учетная запись Майкрософт создается и хранится в системе учетных записей удостоверений потребителей под управлением корпорации Майкрософт. |