Идентификатор Microsoft Entra — это облачное решение для управления удостоверениями и доступом. Это служба управления каталогами и удостоверениями, которая работает в облаке и предлагает службы проверки подлинности и авторизации для различных службы Майкрософт, таких как Microsoft 365, Dynamics 365 и Microsoft Azure.
Дополнительные сведения см. в разделе "Что такое идентификатор Microsoft Entra?
Справка по доступу к идентификатору Microsoft Entra и Azure
Почему при попытке получить доступ к Центру администрирования Microsoft Entra или портал Azure не найдено подписок?
Чтобы получить доступ к Центру администрирования Microsoft Entra или портал Azure, каждому пользователю требуются разрешения с допустимой подпиской. Если у вас нет платной подписки Microsoft 365 или Microsoft Entra, необходимо активировать бесплатную учетную запись Azure или установить платную подписку. Все подписки Azure, платные или бесплатные, имеют отношение доверия с клиентом Microsoft Entra. Все подписки используют клиент Microsoft Entra (каталог) для проверки подлинности и авторизации субъектов безопасности и устройств.
Дополнительные сведения см. в статье о том, как подписки Azure связаны с идентификатором Microsoft Entra.
Что такое связь между идентификатором Microsoft Entra, Microsoft Azure и другими службы Майкрософт, такими как Microsoft 365?
Идентификатор Microsoft Entra предоставляет общие возможности идентификации и доступа ко всем веб-службам. Независимо от того, используете ли вы службы Майкрософт, такие как Microsoft 365, Power Platform, Dynamics 365 или другие продукты Майкрософт, вы уже используете идентификатор Microsoft Entra для включения входа и управления доступом для всех облачных служб.
Все пользователи, настроенные для использования службы Майкрософт, определяются как учетные записи пользователей в одном или нескольких экземплярах Microsoft Entra, предоставляя этим учетным записям доступ к идентификатору Microsoft Entra.
Дополнительные сведения см. в планах и ценах на идентификаторы Microsoft Entra
Платные службы Microsoft Entra, такие как Enterprise Mobility + Security (Microsoft Enterprise Mobility + Security), дополняют другие службы Майкрософт, такие как Microsoft 365, с комплексными корпоративными решениями для разработки, управления и безопасности.
Дополнительные сведения см. в разделе Microsoft Cloud.
Чем владелец отличается от глобального администратора?
По умолчанию пользователь, который регистрируется для подписки Microsoft Entra или Azure, назначается роль владельца ресурсов Azure. Владелец может использовать учетную запись Майкрософт или рабочую или учебную учетную запись из каталога, с которым связана подписка Microsoft Entra или Azure. Эта роль также авторизована для управления службами в портал Azure.
Если другим пользователям нужно войти в систему и получить доступ к службам с помощью той же подписки, вы можете назначить им соответствующие встроенные роли. Дополнительные сведения см. в разделе Назначение ролей Azure с помощью портала Azure.
По умолчанию пользователю, который регистрируется для подписки Microsoft Entra или Azure, назначена роль глобального администратора каталога. Этот пользователь имеет доступ ко всем функциям каталога Microsoft Entra. Идентификатор Microsoft Entra имеет другой набор ролей администратора для управления функциями каталога и удостоверений. Эти администраторы будут иметь доступ к различным возможностям на портале Azure. Роль администраторов определяет их возможности, например создание или изменение пользователей, назначение административных ролей другим пользователям, сброс паролей пользователей, управление лицензиями пользователей или управление доменами.
Дополнительные сведения см. в разделе "Назначение роли администратора" в идентификаторе Microsoft Entra ID и назначении ролей администратора в идентификаторе Microsoft Entra.
Существует ли отчет, показывающий, когда срок действия моих пользовательских лицензий Microsoft Entra истекает?
№ В настоящее время недоступно.
Как разрешить URL-адреса Центра администрирования Microsoft Entra на брандмауэре или прокси-сервере?
Чтобы оптимизировать подключение между сетью и Центром администрирования Microsoft Entra и ее службами, может потребоваться добавить в список разрешений определенные URL-адреса Центра администрирования Microsoft Entra. Это позволяет повысить производительность и подключение между локальной или широкой сетью. Администраторы сети часто развертывают прокси-серверы, брандмауэры или другие устройства, которые могут помочь обеспечить безопасность и предоставить контроль над доступом пользователей к Интернету. Правила, предназначенные для защиты пользователей, иногда могут блокировать или замедлять бизнес-трафик, связанный с бизнесом. Этот трафик включает обмен данными между вами и Центром администрирования Microsoft Entra по следующим URL-адресам:
- *.entra.microsoft.com
- *.entra.microsoft.us
- *.entra.microsoftonline.cn
Дополнительные сведения см. в статье Об использовании прокси приложения Microsoft Entra для публикации локальных приложений для удаленных пользователей. Дополнительные URL-адреса, которые следует включить, перечислены в статье "Разрешить портал Azure URL-адреса на брандмауэре или прокси-сервере".
