Общие сведения о лицензиях и терминологии идентификатора Microsoft Entra
Ваша компания всегда ищет наиболее опытных специалистов в области здравоохранения и сторонних подрядчиков для сотрудничества. При отсутствии надлежащего управления исследовательские проекты могут стать слишком затратными. Ваша компания стремится повысить экономичность таких проектов. Компания просит вас изучить, как лицензирован идентификатор Microsoft Entra. Они также хотят, чтобы вы предоставили четкий и краткий обзор критической терминологии, которую они могут столкнуться в идентификаторе Microsoft Entra.
В этом уроке вы узнаете, как идентификатор Microsoft Entra лицензирован и какие функции падают под разные лицензии. Вы узнаете, как добавлять или изменять лицензии в идентификаторе Microsoft Entra, и вы узнаете ключевые термины, которые необходимо понять при использовании идентификатора Microsoft Entra.
Лицензии на идентификатор Microsoft Entra
Вы можете использовать различные функции идентификатора Microsoft Entra в зависимости от типа выбранной лицензии:
Бесплатный идентификатор Microsoft Entra. Вы можете управлять пользователями и группами, а также получать необходимые отчеты, локальная служба Active Directory синхронизацию и самостоятельный сброс пароля для пользователей Microsoft Entra. Вы также получаете единый вход для Microsoft 365, служб Azure и многих приложений, отличных от Microsoft SaaS.
Лицензии с оплатой по мере использования для определенных компонентов. Вы можете получить доступ к определенным функциям Microsoft Entra, таким как Azure AD B2C, на основе оплаты по мере использования. Azure AD B2C позволяет управлять удостоверениями и доступом для пользователей-потребителей и используемыми ими приложениями.
Приложения Office 365. Вы получаете все функции бесплатного уровня, но вы также можете иметь настраиваемые страницы входа и выхода, самостоятельный сброс пароля для облачных пользователей и обратной записи устройства.
Идентификатор Microsoft Entra P1. Вы получаете все функции уровня "Free", но также можете предоставлять пользователям доступ к локальным и облачным службам и ресурсам. Вы можете использовать самостоятельное управление группами или динамические группы, в которых пользователи добавляются и удаляются автоматически, в зависимости от заданных критериев. Этот уровень поддерживает локальные наборы управления удостоверениями, такие как Microsoft Identity Manager. Также поддерживается самостоятельный сброс пароля для локальных пользователей.
Идентификатор Microsoft Entra P2. Вы получаете все возможности предыдущих двух уровней вместе с Защитой идентификации Active Directory. Этот компонент позволяет настроить условный доступ на основе рисков для защиты приложений от рисков, связанных с удостоверениями. Здесь также можно использовать управление привилегированными пользователями, которое позволяет отслеживать и накладывать подробные ограничения для администраторов.
Выберите нужный тип лицензии в соответствии с потребностями вашей организации.
Просмотрите активные планы лицензий в портал Azure, выбрав microsoft Entra ID>License>All products. Здесь также можно попробовать новые лицензии или приобрести их.
Выберите план лицензирования, чтобы увидеть, какие пользователи в него включены. В плане можно добавлять или удалять пользователей или группы пользователей.
Терминология Microsoft Entra
Чтобы эффективно использовать идентификатор Microsoft Entra, необходимо понять некоторые ключевые термины Active Directory.
Ниже дано описание некоторых из этих терминов.
