什麼是 Microsoft Entra ID?
Microsoft Entra ID 是雲端式身分識別和存取權管理服務,您的員工可以使用它存取外部資源。 範例資源包括 Microsoft 365、Azure 入口網站和其他數千個 SaaS 應用程式。
Microsoft Entra ID 也可協助他們存取內部資源,例如公司內部網路上的應用程式,以及為本身組織開發的任何雲端應用程式。 若要了解如何建立租用戶,請參閱快速入門:在 Microsoft Entra ID 中建立新的租用戶 (部分機器翻譯)。
若要了解 Active Directory 與 Microsoft Entra ID 之間的差異,請參閱比較 Active Directory 與 Microsoft Entra ID (部分機器翻譯)。 您也可以參閱 Microsoft Cloud for Enterprise Architects 系列的海報,深入了解 Azure 中的核心識別服務,例如 Microsoft Entra ID 和 Microsoft 365。
誰使用 Microsoft Entra ID?
Microsoft Entra ID 會根據組織成員的角色,為組織成員提供不同的優點:
IT 系統管理員會根據商務需求,使用 Microsoft Entra ID 來控制應用程式和應用程式資源的存取。 例如,您身為 IT 系統管理員可以使用 Microsoft Entra ID,來要求在存取組織的重要資源時必須進行多重要素驗證。 您也可以使用 Microsoft Entra ID 將現有 Windows Server AD 與雲端應用程式 (包括 Microsoft 365) 之間的使用者佈建自動化。 最後,Microsoft Entra ID 可提供功能強大的工具,可自動協助保護使用者的身分識別和認證,以及符合存取治理需求。 若要開始使用,請註冊免費的 30 天 Microsoft Entra ID P1 或 P2 試用版。
應用程式開發人員可以使用 Microsoft Entra ID 作為標準型驗證提供者,以協助他們將單一登錄 (SSO) 新增至與使用者現有認證搭配使用的應用程式。 開發人員也可以使用 Microsoft Entra API,使用組織資料來建置個人化體驗。 若要開始使用,請註冊免費的 30 天 Microsoft Entra ID P1 或 P2 試用版。 若需詳細資訊,您也可以參閱適用於開發人員的 Microsoft Entra ID (部分機器翻譯)。
Microsoft 365、Office 365、Azure 或 Dynamics CRM Online 訂閱者已使用 Microsoft Entra ID,因為每個 Microsoft 365、Office 365、Azure 和 Dynamics CRM Online 租用戶都會自動成為 Microsoft Entra 租用戶。 您可以立即開始管理整合式雲端應用程式的存取權。
什麼是 Microsoft Entra ID 授權?
Microsoft Online 商務服務,例如 Microsoft 365 或 Microsoft Azure,會使用 Microsoft Entra ID 來進行登入活動,並協助保護您的身分識別。 若您訂閱任何 Microsoft Online 商務服務,則會自動取得 Microsoft Entra ID Free 的存取權。
若要增強您的 Microsoft Entra 實作,您也可以升級至 Microsoft Entra ID P1 或 P2 授權來新增付費功能,或新增 Microsoft Entra ID 控管等產品的授權。 您也可以授權 Microsoft Entra 付費授權建置在您現有的免費目錄之上。 授權會為您的行動裝置使用者提供自助式服務、增強監視、安全性報告及安全存取。
Microsoft Entra ID Free 提供使用者和群組管理、內部部署目錄同步作業、基本報告、雲端使用者的自助式服務密碼變更,和跨 Azure、Microsoft 365 和許多熱門 SaaS 應用程式的單一登入。
Microsoft Entra ID P1 除了 Free 版的功能外,P1 版還會讓您的混合式使用者可以同時存取內部部署和雲端資源。 它還支援進階的管理,例如動態成員資格、自助群組管理、Microsoft Identity Manager,以及雲端回寫功能,可讓您的內部部署使用者使用自助式密碼重設。
Microsoft Entra ID P2 除了 Free 和 P1 的功能以外,P2 也提供 Microsoft Entra ID Protection 以協助針對您的應用程式與重要公司資料進行風險型條件式存取,以及 Privileged Identity Management,以協助探索、限制和監視系統管理員及其對資源的存取,並在必要時提供 Just-In-Time 存取權。
除了 Microsoft Entra ID 授權之外,您還可以使用其他 Microsoft Entra 產品的授權,以啟用其他身分識別管理功能,包括:
Microsoft Entra ID 控管。Microsoft Entra ID 控管是一組進階的身分識別治理功能,適用於 Microsoft Entra ID P1 和 P2 客戶。
Microsoft Entra 權限管理。Microsoft Entra 權限管理是雲端基礎結構權利管理 (CIEM) 解決方案,可完整檢視指派給 Microsoft Azure、Amazon Web Services (AWS) 以及 Google Cloud Platform (GCP) 雲端基礎結構之間所有身分識別 (使用者和工作負載)、動作及資源的權限。
「隨用隨付」功能授權。 您也可以取得 Microsoft Entra Domain Services 和 Microsoft Entra 企業對消費者 (B2C) 等功能的授權。 B2C 可協助您為客戶面向的應用程式提供身分識別和存取權管理解決方案。 若需詳細資訊,請參閱 Azure Active Directory B2C 文件 (部份機器翻譯)。
如需 Microsoft Entra 產品系列的詳細資訊,請參閱 Microsoft Entra。
若需有關將 Azure 訂用帳戶關聯至 Microsoft Entra ID 的詳細資訊,請參閱將 Azure 訂用帳戶關聯或新增至 Microsoft Entra ID (部份機器翻譯)。 若需有關指派授權給使用者的詳細資訊,請參閱作法:指派或移除 Microsoft Entra ID 授權 (部份機器翻譯)。
哪些功能適用於 Microsoft Entra ID?
