Что такое идентификатор Microsoft Entra?
Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом, которую сотрудники могут использовать для доступа к внешним ресурсам. Примерами ресурсов являются Microsoft 365, портал Azure и тысячи других приложений SaaS.
Идентификатор Microsoft Entra также помогает им получать доступ к внутренним ресурсам, таким как приложения в корпоративной интрасети, и любым облачным приложениям, разработанным для вашей организации. Сведения о создании клиента см. в кратком руководстве по созданию нового клиента в идентификаторе Microsoft Entra.
Сведения о различиях между Идентификатором Active Directory и Microsoft Entra см. в статье "Сравнение Active Directory с идентификатором Microsoft Entra". Вы также можете обратиться к плакатам Microsoft Cloud для корпоративных архитекторов , чтобы лучше понять основные службы удостоверений в Azure, такие как идентификатор Microsoft Entra и Microsoft-365.
Кто использует идентификатор Microsoft Entra?
Идентификатор Microsoft Entra предоставляет различные преимущества для членов вашей организации на основе их роли:
ИТ-администраторы используют идентификатор Microsoft Entra для управления доступом к приложениям и ресурсам приложений на основе бизнес-требований. Например, в качестве ИТ-администратора можно использовать идентификатор Microsoft Entra, чтобы требовать многофакторную проверку подлинности при доступе к важным ресурсам организации. Вы также можете использовать идентификатор Microsoft Entra для автоматизации подготовки пользователей между существующими приложениями Windows Server AD и облачными приложениями, включая Microsoft 365. Наконец, идентификатор Microsoft Entra предоставляет мощные средства для автоматической защиты удостоверений пользователей и учетных данных и соответствия требованиям к управлению доступом. Чтобы приступить к работе, зарегистрируйте бесплатную 30-дневную пробную версию Microsoft Entra ID P1 или P2.
Разработчики приложений могут использовать идентификатор Microsoft Entra в качестве поставщика проверки подлинности на основе стандартов, который помогает им добавлять единый вход в приложения, которые работают с существующими учетными данными пользователя. Разработчики также могут использовать API Microsoft Entra для создания персонализированных интерфейсов с помощью данных организации. Чтобы приступить к работе, зарегистрируйте бесплатную 30-дневную пробную версию Microsoft Entra ID P1 или P2. Дополнительные сведения см. также в идентификаторе Microsoft Entra для разработчиков.
Подписчики Microsoft 365, Office 365, Azure или Dynamics CRM Online уже используют идентификатор Microsoft Entra, так как каждый клиент Microsoft 365, Office 365, Azure и Dynamics CRM Online автоматически является клиентом Microsoft Entra. Вы можете немедленно начать управление доступом к интегрированным облачным приложениям.
Что такое лицензии на идентификатор Microsoft Entra ID?
Бизнес-службы Microsoft Online, такие как Microsoft 365 или Microsoft Azure, используют идентификатор Microsoft Entra для действий входа и для защиты удостоверений. Если вы подписаны на любую службу Microsoft Online для бизнеса, вы автоматически получите доступ к идентификатору Microsoft Entra ID Free.
Чтобы улучшить реализацию Microsoft Entra, вы также можете добавить платные функции, обновив лицензии Microsoft Entra ID P1 или P2, или добавив лицензии для таких продуктов, как Управление идентификацией Microsoft Entra. Вы также можете лицензировать платные лицензии Microsoft Entra на основе существующего бесплатного каталога. Лицензии обеспечивают самообслуживание, расширенный мониторинг, отчеты о безопасности и безопасный доступ для мобильных пользователей.
Заметка
Сведения о ценах этих лицензий см. в разделе о ценах Microsoft Entra.
Дополнительные сведения о ценах на Microsoft Entra см. на форуме Microsoft Entra.
Бесплатный идентификатор Microsoft Entra. Предоставляет управление пользователями и группами, синхронизацию локальных каталогов, основные отчеты, самостоятельное изменение пароля для облачных пользователей и единый вход в Azure, Microsoft 365 и множество популярных приложений SaaS.
Идентификатор Microsoft Entra P1. Помимо бесплатных функций P1 также позволяет гибридным пользователям получать доступ как к локальным, так и к облачным ресурсам. Она также поддерживает расширенные возможности администрирования, такие как динамические группы членства, самостоятельное управление группами, Microsoft Identity Manager и возможности обратной записи в облаке, которые позволяют самостоятельно сбросить пароль для локальных пользователей.
Идентификатор Microsoft Entra P2. Помимо функций Бесплатной и P1, P2 также предлагает Защита идентификации Microsoft Entra для предоставления условного доступа на основе рисков для приложений и критически важных корпоративных данных и управление привилегированными пользователями чтобы помочь обнаруживать, ограничивать и отслеживать администраторов и их доступ к ресурсам и предоставлять jit-доступ по мере необходимости.
Помимо лицензий На идентификатор Microsoft Entra, вы можете включить дополнительные возможности управления удостоверениями с лицензиями для других продуктов Microsoft Entra, в том числе:
Управление идентификацией Microsoft Entra. Управление идентификацией Microsoft Entra — это расширенный набор возможностей управления удостоверениями для клиентов Microsoft Entra ID P1 и P2.
