Grunderna i Microsoft Entra
Microsoft Entra ID tillhandahåller en identitets- och åtkomstgräns för Azure-resurser och betrodda program. De flesta miljöavgränsningskrav kan uppfyllas med delegerad administration i en enda Microsoft Entra-klientorganisation. Den här konfigurationen minskar hanteringskostnaderna för dina system. Vissa specifika fall, till exempel fullständig resurs- och identitetsisolering, kräver dock flera klienter.
Du måste fastställa din miljöavgränsningsarkitektur baserat på dina behov. Några områden att tänka på är:
Resursavgränsning. Om en resurs kan ändra katalogobjekt, till exempel användarobjekt, och ändringen skulle störa andra resurser, kan resursen behöva isoleras i en arkitektur med flera klientorganisationer.
Konfigurationsavgränsning. Konfigurationer för hela klientorganisationen påverkar alla resurser. Effekten av vissa klientomfattande konfigurationer kan begränsas med principer för villkorsstyrd åtkomst och andra metoder. Om du behöver olika klientkonfigurationer som inte kan begränsas med principer för villkorsstyrd åtkomst kan du behöva en arkitektur för flera klientorganisationer.
Administrativ separation. Du kan delegera administration av hanteringsgrupper, prenumerationer, resursgrupper, resurser och vissa principer i en enda klientorganisation. En global administratör har alltid åtkomst till allt inom klientorganisationen. Om du behöver se till att miljön inte delar administratörer med en annan miljö behöver du en arkitektur för flera klientorganisationer.
För att vara säker måste du följa metodtipsen för identitetsetablering, autentiseringshantering, identitetsstyrning, livscykelhantering och åtgärder konsekvent i alla klienter.
Terminologi
Den här listan med termer är ofta associerad med Microsoft Entra-ID och relevant för det här innehållet:
Microsoft Entra-klientorganisation. En dedikerad och betrodd instans av Microsoft Entra-ID som skapas automatiskt när din organisation registrerar sig för en Microsoft-molntjänstprenumeration. Exempel på prenumerationer är Microsoft Azure, Microsoft Intune eller Microsoft 365. En Microsoft Entra-klientorganisation representerar vanligtvis en enda organisation eller säkerhetsgräns. Microsoft Entra-klientorganisationen innehåller användare, grupper, enheter och program som används för att utföra identitets- och åtkomsthantering (IAM) för klientresurser.
Miljö. I det här innehållet är en miljö en samling Azure-prenumerationer, Azure-resurser och program som är associerade med en eller flera Microsoft Entra-grundsatser. Microsoft Entra-klientorganisationen tillhandahåller identitetskontrollplanet för att styra åtkomsten till dessa resurser.
Produktionsmiljö. I det här innehållet är en produktionsmiljö den aktiva miljön med den infrastruktur och de tjänster som slutanvändarna interagerar direkt med. Till exempel en företags- eller kundinriktad miljö.
Icke-produktionsmiljö. När det gäller det här innehållet refererar en icke-produktionsmiljö till en miljö som används för:
Utveckling
Testning
Labbändamål
Icke-produktionsmiljöer kallas ofta för sandbox-miljöer.
Identitet. En identitet är ett katalogobjekt som kan autentiseras och auktoriseras för åtkomst till en resurs. Identitetsobjekt finns för mänskliga identiteter och icke-mänskliga identiteter. Icke-mänskliga entiteter omfattar:
Programobjekt
Arbetsbelastningsidentiteter (beskrevs tidigare som tjänstprinciper)
Hanterade identiteter
Enheter
Mänskliga identiteter är användarobjekt som vanligtvis representerar personer i en organisation. Dessa identiteter skapas och hanteras direkt i Microsoft Entra-ID eller synkroniseras från en lokalni Active Directory till Microsoft Entra-ID för en viss organisation. Dessa typer av identiteter kallas lokala identiteter. Det kan också finnas användarobjekt som bjuds in från en partnerorganisation eller en social identitetsprovider med hjälp av Microsoft Entra B2B-samarbete. I det här innehållet refererar vi till dessa typer av identiteter som externa identiteter.
Icke-mänskliga identiteter omfattar alla identiteter som inte är associerade med en människa. Den här typen av identitet är ett objekt, till exempel ett program som kräver att en identitet körs. I det här innehållet refererar vi till den här typen av identitet som en arbetsbelastningsidentitet. Olika termer används för att beskriva den här typen av identitet, inklusive programobjekt och tjänstens huvudnamn.
Programobjekt. Ett Microsoft Entra-program definieras av dess programobjekt. Objektet finns i Microsoft Entra-klientorganisationen där programmet registrerades. Klientorganisationen kallas programmets "hem"-klientorganisation.
Program med en enda klientorganisation skapas för att endast auktorisera identiteter som kommer från "hem"-klientorganisationen.
Program med flera klientorganisationer tillåter att identiteter från alla Microsoft Entra-klienter autentiseras.
Objekt för tjänstens huvudnamn. Även om det finns undantag kan programobjekt betraktas som definitionen av ett program. Objekt för tjänstens huvudnamn kan betraktas som en instans av ett program. Tjänstens huvudnamn refererar vanligtvis till ett programobjekt och ett programobjekt refereras av flera tjänsthuvudnamn mellan kataloger.
Tjänstens huvudnamnsobjekt är också katalogidentiteter som kan utföra uppgifter oberoende av mänsklig inblandning. Tjänstens huvudnamn definierar åtkomstprincipen och behörigheterna för en användare eller ett program i Microsoft Entra-klientorganisationen. Den här mekanismen möjliggör grundläggande funktioner som autentisering av användaren eller programmet under inloggning och auktorisering under resursåtkomst.
Med Microsoft Entra-ID kan program- och tjänsthuvudnamnsobjekt autentiseras med ett lösenord (även kallat en programhemlighet) eller med ett certifikat. Användning av lösenord för tjänstens huvudnamn rekommenderas inte och vi rekommenderar att du använder ett certifikat när det är möjligt.
Hanterade identiteter för Azure-resurser. Hanterade identiteter är särskilda tjänsthuvudnamn i Microsoft Entra-ID. Den här typen av tjänstens huvudnamn kan användas för att autentisera mot tjänster som stöder Microsoft Entra-autentisering utan att behöva lagra autentiseringsuppgifter i koden eller hantera hantering av hemligheter. Mer information finns i Vad är hanterade identiteter för Azure-resurser?
Enhetsidentitet: En enhetsidentitet verifierar att enheten i autentiseringsflödet har genomgått en process för att intyga att enheten är legitim och uppfyller de tekniska kraven. När enheten har slutfört den här processen kan den associerade identiteten användas för att ytterligare kontrollera åtkomsten till en organisations resurser. Med Microsoft Entra-ID kan enheter autentisera med ett certifikat.
Vissa äldre scenarier krävde att en mänsklig identitet användes i icke-mänskliga scenarier. Till exempel när tjänstkonton som används i lokala program, till exempel skript eller batchjobb, kräver åtkomst till Microsoft Entra-ID. Det här mönstret rekommenderas inte och vi rekommenderar att du använder certifikat. Men om du använder en mänsklig identitet med lösenord för autentisering skyddar du dina Microsoft Entra-konton med Microsoft Entra multifaktorautentisering.
Hybrididentitet. En hybrididentitet är en identitet som sträcker sig över lokala miljöer och molnmiljöer. Detta ger fördelen med att kunna använda samma identitet för att få åtkomst till lokala resurser och molnresurser. Auktoritetskällan i det här scenariot är vanligtvis en lokal katalog, och identitetslivscykeln kring etablering, avetablering och resurstilldelning drivs också lokalt. Mer information finns i dokumentationen om hybrididentiter.
