Основы Microsoft Entra
Идентификатор Microsoft Entra предоставляет границу удостоверения и доступа для ресурсов Azure и доверия приложений. Большинство требований к разделению среды можно выполнить с делегированным администрированием в одном клиенте Microsoft Entra. Эта конфигурация снижает затраты на управление системами. Однако для некоторых конкретных случаев, например полной изоляции ресурсов и удостоверений, требуется несколько арендаторов.
Необходимо определить архитектуру разделения среды в соответствии с вашими потребностями. К таким областям относятся:
Разделение ресурсов. Если ресурс может изменить объекты каталога, такие как пользовательские объекты, и это изменение помешает другим ресурсам, ресурс может потребоваться изолировать в архитектуре с несколькими арендаторами.
Разделение конфигураций. Конфигурации на уровне арендатора влияют на все ресурсы. Эффект некоторых конфигураций на уровне клиента можно ограничить с помощью политик условного доступа и других методов. Если у вас есть необходимость в различных конфигурациях клиента, которые не могут быть ограничены политиками условного доступа, может потребоваться мультитенантная архитектура.
Административное разделение. Вы можете делегировать администрирование групп управления, подписок, групп ресурсов, ресурсов и некоторых политик в одном арендаторе. Глобальный администратор всегда имеет доступ ко всему арендатору. Если вам нужно убедиться, что среда не совместно использует администраторов с другой средой, вам нужна многотенантная архитектура.
Чтобы обеспечить безопасность, необходимо соблюдать рекомендации по подготовке удостоверений, управлению аутентификацией, управлению удостоверениями, управлению жизненным циклом и операциями во всех арендаторах.
Терминология
Этот список терминов обычно связан с идентификатором Microsoft Entra и относится к этому содержимому:
Клиент Microsoft Entra. Выделенный и доверенный экземпляр идентификатора Microsoft Entra, который автоматически создается при регистрации вашей организации для подписки на облачную службу Майкрософт. К таким подпискам относятся Microsoft Azure, Microsoft Intune или Microsoft 365. Клиент Microsoft Entra обычно представляет одну организацию или границу безопасности. Клиент Microsoft Entra включает пользователей, группы, устройства и приложения, используемые для управления удостоверениями и доступом (IAM) для ресурсов клиента.
Среда. В контексте этого содержимого среда — это коллекция подписок Azure, ресурсов Azure и приложений, связанных с одним или несколькими элементами управления Microsoft Entra. Клиент Microsoft Entra предоставляет плоскость управления удостоверениями для управления доступом к этим ресурсам.
Рабочая среда. В контексте этого содержимого рабочая среда — это динамическая среда с инфраструктурой и службами, с которыми конечные пользователи взаимодействуют напрямую. Например, корпоративная или клиентская среда.
Нерабочая среда. В контексте этого содержимого непроизводственная среда ссылается на среду, используемую для:
Разработка
Тестирование
Цели задания
Нерабочие среды обычно называются изолированными средами.
Удостоверение. Удостоверение — это объект каталога, который может быть аутентифицирован и авторизован для доступа к ресурсу. Объекты удостоверений существуют для удостоверений человека и удостоверений, не относящихся к человеку. К объектам, не относящимся к человеку, относятся:
Объекты приложения
Удостоверения рабочей нагрузки (ранее описанные как принципы обслуживания)
Управляемые удостоверения
.
Удостоверения человека — это объекты пользователей, которые обычно представляют людей в организации. Эти удостоверения создаются и управляются непосредственно в идентификаторе Microsoft Entra или синхронизируются из локальная служба Active Directory с идентификатором Microsoft Entra для данной организации. Эти типы удостоверений называются локальными удостоверениями. Также могут быть объекты пользователей, приглашенные из партнерской организации или поставщика удостоверений социальных удостоверений с помощью совместной работы Microsoft Entra B2B. В этом содержимом мы называем эти типы удостоверений внешними удостоверениями.
Удостоверения, не относящиеся к человеку, включают в себя какие-либо удостоверения, не связанные с человеком. Данный тип удостоверения — это объект, например приложение, которому требуется удостоверение для запуска. В этом содержимом мы ссылаемся на данный тип удостоверения как удостоверение рабочей нагрузки. Для описания этого типа удостоверения используются различные термины, включая объекты приложения и субъекты-службы.
Объект приложения. Приложение Microsoft Entra определяется его объектом приложения. Объект находится в клиенте Microsoft Entra, где зарегистрировано приложение. Арендатор называется "домашним" арендатором приложения.
Приложения для одного арендатора создаются только для авторизации удостоверений, поступающих из "домашнего" арендатора.
Мультитенантные приложения позволяют удостоверениям любого клиента Microsoft Entra проходить проверку подлинности.
