Microsoft Entra grunderna
Microsoft Entra ID tillhandahåller en identitets- och åtkomstgräns för Azure-resurser och betrodda program. De flesta miljöavgränsningskrav kan uppfyllas med delegerad administration i en enda Microsoft Entra klientorganisation. Den här konfigurationen minskar hanteringskostnaderna för dina system. Vissa specifika fall, till exempel fullständig resurs- och identitetsisolering, kräver dock flera klientorganisationer.
Du måste fastställa din miljöavgränsningsarkitektur baserat på dina behov. Områden att tänka på är:
Resursseparation. Om en resurs kan ändra katalogobjekt, till exempel användarobjekt, och ändringen skulle störa andra resurser, kan resursen behöva isoleras i en arkitektur med flera klientorganisationer.
Konfigurationsavgränsning. Konfigurationer för hela klientorganisationen påverkar alla resurser. Effekten av vissa klientomfattande konfigurationer kan begränsas med principer för villkorsstyrd åtkomst och andra metoder. Om du behöver olika klientkonfigurationer som inte kan begränsas med principer för villkorsstyrd åtkomst kan du behöva en arkitektur för flera klientorganisationer.
Administrativ separation. Du kan delegera administrationen av hanteringsgrupper, prenumerationer, resursgrupper, resurser och vissa principer i en enda klientorganisation. En global administratör har alltid åtkomst till allt inom klientorganisationen. Om du behöver se till att miljön inte delar administratörer med en annan miljö behöver du en arkitektur för flera klientorganisationer.
För att vara säker måste du följa metodtipsen för identitetsetablering, autentiseringshantering, identitetsstyrning, livscykelhantering och åtgärder konsekvent i alla klienter.
Terminologi
Den här listan med termer är ofta associerad med Microsoft Entra-ID och relevant för det här innehållet:
Microsoft Entra klientorganisation. En dedikerad och betrodd instans av Microsoft Entra-ID som skapas automatiskt när din organisation registrerar sig för en Microsoft-molntjänstprenumeration. Exempel på prenumerationer är Microsoft Azure, Microsoft Intune eller Microsoft 365. En Microsoft Entra klientorganisation representerar vanligtvis en enda organisation eller säkerhetsgräns. Den Microsoft Entra klientorganisationen innehåller användare, grupper, enheter och program som används för att utföra identitets- och åtkomsthantering (IAM) för klientresurser.
Miljö. I det här innehållet är en miljö en samling Azure-prenumerationer, Azure-resurser och program som är associerade med en eller flera Microsoft Entra grundsatser. Den Microsoft Entra klientorganisationen tillhandahåller identitetskontrollplanet för att styra åtkomsten till dessa resurser.
Produktionsmiljö. När det gäller det här innehållet är en produktionsmiljö den aktiva miljön med den infrastruktur och de tjänster som slutanvändarna interagerar direkt med. Till exempel en företags- eller kundinriktad miljö.
Icke-produktionsmiljö. I samband med det här innehållet refererar en icke-produktionsmiljö till en miljö som används för:
Utveckling
Testning
Labbändamål
Icke-produktionsmiljöer kallas ofta sandbox-miljöer.
Identitet. En identitet är ett katalogobjekt som kan autentiseras och auktoriseras för åtkomst till en resurs. Identitetsobjekt finns för mänskliga identiteter och icke-mänskliga identiteter. Icke-mänskliga entiteter omfattar:
Programobjekt
Arbetsbelastningsidentiteter (beskrevs tidigare som tjänstprinciper)
Hanterade identiteter
Enheter
Mänskliga identiteter är användarobjekt som vanligtvis representerar personer i en organisation. Dessa identiteter skapas och hanteras direkt i Microsoft Entra-ID eller synkroniseras från en lokal Active Directory till Microsoft Entra-ID för en viss organisation. Dessa typer av identiteter kallas lokala identiteter. Det kan också finnas användarobjekt som bjuds in från en partnerorganisation eller en social identitetsprovider med hjälp av Microsoft Entra B2B-samarbete. I det här innehållet refererar vi till dessa typer av identiteter som externa identiteter.