Katalogobjekt. En Microsoft Entra-klient innehåller följande vanliga objekt:
Användarobjekt representerar mänskliga identiteter och icke-mänskliga identiteter för tjänster som för närvarande inte stöder tjänstens huvudnamn. Användarobjekt innehåller attribut som har nödvändig information om användaren, inklusive personlig information, gruppmedlemskap, enheter och roller som tilldelats användaren.
Enhetsobjekt representerar enheter som är associerade med en Microsoft Entra-klientorganisation. Enhetsobjekt innehåller attribut som har nödvändig information om enheten. Detta omfattar operativsystemet, tillhörande användare, efterlevnadstillstånd och arten av associationen med Microsoft Entra-klientorganisationen. Den här associationen kan ta flera former beroende på typen av interaktion och förtroendenivå för enheten.
Hybriddomänansluten. Enheter som ägs av organisationen och som är anslutna till både lokalni Active Directory- och Microsoft Entra-ID:t. Vanligtvis köps och hanteras en enhet av en organisation och hanteras av System Center Configuration Manager.
Microsoft Entra-domänansluten. Enheter som ägs av organisationen och är anslutna till organisationens Microsoft Entra-klientorganisation. Vanligtvis köps och hanteras en enhet av en organisation som är ansluten till Microsoft Entra-ID och hanteras av en tjänst som Microsoft Intune.
Microsoft Entra har registrerats. Enheter som inte ägs av organisationen, till exempel en personlig enhet, som används för att komma åt företagsresurser. Organisationer kan kräva att enheten registreras via Mobile Upravljanje uređajima (MDM) eller framtvingas via Hantering av mobilprogram (MAM) utan registrering för att få åtkomst till resurser. Den här funktionen kan tillhandahållas av en tjänst som Microsoft Intune.
Gruppobjekt innehåller objekt för att tilldela resursåtkomst, tillämpa kontroller eller konfiguration. Gruppobjekt innehåller attribut som har nödvändig information om gruppen, inklusive namn, beskrivning, gruppmedlemmar, gruppägare och grupptyp. Grupper i Microsoft Entra-ID har flera former baserat på en organisations krav och kan hanteras i Microsoft Entra-ID eller synkroniseras från lokalni Active Directory Domain Services (AD DS).
Tilldelade grupper. I tilldelade grupper läggs användare till eller tas bort från gruppen manuellt, synkroniseras från lokal AD DS eller uppdateras som en del av ett automatiserat skriptarbetsflöde. En tilldelad grupp kan synkroniseras från lokal AD DS eller finnas i Microsoft Entra-ID.
Dynamiska medlemskapsgrupper. I dynamiska grupper tilldelas användare till gruppen automatiskt baserat på definierade attribut. Detta gör att gruppmedlemskap kan uppdateras dynamiskt baserat på data som lagras i användarobjekten. En dynamisk grupp kan bara användas i Microsoft Entra-ID.
Microsoft-konto (MSA). Du kan skapa Azure-prenumerationer och klientorganisationer med hjälp av Microsoft-konton (MSA). Ett Microsoft-konto är ett personligt konto (till skillnad från ett organisationskonto) och används ofta av utvecklare och för utvärderingsscenarier. När det används görs det personliga kontot alltid till gäst i en Microsoft Entra-klientorganisation.
Microsoft Entra-funktionsområden
Det här är de funktionella områden som tillhandahålls av Microsoft Entra-ID som är relevanta för isolerade miljöer. Mer information om funktionerna i Microsoft Entra-ID finns i Vad är Microsoft Entra-ID?.
Autentisering
Autentisering. Microsoft Entra ID ger stöd för autentiseringsprotokoll som är kompatibla med öppna standarder som OpenID Connect, OAuth och SAML. Microsoft Entra ID innehåller också funktioner som gör det möjligt för organisationer att federera befintliga lokala identitetsprovidrar, till exempel Active Directory usluge za ujedinjavanje (AD FS) för att autentisera åtkomst till Microsoft Entra-integrerade program.
