选择 Microsoft Entra 集成模型

  • 13 分钟

Microsoft Entra ID 并不是云中的 AD DS,相反,它是一个全新的目录服务,专为基于云和基于 Web 的应用程序而设计,它与 AD DS 共享一些功能。 Contoso IT 团队可以实现 Microsoft Entra ID 并将其本地标识同步到云。 这些步骤将使 Contoso 员工能够使用 SSO 来访问其 Azure 租户中的本地资源极其相关资源。

IT 团队可以使用 Microsoft Entra ID 提高员工的工作效率,简化 IT 流程,并提高采用各种云服务的安全性。 Contoso 员工可使用单个用户帐户来访问联机应用程序。 Contoso 还可使用众所周知的 Windows PowerShell cmdlet 来执行中心用户管理。 还值得注意的是,由于 Microsoft Entra ID 在设计上高度可缩放且高度可用,IT 团队无需维护相关的基础结构,也无需担心灾难恢复问题。

作为 Azure 的组成部分,Microsoft Entra ID 可以将多重身份验证作为云服务总体访问策略的一部分来给予支持,从而提供额外的安全层。 基于角色的访问控制 (RBAC)、自助服务密码、组管理和设备注册可提供企业使用的标识管理解决方案。 除了提供可帮助更有效识别威胁的功能增强的报表和警报外,Microsoft Entra ID 还提供高级标识保护。

Microsoft Entra ID 概述

Microsoft Entra ID 是平台即服务 (PaaS) 产品/服务的一部分,并在云中作为 Microsoft 托管的目录服务运行。 它不是客户拥有和管理的核心基础结构的一部分,也不是 IaaS 产品/服务。 尽管这意味着你对该服务的实现的控制更少,但也意味着你不需要专门为它的部署或维护使用资源。

A screenshot of the Microsoft Entra admin center, Microsoft Entra pane with a line graph of sign-ins.

借助 Microsoft Entra ID,还可以访问一套 AD DS 中非本机提供的功能,例如对多重身份验证的支持、标识保护和自助式密码重置。 可以通过以下方式,使用 Microsoft Entra ID 为组织和个人提供对基于云的资源更安全的访问:

  • 配置对应用程序的访问。
  • 配置到基于云的 SaaS 应用程序的 SSO。
  • 管理用户和组。
  • 预配用户。
  • 启用组织之间的联合。
  • 实施标识管理解决方案。
  • 标识异常的登录活动。
  • 配置多重身份验证。
  • 将现有的本地 Active Directory 实现扩展到 Microsoft Entra ID。
  • 为云和本地应用程序配置应用程序代理。
  • 为用户和设备配置条件访问。

Microsoft Entra 租户

与本地 AD DS 不同,Microsoft Entra ID 在设计上是多租户的,其实现目的是确保其各个目录实例之间的隔离。 它是世界上最大的多租户目录,托管超过一百万个目录服务实例,每周有数十亿次身份验证请求。 此上下文中的术语“租户”通常表示一个公司或组织,该公司或组织已注册基于 Microsoft 云的服务订阅,例如 Microsoft 365、Microsoft Intune 或 Azure,每个服务都使用 Microsoft Entra ID

不过,从技术角度来看,术语“租户”表示单个 Microsoft Entra 实例。 在 Azure 订阅中,可以创建多个 Microsoft Entra 租户。 如果要在一个租户中测试 Microsoft Entra 功能,而不影响其他租户,则有多个 Microsoft Entra 租户就会很方便。

注意

在任何给定时间,Azure 订阅都必须与仅一个 Microsoft Entra 租户相关联。 但是,可以将同一个 Microsoft Entra 租户与多个 Azure 订阅相关联。

每个 Microsoft Entra 租户都分配有唯一前缀组成的默认 DNS 域名。 前缀派生自用于创建 Azure 订阅的 Microsoft 帐户的名称,或在创建 Microsoft Entra 租户时显式提供的名称,后跟 onmicrosoft.com 后缀。 将至少一个自定义域名添加到同一 Microsoft Entra 租户是可行且常见的。 此名称使用相应公司或组织拥有的 DNS 域命名空间;例如 Contoso.com。 Microsoft Entra 租户充当安全边界和 Microsoft Entra 对象(例如用户、组和应用程序)的容器。