Icke-mänskliga identiteter omfattar alla identiteter som inte är associerade med en människa. Den här typen av identitet är ett objekt, till exempel ett program som kräver att en identitet körs. I det här innehållet refererar vi till den här typen av identitet som en arbetsbelastningsidentitet. Olika termer används för att beskriva den här typen av identitet, inklusive programobjekt och tjänstens huvudnamn.
Programobjekt. Ett Microsoft Entra-program definieras av dess programobjekt. Objektet finns i den Microsoft Entra klientorganisation där programmet registrerades. Klientorganisationen kallas programmets "hem"-klientorganisation.
Program med en enda klientorganisation skapas för att endast auktorisera identiteter som kommer från klientorganisationen "home".
Program med flera klientorganisationer tillåter identiteter från valfri Microsoft Entra klientorganisation att autentisera.
Objekt för tjänstens huvudnamn. Även om det finns undantag kan programobjekt betraktas som definitionen av ett program. Objekt för tjänstens huvudnamn kan betraktas som en instans av ett program. Tjänstens huvudnamn refererar vanligtvis till ett programobjekt, och ett programobjekt refereras av flera tjänsthuvudnamn mellan kataloger.
Objekt för tjänstens huvudnamn är också katalogidentiteter som kan utföra uppgifter oberoende av mänsklig inblandning. Tjänstens huvudnamn definierar åtkomstprincipen och behörigheterna för en användare eller ett program i Microsoft Entra klientorganisationen. Den här mekanismen möjliggör grundläggande funktioner som autentisering av användaren eller programmet under inloggning och auktorisering under resursåtkomst.
Microsoft Entra ID tillåter program- och tjänsthuvudnamnsobjekt att autentisera med ett lösenord (även kallat en programhemlighet) eller med ett certifikat. Det rekommenderas inte att använda lösenord för tjänstens huvudnamn och vi rekommenderar att du använder ett certifikat när det är möjligt.
Hanterade identiteter för Azure-resurser. Hanterade identiteter är särskilda tjänsthuvudnamn i Microsoft Entra-ID. Den här typen av tjänsthuvudnamn kan användas för att autentisera mot tjänster som stöder Microsoft Entra autentisering utan att behöva lagra autentiseringsuppgifter i koden eller hantera hantering av hemligheter. Mer information finns i Vad är hanterade identiteter för Azure-resurser?
Enhetsidentitet: En enhetsidentitet verifierar att enheten i autentiseringsflödet har genomgått en process för att intyga att enheten är legitim och uppfyller de tekniska kraven. När enheten har slutfört den här processen kan den associerade identiteten användas för att ytterligare kontrollera åtkomsten till en organisations resurser. Med Microsoft Entra-ID kan enheter autentisera med ett certifikat.
Vissa äldre scenarier krävde att en mänsklig identitet användes i icke-mänskliga scenarier. Till exempel när tjänstkonton som används i lokala program, till exempel skript eller batchjobb, kräver åtkomst till Microsoft Entra-ID. Det här mönstret rekommenderas inte och vi rekommenderar att du använder certifikat. Men om du använder en mänsklig identitet med lösenord för autentisering skyddar du dina Microsoft Entra konton med Microsoft Entra multifaktorautentisering.
Hybrididentitet. En hybrididentitet är en identitet som sträcker sig över lokala miljöer och molnmiljöer. Detta ger fördelen med att kunna använda samma identitet för att få åtkomst till lokala resurser och molnresurser. Auktoritetskällan i det här scenariot är vanligtvis en lokal katalog, och identitetslivscykeln kring etablering, avetablering och resurstilldelning drivs också lokalt. Mer information finns i dokumentationen om hybrididentiter.