Microsoft Entra ID tillhandahåller branschledande starka autentiseringsalternativ som organisationer kan använda för att skydda åtkomsten till resurser. Med Microsoft Entra-multifaktorautentisering, enhetsautentisering och lösenordslösa funktioner kan organisationer distribuera starka autentiseringsalternativ som passar personalens krav.
Enkel inloggning (SSO). Med enkel inloggning loggar användarna in en gång med ett konto för att få åtkomst till alla resurser som litar på katalogen, till exempel domänanslutna enheter, företagsresurser, SaaS-program (programvara som en tjänst) och alla Microsoft Entra-integrerade program. Mer information finns i enkel inloggning till program i Microsoft Entra-ID.
Auktorisering
Resursåtkomsttilldelning. Microsoft Entra ID ger och skyddar åtkomsten till resurser. Du kan tilldela åtkomst till en resurs i Microsoft Entra-ID på två sätt:
Användartilldelning: Användaren tilldelas direkt åtkomst till resursen och lämplig roll eller behörighet tilldelas användaren.
Grupptilldelning: En grupp som innehåller en eller flera användare tilldelas resursen och lämplig roll eller behörighet tilldelas gruppen
Principer för programåtkomst. Microsoft Entra ID tillhandahåller funktioner för ytterligare kontroll och säker åtkomst till organisationens program.
Villkorlig åtkomst. Principer för villkorsstyrd åtkomst i Microsoft Entra är verktyg för att föra in användar- och enhetskontext i auktoriseringsflödet vid åtkomst till Microsoft Entra-resurser. Organisationer bör utforska användningen av principer för villkorsstyrd åtkomst för att tillåta, neka eller förbättra autentisering baserat på användar-, risk-, enhets- och nätverkskontext. Mer information finns i dokumentationen om villkorsstyrd åtkomst i Microsoft Entra.
Microsoft Entra ID Protection. Den här funktionen gör det möjligt för organisationer att automatisera identifiering och reparation av identitetsbaserade risker, undersöka risker och exportera riskidentifieringsdata till tredjepartsverktyg för ytterligare analys. Mer information finns i översikten över Microsoft Entra ID Protection.
Administration
Identitetshantering. Microsoft Entra ID innehåller verktyg för att hantera livscykeln för användar-, grupp- och enhetsidentiteter. Med Microsoft Entra Connect kan organisationer utöka den aktuella lokala identitetshanteringslösningen till molnet. Microsoft Entra Connect hanterar etablering, avetablering och uppdateringar av dessa identiteter i Microsoft Entra-ID.
Microsoft Entra-ID tillhandahåller också en portal och Microsoft Graph API som gör det möjligt för organisationer att hantera identiteter eller integrera Microsoft Entra-identitetshantering i befintliga arbetsflöden eller automatisering. Mer information om Microsoft Graph finns i Använda Microsoft Graph API.
Enhetshantering. Microsoft Entra-ID används för att hantera livscykeln och integreringen med molnbaserade och lokala infrastrukturer för enhetshantering. Det används också för att definiera principer för att styra åtkomsten från molnenheter eller lokala enheter till organisationens data. Microsoft Entra ID tillhandahåller livscykeltjänster för enheter i katalogen och etablering av autentiseringsuppgifter för att aktivera autentisering. Det hanterar också ett nyckelattribut för en enhet i systemet som är förtroendenivån. Den här informationen är viktig när du utformar en resursåtkomstprincip. Mer information finns i Dokumentation om Microsoft Entra Upravljanje uređajima.