Объект субъекта-службы. Хотя существуют исключения, объекты приложения можно рассматривать как определение приложения. Объекты субъектов-служб можно считать экземпляром приложения. Субъекты-службы обычно ссылаются на объект приложения, а один объект приложения ссылается на несколько субъектов-служб в разных каталогах.
Объекты субъекта-службы также являются удостоверениями каталогов, которые могут выполнять задачи независимо от вмешательства человека. Субъект-служба определяет политику доступа и разрешения для пользователя или приложения в клиенте Microsoft Entra. Этот механизм обеспечивает базовые возможности, включая аутентификацию пользователя или приложения во время входа, а также авторизацию во время получения доступа к ресурсам.
Идентификатор Microsoft Entra позволяет объектам приложения и субъекта-службы проходить проверку подлинности с помощью пароля (также известного как секрет приложения) или с помощью сертификата. Использование паролей для субъектов-служб не рекомендуется, поэтому по возможности рекомендуется использовать сертификат.
Управляемые удостоверения для ресурсов Azure. Управляемые удостоверения — это специальные субъекты-службы в идентификаторе Microsoft Entra. Этот тип субъекта-службы можно использовать для проверки подлинности в службах, поддерживающих проверку подлинности Microsoft Entra, без необходимости хранить учетные данные в коде или обрабатывать управление секретами. См. сведения об управляемых удостоверениях для ресурсов Azure.
Удостоверение устройства: удостоверение устройства проверяет, что устройство в потоке проверки подлинности прошло процесс, чтобы убедиться, что устройство является законным и соответствует техническим требованиям. После успешного завершения этого процесса устройство может использоваться для дальнейшего управления доступом к ресурсам организации. С помощью идентификатора Microsoft Entra устройства могут проходить проверку подлинности с помощью сертификата.
Для некоторых устаревших сценариев требуется, чтобы удостоверение человека использовалось в сценариях, не относящихся к человеку. Например, если учетные записи служб используются в локальных приложениях, таких как сценарии или пакетные задания, требуют доступа к идентификатору Microsoft Entra. Этот шаблон не рекомендуется, поэтому лучше использовать сертификаты. Однако если вы используете удостоверение человека с паролем для проверки подлинности, защитите учетные записи Microsoft Entra с помощью многофакторной проверки подлинности Microsoft Entra.
Гибридное удостоверение. Гибридное удостоверение — это удостоверение, которое охватывает локальные и облачные среды. Это дает возможность использовать одно удостоверение для доступа к локальным и облачным ресурсам. Источник центра в этом сценарии обычно является локальным каталогом, а жизненный цикл удостоверений для подготовки, отмены подготовки и назначения ресурсов также осуществляется из локальной среды. Дополнительные сведения см. в статье Документация по гибридной идентификации.
Объекты каталога. Клиент Microsoft Entra содержит следующие распространенные объекты:
Пользовательские объекты представляют удостоверения человека и удостоверения, не относящиеся к человеку, для служб, которые в сейчас не поддерживают субъекты-службы. Пользовательские объекты содержат атрибуты, содержащие необходимые сведения о пользователе, включая персональные данные, членство в группах, устройства и роли, назначенные пользователю.
Объекты устройств представляют устройства, связанные с клиентом Microsoft Entra. Объекты устройств содержат атрибуты, содержащие необходимые сведения об устройстве. Это включает операционную систему, связанного пользователя, состояние соответствия требованиям и характер связи с клиентом Microsoft Entra. Эта связь может принимать несколько форм в зависимости от типа взаимодействия и уровня доверия устройства.
Присоединено к гибридному домену. Устройства, принадлежащие организации и присоединенные к локальная служба Active Directory и идентификатору Microsoft Entra. Обычно организация приобретает устройство и управляет им, а также оно управляется System Center Configuration Manager.
Присоединено к домену Microsoft Entra. Устройства, принадлежащие организации и присоединенные к клиенту Microsoft Entra организации. Обычно устройство, приобретенное и управляемое организацией, присоединенное к идентификатору Microsoft Entra и управляемое службой, например Microsoft Intune.
Зарегистрирована microsoft Entra. Устройства, не принадлежащие организации, например личное устройство, используются для доступа к ресурсам компании. Организациям может потребоваться регистрация устройства с помощью управления мобильными устройствами (MDM) или принудительное применение с помощью управления мобильными приложениями (MAM) без регистрации для доступа к ресурсам. Эта возможность может предоставляться службой, например Microsoft Intune.
Объекты группы содержат объекты для назначения доступа к ресурсам, применения элементов управления или конфигурации. Объекты группы содержат атрибуты, в которые входят необходимые сведения о группе, включая имя, описание, члены группы, владельцев групп и тип группы. Группы в идентификаторе Microsoft Entra принимают несколько форм в зависимости от требований организации и могут быть эталонированы в идентификаторе Microsoft Entra или синхронизированы из локальная служба Active Directory доменных служб (AD DS).
