使用 Microsoft Entra ID 共享帐户

概述

在 Microsoft Entra 的一部分 Microsoft Entra ID 中，有时组织需要针对多人使用单一用户名和密码，这种情况经常发生在以下情况下：

• 每个用户必须使用唯一的登录名和密码访问应用程序时（无论是本地应用还是使用者云服务，例如公司的社交媒体帐户）。
• 创建多用户环境时。 可能使用了单个具有提升特权的本地帐户，并且该帐户用于执行核心安装、管理和恢复活动。 例如，Microsoft 365 的应用程序全局管理员帐户或 Salesforce 中的根帐户。

传统上，这些帐户的共享方式是通过将凭据（用户名/密码）分发给适当的人员，或者将凭据存储在多个受信任代理可以访问的共享位置。

传统的共享模式有几个缺点：

• 要使所有人都能访问新的应用程序，需要向他们分发凭据。
• 每个共享的应用程序可能都需要唯一的一组共享凭据，而用户必须记住多组凭据。 在用户必须记住许多凭据时，他们会依靠有风险的做法，风险就会随之增加。 （例如写下密码）。
• 不知道谁有权访问应用程序。
• 你无法分辨谁访问了某个应用程序。
• 需要删除某个应用程序的访问权限时，必须更新凭据，并将凭据重新分发给需要访问该应用程序的所有人。

Microsoft Entra 帐户共享

Microsoft Entra ID 提供使用共享帐户的新方法，从而可以消除这些缺点。

通过使用访问面板并选择最适合该应用程序的单一登录类型，Microsoft Entra 管理员可以配置用户可访问的应用程序。 在这些类型中，基于密码的单一登录可在登录该应用的过程中，让 Microsoft Entra ID 充当某种“代理”。

用户使用他们的组织帐户登录一次即可。 此帐户与他们平时用来访问桌面或电子邮件的帐户相同。 他们只能发现和访问分配给他们的那些应用程序。 使用共享帐户时，此应用程序列表可以包含任意数目的共享凭据。 最终用户不需要记住或写下他们可能要使用的多个帐户。

共享帐户不仅提高了监管力度和可用性，也增强了安全性。 有权使用凭据的用户看不到共享密码，而是通过协调的身份验证流程获取密码的使用权限。 此外，使用某些密码 SSO 应用程序可以选择让 Microsoft Entra ID 定期滚动更新（更新）密码。 该系统使用复杂的长密码，这可提高帐户安全性。 管理员可以轻松授予或吊销对应用程序的访问权限，还知道谁有权访问帐户以及谁曾经访问了帐户。

Microsoft Entra ID 支持所有类型的密码单一登录应用中的任何 Enterprise Mobility Suite (EMS) 或 Microsoft Entra ID P1 或 P2 许可证计划的共享帐户。 你可以共享应用库中数千个预先集成的应用程序的帐户，并可使用自定义 SSO 应用添加你自己的密码身份验证应用程序。

支持帐户共享的 Microsoft Entra 功能包括：

• 密码单一登录
• 密码单一登录代理
• 组分配
• 自定义密码应用
• 应用使用情况仪表板/报告
• 最终用户访问门户
• 应用代理
• Azure 市场

共享帐户

若要使用 Microsoft Entra ID 共享帐户，需要：

• 添加应用程序应用库或自定义应用程序
• 为应用程序配置密码单一登录 (SSO)
• 使用基于组的分配，并选择输入共享凭据的选项

你还可以使用多重身份验证 (MFA) 让你的共享帐户更安全（了解有关使用 Microsoft Entra ID 保护应用程序的详细信息）。 你可以使用 Microsoft Entra 自助服务组管理来委托管理谁有权访问应用程序的能力。

后续步骤

• Microsoft Entra ID 中的应用程序管理
• 使用条件访问保护应用
• 自助服务组管理/SSAA