Katalogobjekt. En Microsoft Entra klientorganisation innehåller följande vanliga objekt:
Användarobjekt representerar mänskliga identiteter och icke-mänskliga identiteter för tjänster som för närvarande inte stöder tjänstens huvudnamn. Användarobjekt innehåller attribut som har nödvändig information om användaren, inklusive personlig information, gruppmedlemskap, enheter och roller som tilldelats användaren.
Enhetsobjekt representerar enheter som är associerade med en Microsoft Entra klientorganisation. Enhetsobjekt innehåller attribut som har nödvändig information om enheten. Detta inkluderar operativsystemet, den associerade användaren, efterlevnadstillståndet och typen av association med Microsoft Entra klientorganisation. Den här associationen kan ta flera former beroende på vilken typ av interaktion och förtroendenivå enheten har.
Hybriddomänansluten. Enheter som ägs av organisationen och som är anslutna till både lokal Active Directory- och Microsoft Entra-ID:t. Vanligtvis köps och hanteras en enhet av en organisation och hanteras av System Center Configuration Manager.
Microsoft Entra domänansluten. Enheter som ägs av organisationen och som är anslutna till organisationens Microsoft Entra klientorganisation. Vanligtvis köps och hanteras en enhet av en organisation som är ansluten till Microsoft Entra-ID och hanteras av en tjänst, till exempel Microsoft Intune.
Microsoft Entra registrerad. Enheter som inte ägs av organisationen, till exempel en personlig enhet, som används för att komma åt företagets resurser. Organisationer kan kräva att enheten registreras via Mobile Enhetshantering (MDM) eller framtvingas via Hantering av mobilprogram (MAM) utan registrering för att få åtkomst till resurser. Den här funktionen kan tillhandahållas av en tjänst som Microsoft Intune.
Gruppobjekt innehåller objekt för att tilldela resursåtkomst, tillämpa kontroller eller konfiguration. Gruppobjekt innehåller attribut som har nödvändig information om gruppen, inklusive namn, beskrivning, gruppmedlemmar, gruppägare och grupptyp. Grupper i Microsoft Entra ID tar flera former baserat på en organisations krav och kan hanteras i Microsoft Entra-ID eller synkroniseras från lokal Active Directory Domain Services (AD DS).
Tilldelade grupper. I tilldelade grupper läggs användare till eller tas bort från gruppen manuellt, synkroniseras från lokal AD DS eller uppdateras som en del av ett automatiserat skriptarbetsflöde. En tilldelad grupp kan synkroniseras från lokal AD DS eller finnas i Microsoft Entra ID.
Dynamiska medlemskapsgrupper. I Dynamiska grupper tilldelas användare till gruppen automatiskt baserat på definierade attribut. Detta gör att gruppmedlemskap kan uppdateras dynamiskt baserat på data som lagras i användarobjekten. En dynamisk grupp kan bara finnas i Microsoft Entra-ID.
Microsoft-konto (MSA). Du kan skapa Azure-prenumerationer och klientorganisationer med hjälp av Microsoft-konton (MSA). Ett Microsoft-konto är ett personligt konto (till skillnad från ett organisationskonto) och används ofta av utvecklare och för utvärderingsscenarier. När det personliga kontot används görs det alltid till gäst i en Microsoft Entra klientorganisation.
Microsoft Entra funktionella områden
Det här är de funktionella områden som tillhandahålls av Microsoft Entra-ID som är relevanta för isolerade miljöer. Mer information om funktionerna i Microsoft Entra-ID finns i Vad är Microsoft Entra-ID?.
Autentisering
Autentisering. Microsoft Entra ID ger stöd för autentiseringsprotokoll som är kompatibla med öppna standarder som OpenID Connect, OAuth och SAML. Microsoft Entra ID tillhandahåller också funktioner som gör det möjligt för organisationer att federera befintliga lokala identitetsprovidrar, till exempel Active Directory Federation Services (AD FS) (AD FS) för att autentisera åtkomst till Microsoft Entra integrerade program.