Назначенные группы. В назначенных группах пользователи добавляются в группу или удаляются из нее вручную, синхронизируются из локальных доменных служб Active Directory или обновляются как часть автоматизированного рабочего процесса с использованием скриптов. Назначенная группа может быть синхронизирована из локальной службы AD DS или может быть размещена в идентификаторе Microsoft Entra.
Группы динамического членства. В динамических группах пользователи автоматически назначаются группе на основе определенных атрибутов. Это позволяет динамически обновлять членство в группах на основе данных, содержащихся в пользовательских объектах. Динамическую группу можно использовать только в идентификаторе Microsoft Entra.
Учетная запись Майкрософт (MSA). Вы можете создавать подписки и арендаторы Azure с помощью учетных записей Майкрософт (MSA). Учетная запись Майкрософт — это личная учетная запись (в отличие от учетной записи организации), которая обычно используется разработчиками и применяется для пробных сценариев. При использовании личная учетная запись всегда делается гостем в клиенте Microsoft Entra.
Функциональные области Microsoft Entra
Это функциональные области, предоставляемые идентификатором Microsoft Entra, которые относятся к изолированным средам. Дополнительные сведения о возможностях идентификатора Microsoft Entra см. в статье "Что такое идентификатор Microsoft Entra ID?".
Проверка подлинности
Проверка подлинности. Идентификатор Microsoft Entra предоставляет поддержку протоколов проверки подлинности, соответствующих открытым стандартам, таким как OpenID Connect, OAuth и SAML. Идентификатор Microsoft Entra также предоставляет возможности, позволяющие организациям федеративные существующие локальные поставщики удостоверений, такие как службы федерации Active Directory (AD FS) (AD FS) для проверки подлинности доступа к интегрированным приложениям Microsoft Entra.
Идентификатор Microsoft Entra предоставляет ведущие в отрасли варианты надежной проверки подлинности, которые организации могут использовать для защиты доступа к ресурсам. Возможности многофакторной проверки подлинности Microsoft Entra, проверки подлинности устройств и без пароля позволяют организациям развертывать надежные параметры проверки подлинности, соответствующие требованиям их рабочей силы.
Единый вход. С помощью единого входа пользователи войдите один раз с одной учетной записью, чтобы получить доступ ко всем ресурсам, которые доверяют каталогу, таким как устройства, присоединенные к домену, корпоративные ресурсы, приложения программного обеспечения как услуга (SaaS) и все интегрированные приложения Microsoft Entra. Дополнительные сведения см. в разделе "Единый вход в приложения" в идентификаторе Microsoft Entra.
Авторизация
Назначение доступа к ресурсам. Идентификатор Microsoft Entra предоставляет и защищает доступ к ресурсам. Назначение доступа к ресурсу в идентификаторе Microsoft Entra можно сделать двумя способами:
Назначение пользователя. Пользователю напрямую назначается доступ к ресурсу, а также назначается соответствующая роль или разрешение.
Назначение группы. Группа, содержащая одного или нескольких пользователей, назначается ресурсу, а также назначается соответствующая роль или разрешение.
Политики доступа приложений. Идентификатор Microsoft Entra предоставляет возможности для дальнейшего управления и безопасного доступа к приложениям вашей организации.
Условный доступ. Политики условного доступа Microsoft Entra — это средства для привлечения контекста пользователей и устройств к потоку авторизации при доступе к ресурсам Microsoft Entra. Организации должны изучить использование политик условного доступа, чтобы разрешить, запретить или улучшить проверку подлинности на основе пользователя, риска, устройства и контекста сети. Дополнительные сведения см. в документации по условному доступу Microsoft Entra.
Защита идентификации Microsoft Entra. Эта возможность позволяет организациям автоматизировать обнаружение и устранение рисков на основе удостоверений, анализировать риски и экспортировать данные об обнаружении рисков в сторонние программы для дальнейшего анализа. Дополнительные сведения см. в обзоре Защита идентификации Microsoft Entra.
Администрирование
Управление удостоверениями. Идентификатор Microsoft Entra предоставляет средства для управления жизненным циклом удостоверений пользователей, групп и устройств. Microsoft Entra Connect позволяет организациям расширить текущее локальное решение для управления удостоверениями в облаке. Microsoft Entra Connect управляет подготовкой, отменой подготовки и обновлениями этих удостоверений в идентификаторе Microsoft Entra.
Идентификатор Microsoft Entra также предоставляет портал и API Microsoft Graph, чтобы организации могли управлять удостоверениями или интегрировать управление удостоверениями Microsoft Entra в существующие рабочие процессы или автоматизацию. Дополнительные сведения о Microsoft Graph см. в статье Использование Microsoft API Graph.
