Microsoft Entra ID 是 Microsoft 的雲端身份與存取管理解決方案,協助您的員工與訪客用戶安全登入,並存取資源,例如Microsoft應用程式 (,例如 Microsoft 365 和 Azure) ,數千個預先整合的熱門 SaaS 應用程式 (,例如 ServiceNow、Google 應用程式) ,以及任何客製化的雲端或本地網頁應用程式。 它提供安全功能,如單一登入、多重驗證、條件存取及生命週期管理,以保護組織免於身份外洩。
可用方案
針對本文的目的,租用戶層級服務是針對租用戶中的所有使用者部分或完整啟動的線上服務 (獨立授權和/或作為 Microsoft 365 或 Office 365 方案的一部分)。 雖然某些租用戶服務目前無法限制特定使用者的權益,但每個線上服務的使用都需要適當的訂閱授權。 若要檢閱控管使用 Microsoft 產品的條款和條件,以及透過 Microsoft 授權方案取得的專業服務,請參閱 產品條款。
若要檢視使用者從 Microsoft 365 功能獲益的方式,請下載 適用於企業和前線員工的 Microsoft 365 比較資料表方案 或 適用於中小型商務的 Microsoft 365 比較資料表 方案。
功能可用性
Microsoft Entra 的功能持續演進與擴展。 請參閱我們的 官方價格頁面 ,了解最新功能清單。
Microsoft Entra ID
Microsoft Entra ID 是一項雲端身份與存取管理服務,您的員工可以用來存取外部資源。 範例資源包括 Microsoft 365、Azure 入口網站,以及數千個其他 SaaS 應用程式。
Microsoft Entra ID 也協助他們存取內部資源,例如企業內聯網的應用程式,以及為你組織開發的任何雲端應用程式。 想了解如何建立租戶,請參閱快速入門:在 Microsoft Entra ID 中建立新租戶。
欲了解 Active Directory 與 Microsoft Entra ID 的差異,請參閱「Active Directory 與 Microsoft Entra ID 比較」。 您也可以參考 Microsoft Cloud for Enterprise Architects 系列的海報,以更深入了解 Azure 中的核心身份服務,如 Microsoft Entra ID 和 Microsoft 365。
可用方案
- Microsoft Entra ID 免費。 提供使用者和群組管理、內部部署目錄同步處理、基本報告、雲端使用者的自助式密碼變更,以及跨 Azure、Microsoft 365 和許多熱門 SaaS 應用程式的單一登入。
- Microsoft Entra ID P1. 除了 Free 功能之外,P1 也可讓混合式使用者存取內部部署和雲端資源。 它也支援進階管理,如動態群組、自助群組管理、Microsoft Identity Manager 及雲端回寫功能,允許本地用戶自行重設密碼。
- Microsoft Entra ID P2. 除了免費與 P1 功能外,P2 還提供 Microsoft Entra ID 保護,協助提供基於風險的條件存取,存取應用程式及重要公司資料;以及 Privileged Identity Management,協助發現、限制及監控管理員及其資源存取,並在需要時提供即時存取。
方案可用性
| 功能 | Microsoft 365 E3 | Microsoft 365 E5/Defender 套件附加元件 1 | Office 365 E1/E3/E5, Microsoft Teams 企業版 | 企業移動 & 安全E3 | Enterprise Mobility & Security E5 | Microsoft 365 F1/F3 | Microsoft Defender 套件 FLW2 | Microsoft Purview 套件 FLW | Microsoft Teams 基本版 | Microsoft 365 商務基本版/Standard | Microsoft 365 商務進階版 |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Microsoft Entra ID Free | 否 | 否 | 是 | 否 | 否 | 是 | 否 | 否 | 是 | 是 | 否 |
| Microsoft Entra ID Plan 1 | 是 | 否 | 否 | 是 | 否 | 是 | 否 | 否 | 否 | 否 | 是 |
| Microsoft Entra ID Plan 2 | 否 | 是 | 否 | 否 | 是 | 否 | 是 | 是 | 否 | 否 | 否 |
功能可用性
有關功能可用性資訊,請參閱 Microsoft Entra 方案與價格 |Microsoft Security。
深入了解
欲了解更多資訊,請參閱「什麼是 Microsoft Entra ID?」
Microsoft Entra 權限管理
Microsoft Entra 權限管理 (權限管理) 是一款雲端基礎設施授權管理 (CIEM) 解決方案,提供對所有身份權限的全面可視化,例如多雲基礎設施中多雲基礎設施中過度特權的工作負載與使用者身份、動作及資源,Microsoft Azure、Amazon Web Services (AWS) ,以及 Google Cloud Platform (GCP) 。 權限管理偵測、自動調整大小,並持續監控未使用及過多權限。 它透過強化最小權限存取原則,深化了零信任安全策略。
欲了解更多資訊,請參閱以下資源:
- Microsoft Entra 權限管理
- Microsoft Entra 權限管理常見問題集,提供更多資源連結。
Microsoft Entra ID Protection
Microsoft Entra ID Protection 是 Microsoft Entra ID P2 方案中的一項功能,讓您能保護、偵測並修復被入侵的身份。 Entra ID Protection 由數兆個訊號驅動,用以偵測影響組織身份的潛在漏洞。 這些風險透過即時機器學習引擎評估,評估風險使用者、登入次數及工作負載身份。 使用者可以設定對偵測到的與組織身份相關的可疑行為自動回應,並透過政策執行來保護存取權限。
使用者如何從此服務獲益?