Управление разрешениями Microsoft Entra. Управление разрешениями Microsoft Entra — это решение для управления правами облачной инфраструктуры (CIEM), которое обеспечивает исчерпывающую видимость разрешений, назначенных всем удостоверениям (пользователям и рабочим нагрузкам), действиям и ресурсам в облачных инфраструктурах Microsoft Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP).
Лицензии на функции "Оплата по мере использования". Вы также можете получить лицензии на такие функции, как доменные службы Microsoft Entra и Microsoft Entra Business-to-Customer (B2C). B2C поможет вам предоставить решения по управлению удостоверениями и доступом для ваших клиентских приложений. Дополнительные сведения см . в документации по Azure Active Directory B2C.
Дополнительные сведения о семействе продуктов Microsoft Entra см. в разделе Microsoft Entra.
Дополнительные сведения о связывании подписки Azure с идентификатором Microsoft Entra см. в статье "Связывание или добавление подписки Azure" в идентификатор Microsoft Entra. Дополнительные сведения о назначении лицензий пользователям см. в статье "Практическое руководство. Назначение или удаление лицензий идентификатора Microsoft Entra ID".
Какие функции работают в идентификаторе Microsoft Entra?
Выбрав лицензию на идентификатор Microsoft Entra, вы получите доступ к некоторым или всем следующим функциям:
| Категория | Описание |
|---|---|
| Управление приложениями | Управление облачными и локальными приложениями с помощью Application Proxy, единого входа, портала Мои приложения и приложений SaaS. Дополнительные сведения см. в статье "Как обеспечить безопасный удаленный доступ к локальным приложениям и документации по управлению приложениями". |
| Аутентификация | Управление самостоятельным сбросом пароля Microsoft Entra, многофакторной проверкой подлинности, настраиваемым списком запрещенных паролей и смарт-блокировкой. Дополнительные сведения см . в документации по проверке подлинности Microsoft Entra. |
| Идентификатор Microsoft Entra для разработчиков | Создавайте приложения, которые входят во все удостоверения Майкрософт, получают маркеры для вызова Microsoft Graph, других API Майкрософт или пользовательских API. Дополнительные сведения см. в разделе платформа удостоверений Майкрософт (Идентификатор Microsoft Entra для разработчиков). |
| Бизнес -to-Business (B2B) | Управляйте гостевыми пользователями и внешними партнерами, сохраняя контроль над собственными корпоративными данными. Дополнительные сведения см . в документации по Microsoft Entra B2B. |
| Бизнес-клиент (B2C) | Настройте и управляйте способом регистрации, входа и управления профилями пользователей при использовании приложений. Дополнительные сведения см . в документации по Azure Active Directory B2C. |
| Условный доступ | Управление доступом к облачным приложениям. Дополнительные сведения см . в документации по условному доступу Microsoft Entra. |
| Управление устройствами | Управление доступом к корпоративным данным на облачных или локальных устройствах. Дополнительные сведения см. в документации по Microsoft Entra Управление устройствами. |
| Доменные службы | Присоединение виртуальных машин Azure к домену без использования контроллеров домена. Дополнительные сведения см . в документации по доменным службам Microsoft Entra. |
| Корпоративные пользователи | Управление назначениями лицензий, доступом к приложениям и настройке делегатов с помощью групп и ролей администратора. Дополнительные сведения см . в документации по управлению пользователями Microsoft Entra. |
| Гибридное удостоверение | Используйте Microsoft Entra Connect and Connect Health для предоставления единого удостоверения пользователя для проверки подлинности и авторизации для всех ресурсов независимо от расположения (облака или локальной среды). Дополнительные сведения см . в документации по гибридному удостоверению. |
| Управление удостоверениями | Идентификатор Microsoft Entra ID P2 включает основные возможности для управления привилегированными удостоверениями (PIM), проверки доступа и управление правами. Управление идентификацией Microsoft Entra клиенты могут управлять удостоверениями организации и доступом с помощью комплексных сотрудников, деловых партнеров, поставщиков, служб и элементов управления приложениями. Дополнительные сведения см. в Управление идентификацией Microsoft Entra документации и компонентах по лицензиям. |
| Защита идентификации Microsoft Entra | Определите потенциальные уязвимости, влияющие на удостоверения вашей организации, настройте политики для реагирования на подозрительные действия, а затем выполните соответствующие действия, чтобы устранить их. Дополнительные сведения см. в Защита идентификации Microsoft Entra. |
| Управляемые удостоверения для ресурсов Azure | Предоставьте службы Azure автоматически управляемым удостоверением в идентификаторе Microsoft Entra, который может пройти проверку подлинности любой поддерживаемой службой проверки подлинности Microsoft Entra, включая Key Vault. Дополнительные сведения см. в статье "Что такое управляемые удостоверения для ресурсов Azure?". |
| Управление привилегированными удостоверениями (PIM) | Управление, управление и мониторинг доступа в организации. Эта функция включает доступ к ресурсам в идентификаторе Microsoft Entra и Azure, а также других веб-службах Майкрософт, таких как Microsoft 365 или Intune. Дополнительные сведения см. в управление привилегированными пользователями Microsoft Entra. |
| Мониторинг и работоспособности | Получите аналитические сведения о шаблонах безопасности и использования в вашей среде. Дополнительные сведения см. в разделе мониторинга и работоспособности Microsoft Entra. |
| Удостоверения рабочей нагрузки | Предоставьте удостоверение рабочей нагрузке программного обеспечения (например, приложению, службе, скрипту или контейнеру) для проверки подлинности и доступа к другим службам и ресурсам. Дополнительные сведения см. в разделах часто задаваемых вопросов о удостоверениях рабочей нагрузки. |
Терминология
Чтобы лучше понять идентификатор Microsoft Entra и ее документацию, рекомендуется ознакомиться со следующими условиями.