Microsoft Entra ID 的特征

尽管 Microsoft Entra ID 与 AD DS 有很多相似之处,但也存在许多差异。 请注意,使用 Microsoft Entra ID 与在 Azure VM 上部署 AD DS 域控制器然后将其添加到本地域不同,这一点很重要。

将 Microsoft Entra ID 与 AD DS 进行比较时,请务必注意 Microsoft Entra 不同于 AD DS 的特征:

  • Microsoft Entra ID 主要是一种标识解决方案,使用 HTTP(端口 80)、HTTPS(端口 443)通信,专用于基于 Internet 的应用程序。
  • Microsoft Entra ID 是多租户目录服务。
  • Microsoft Entra 用户和组以平面结构创建,没有组织单位 (OU) 或组策略对象 (GPO)。
  • 无法使用 LDAP 查询 Microsoft Entra ID,相反,Microsoft Entra ID 通过 HTTP 和 HTTPS 使用 REST API。
  • Microsoft Entra ID 不使用 Kerberos 身份验证,相反,它使用 HTTP 和 HTTPS 协议,如安全断言标记语言 (SAML)、Web Services 联合身份验证(WS 联合身份验证)以及用于身份验证的 OpenID Connect。 它还使用 Open Authorization (OAuth) 进行授权。
  • Microsoft Entra ID 包括联合身份验证服务,许多第三方服务信任 Microsoft Entra ID 并与之联合。

Microsoft Entra 集成选项

没有本地目录(如 AD DS)的小型组织可以完全依赖 Microsoft Entra ID 来获取身份验证和授权服务。 不过,这类组织的数量仍非常少,大多数公司会寻找将本地 AD DS 与 Microsoft Entra ID 相集成的方法。 Microsoft 通过 Microsoft Entra ID 提供云规模的身份和访问管理,这为 AD DS 与 Azure 的集成提供了几种选项。 下表对这些选项进行了说明。

选项 描述
将本地 AD DS 扩展到 Azure 借助此方案,可以在 Azure 中托管 VM,然后将其提升为本地 AD DS 中的域控制器。
将本地 AD DS 与 Microsoft Entra ID 同步 目录同步将用户、组和联系人信息传播到 Microsoft Entra ID,并使该信息保持同步。 在这种情况下,用户将使用不同的密码来访问云和本地资源,而且认证过程是分开的。
通过使用密码哈希同步将 AD DS 与 Microsoft Entra ID 同步 在此方法中,本地 AD DS 将对象与 Microsoft Entra ID 同步,但也将用户对象的密码哈希发送给 Microsoft Entra ID。 借助此选项,用户可以使用与当前本地登录相同的密码来访问支持 Microsoft Entra ID 的应用程序和资源。 对于最终用户,此方法提供相同的登录体验。
在本地 AD DS 和 Microsoft Entra ID 之间实现 SSO 此方案支持最大数量的集成功能,并允许用户在通过本地 AD DS 进行身份验证后登录到 Azure。 提供此功能的技术称为“联合”,可以使用 Active Directory 联合身份验证服务 (AD FS) 实现此功能。 AD FS 依赖于一组采用 Web 应用程序代理服务器角色服务形式的联合服务器和代理。 作为部署 AD FS 的替代方法,还可以使用直通身份验证技术,其效果与 AD FS 几乎相同。 但是,它不使用 Web 应用程序代理,并且所需的基础结构比 AD FS 简单。

Microsoft Entra 目录不是本地目录的扩展。 而是包含相同对象和标识的副本。 在本地对这些项所做的更改会复制到 Microsoft Entra ID,但在 Microsoft Entra ID 中所做的更改不会复制回到本地域。

提示

也可只使用 Microsoft Entra ID 而不使用本地目录。 在这种情况下,Microsoft Entra ID 充当所有标识信息的主要源,而不包含从本地目录复制的数据。