什么是 Microsoft Entra ID?
Microsoft Entra ID 是基于云的标识和访问管理服务,可帮助员工访问外部资源。 示例资源包括 Microsoft 365、Azure 门户以及成千上万的其他 SaaS 应用程序。
Microsoft Entra ID 还可帮助他们访问你的企业 Intranet 上的应用等内部资源,以及任何为你自己的组织开发的云应用。 若要了解如何创建租户,请参阅快速入门:在 Microsoft Entra ID 中创建新租户。
若要了解 Active Directory 与 Microsoft Entra ID 之间的差异,请参阅将 Active Directory 与 Microsoft Entra ID 进行比较。 还可参考面向企业架构师的 Microsoft Cloud 海报,更好地了解 Azure 中的核心标识服务,例如 Microsoft Entra ID 和 Microsoft 365。
谁使用 Microsoft Entra ID?
Microsoft Entra ID 根据组织成员的角色为其提供不同的便利:
IT 管理员可以根据业务要求使用 Microsoft Entra ID 来控制对应用和应用资源的访问。 例如,IT 管理员可以使用 Microsoft Entra ID 要求用户在访问重要的组织资源时进行多重身份验证。 还可以使用 Microsoft Entra ID 在现有 Windows Server AD 和云应用(包括 Microsoft 365)之间自动完成用户预配。 最终可以利用 Microsoft Entra ID 提供的强大工具自动保护用户标识和凭据,实现访问管理要求。 若要开始,请注册 Microsoft Entra ID P1 或 P2 30 天免费试用版。
应用开发人员可将 Microsoft Entra ID 用作基于标准的身份验证提供程序,以帮助他们将单一登录 (SSO) 添加到使用用户现有凭据的应用。 开发人员还可以通过 Microsoft Entra API 使用组织数据构建个性化体验。 若要开始,请注册 Microsoft Entra ID P1 或 P2 30 天免费试用版。 有关详细信息,还可以查看面向开发人员的 Microsoft Entra ID。
Microsoft 365、Office 365、Azure 或 Dynamics CRM Online 订阅者已经使用了 Microsoft Entra ID,因为每个 Microsoft 365、Office 365、Azure 和 Dynamics CRM Online 租户会自动成为 Azure AD 租户。 你可以立即开始管理用户对集成云应用的访问。
Microsoft Entra ID 许可证是什么?
Microsoft Online 业务服务(例如 Microsoft 365 或 Microsoft Azure)使用 Microsoft Entra ID 来完成登录活动并进行标识保护。 如果订阅任何 Microsoft Online 业务服务,你将自动获得对 Microsoft Entra ID 免费版的访问权限。
为了增强 Microsoft Entra 实施,还可以通过升级到 Microsoft Entra ID P1 或 Premium P2 许可证添加付费功能。 Microsoft Entra 付费许可证建立在现有免费目录基础之上。 这些许可证为移动用户提供自助服务、增强型监视、安全性报告和安全访问。
Microsoft Entra ID 免费版。 跨 Azure、Microsoft 365 和许多常用 SaaS 应用程序提供用户和组管理、本地目录同步、基本报告、云用户的自助密码更改以及单一登录。
Microsoft Entra ID P1。 除了免费版功能,P1 还允许混合用户访问本地资源和云资源。 它还支持高级管理,例如动态组、自助服务组管理、Microsoft Identity Manager 以及允许本地用户进行自助密码重置的云写回功能。
Microsoft Entra ID P2。 除了免费版和 P1 版功能,P2 还提供 Microsoft Entra ID 保护,可帮助对应用和重要的公司数据提供基于风险的条件访问,以及提供 Privileged Identity Management以便发现、限制和监视管理员及其对资源的访问,并在需要时提供实时访问。
“即用即付”功能许可证。 还可获取 Microsoft Entra 企业对客户 (B2C) 等功能的许可证。 可以通过 B2C 为面向客户的应用提供标识和访问管理解决方案。 有关详细信息,请参阅 Azure Active Directory B2C 文档。
有关将 Azure 订阅关联到 Microsoft Entra ID 的详细信息,请参阅将 Azure 订阅关联或添加到 Microsoft Entra ID。 有关将许可证分配给用户的详细信息,请参阅如何:分配或删除 Microsoft Entra ID 许可证。
哪些功能适用于 Microsoft Entra ID?
选择 Microsoft Entra ID 许可证以后,即可访问下面这些部分或所有功能:
| 类别 | 说明 |
|---|---|
| 应用程序管理 | 使用应用程序代理、单一登录、“我的应用”门户和软件即服务 (SaaS) 应用来管理云应用和本地应用。 有关详细信息,请参阅如何提供对本地应用程序的安全远程访问和应用程序管理文档。 |
| 身份验证 | 管理 Microsoft Entra 自助密码重置、多重身份验证、自定义禁止密码列表和智能锁定。 有关详细信息,请参阅 Microsoft Entra 身份验证文档。 |
| 面向开发人员的 Microsoft Entra ID | 生成应用,以便进行所有 Microsoft 标识的登录,以及获取令牌来调用 Microsoft Graph、其他 Microsoft API 或自定义 API。 有关详细信息,请参阅 Microsoft 标识平台(针对开发人员的 Microsoft Entra ID)。 |
| 企业对企业 (B2B) | 管理来宾用户和外部合作伙伴,同时保持对自己公司数据的控制。 有关详细信息,请参阅 Microsoft Entra B2B 文档。 |
| 企业对客户 (B2C) | 自定义并控制用户在使用应用时如何注册、登录并管理其配置文件。 有关详细信息,请参阅 Azure Active Directory B2C 文档。 |
| 条件性访问 | 管理对云应用进行的访问。 有关详细信息,请参阅 Microsoft Entra 条件访问文档。 |
| 设备管理 | 管理云设备或本地设备访问企业数据的方式。 有关详细信息,请参阅 Microsoft Entra 设备管理文档。 |
| 域服务 | 在不使用域控制器的情况下将 Azure 虚拟机加入域。 有关详细信息,请参阅 Microsoft Entra 域服务文档。 |
| 企业用户 | 使用组和管理员角色管理许可证分配、应用访问以及设置委托。 有关详细信息,请参阅 Microsoft Entra 用户管理文档。 |
| 混合标识 | 使用 Microsoft Entra Connect 和 Connect Health 提供单一用户标识,以便针对所有资源进行身份验证和授权,而不考虑位置(云或本地)。 有关详细信息,请参阅混合标识文档。 |
| 标识治理 | 通过员工、业务合作伙伴、供应商、服务和应用访问控制管理组织的标识。 还可执行访问评审。 有关详细信息,请参阅 Microsoft Entra ID 治理文档和 Microsoft Entra 访问评审。 |
| 标识保护 | 检测影响组织标识的潜在漏洞,配置用于响应可疑操作的策略,然后采取相应的解决措施。 有关详细信息,请参阅 Microsoft Entra ID 保护。 |
| Azure 资源的托管标识 | 在 Microsoft Entra ID 中为 Azure 服务提供可以对任何 Microsoft Entra 支持的身份验证服务(包括 Key Vault)进行身份验证的自动托管标识。 有关详细信息,请参阅什么是 Azure 资源的托管标识?。 |
| Privileged Identity Management (PIM) | 管理、控制和监视组织内的访问。 此功能包括访问 Microsoft Entra ID、Azure 和其他 Microsoft Online Services(例如 Microsoft 365 或 Intune)中的资源。 有关详细信息,请参阅 Microsoft Entra Privileged Identity Management。 |
| 监视和运行状况 | 了解环境中的安全性和使用模式。 有关详细信息,请参阅 Microsoft Entra 监视和运行状况。 |
| 工作负载标识 | 为软件工作负载(例如应用程序、服务、脚本或容器)赋予标识,以进行身份验证和访问其他服务及资源。 有关详细信息,请参阅工作负载标识常见问题解答。 |
术语
