什麼是 Microsoft Entra 識別碼?
雖然它們共用類似名稱,但 Microsoft Entra ID 不是雲端版本的 Windows Server Active Directory。 它也不是要完全取代內部部署 Active Directory。 相反地,如果您已經使用 Windows AD 伺服器,則可將其連線到 Microsoft Entra ID,以將您的目錄延伸到 Azure。 這種方法可讓使用者使用相同的認證來存取本機和雲端式資源。
使用者也可以獨立於 Windows AD 之外使用 Microsoft Entra ID。 較小型的公司可以使用 Microsoft Entra ID 作為其唯一的目錄服務,以控制對其應用程式與 SaaS 產品 (例如 Microsoft 365、Salesforce 與 Dropbox) 的存取。
注意
請記住,此方法並未提供完整的集中式系統管理模型;例如,本機 Windows 電腦器會使用本機認證進行驗證。 使用者可以撰寫應用程式來使用 Microsoft Entra ID,並提供將由使用者於單一位置管理的驗證與授權。
目錄、訂用帳戶和使用者
Microsoft 目前提供數個雲端式供應項目,這些全都可以使用 Microsoft Entra ID 來識別使用者及控制存取:
- Microsoft Azure
- Microsoft 365
- Microsoft Intune
- Microsoft Dynamics 365
當公司或組織註冊以使用其中一個供應項目時,系統就會為其指派預設目錄 (Microsoft Entra ID 的執行個體)。 此目錄會保留將可存取公司已購買之每個服務的使用者與群組。 您可以將此預設目錄稱為租使用者。 租用戶代表組織和指派給它的預設目錄。
Azure 中的訂用帳戶既為帳單實體,又是安全性界限。 虛擬機器、網站與資料庫等資源會與單一訂用帳戶相關聯。 每個訂用帳戶也都有單一帳戶「擁有者」,其負責該訂用帳戶中的資源所產生的任何費用。 如果您的組織想要使用另一個帳戶來支付訂用帳戶的費用,您可以轉移訂用帳戶。 訂用帳戶會與單一 Microsoft Entra 目錄相關聯。 多個訂用帳戶可以信任相同的目錄,但是一個訂用帳戶只能信任一個目錄。
您可以將使用者和群組新增至多個訂用帳戶。 這會允許使用者建立、控制和存取訂用帳戶中的資源。 將使用者新增至訂用帳戶時,相關聯的目錄必須知道該使用者,如下圖所示:
如果您隸屬於多個目錄,則可透過 Azure 入口網站標頭中的 [目錄 + 訂用帳戶] 按鈕,切換目前正在運作的目錄。
您也可以決定選取預設目錄的方式:上次瀏覽或特定目錄。 您也可以設定所顯示訂用帳戶的預設篩選。 如果您有許多訂用帳戶的存取權,但通常只在其中幾個訂用帳戶中工作,則預設篩選很實用。
建立新的目錄
組織 (租用戶) 有一個相關聯的預設 Microsoft Entra 目錄。 不過擁有者可以建立額外的目錄來支援開發或測試用途,或因為他們想要讓不同的目錄與其本機 Windows Server AD 樹系進行同步處理。
重要
以下是建立新目錄的步驟;不過,除非您是 Azure 帳戶的擁有者,否則無法使用此選項。 Azure 沙箱不允許您建立新的 Microsoft Entra 目錄。
登入 Azure 入口網站。
在 Azure 首頁的 [Azure 服務] 下,選取 [建立資源]。
在左側功能表窗格中,選取 [身分識別],然後搜尋並選取 [Microsoft Entra ID]。
選取建立。
針對租用戶類型選取 [Microsoft Entra ID],然後選取 [下一步:設定]。
針對每個設定輸入下列值。
組織名稱:輸入目錄的名稱,以便區分該目錄與其他目錄。 目前要建立的目錄將會用於生產環境;使用者將會以您提供的名稱視作為您組織的名稱。 您稍後可以視需要變更此名稱。
初始網域名稱:輸入與您的組織相關聯的網域名稱。 除非網域不是已知網域,否則 Azure 將會傳回驗證錯誤。 預設網域名稱一律會有
.onmicrosoft.com的尾碼。 您無法變更預設網域。 若選擇這樣做,您可以新增組織所擁有的自訂網域,讓定義的使用者可以使用傳統的公司電子郵件,例如john@contoso.com。國家或地區:選取目錄應存放所在的國家/地區。 國家/地區將會識別 Microsoft Entra 執行個體所在的區域與資料中心,且稍後無法變更。
選取 [建立] 以建立新的目錄。 建立免費層目錄,讓您可在其中新增使用者、建立角色、註冊應用程式和裝置,以及控制授權。
建立目錄之後,請選取 [按一下這裡可管理新的租用戶],前往 [概觀] 儀表板,即可控制所有目錄的相關設定。
讓我們探索您將在 Microsoft Entra ID 中使用的其中一個主要元素:使用者。