Microsoft Entra ID tillhandahåller branschledande starka autentiseringsalternativ som organisationer kan använda för att skydda åtkomsten till resurser. Microsoft Entra multifaktorautentisering, enhetsautentisering och lösenordslösa funktioner gör det möjligt för organisationer att distribuera starka autentiseringsalternativ som passar personalens krav.
Enkel inloggning (SSO). Med enkel inloggning loggar användarna in en gång med ett konto för att få åtkomst till alla resurser som litar på katalogen, till exempel domänanslutna enheter, företagsresurser, SaaS-program (programvara som en tjänst) och alla Microsoft Entra integrerade program. Mer information finns i enkel inloggning till program i Microsoft Entra-ID.
Auktorisering
Resursåtkomsttilldelning. Microsoft Entra ID ger och skyddar åtkomsten till resurser. Du kan tilldela åtkomst till en resurs i Microsoft Entra ID på två sätt:
Användartilldelning: Användaren tilldelas direkt åtkomst till resursen och lämplig roll eller behörighet tilldelas användaren.
Grupptilldelning: En grupp som innehåller en eller flera användare tilldelas till resursen och lämplig roll eller behörighet tilldelas till gruppen
Principer för programåtkomst. Microsoft Entra ID tillhandahåller funktioner för att ytterligare kontrollera och skydda åtkomsten till organisationens program.
Villkorlig åtkomst. Microsoft Entra principer för villkorsstyrd åtkomst är verktyg för att föra in användar- och enhetskontext i auktoriseringsflödet vid åtkomst till Microsoft Entra resurser. Organisationer bör utforska användningen av principer för villkorsstyrd åtkomst för att tillåta, neka eller förbättra autentisering baserat på användare, risk, enhet och nätverkskontext. Mer information finns i dokumentationen om Microsoft Entra villkorsstyrd åtkomst.
Microsoft Entra ID Protection. Den här funktionen gör det möjligt för organisationer att automatisera identifiering och reparation av identitetsbaserade risker, undersöka risker och exportera riskidentifieringsdata till verktyg från tredje part för ytterligare analys. Mer information finns i översikten över Microsoft Entra ID Protection.
Administration
Identitetshantering. Microsoft Entra ID innehåller verktyg för att hantera livscykeln för användar-, grupp- och enhetsidentiteter. Microsoft Entra Connect gör det möjligt för organisationer att utöka den aktuella lokala identitetshanteringslösningen till molnet. Microsoft Entra Connect hanterar etablering, avetablering och uppdateringar av dessa identiteter i Microsoft Entra-ID.
Microsoft Entra ID tillhandahåller också en portal och Microsoft-Graph API som gör det möjligt för organisationer att hantera identiteter eller integrera Microsoft Entra identitetshantering i befintliga arbetsflöden eller automatisering. Mer information om Microsoft Graph finns i Använda Microsoft Graph API.
Enhetshantering. Microsoft Entra-ID används för att hantera livscykeln och integreringen med infrastrukturer för molnhantering och lokal enhetshantering. Den används också för att definiera principer för att styra åtkomsten från molnenheter eller lokala enheter till organisationens data. Microsoft Entra ID tillhandahåller livscykeltjänster för enheter i katalogen och etablering av autentiseringsuppgifter för att aktivera autentisering. Den hanterar också ett nyckelattribut för en enhet i systemet som är förtroendenivån. Den här informationen är viktig när du utformar en resursåtkomstprincip. Mer information finns i Microsoft Entra Enhetshantering dokumentation.