在當今的數位環境中,IT 管理員與 SecOps 分析師面臨日益龐大的複雜網路威脅。 Entra ID Protection 提供整合的被標記用戶與風險事件視圖,由機器學習演算法驅動,為資安專業人士提供可行的洞察。 使用者透過風險導向政策,享受無縫且自動的保護,確保對身份威脅有強健防禦。
優點
- 減少調查與修復安全事件所需的時間與資源。
- 減少基於風險的條件存取政策中自動保護使用者的人工干預。
- 減少帳號外洩。
哪些授權提供使用者從服務獲益的權限?
- Microsoft 365 E5/A5/G5、企業移動 & 安全 A5/E5/G5、Microsoft Defender 套件/EDU/GOV/FLW,以及 Microsoft Defender + Purview 套件 FLW
關於不同方案中包含的功能細節,請參閱「什麼是 Microsoft Entra ID 保護?」
服務如何佈建/部署?
預設情況下,所有使用 Microsoft Entra ID P2 或試用授權的使用者,租戶層級都會啟用 Microsoft Entra ID 保護功能。 有關免費試用的資訊,請參閱 Microsoft Entra 方案與價格。 要啟用此功能,請依照以下步驟操作:
- 檢視現有報告。
- 規劃條件存取風險政策——註冊多重驗證 (多重驗證) 進行自我修復,設定條件存取中的指定地點,並在 Defender 中新增 VPN 範圍。
- 設定你的多重身份驗證(MFA)和條件存取政策,以追蹤登入和使用者風險。
- 根據營運需求進行監控與調查。
如何只將服務套用到租用戶中已取得服務授權的使用者?
系統管理員可以透過指派可定義密碼重設層級的風險原則,並僅允許取得授權的使用者存取,以限定 Microsoft Entra ID Protection 的範圍。 如需如何為 Microsoft Entra ID Protection 部署設定範圍的指示,請參閱 如何設定和啟用風險原則。
欲了解更多資訊,請參閱 Microsoft Entra ID 及 Microsoft Entra 工作負載 ID。
可用性
客戶可透過取得 Microsoft Entra ID P2 或包含 Microsoft Entra ID P2 的訂閱方案,取得 Microsoft Entra ID 保護。
了解 Microsoft Entra ID 保護。 欲快速瀏覽 Microsoft Entra ID 保護的影片,請參考此影片。
Microsoft Entra ID 控管
Microsoft Entra ID 控管是一項身份治理解決方案,使組織能提升生產力、強化安全性,並更輕鬆地符合合規與法規要求。 你可以使用 Microsoft Entra ID 控管,自動確保正確的人能取得正確的資源,並透過身份與存取流程自動化、委派給業務團隊,以及提升可視性。 透過 Microsoft Entra ID 控管中包含的功能,以及相關的 Microsoft Entra、Microsoft Security 和 Microsoft Azure 產品,您可以透過保護、監控及稽核關鍵資產的存取,來降低身份與存取風險。
使用者如何從此服務獲益?
Microsoft Entra ID 控管可讓您更輕鬆地在一個存取套件中要求應用程式、群組和 Microsoft Teams 的存取權,從而提高使用者的生產力。 使用者也可以設定為核准者,而無需系統管理員參與。 在存取審查時,使用者可以定期檢視群組成員資格,並給予智慧建議採取行動。
具體來說,Microsoft Entra ID 控管協助組織解決以下四個關鍵問題,適用於本地端及雲端服務與應用間的存取:
- 哪些使用者應該能使用哪些資源?
- 這些使用者在使用這些權限做什麼?
- 是否有組織上的控制措施來管理存取權限?
- 稽核人員能否驗證這些控制措施是否有效運作?
透過 Microsoft Entra ID 控管,您可以為員工、商業夥伴及供應商實作以下情境:
- 管理身份生命週期
- 管理存取生命週期
- 管理時的安全特權存取
哪些授權提供使用者從服務獲益的權限?