| Срок | Description |
|---|---|
| Идентификация | То, что необходимо идентифицировать и подлинность чего проверить. Под удостоверением обычно понимается пользователь с учетными данными (имя пользователя и пароль), но также это может означать приложение или службу. |
| Счет | Удостоверение и связанные с ним данные. Учетная запись не может существовать без удостоверения. |
| Учетная запись Microsoft Entra | Удостоверение, созданное в идентификаторе Microsoft Entra, или в службах, таких как Microsoft 365. Эти удостоверения хранятся в идентификаторе Microsoft Entra. Например, внутренние сотрудники могут ежедневно использовать учетные записи Microsoft Entra. |
| Подписка Azure. | Ваш уровень доступа для использования Azure и его служб. В случае оплаты по мере использования настройте подписку Azure с помощью кредитной карты. Существует несколько типов подписок. Например, клиенты корпоративного уровня могут использовать подписки по соглашению Azure Enterprise. В каждой учетной записи может использоваться несколько подписок. |
| Клиент Microsoft Entra | Экземпляр идентификатора Microsoft Entra. Этот клиент создается автоматически при первой регистрации в Azure или других службах, таких как Microsoft 365. Клиент, представляющий организацию, содержит пользователей, группы пользователей и приложения. |
| Мультитенантные | Доступ несколькими клиентами к тем же приложениям и службам в общей среде. Эти клиенты представляют несколько организаций. |
| Каталог Microsoft Entra | Ресурс Azure, созданный автоматически при подписке на Azure. Можно создать множество каталогов Microsoft Entra. Каждый из этих каталогов представляет собой клиент. |
| Личный домен | Домен, который вы настраиваете для каталога Microsoft Entra. При создании каталога Microsoft Entra Azure автоматически назначает его домену по умолчанию, например <your-organization>.onmicrosoft.com. Но вы можете настроить доменные имена. В таком случае у пользователей могут быть учетные записи вида joesmith@contoso.com, а не joesmith@contoso.onmicrosoft.com. |
| Роль владельца | Эта роль используется для управления всеми ресурсами в Azure, включая уровни доступа, необходимые пользователям для ресурсов. |
| Глобальный администратор | Роль, которая предоставляет доступ ко всем административным возможностям в идентификаторе Microsoft Entra. При создании клиента вы автоматически получаете в нем эту роль. Эта роль, например, позволяет сбрасывать пароли для всех пользователей и администраторов. |
Разрешения пользователей по умолчанию
Идентификатор Microsoft Entra предоставляет всем пользователям в клиенте набор разрешений по умолчанию. Разрешения определяют, что пользователь может делать, а что нет. Набор разрешений, предоставляемых по умолчанию, зависит от того, является ли пользователь естественным участником клиента (например, штатным сотрудником) или же он представляет внешнюю организацию. Последний рассматривается как гость. Пример гостя будет поставщиком, выполняющим работу для вас, но не является официальным сотрудником организации. Гостевые пользователи приглашены в клиент через функцию Microsoft Entra с именем Microsoft Entra B2B.
Пользователи-участники могут выполнять много действий, недоступных гостям. Например, участники управляют собственными профилями. Они могут изменить свой номер телефона и фотографию профиля. Обычно у гостей ограничений больше. Пользователь-гость может, например, просмотреть свою отображаемую фотографию, но не может ее изменить. Вы можете использовать это ограничение, предоставив гостевым пользователям доступ к внешним специалистам здравоохранения, с которыми ваша компания работает регулярно. Их разрешения, таким образом, будут более ограниченными, чем у обычного штатного сотрудника (участника), но этих разрешений будет достаточно для выполнения их работы.
Сравнение разрешений по умолчанию для участника и гостя
Ниже приведен ряд разрешений, которые предоставляются по умолчанию пользователям-гостям и пользователям-участникам.
| Площадь | Разрешения пользователя-участника | Разрешения пользователя-гостя |
|---|---|---|
| Пользователи и контакты | Может просматривать все сведения в профиле. Может изменить свой пароль, номер мобильного телефона и фотографию профиля. | Может просматривать имя профиля, электронную почту, имя входа, фотографию и имя участника-пользователя. Может просматривать свойства типа пользователя других пользователей и контактов. Может изменять свой пароль. |
| . | Может считывать все свойства устройств. Может управлять всеми свойствами собственных устройств. | Не может считывать все свойства устройств. Не может управлять всеми свойствами собственных устройств. Может удалять собственные устройства. |
| Приложения | Может регистрировать новые приложения. | Не может регистрировать новые приложения. Может удалить собственные приложения. |
| Политики | Может просматривать все свойства политик и управлять всеми свойствами собственной политики. | Нет разрешений. |
| Подписки | Может просматривать все подписки и активировать участие в плане службы. | Нет разрешений. |
| Роли и области | Может считывать все административные роли и членства. Может считывать все роли и области, а также членство в административных единицах. | Нет разрешений. |