Konfigurationshantering. Microsoft Entra ID har tjänstelement som måste konfigureras och hanteras för att säkerställa att tjänsten är konfigurerad enligt organisationens krav. Dessa element omfattar domänhantering, SSO-konfiguration och programhantering för att bara nämna några. Microsoft Entra ID tillhandahåller en portal och Microsoft-Graph API som gör det möjligt för organisationer att hantera dessa element eller integrera i befintliga processer. Mer information om Microsoft Graph finns i Använda Microsoft Graph API.
Styrning
Identitetslivscykel. Microsoft Entra ID innehåller funktioner för att skapa, hämta, ta bort och uppdatera identiteter i katalogen, inklusive externa identiteter. Microsoft Entra ID tillhandahåller också tjänster för att automatisera identitetslivscykeln för att säkerställa att den upprätthålls i enlighet med organisationens behov. Du kan till exempel använda Åtkomstgranskningar för att ta bort externa användare som inte har loggat in under en angiven period.
Rapportering och analys. En viktig aspekt av identitetsstyrning är insyn i användaråtgärder. Microsoft Entra ID ger insikter om din miljös säkerhets- och användningsmönster. Dessa insikter innehåller detaljerad information om:
Vad dina användare har åtkomst till
Där de kommer åt den från
De enheter som de använder
Program som används för att komma åt
Microsoft Entra ID innehåller också information om de åtgärder som utförs inom Microsoft Entra-ID och rapporter om säkerhetsrisker. Mer information finns i Microsoft Entra ID-rapporter och övervakning.
Granskning. Granskning ger spårning via loggar för alla ändringar som görs av specifika funktioner i Microsoft Entra ID. Exempel på aktiviteter som finns i granskningsloggar är ändringar som görs i alla resurser inom Microsoft Entra-ID som att lägga till eller ta bort användare, appar, grupper, roller och principer. Med rapportering i Microsoft Entra-ID kan du granska inloggningsaktiviteter, riskfyllda inloggningar och användare som flaggats för risk. Mer information finns i Granska aktivitetsrapporter i Azure Portal.
Åtkomstcertifiering. Åtkomstcertifiering är processen för att bevisa att en användare har rätt att ha åtkomst till en resurs vid en tidpunkt. Microsoft Entra åtkomstgranskningar granskar kontinuerligt medlemskap i grupper eller program och ger insikter för att avgöra om åtkomst krävs eller bör tas bort. Detta gör det möjligt för organisationer att effektivt hantera gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar för att se till att endast rätt personer har fortsatt åtkomst. Mer information finns i Vad är Microsoft Entra åtkomstgranskningar?
Privilegierad åtkomst. Microsoft Entra Privileged Identity Management (PIM) ger tidsbaserad och godkännandebaserad rollaktivering för att minska risken för överdriven, onödig eller missbrukad åtkomstbehörighet till Azure-resurser. Det används för att skydda privilegierade konton genom att minska exponeringstiden för privilegier och öka insynen i deras användning via rapporter och aviseringar.
Självbetjäningshantering
Registrering av autentiseringsuppgifter. Microsoft Entra ID tillhandahåller funktioner för att hantera alla aspekter av användaridentitetens livscykel och självbetjäningsfunktioner för att minska arbetsbelastningen för en organisations supportavdelning.
Grupphantering. Microsoft Entra ID innehåller funktioner som gör det möjligt för användare att begära medlemskap i en grupp för resursåtkomst och skapa grupper som kan användas för att skydda resurser eller samarbete. Dessa funktioner kan styras av organisationen så att lämpliga kontroller införs.
Hantering av konsumentidentitet och åtkomst (IAM)
Azure AD B2C. Azure AD B2C är en tjänst som kan aktiveras i en Azure-prenumeration för att tillhandahålla identiteter till konsumenter för organisationens kundinriktade program. Det här är en separat identitetsö och dessa användare visas inte i organisationens Microsoft Entra klientorganisation. Azure AD B2C hanteras av administratörer i den klientorganisation som är associerad med Azure-prenumerationen.