为了更好地理解 Microsoft Entra ID 及其文档,我们建议查看以下术语。
| 术语或概念 | 说明 |
|---|---|
| 标识 | 可以获得身份验证的东西。 标识可以是具有用户名和密码的用户。 标识还包括可能需要通过密钥或证书进行身份验证的应用程序或其他服务器。 |
| 帐户 | 具有与之关联的数据的标识。 不存在不包含标识的帐户。 |
| Microsoft Entra 帐户 | 通过 Microsoft Entra ID 或其他 Microsoft 云服务(例如 Microsoft 365)创建的标识。 标识存储在 Microsoft Entra ID 中,可供组织的云服务订阅访问。 此帐户有时也称为工作或学校帐户。 |
| 帐户管理员 | 从概念上讲,此经典订阅管理员角色是订阅的账单所有者。 此角色使你能够管理帐户中的所有订阅。 有关详细信息,请参阅 Azure 角色、Azure AD 角色和经典订阅管理员角色。 |
| 服务管理员 | 此经典订阅管理员角色用于管理所有 Azure 资源,包括访问权限。 此角色拥有在订阅范围内分配有“所有者”角色的用户的等效访问权限。 有关详细信息,请参阅 Azure 角色、Azure AD 角色和经典订阅管理员角色。 |
| 所有者 | 此角色有助于管理所有 Azure 资源,包括访问权限。 此角色在称为 Azure 基于角色的访问控制 (Azure RBAC) 的较新授权系统上构建,该系统可提供对 Azure 资源的精细访问管理。 有关详细信息,请参阅 Azure 角色、Azure AD 角色和经典订阅管理员角色。 |
| Microsoft Entra 全局管理员 | 此管理员角色自动分配给创建 Microsoft Entra 租户的人员。 可以有多个全局管理员,但只有全局管理员才能向用户分配管理员角色(包括分配其他全局管理员)。 有关各种管理员角色的详细信息,请参阅 Microsoft Entra ID 中的管理员角色权限。 |
| Azure 订阅 | 用于为 Azure 云服务付费。 可以有多个订阅,这些订阅与一张信用卡关联。 |
| 租户 | 专用且受信任的 Microsoft Entra ID 实例。 当组织订阅 Microsoft 云服务时,将自动创建租户。 这些订阅包括 Microsoft Azure、Microsoft Intune 或 Microsoft 365。 此租户表示单个组织,用于管理员工、商业应用程序和其他内部资源。 因此,它被视为工作人员租户配置。 相比之下,可在外部配置中创建租户,用于面向使用者的应用的客户标识和访问管理 (CIAM) 解决方案(详细了解 Microsoft Entra External ID)。 |
| 单租户 | 可以将访问专用环境中的其他服务的 Azure 租户视为单租户。 |
| 多租户 | 可以将访问共享环境中的其他服务的 Azure 租户(跨多个组织)视为多租户。 |
| Microsoft Entra 目录 | 每个 Azure 租户都有一个专用且受信任的 Microsoft Entra 目录。 Microsoft Entra 目录包括租户的用户、组和应用,用于针对租户资源执行标识和访问管理功能。 |
| 自定义域 | 每个新的 Microsoft Entra 目录都附带了初始域名,例如 domainname.onmicrosoft.com。 除了该初始名称外,还可以添加组织的域名。 组织的域名包括用于开展业务的名称,以及用户用来访问组织资源的名称。 添加自定义域名有助于创建用户所熟悉的用户名,例如 alain@contoso.com。 |
| Microsoft 帐户(也称 MSA) | 个人帐户,提供对面向使用者的 Microsoft 产品和云服务的访问权限。 这些产品和服务包括 Outlook、OneDrive、Xbox LIVE 或 Microsoft 365。 Microsoft 帐户在由 Microsoft 运行的 Microsoft 使用者标识帐户系统中创建和存储。 |