在選擇 Microsoft Entra ID 授權後,您將可存取下列部分或全部的功能:
類別 | 描述 |
---|---|
應用程式管理 | 使用應用程式 Proxy、單一登入、我的應用程式入口網站和軟體即服務 (SaaS) 應用程式來管理您的雲端和內部部署應用程式。 若需詳細資訊,請參閱如何提供針對內部部署應用程式的安全遠端存取 (部份機器翻譯) 和應用程式管理文件 (部份機器翻譯)。 |
驗證 | 管理 Microsoft Entra 自助式密碼重設、多重要素驗證、自訂禁用密碼清單和智慧鎖定。 若需詳細資訊,請參閱 Microsoft Entra 驗證文件 (部份機器翻譯)。 |
適用於開發人員的 Microsoft Entra ID | 建置應用程式來登入所有 Microsoft 身分識別、取得權杖來呼叫 Microsoft Graph、其他 Microsoft API 或自訂 API。 若需詳細資訊,請參閱 Microsoft 身分識別平台 (適用於開發人員的 Microsoft Entra ID) (部分機器翻譯)。 |
企業對企業 (B2B) | 在管理來賓使用者和外部夥伴的同時,持續掌控您自己的公司資料。 若需詳細資訊,請參閱 Microsoft Entra B2B 文件 (部份機器翻譯)。 |
企業對客戶 (B2C) | 自訂和控制使用者在使用您的應用程式時,如何註冊、登入,和管理其設定檔的方式。 若需詳細資訊,請參閱 Azure Active Directory B2C 文件 (部份機器翻譯)。 |
條件式存取 | 管理雲端應用程式的存取。 如需詳細資訊,請參閱 Microsoft Entra 條件式存取文件。 |
裝置管理 | 管理雲端或內部部署裝置存取公司資料的方式。 若需詳細資訊,請參閱 Microsoft Entra 裝置管理文件 (部份機器翻譯)。 |
網域服務 | 將 Azure 虛擬機器加入網域,而不使用網域控制站。 如需詳細資訊,請參閱 Microsoft Entra Domain Services 文件。 |
企業使用者 | 使用群組和系統管理員角色管理授權指派、應用程式存取,以及設定委派。 若需詳細資訊,請參閱 Microsoft Entra 使用者管理文件 (部份機器翻譯)。 |
混合式身分識別 | 使用 Microsoft Entra Connect 和 Connect Health 為所有資源提供單一使用者身分識別來進行驗證和授權,而不論位置為何 (雲端或內部部署)。 若需詳細資訊,請參閱混合式身分識別文件 (部份機器翻譯)。 |
身分識別治理 | Microsoft Entra ID P2 包含 Privileged Identity Management (PIM)、存取權檢閱和權利管理的基本功能。 Microsoft Entra ID 控管客戶可以透過完整的員工、商務合作夥伴、廠商、服務和應用程式控制來管理其組織的身分識別和存取權。 如需詳細資訊,請參閱 Microsoft Entra ID 控管文件和依授權排列的功能。 |
Microsoft Entra ID Protection | 偵測會影響您組織身分識別的潛在弱點、設定原則以回應可疑動作,然後採取適當的動作加以解決。 若需詳細資訊,請參閱 Microsoft Entra ID Protection (部份機器翻譯)。 |
適用於 Azure 資源的受控識別 | 在 Microsoft Entra ID 中為您的 Azure 服務提供自動受控識別,以驗證任何 Microsoft Entra 支援的驗證服務,包括 Key Vault。 如需詳細資訊,請參閱什麼是 Azure 資源受控識別?。 |
Privileged Identity Management (PIM) | 管理、控制及監視組織內的存取權。 這功能包括存取 Microsoft Entra ID、Azure 與其他 Microsoft 線上服務 (例如 Microsoft 365 與 Microsoft Intune) 中的資源。 如需詳細資訊,請參閱 Microsoft Entra Privileged Identity Management。 |
監視與健康狀態 | 深入解析環境中的安全性和使用模式。 若需詳細資訊,請參閱 Microsoft Entra 監視和健康情況 (部份機器翻譯)。 |
工作負載身分識別 | 為您的軟體工作負載 (例如應用程式、服務、指令碼或容器) 提供身分識別,以驗證及存取其他服務與資源。 若需詳細資訊,請參閱工作負載身分識別常見問題集 (部份機器翻譯)。 |
詞彙
若要進一步了解 Microsoft Entra ID 及其文件,建議您檢閱下列詞彙。
詞彙或概念 | 描述 |
---|---|
身分識別 | 可以驗證的項目。 身分識別可以是具有使用者名稱和密碼的使用者。 身分識別也包括可能需要透過祕密金鑰或憑證進行驗證的應用程式或其他伺服器。 |
客戶 | 具有相關聯資料的身分識別。 您無法在沒有身分識別的情況下擁有帳戶。 |
Microsoft Entra 帳戶 | 透過 Microsoft Entra ID 或其他 Microsoft 雲端服務 (例如 Microsoft 365) 所建立的身分識別。 身分識別會儲存在 Microsoft Entra ID 中,並可供組織的雲端服務訂用帳戶存取。 此帳戶有時也稱為公司或學校帳戶。 |
帳戶管理員 | 此傳統訂用帳戶管理員角色在概念上是訂用帳戶的帳單擁有者。 此角色可讓您管理帳戶中的所有訂用帳戶。 如需詳細資訊,請參閱 Azure 角色、Microsoft Entra 角色和傳統訂用帳戶管理員角色。 |
服務管理員 | 此傳統訂用帳戶管理員角色可讓您管理所有 Azure 資源,包括存取權。 此角色具有在訂用帳戶範圍上獲指派擁有者角色的對等使用者存取權。 如需詳細資訊,請參閱 Azure 角色、Microsoft Entra 角色和傳統訂用帳戶管理員角色。 |
負責人 | 此角色可協助您管理所有 Azure 資源,包括存取權。 此角色是以稱為 Azure 角色型存取控制 (Azure RBAC) 的較新授權系統為基礎,可為 Azure 資源提供更細緻的存取管理。 如需詳細資訊,請參閱 Azure 角色、Microsoft Entra 角色和傳統訂用帳戶管理員角色。 |
Microsoft Entra 全域系統管理員 | 此系統管理員角色會自動指派給建立 Microsoft Entra 租用戶的人員。 您可以有多個帳戶設定此角色,但至少具有特殊權限角色管理員的任何人員都可以將系統管理員角色指派給使用者。 若需各種管理員角色的詳細資訊,請參閱 Microsoft Entra ID 中的管理員角色權限 (部份機器翻譯)。 |
Azure 訂用帳戶 | 用來支付 Azure 雲端服務費用。 您可以有許多訂用帳戶,而且會連結到信用卡。 |
租用戶 | Microsoft Entra ID 的專用且受信任執行個體。 當您的組織註冊 Microsoft 雲端服務訂閱時,就會自動建立租用戶。 這些訂用帳戶包括 Microsoft Azure、Microsoft Intune 或 Microsoft 365。 此租用戶代表單一組織,其用途是管理您的員工、商務應用程式和其他內部資源。 基於這個理由,它被視為工作力租用戶設定。 相較之下,您可以在外部設定中建立租用戶,該設定用於面向消費者之應用程式的客戶身分識別和存取權管理 (CIAM) 解決方案中 (深入了解 Microsoft Entra 外部 ID (部分機器翻譯))。 |
單一租用戶 | 存取專用環境中其他服務的 Azure 租用戶會被視為單一租用戶。 |
多租用戶 | 跨多個組織存取共用環境中其他服務的 Azure 租用戶會被視為多租用戶。 |
Microsoft Entra 目錄 | 每個 Azure 租用戶都有專用且受信任的 Microsoft Entra 目錄。 Microsoft Entra 目錄包含租用戶的使用者、群組和應用程式,並可用來對租用戶資源執行身分識別和存取權管理功能。 |
自訂網域 | 每個新的 Microsoft Entra 目錄皆隨附初始網域名稱,例如 domainname.onmicrosoft.com 。 除了該初始名稱之外,您也可以新增組織的網域名稱。 您組織的網域名稱包括用來執行業務的名稱,以及使用者用來存取組織資源及清單的名稱。 新增自訂網域名稱可協助您建立使用者熟悉的使用者名稱,例如 alain@contoso.com。 |
Microsoft 帳戶 (也稱為 MSA) | 提供取用者導向 Microsoft 產品和雲端服務存取權的個人帳戶。 這些產品和服務包括 Outlook、OneDrive、Xbox LIVE 或 Microsoft 365。 Microsoft 帳戶會在 Microsoft 運作的 Microsoft 消費者身分識別帳戶系統中建立,也會儲存在其中。 |