Microsoft Entra ID 控管功能可在 Microsoft Entra ID 控管及 Microsoft Entra ID P2 的 Microsoft Entra ID 控管Step Up中取得。 這些產品提供與購買席位數量相同數量的用戶,擁有身份治理能力的權利。
Microsoft Entra ID 控管要求租戶同時擁有 P1 Microsoft Entra ID 的有效訂閱 (之前Azure Active Directory Premium P1) 或 Microsoft Entra ID P2 (Azure AD Premium P2) ,或是包含 P1 或 P2 Microsoft Entra ID訂閱。
Microsoft Entra ID 控管 Step Up for Microsoft Entra ID P2 要求租戶同時擁有有效訂閱 Microsoft Entra ID P2,或包含 Microsoft Entra ID P2 的訂閱。
服務如何佈建/部署?
Microsoft Entra ID 控管功能在租用戶層級啟用,但會針對每位使用者實作。 欲了解 Microsoft Entra ID 控管的資訊,請參閱 What is Microsoft Entra ID 控管?
如何只將服務套用到租用戶中已取得服務授權的使用者?
管理員應確保擁有足夠的 Microsoft Entra ID 控管席位,供所有使用 Microsoft Entra ID 控管功能或受益的員工使用,包括存取套件、存取審查、生命週期工作流程及特權身份管理。 如需如何為 Microsoft Entra ID 控管部署設定範圍的指示,請參閱:
Microsoft Entra 工作負載 ID
工作負載身份是您指派給軟體工作負載 (的身份,例如應用程式、服務、腳本或容器) 用來驗證及存取其他服務與資源。 業界用語不一,但一般來說,工作負載身份是你需要的軟體實體用來驗證系統的。 例如,GitHub Actions 要存取 Azure 訂閱,動作需要一個工作負載身份,該身份能存取這些訂閱。 工作負載身份也可以是附加於 EC2 實例的 AWS 服務角色,並可唯讀存取 Amazon S3 儲存桶。
在 Microsoft Entra 中,工作負載身份包括應用程式、服務主體與受管理身份。
應用程式是一個抽象實體或範本,由其應用程式物件定義。 應用程式物件是你應用程式的全域表示,供所有租戶使用。 應用程式物件描述了代幣的發放方式、應用程式需要存取的資源,以及應用程式可採取的動作。
服務原則是特定租戶中全域應用物件的本地表示或應用實例。 應用程式物件作為範本,在每個使用該應用程式的租戶中建立服務主體物件。 服務主體物件定義了應用程式在特定租戶中實際能做什麼、誰能存取該應用程式,以及應用程式能存取哪些資源。
受管理身份是一種特殊的服務原則,消除了開發人員管理憑證的需求。
功能可用性
| 功能 | 描述 | 免費 | 進階版 |
|---|---|---|---|
| 驗證和授權 | |||
| 建立、讀取、更新及刪除工作負載識別碼 | 建立並更新身份以保障服務間存取 | 是 | 是 |
| 驗證工作負載身份與權杖以存取資源 | 使用 Microsoft Entra ID 來保護資源存取 | 是 | 是 |
| 工作負載識別碼、登入活動與稽核軌跡 | 監控並追蹤工作負載身份行為 | 是 | 是 |
| 受管理的身分識別 | 在 Azure 中使用 Microsoft Entra 身份,無需處理憑證 | 是 | 是 |
| 工作負載身份聯盟 | 利用外部身份提供者測試的工作負載 (IdP) 來存取Microsoft Entra受保護的資源 | 是 | 是 |
| Microsoft Entra Conditional Access | |||
| 工作負載識別的條件存取政策 | 定義工作負載可存取資源(如 IP 範圍)的條件 | 是 | |
| 生命週期管理 | |||
| 存取服務提供者指派的特權角色的審查 | 密切監控具有影響力權限的工作負載身份 | 是 | |
| 應用程式認證方法 API | 允許 IT 管理員執行組織內應用程式使用驗證方法的最佳實務 | 是 | |
| 應用程式健康建議 | 識別未使用或不活躍的工作負載身份及其風險等級。 取得修復指引 | 是 | |
| Microsoft Entra ID Protection | |||
| 工作負載身份的識別保護 | 偵測並修復被入侵的工作負載身份 | 是 |
深入了解
欲了解更多資訊,請參閱 「什麼是工作負載身份?」
請參閱關於 Microsoft Entra 工作負載 ID 的常見問題,以獲得更多資訊及更多資源連結。
訊息
若要隨時掌握即將發生的變更,包括新功能和變更的功能、計劃中的維護或其他重要的公告,請造訪訊息中心。
授權條款
如需透過 Microsoft 商用大量授權方案購買的產品和服務的授權條款及條件,請參閱產品條款網站。
協助工具
Microsoft 持續致力於您的資料安全性,以及我們服務的協助工具。 如需詳細資訊,請參閱 Microsoft 信任中心和 Office 協助工具中心。
深入了解
欲了解更多關於 Microsoft Entra ID 及 Microsoft Entra 權限管理的資訊,請參考以下資源: