Обзор Microsoft Entra
Совет директоров хочет обеспечить безопасный и удобный доступ к приложениям и службам. Эти приложения доступны внутренним сотрудникам и врачам из разных стран или регионов. Руководитель группы считает, что идентификатор Microsoft Entra может решить эти потребности. Ваш менеджер хочет, чтобы вы узнали, что такое идентификатор Microsoft Entra, как он работает, и что это делает.
Здесь вы получите обзор идентификатора Microsoft Entra и узнайте, почему вы будете использовать его. Вы узнаете о различиях между идентификатором Microsoft Entra и традиционным локальная служба Active Directory.
Что такое идентификатор Microsoft Entra?
Идентификатор Microsoft Entra — это облачное решение для управления удостоверениями. Оно помогает внутренним пользователям компании:
Доступ к внешним ресурсам, таким как службы Azure, Microsoft 365 и сторонние приложения SaaS.
Доступ к внутренним ресурсам, таким как приложения в корпоративной сети и облачных приложениях, создаваемых вашей компанией.
Идентификатор Microsoft Entra также помогает обеспечить безопасность удостоверений пользователей и приложений с помощью таких функций, как условный доступ и защита удостоверений.
Идентификатор Microsoft Entra хранит пользователей в клиенте, представляющего организацию. Например, предположим, что у вас есть клиент компании, в котором хранятся все учетные записи пользователей ваших сотрудников. Пользователей в этом клиенте можно объединить в группы, чтобы они имели общий уровень доступа. У вас может быть одна группа для разработчиков, а другая —для тестировщиков приложений. У этих групп будут разные уровни доступа к приложениям. У каждого клиента может быть несколько групп, содержащих несколько пользователей.
Кто преимущества от идентификатора Microsoft Entra?
Идентификатор Microsoft Entra соответствует потребностям многих типов пользователей. Например, ИТ-администратор может использовать идентификатор Microsoft Entra для определения того, кто должен иметь доступ к приложениям и ресурсам на основе требований компании. Администратор может добавить еще один уровень защиты в приложения и службы, применяя многофакторную проверку подлинности при входе.
Разработчики приложений могут использовать идентификатор Microsoft Entra, чтобы пользователи могли использовать существующие учетные данные для доступа к приложениям. Разработчики также могут использовать идентификатор Microsoft Entra для создания персонализированных интерфейсов конечных пользователей путем доступа к данным пользователя организации через API, относящиеся к идентификатору Microsoft Entra.
Если вы подписаны на такие службы, как Azure или Microsoft 365, вы уже используете преимущества идентификатора Microsoft Entra. Вы можете использовать идентификатор Microsoft Entra для дальнейшего управления доступом к облачным приложениям.
Оценка безопасности удостоверений в идентификаторе Microsoft Entra
Если вы являетесь администратором, необходимо знать, насколько безопасна клиент Microsoft Entra. Разобраться в ситуации поможет оценка безопасности удостоверений. Идентификатор Microsoft Entra предоставляет общий процент от 1 до 100. Это значение показывает, насколько хорошо вы соблюдаете рекомендации, и демонстрирует лучшие методики, которые корпорация Майкрософт предлагает для обеспечения безопасности клиентов. Оценка безопасности удостоверений показывает, насколько эффективна система безопасности, и помогает реализовать улучшения.
Оценку безопасности удостоверений клиента можно просмотреть на портале Azure. Перейдите в клиент Microsoft Entra, выберите "Безопасность" и выберите панель мониторинга оценки безопасности удостоверений.
На панели мониторинга отображаются такие сведения, как сравнение вашего показателя со средним значением по отрасли и значениями для клиентов того же размера. Панель мониторинга также предоставляет график, показывающий изменения в оценке с течением времени. Вы можете увидеть, что делать, чтобы улучшить оценку и сколько эффектов каждое улучшение может иметь на ваш счет.
Используйте оценку безопасности удостоверений, чтобы улучшить и отслеживать безопасность удостоверений в идентификаторе Microsoft Entra.
Сравнение идентификатора Microsoft Entra с Active Directory
Идентификатор Active Directory и Microsoft Entra — это отдельные службы, которые используются для различных целей.
