Microsoft Entra ID 常见问题解答

Microsoft Entra ID 是一种基于云的标识和访问管理解决方案。 它是在云中运行的目录和标识管理服务,向各种 Microsoft 服务(如 Microsoft 365、Dynamics 365 和 Microsoft Azure)提供身份验证和授权服务。

有关详细信息,请参阅什么是 Microsoft Entra ID?

访问 Azure 和 Microsoft Entra ID 的帮助

尝试访问 Microsoft Entra 管理中心或 Azure 门户时,为何出现“找不到订阅”错误?

若要访问 Microsoft Entra 管理中心或 Azure 门户,每个用户都需要具有验证订阅的权限。 如果没有付费 Microsoft 365 或 Microsoft Entra 订阅,则需要激活免费的 Azure 帐户或建立付费订阅。 所有 Azure 订阅(无论付费还是免费)均与 Microsoft Entra 租户存在信任关系。 所有订阅依赖于 Microsoft Entra 租户(目录)对安全主体和设备进行身份验证与授权。

若要了解详细信息,请参阅 Azure 订阅与 Microsoft Entra ID 的关联方式

Microsoft Entra ID、Microsoft Azure 与 Microsoft 365 等其他 Microsoft 服务之间是什么关系?

Microsoft Entra ID 为所有 Web 服务提供通用的标识和访问功能。 不管是在使用 Microsoft 365、Power Platform、Dynamics 365 等 Microsoft 服务,还是在使用其他 Microsoft 产品,你都已在使用 Microsoft Entra ID 来帮助为所有云服务启用登录和访问管理。

设置为使用 Microsoft 服务的所有用户都定义为一个或多个 Microsoft Entra 实例中的用户帐户,前提是这些帐户访问 Microsoft Entra ID。

有关详细信息,请参阅 Microsoft Entra ID 计划和定价

Microsoft Entra 付费型服务(例如 Microsoft 企业移动性 + 安全性)与其他 Microsoft 服务(例如 Microsoft 365)互相补充,并提供全面的企业级开发、管理和安全解决方案。

有关详细信息,请访问 Microsoft Cloud

所有者与全局管理员之间的差异是什么?

默认情况下,系统会将注册 Microsoft Entra 或 Azure 订阅的人员指派为 Azure 资源的所有者角色。 所有者可以使用 Microsoft 帐户,也可以使用 Microsoft Entra 或 Azure 订阅与之关联的目录中的工作或学校帐户。 此角色同样有权管理 Azure 门户中的服务。

如果其他人需要使用同一个订阅登录和访问服务,则可向他们分配相应的内置角色。 有关详细信息,请参阅使用 Azure 门户分配 Azure 角色

默认情况下,系统会将注册 Microsoft Entra 或 Azure 订阅的人员指派为目录的全局管理员角色。 此用户有权访问所有 Microsoft Entra 目录功能。 Microsoft Entra ID 提供一组不同的管理员角色,用于管理目录和标识相关的功能。 这些管理员将有权访问 Azure 门户中的各种功能。 管理员的角色决定了其所能执行的操作,例如创建或编辑用户、向其他用户分配管理角色、重置用户密码、管理用户许可证,或者管理域。

更多详细信息,请参阅在 Microsoft Entra ID 中为用户分配管理员角色在 Microsoft Entra ID 中分配管理员角色

是否可以通过报表来查看我的 Microsoft Entra ID 用户许可证何时会过期?

不是。 当前没有此类报表可用。

如何在防火墙或代理服务器上允许 Microsoft Entra 管理中心 URL?