Управление устройством. Идентификатор Microsoft Entra используется для управления жизненным циклом и интеграцией с облачными и локальными инфраструктурами управления устройствами. Эта служба также используется для определения политик для управления доступом из облачных или локальных устройств к данным организации. Идентификатор Microsoft Entra предоставляет службы жизненного цикла устройств в каталоге и подготовку учетных данных для включения проверки подлинности. Эта служба также управляет ключевым атрибутом устройства в системе, которая имеет уровень доверия. Это важно при разработке политики доступа к ресурсам. Дополнительные сведения см. в документации по Microsoft Entra Управление устройствами.
Управление конфигурацией. Идентификатор Microsoft Entra содержит элементы службы, которые необходимо настроить и управлять, чтобы служба была настроена в соответствии с требованиями организации. К этим элементам относятся управление доменами, конфигурация единого входа, управление приложениями для имен и т. д. Идентификатор Microsoft Entra предоставляет портал и API Microsoft Graph, чтобы организации могли управлять этими элементами или интегрироваться в существующие процессы. Дополнительные сведения о Microsoft Graph см. в статье Использование Microsoft API Graph.
Система управления
Жизненный цикл удостоверений. Идентификатор Microsoft Entra предоставляет возможности для создания, извлечения, удаления и обновления удостоверений в каталоге, включая внешние удостоверения. Идентификатор Microsoft Entra также предоставляет службы для автоматизации жизненного цикла удостоверений, чтобы обеспечить его обслуживание в соответствии с потребностями вашей организации. Например, доступно использование проверок доступа для удаления внешних пользователей, которые не выполнили вход в течение указанного периода.
Отчеты и аналитика. Важным аспектом управления удостоверениями является видимость действий пользователей. Идентификатор Microsoft Entra предоставляет аналитические сведения о шаблонах безопасности и использования вашей среды. Эти аналитические сведения содержат подробные данные о:
доступе пользователей;
месте выполнения доступа;
использованных устройствах;
приложениях, используемых для доступа.
Идентификатор Microsoft Entra также содержит сведения о действиях, выполняемых в идентификаторе Microsoft Entra, и отчетах о рисках безопасности. Дополнительные сведения см . в отчетах и мониторинге Microsoft Entra.
Аудит. Аудит обеспечивает трассировку с помощью журналов для всех изменений, выполненных определенными функциями в идентификаторе Microsoft Entra. Примеры действий, найденных в журналах аудита, включают изменения, внесенные в любые ресурсы в идентификаторе Microsoft Entra, например добавление или удаление пользователей, приложений, групп, ролей и политик. Отчеты в идентификаторе Microsoft Entra позволяют выполнять аудит действий входа, рискованных входов и пользователей, помеченных для риска. Дополнительные сведения см. в отчетах о действиях аудита в портал Azure.
Доступ к сертификации. Сертификация доступа — это процесс подтверждения того, что пользователь имеет право на доступ к ресурсу в определенный момент времени. Проверки доступа Microsoft Entra постоянно проверяют членство в группах или приложениях и предоставляют аналитические сведения о необходимости или удалении доступа. Это позволяет организациям эффективно управлять членством в группах, доступом к корпоративным приложениям и назначениям ролей, чтобы обеспечить постоянный доступ только нужным людям. Дополнительные сведения см. в разделе "Что такое проверки доступа Microsoft Entra"?
Привилегированный доступ. Microsoft Entra управление привилегированными пользователями (PIM) обеспечивает активацию роли на основе времени и утверждения, чтобы снизить риски чрезмерного, ненужного или неправильного доступа к ресурсам Azure. Оно используется для обеспечения защиты привилегированных учетных записей, уменьшая время действия привилегий и улучшая видимость их использования с помощью отчетов и оповещений.
Самостоятельное управление услугами
Регистрация учетных данных. Идентификатор Microsoft Entra предоставляет возможности для управления всеми аспектами жизненного цикла удостоверений пользователей и возможностей самообслуживания для уменьшения рабочей нагрузки вспомогательной службы организации.
Управление группами. Идентификатор Microsoft Entra предоставляет возможности, позволяющие пользователям запрашивать членство в группе для доступа к ресурсам и создавать группы, которые можно использовать для защиты ресурсов или совместной работы. Эти возможности можно контролировать в организации, чтобы установить соответствующие элементы управления.
Система управления идентификацией и доступом (IAM)
Azure Active Directory B2C. Azure Active Directory B2C — это служба, которая может быть включена в подписке Azure для предоставления удостоверений потребителям для клиентских приложений вашей организации. Это отдельный остров удостоверений, и эти пользователи не отображаются в клиенте Microsoft Entra организации. Администраторы управляют Azure Active Directory B2C в арендаторе, связанном с подпиской Azure.
Следующие шаги
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по