Справка с гибридным идентификатором Microsoft Entra
Каким образом можно выйти из клиента, если я добавлен в качестве участника совместной работы?
Обычно пользователь может выйти из организации самостоятельно, не обращаясь к администратору. Однако в некоторых случаях этот вариант недоступен, и вам потребуется обратиться к администратору клиента, который может удалить вашу учетную запись из внешней организации.
Дополнительные сведения см. в разделе "Оставьте организацию внешним пользователем".
Как подключить локальный каталог к идентификатору Microsoft Entra?
Локальный каталог можно подключить к идентификатору Microsoft Entra С помощью Microsoft Entra Connect.
Дополнительные сведения см. в разделе "Интеграция локальных удостоверений с идентификатором Microsoft Entra".
Как настроить единый вход между локальным каталогом и облачными приложениями?
Вам нужно настроить единый вход (SSO) между локальным каталогом и идентификатором Microsoft Entra. Если вы обращаетесь к облачным приложениям с помощью идентификатора Microsoft Entra, служба автоматически управляет пользователями для правильной проверки подлинности с помощью локальных учетных данных.
Реализация единого входа из локальной среды может быть легко достигнута с помощью таких решений федерации, как службы федерации Active Directory (AD FS) (AD FS) или путем настройки синхронизации хэша паролей. Вы можете легко развернуть оба варианта с помощью мастера настройки Microsoft Entra Connect.
Дополнительные сведения см. в разделе "Интеграция локальных удостоверений с идентификатором Microsoft Entra".
Предоставляет ли идентификатор Microsoft Entra портал самообслуживания для пользователей в моей организации?
Да, идентификатор Microsoft Entra предоставляет идентификатор Microsoft Entra id Панель доступа для самостоятельного доступа пользователей и приложений. Если вы являетесь клиентом Microsoft 365, на портале Office 365 можно найти множество одинаковых возможностей.
Дополнительные сведения см. в статье Общие сведения о панели доступа.
Помогает ли идентификатор Microsoft Entra управлять локальной инфраструктурой?
Да. Выпуск Microsoft Entra ID P1 или P2 предоставляет вам microsoft Entra Connect Health. Microsoft Entra Connect Health помогает отслеживать и получать аналитические сведения о локальной инфраструктуре удостоверений и службах синхронизации.
Дополнительные сведения см. в статье Мониторинг локальной инфраструктуры идентификации и служб синхронизации в облаке.
Справка по управлению паролями
Можно ли использовать обратную запись паролей Microsoft Entra без синхронизации паролей?
(Например, можно ли использовать самостоятельный сброс пароля Microsoft Entra (SSPR) с обратной записью паролей и не хранить пароли в облаке?)
В этом примере не требуется отслеживать локальный пароль в Microsoft Entra. Это связано с тем, что вам не нужно синхронизировать пароли Active Directory с идентификатором Microsoft Entra, чтобы включить обратную запись. В федеративной среде единый вход (SSO) Microsoft Entra использует локальный каталог для проверки подлинности пользователя.
Сколько времени длится обратная запись пароля в локальную среду Active Directory?
Обратная запись пароля выполняется в режиме реального времени.
Дополнительные сведения см. в статье Приступая к работе с компонентами управления паролями.
Можно ли использовать обратную запись паролей, которые управляются администратором?
Да. Если вы включили обратную запись паролей, операции, которые администратор выполняет с паролем, записываются обратно в локальную среду.
Ответы на другие вопросы, связанные с паролями, см. в статье Вопросы и ответы об управлении паролями.
Что делать, если я не могу вспомнить существующий пароль Microsoft 365 / Microsoft Entra при попытке изменить пароль?
Для приведенного выше сценария существует несколько вариантов. Если он доступен, можно использовать самостоятельный сброс пароля (SSPR). Функционирование самостоятельного сброса пароля зависит от настройки этой функции. Дополнительные сведения о сбросе паролей Microsoft Entra см. в статье "Как работает портал сброса пароля".
Для пользователей Microsoft 365 администраторы могут сбрасывать пароли, используя шаги, описанные в статье Для администраторов: сброс паролей пользователей.
Для учетных записей Microsoft Entra администраторы могут сбрасывать пароли, используя одно из следующих действий:
Справка по безопасности
Блокируются ли учетные записи после определенного числа неудачных попыток или используется более сложная стратегия?