| Термин или концепция | Описание |
|---|---|
| Тождество | Вещь, которая может пройти проверку подлинности. Удостоверение может быть пользователем с именем пользователя и паролем. Удостоверения также включают приложения или другие серверы, для которых может потребоваться проверка подлинности с помощью секретных ключей или сертификатов. |
| Счет | Удостоверение с данными, связанными с ним. У вас нет учетной записи без удостоверения. |
| Учетная запись Microsoft Entra | Удостоверение, созданное с помощью идентификатора Microsoft Entra или другой облачной службы Майкрософт, например Microsoft 365. Удостоверения хранятся в идентификаторе Microsoft Entra и доступны для подписок облачной службы вашей организации. Эта учетная запись также иногда называется рабочей или учебной учетной записью. |
| Администратор учетной записи | Эта классическая роль администратора подписки концептуально является владельцем выставления счетов подписки. Эта роль позволяет управлять всеми подписками в учетной записи. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки. |
| Администратор службы | Эта классическая роль администратора подписки позволяет управлять всеми ресурсами Azure, включая доступ. Эта роль имеет эквивалентный доступ к пользователю, которому назначена роль владельца в области подписки. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки. |
| Владелец | Эта роль помогает управлять всеми ресурсами Azure, включая доступ. Эта роль основана на новой системе авторизации, называемой управлением доступом на основе ролей Azure (Azure RBAC), которая обеспечивает точное управление доступом к ресурсам Azure. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки. |
| Глобальный администратор Microsoft Entra | Эта роль администратора автоматически назначается тому, кто создал клиент Microsoft Entra. У вас может быть несколько учетных записей с этой ролью, но любой пользователь с не менее привилегированным администратором ролей может назначать роли администратора пользователям. Дополнительные сведения о различных ролях администратора см. в разделе "Разрешения роли администратора" в идентификаторе Microsoft Entra. |
| Подписка Azure | Используется для оплаты облачных служб Azure. У вас может быть много подписок, и они связаны с кредитной картой. |
| Съёмщик | Выделенный и доверенный экземпляр идентификатора Microsoft Entra. Клиент автоматически создается при регистрации вашей организации для подписки на облачную службу Майкрософт. Эти подписки включают Microsoft Azure, Microsoft Intune или Microsoft 365. Этот клиент представляет отдельную организацию и предназначен для управления сотрудниками, бизнес-приложениями и другими внутренними ресурсами. По этой причине он считается конфигурацией клиента рабочей силы. В отличие от этого, вы можете создать клиент во внешней конфигурации, которая используется в решениях управления удостоверениями клиентов и доступом (CIAM) для приложений, стоящих перед потребителем (дополнительные сведения о Внешняя идентификация Microsoft Entra). |
| Один клиент | Клиенты Azure, обращаюющиеся к другим службам в выделенной среде, считаются одним клиентом. |
| Мультитенантная | Клиенты Azure, которые обращаются к другим службам в общей среде в нескольких организациях, считаются мультитенантными. |
| Каталог Microsoft Entra | Каждый клиент Azure имеет выделенный и доверенный каталог Microsoft Entra. Каталог Microsoft Entra включает пользователей, групп и приложений клиента и используется для выполнения функций управления удостоверениями и доступом для ресурсов клиента. |
| Личный домен | Каждый новый каталог Microsoft Entra поставляется с начальным доменным именем, например domainname.onmicrosoft.com. Помимо этого начального имени можно также добавить доменные имена вашей организации. Доменные имена вашей организации включают имена, используемые для бизнеса, и пользователи, используемые для доступа к ресурсам организации, к списку. Добавление имен пользовательских доменов помогает создавать имена пользователей, знакомые пользователям, например alain@contoso.com. |
| Учетная запись Майкрософт (также называется MSA) | Личные учетные записи, предоставляющие доступ к продуктам и облачным службам Майкрософт, ориентированным на потребителей. К этим продуктам и службам относятся Outlook, OneDrive, Xbox LIVE или Microsoft 365. Учетная запись Майкрософт создается и хранится в системе учетных записей удостоверений потребителей Майкрософт, которая выполняется корпорацией Майкрософт. |