Konfigurationshantering. Microsoft Entra ID har tjänstelement som måste konfigureras och hanteras för att säkerställa att tjänsten är konfigurerad enligt en organisations krav. Dessa element omfattar domänhantering, SSO-konfiguration och programhantering för att bara nämna några. Microsoft Entra ID tillhandahåller en portal och Microsoft Graph API som gör det möjligt för organisationer att hantera dessa element eller integrera i befintliga processer. Mer information om Microsoft Graph finns i Använda Microsoft Graph API.
Kontroll
Identitetslivscykel. Microsoft Entra ID innehåller funktioner för att skapa, hämta, ta bort och uppdatera identiteter i katalogen, inklusive externa identiteter. Microsoft Entra ID tillhandahåller också tjänster för att automatisera identitetens livscykel för att säkerställa att den underhålls i enlighet med organisationens behov. Du kan till exempel använda Åtkomstgranskningar för att ta bort externa användare som inte har loggat in under en angiven period.
Rapportering och analys. En viktig aspekt av identitetsstyrning är insyn i användaråtgärder. Microsoft Entra ID ger insikter om din miljös säkerhets- och användningsmönster. Dessa insikter innehåller detaljerad information om:
Vad dina användare har åtkomst till
Var de kommer åt den från
De enheter som de använder
Program som används för att komma åt
Microsoft Entra ID innehåller också information om de åtgärder som utförs inom Microsoft Entra-ID och rapporter om säkerhetsrisker. Mer information finns i Microsoft Entra-rapporter och -övervakning.
Granskning. Granskning ger spårning via loggar för alla ändringar som görs av specifika funktioner i Microsoft Entra-ID. Exempel på aktiviteter som finns i granskningsloggar är ändringar som gjorts i alla resurser i Microsoft Entra-ID som att lägga till eller ta bort användare, appar, grupper, roller och principer. Med rapportering i Microsoft Entra-ID kan du granska inloggningsaktiviteter, riskfyllda inloggningar och användare som har flaggats för risk. Mer information finns i Granska aktivitetsrapporter i Azure-portalen.
Åtkomstcertifiering. Åtkomstcertifiering är processen för att bevisa att en användare har rätt att ha åtkomst till en resurs vid en tidpunkt. Microsoft Entra-åtkomstgranskningar granskar kontinuerligt medlemskapen i grupper eller program och ger insikter för att avgöra om åtkomst krävs eller bör tas bort. Detta gör det möjligt för organisationer att effektivt hantera gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar för att se till att endast rätt personer har fortsatt åtkomst. Mer information finns i Vad är Microsoft Entra-åtkomstgranskningar?
Privilegierad åtkomst. Microsoft Entra Privileged Identity Management (PIM) tillhandahåller tidsbaserad och godkännandebaserad rollaktivering för att minska risken för överdriven, onödig eller missbrukad åtkomstbehörighet till Azure-resurser. Det används för att skydda privilegierade konton genom att sänka exponeringstiden för privilegier och öka insynen i deras användning via rapporter och aviseringar.
Självbetjäningshantering
Registrering av autentiseringsuppgifter. Microsoft Entra ID innehåller funktioner för att hantera alla aspekter av användaridentitetens livscykel och självbetjäningsfunktioner för att minska arbetsbelastningen för en organisations supportavdelning.
Grupphantering. Microsoft Entra ID innehåller funktioner som gör det möjligt för användare att begära medlemskap i en grupp för resursåtkomst och skapa grupper som kan användas för att skydda resurser eller samarbete. Dessa funktioner kan styras av organisationen så att lämpliga kontroller införs.
Konsumentidentitets- och åtkomsthantering (IAM)
Azure AD B2C. Azure AD B2C är en tjänst som kan aktiveras i en Azure-prenumeration för att tillhandahålla identiteter till konsumenter för organisationens kundinriktade program. Det här är en separat identitetsö och dessa användare visas inte i organisationens Microsoft Entra-klientorganisation. Azure AD B2C hanteras av administratörer i klientorganisationen som är associerad med Azure-prenumerationen.
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för