Идентификатор Microsoft Entra использует более сложную стратегию для блокировки учетных записей. Она основана на IP-адресе запроса и введенном пароле. Если есть вероятность того, что это атака, длительность блокировки увеличивается.
Для некоторых (распространенных) паролей, которые отклоняются, это относится к паролям, используемым только в текущем каталоге?
Отклоненные пароли возвращают сообщение "Этот пароль использовался слишком много раз". Это относится к паролям, которые распространены во всем мире. Например, это все вариации слова Password и цифр 123456.
Будет ли запросы на вход из сомнительных источников (например, ботнеты) заблокированы в клиенте B2C или требуется ли это клиент выпуска Basic или Premium?
У нас есть шлюз, который отфильтровывает запросы и предоставляет некоторую защиту от ботнетов и применяется для всех клиентов B2C.
Справка по доступу к приложениям
Где можно найти список приложений, которые предварительно интегрированы с идентификатором Microsoft Entra и их возможностями?
Идентификатор Microsoft Entra ID имеет более 2600 предварительно интегрированных приложений от Майкрософт, поставщиков служб приложений и партнеров. Все предварительно интегрированные приложения поддерживают единый вход. Единый вход позволяет использовать учетные данные организации для доступа к приложениям. Некоторые приложения также поддерживают автоматическую подготовку и отмену подготовки.
Полный список предварительно интегрированных приложений см. в Azure Marketplace.
Что делать, если приложение, которое мне нужно, не находится в Microsoft Entra Marketplace?
С помощью Идентификатора Microsoft Entra ID P1 или P2 можно добавить и настроить любое нужное приложение. В зависимости от возможностей вашего приложения и своих предпочтений вы можете настроить единый вход и автоматическую подготовку.
Дополнительные сведения см. в статье о протоколе SAML единого входа и разработке и планировании подготовки для конечной точки SCIM.
Как пользователи войдите в приложения с помощью идентификатора Microsoft Entra?
Идентификатор Microsoft Entra предоставляет несколько способов просмотра и доступа пользователей к приложениям, например:
- Панель доступа Microsoft Entra
- средство запуска приложений Microsoft 365;
- прямой вход в федеративные приложения;
- прямые ссылки на федеративные приложения, приложения на основе пароля или существующие приложения;
Дополнительные сведения см. в статье о развертывании приложений для конечных пользователей в Azure AD.
Каковы различные способы, которыми идентификатор Microsoft Entra позволяет выполнять проверку подлинности и единый вход в приложения?
Идентификатор Microsoft Entra поддерживает множество стандартных протоколов для проверки подлинности и авторизации, таких как SAML 2.0, OpenID Connect, OAuth 2.0 и WS-Federation. Идентификатор Microsoft Entra также поддерживает хранилище паролей и возможности автоматического входа в приложения, поддерживающие проверку подлинности на основе форм.
Дополнительные сведения см. в разделе "Основы идентификации " и единый вход для приложений в идентификаторе Microsoft Entra ID.
Можно ли добавить приложения, которые я выполняю локально?
Прокси приложения Microsoft Entra обеспечивает простой и безопасный доступ к локальным веб-приложениям, которые вы выбираете. Вы можете получить доступ к этим приложениям таким же образом, как и к приложениям SaaS в Идентификаторе Microsoft Entra. Для VPN-подключения или изменения сетевой инфраструктуры нет необходимости.
Дополнительные сведения см. в статье Как обеспечить безопасный удаленный доступ к локальным приложениям.
Разделы справки требуется многофакторная проверка подлинности для пользователей, обращающихся к конкретному приложению?
С помощью условного доступа Microsoft Entra можно назначить уникальную политику доступа для каждого приложения. В политике всегда можно требовать многофакторную проверку подлинности или когда пользователи не подключены к локальной сети.
Дополнительные сведения см. в разделе "Защита доступа к Microsoft 365" и другим приложениям, подключенным к идентификатору Microsoft Entra.
Что такое автоматическая подготовка пользователей для приложений SaaS?
Используйте идентификатор Microsoft Entra для автоматизации создания, обслуживания и удаления удостоверений пользователей во многих популярных облачных приложениях SaaS.
Дополнительные сведения см. в разделе "Что такое подготовка приложений в идентификаторе Microsoft Entra ID?".
Можно ли настроить безопасное подключение LDAP с помощью идентификатора Microsoft Entra?
№ Идентификатор Microsoft Entra не поддерживает протокол LDAP или безопасный протокол LDAP. Однако можно включить экземпляр доменных служб Microsoft Entra в клиенте Microsoft Entra с правильно настроенными группами безопасности сети через сеть Azure для обеспечения подключения LDAP.
Дополнительные сведения см. в разделе "Настройка защищенного LDAP" для управляемого домена доменных служб Microsoft Entra.