若要优化网络与 Microsoft Entra 管理中心及其服务之间的连接,可能需要将特定 Microsoft Entra 管理中心 URL 添加到允许列表。 此操作可改进局域网或广域网之间的性能和连接性。 网络管理员会经常部署代理服务器、防火墙或其他设备,这样有助于确保用户访问 Internet 时的安全性并控制其访问方式。 旨在保护用户的规则有时候可能会阻止合法的与业务相关的 Internet 流量或降低其速度。 此流量包括你与 Microsoft Entra 管理中心之间通过以下 URL 进行的通信:

  • *.entra.microsoft.com
  • *.entra.microsoft.us
  • *.entra.microsoftonline.cn

更多详细信息,请参阅使用 Microsoft Entra 应用程序代理为远程用户发布本地应用在防火墙或代理服务器上允许 Azure 门户 URL 一文中列出了应包括的其他 URL。

关于混合 Microsoft Entra ID 的帮助

如果我被添加为协作者,该如何离开原来的租户?

通常可自行离开组织,而无需联系管理员。 但在某些情况下,此选项不可用,需要联系租户管理员(他们可以删除外部组织中的帐户)。

有关详细信息,请参阅以外部用户身份离开组织

如何将我的本地目录连接到 Microsoft Entra ID?

可以使用 Microsoft Entra Connect 将本地目录连接到 Microsoft Entra ID。

有关详细信息,请参阅将本地标识与 Microsoft Entra ID 集成

如何设置本地目录与云应用程序之间的 SSO?

只需在本地目录与 Microsoft Entra ID 之间设置单一登录 (SSO)。 只要通过 Microsoft Entra ID 访问云应用程序,该服务就会自动让用户使用其本地凭据正确进行身份验证。

可以通过联合身份验证解决方案(例如 Active Directory 联合身份验证服务 (AD FS))或通过配置密码哈希同步,轻松地从本地实现 SSO。可以使用 Microsoft Entra Connect 配置向导轻松部署这两个选项。

有关详细信息,请参阅将本地标识与 Microsoft Entra ID 集成

Microsoft Entra ID 是否为组织中的用户提供自助服务门户?

是的,Microsoft Entra ID 提供 Microsoft Entra ID 访问面板,以便用户自助服务和访问应用。 如果你是 Microsoft 365 客户,可以在 Office 365 门户中找到许多相同的功能。

有关详细信息,请参阅访问面板简介

Microsoft Entra ID 是否可以帮助管理本地基础结构?

是的。 Microsoft Entra ID P1 或 P2 版本提供 Microsoft Entra Connect Health。 Microsoft Entra Connect Health 可帮助你监视和深入了解本地标识基础结构和同步服务。

有关详细信息,请参阅在云中监视本地标识基础结构和同步服务

关于密码管理的帮助

是否可以使用 Microsoft Entra 密码写回但不使用密码同步?

(例如是否可以结合密码写回使用 Microsoft Entra 自助式密码重置 (SSPR),而不将密码存储在云中?)

在这种示例情况下,并不需要在 Microsoft Entra 中跟踪本地密码。 这是因为无需将 Active Directory 密码同步到 Microsoft Entra ID 即可启用写回。 在联合环境中,Microsoft Entra 单一登录 (SSO) 依赖本地目录对用户进行身份验证。

需要多长时间才能将密码写回到 Active Directory 本地?

密码写回实时进行。

有关详细信息,请参阅密码管理入门

是否可以对管理员管理的密码使用密码写回?

可以。如果已启用密码写回,管理员执行的密码操作将写回到用户的本地环境。

有关密码相关问题的详细解答,请参阅密码管理常见问题

如果我在尝试更改 Microsoft 365 / Microsoft Entra 密码时忘记了现有的密码,该怎么办?

对于上述应用场景,有几个选项。 在可行的情况下,你可以使用自助服务密码重置 (SSPR)。 SSPR 是否适用取决于其配置方式。 有关重置 Microsoft Entra 密码的详细信息,请参阅密码重置门户的工作原理

对于 Microsoft 365 用户,管理员可以使用重置用户密码中概述的步骤重置密码。

对于 Microsoft Entra 帐户,管理员可以使用以下任一选项重置密码:

有关安全性的帮助

帐户在经过特定次数的失败尝试后被锁定还是使用了更复杂的策略?