Идентификатор Microsoft Entra — это облачное решение для удостоверений, которое помогает управлять пользователями и приложениями. Active Directory управляет такими объектами, как устройства и пользователи, в локальной сети. Ниже приведены некоторые другие отличия.
| Service | Проверка подлинности | Структура | Используется для |
|---|---|---|---|
| Active Directory | Kerberos, NTLM | Леса, домены, организационные подразделения | Проверка подлинности и авторизация для локальных принтеров, приложений, файловых служб и т. д. |
| Microsoft Entra ID | Включает SAML, OAuth, WS-Federation | Клиенты | Веб-службы и приложения, например Microsoft 365, службы Azure и сторонние приложения SaaS |
Идентификатор Microsoft Entra не заменяет Active Directory. Выбор службы зависит от потребностей вашей организации. Используя эти две службы совместно, можно объединить их функции и возможности в одном решении.
Гибридное удостоверение для связывания локальная служба Active Directory с идентификатором Microsoft Entra
Пользователи хотят получить доступ к приложениям из облака и локальной среды. Вы можете использовать идентификатор Microsoft Entra и Active Directory вместе для предоставления решения для идентификации, охватывающего локальную среду и облако. В этом случае одно удостоверение пользователя можно использовать как для проверки подлинности, так и для доступа к приложениям и ресурсам, независимо от их расположения. Удостоверение такого пользователя называется гибридным.
Несколько методов проверки подлинности позволяют достичь гибридной идентификации пользователей.
Синхронизация хэша паролей Microsoft Entra. Здесь пароль пользователя хэшируется дважды и синхронизируется между локальная служба Active Directory и идентификатором Microsoft Entra. Пользователи получают одинаковые учетные данные для доступа к ресурсам и приложениям как в облаке, так и в локальной среде.
Сквозная проверка подлинности Microsoft Entra. В этом случае на локальных серверах устанавливается агент, который выполняет проверку подлинности в локальной службе Active Directory. Когда учетная запись пользователя Microsoft Entra пытается пройти проверку подлинности, проверка подлинности паролей выполняется локально через эти серверы и Active Directory.
Федеративная проверка подлинности. В этом случае процесс проверки подлинности выполняется локальным сервером службы федерации Active Directory (AD FS), который проверяет пароли пользователей. Используйте этот метод проверки подлинности, если требуется использовать дополнительные меры, такие как проверка подлинности пользователей на основе смарт-карт.
Эти варианты проверки подлинности позволяют предоставить пользователям единый вход. При использовании единого входа пользователи автоматически входят в систему, когда они используют устройства организации и подключаются к внутренней корпоративной сети.
При определении параметров, которые следует применять в определенных сценариях, используйте для справки следующую таблицу.
| Требуется | Синхронизация хэша паролей | Сквозная проверка подлинности | Федеративная аутентификация |
|---|---|---|---|
| Автоматическая синхронизация с облаком пользователей, контактов и групп, настроенных на локальная служба Active Directory | Да | Да | Да |
| Предоставить пользователям доступ к облачным приложениям и ресурсам с использованием локального пароля. | Да | Да | Да |
| Избежать хранения хэшей паролей в облаке. | No | Да | Да |
| Использование многофакторной проверки подлинности на основе облака | Да | Да | Да |
| Использование локальной многофакторной проверки подлинности | No | No | Да |
| Использование интеллектуальной проверки подлинности карта для дополнительной защиты | No | No | Да |
Европейское хранилище данных удостоверений
При оформлении подписки на такие службы, как Azure или Microsoft 365, местоположение для хранения всех данных удостоверений определяется на основе адреса, указанного вами в процессе оформления подписки. Если вы являетесь клиентом, использующим адрес в Европе, идентификатор Microsoft Entra хранит большую часть данных в европейских центрах обработки данных. Однако службы, используемые с идентификатором Microsoft Entra, хранят некоторые данные за пределами Европы. Ниже приведены несколько примеров некоторых данных, хранящихся за пределами Европы:
| Служба на основе идентификаторов Microsoft Entra | Расположение данных |
|---|---|
| Microsoft Entra B2B (Microsoft Entra B2B) | Гости получают доступ к приложениям по ссылке в приглашении, отправленном по электронной почте, или по ссылке, предоставленной им непосредственно. Эти ссылки для активации хранятся в центрах обработки данных в США. Если пользователь отменяет подписки из сообщений с приглашениями, адрес электронной почты также будет храниться в центрах обработки данных в США. |
| Azure Active Directory B2C (Azure AD B2C) | Личные данные не хранятся за пределами Европы, однако данные о конфигурации политики хранятся в центрах обработки данных в США. |
| Многофакторная проверка подлинности Microsoft Entra | Телефонные звонки и текстовые сообщения поступают из центров обработки данных в США, а глобальные поставщики обеспечивают маршрутизацию. Проверка кода OAuth выполняется в США. Push-уведомления для приложения Microsoft Authenticator поступают из центров обработки данных в США. |