Microsoft Entra ID 使用更复杂的策略来锁定帐户。 这基于请求的 IP 和输入的密码。 锁定的持续时间也会根据存在攻击的可能性而延长。

对于被拒绝的某些(常见)密码,这是否仅适用于当前目录中使用的密码?

拒绝的密码返回消息‘此密码使用次数过多’。 这指的是全局通用的密码,例如“Password”和“123456”的任何变体。

B2C 租户中就会阻止来自可疑来源(例如,僵尸网络)的登录请求还是需要使用基本或高级版租户才能阻止?

我们有一个网关,它会筛选请求并针对僵尸网络提供一定的防护,它适用于所有 B2C 租户。

有关应用程序访问的帮助

在哪里可以找到与 Microsoft Entra ID 预先集成的应用程序及其功能的列表?

Microsoft Entra ID 中包含 Microsoft、应用程序服务提供商和合作伙伴提供的 2600 多个预先集成的应用程序。 所有预先集成的应用程序都支持单一登录 (SSO)。 SSO 允许用户使用组织凭据来访问应用。 某些应用程序还支持自动预配和自动取消预配。

有关预先集成的应用程序的完整列表,请参阅 Azure 市场

如果 Microsoft Entra 市场中没有我需要的应用程序怎么办?

可以使用 Microsoft Entra ID P1 或 P2 添加和配置所需的任何应用程序。 可以根据应用程序的功能和喜好来配置 SSO 和自动预配。

有关详细信息,请参阅单一登录 SAML 协议以及为 SCIM 端点开发和规划配置

用户如何使用 Microsoft Entra ID 登录应用程序?

Microsoft Entra ID 提供多种方式供用户查看和访问其应用程序,例如:

  • Microsoft Entra 访问面板
  • Microsoft 365 应用程序启动器
  • 直接登录联合应用
  • 联合、基于密码或现有的应用的深层链接

有关详细信息,请参阅应用程序的最终用户体验

Microsoft Entra ID 可通过哪些不同的方式来启用对应用程序的身份验证和单一登录?

Microsoft Entra ID 支持使用多种标准化协议(例如 SAML 2.0、OpenID Connect、OAuth 2.0 和 WS 联合身份验证)进行身份验证和授权。 对于仅支持基于窗体的身份验证的应用程序,Microsoft Entra ID 还支持密码保管和自动化登录功能。

有关详细信息,请参阅 Microsoft Entra ID 中应用程序的标识基础知识单一登录

是否可以添加本地运行的应用程序?

Microsoft Entra 应用程序代理可让你轻松安全地访问所选的本地 Web 应用程序。 可以像访问 Microsoft Entra ID 中的软件即服务 (SaaS) 应用一样访问这些应用程序。 不需要设置 VPN 或更改网络基础结构。

有关详细信息,请参阅如何提供对本地应用程序的安全远程访问

如何要求访问特定应用程序的用户进行多重身份验证?

使用 Microsoft Entra 条件访问,可以针对每个应用程序分配独特的访问策略。 可以在策略中要求用户始终进行多重身份验证,或者在未连接到本地网络时才进行。

有关详细信息,请参阅保护对 Microsoft 365 和其他连接到 Microsoft Entra ID 的应用的访问

什么是 SaaS 应用的自动化用户预配?

使用 Microsoft Entra ID 可以在许多流行的云 (SaaS) 应用中自动创建、维护和删除用户标识。

有关详细信息,请参阅什么是 Microsoft Entra ID 中的应用程序预配?

是否可以通过 Microsoft Entra ID 设置安全的 LDAP 连接?

不是。 Microsoft Entra ID 不直接支持轻型目录访问协议 (LDAP) 协议或安全 LDAP。 但是,可以借助 Azure 网络通过正确配置的网络安全组在 Microsoft Entra 租户上启用 Microsoft Entra 域服务实例,以实现 LDAP 连接。

如需了解更多信息,请参阅为 Microsoft Entra 域服务托管域配置安全 LDAP