描述 Microsoft Entra
Microsoft Entra 是 Microsoft 的身份與網路存取產品家族。 隨著組織採用零信任安全模型,他們需要超越基本認證的解決方案,涵蓋身份治理、驗證憑證、安全網路存取,以及 AI 代理的身份認證。 在本單元中,您將探索 Microsoft Entra 產品家族,以及這些產品如何協同運作,確保員工、客戶、合作夥伴、工作負載與 AI 代理在任何雲端環境中都能獲得端對端存取。
Microsoft Entra 家族是圍繞其所保護的存取情境組織的。
| 類別 | 內容涵蓋 |
|---|---|
| 建立零信任存取控制 | 基礎身份、認證與受管理網域服務 |
| 保護員工的存取 | 身份治理、身份保護、安全網路存取與驗證憑證 |
| 保護客戶和合作夥伴的存取 | 外部協作與客戶身份與存取管理(CIAM) |
| 在任何雲端中安全存取 | 應用程式、服務與工作負載的身份識別 |
| AI 代理程式的安全存取 | 非人類 AI 代理身份的身份、治理與保護 |
了解 Microsoft Entra 產品系列
Microsoft Entra 家族中的每個類別對應組織常面臨的特定存取情境。 以下章節將介紹各類別的主要產品及其功能。
建立零信任存取控制
Microsoft Entra ID 是這個家族的基礎產品。 它是一項基於雲端的身份與存取管理服務,提供驗證、單一登入(SSO)、政策執行,以及為使用者、裝置、應用程式和資源提供保護。 如果你的組織使用 Microsoft 365、Azure 或 Dynamics CRM Online,你已經在使用 Microsoft Entra ID。 這些服務的每個租戶自動成為 Microsoft Entra 租戶,且初始網域名稱如 contoso.onmicrosoft.com。 組織也可以自行新增自訂網域名稱。
Microsoft Entra 網域服務 為執行雲端舊應用程式、需要傳統 Windows Server Active Directory 功能的組織提供託管網域服務。 它讓這些應用程式能在雲端運作,無需部署和管理網域控制器。 Microsoft 管理底層基礎設施,組織不必親自管理。
保護員工的存取
此類別涵蓋大多數組織用來治理、保護及連結員工的產品。
- Microsoft Entra Private Access 保護了對私人應用程式與資源的存取,包括企業網路與多雲環境。 遠端使用者可從任何裝置或網路連接內部資源,無需虛擬私人網路(VPN)。 例如,員工在居家或咖啡廳工作時,可以安全地連接到企業網路印表機。
- Microsoft Entra Internet Access 確保存取網際網路資源,包括軟體即服務(SaaS)應用程式及 Microsoft 365 應用程式與資源。 管理員可以啟用網頁內容過濾,根據內容類別和網域名稱來規範對網站的存取。
- Microsoft Entra ID Governance 透過自動化存取請求、指派與審查,簡化身份與權限管理。 它還有助於透過身分生命週期管理來保護關鍵資產。 例如,管理員可以自動將使用者帳號、群組和授權分配給新員工,並在員工離職時移除這些分配。
- Microsoft Entra ID Protection 偵測並回報基於身份的風險,例如風險使用者與風險登入。管理員可利用風險基礎條件存取政策等工具調查並自動修復風險。 常見情境是政策要求多重驗證(MFA),當登入風險等級為中高時。
- Microsoft Entra Verified ID 是一項基於開放式去中心化身份(DID)標準的憑證驗證服務。 組織可以向使用者發放可驗證的憑證——證明資訊真實性的數位簽章——使用者將憑證儲存在個人裝置中,並在需要時出示。 例如,一位剛畢業的大學生可以請大學向其DID發放數位文憑,然後出示給潛在雇主,雇主能獨立核實發證人、發證時間及狀態。
保護客戶和合作夥伴的存取
Microsoft Entra External ID讓外部身份能安全存取商業資源與消費者應用程式。 它提供安全的方法,用於與商業夥伴及訪客在內部應用程式上的協作,並用於管理面向消費者的應用程式中的客戶身份與存取管理(CIAM)。 例如,組織可以設置自助註冊,讓客戶使用一次性密碼或來自 Google 或 Facebook 等服務商的社交帳號登入網頁應用程式。
在任何雲端中安全存取
Microsoft Entra Workload ID 是針對工作負載身份——需要驗證與授權政策的應用程式、服務及容器——的身份與存取管理解決方案。 它讓組織能利用自適應政策和自訂安全屬性來保護資源的存取。 例如,GitHub Actions 需要工作負載身份來存取 Azure 訂閱並執行軟體開發工作流程。
AI 代理程式的安全存取
Microsoft Entra Agent ID 是一個身份與安全框架,將Microsoft Entra能力延伸至 AI 代理。 隨著組織部署輔助性、自主且類使用者的代理,代理ID提供專門建構的身份結構,用於企業規模的認證、授權、治理及保護這些非人類身份。 例如,當組織部署代表使用者存取企業資料的 AI 代理時,代理 ID 會賦予每位代理一個受控的身份,強制執行最低權限存取,並維護代理行為的稽核追蹤。
Microsoft Entra 產品如何協同運作
Microsoft Entra 家族的優勢在於其產品整合方式。 想像一個新員工加入組織的情境:
- Microsoft Entra ID 為員工進行認證,並提供企業應用程式的單一登入功能。
- Microsoft Entra ID 治理 會根據員工的角色自動配置正確的存取權限。
- Microsoft Entra ID Protection 會評估每次登入的風險,並在需要時觸發更強的認證。
- Microsoft Entra 網際網路接取 保障員工與雲端及網際網路資源的連線。
- Microsoft Entra Private Access 提供無需 VPN 的安全存取本地應用程式。
這種整合式方法減少了組織使用斷開工具進行身份與網路存取管理時所產生的安全漏洞。
Microsoft Entra 授權
Microsoft Entra 家族中的每一款產品都可以獨立使用,但當它們作為完整的身份與存取策略的一部分一起使用時,能帶來最大價值。 Microsoft Entra ID 提供多個授權層級,並可依組織需求新增或捆綁其他產品:
- Microsoft Entra ID 免費 版 — 隨Microsoft雲端訂閱(如 Microsoft Azure 和 Microsoft 365)附贈。 提供核心身份功能,包括使用者與群組管理、基本報告及自助式密碼重設。
- Microsoft Entra ID P1 — 新增條件存取、混合身份支援及進階群組功能等功能。 隨 Microsoft 365 E3、F1、F3、Enterprise Mobility + Security E3 及 Microsoft 365 商業高級版一同收錄。
- Microsoft Entra ID P2 — 新增風險型條件存取、Microsoft Entra ID 保護及特權身份管理(PIM)。 隨 Microsoft 365 E5 及 Enterprise Mobility + Security E5 附贈。
- Microsoft Entra Suite — 一套整合五款 Entra 產品的授權,專為希望全面身份與網路存取保護的組織設計。 需要一個 Microsoft Entra ID P1 的訂閱帳戶。 該套件包含 Microsoft Entra 私人存取、Microsoft Entra 網際網路存取、Microsoft Entra ID 治理、Microsoft Entra ID 保護,以及 Microsoft Entra Verified ID 的高級功能。
Microsoft Entra 也整合 Security Copilot,協助管理員調查身份風險並利用 AI 排除存取問題。
Microsoft Entra 系統管理中心
管理員可從一個名為 Microsoft Entra 管理中心的單一網頁入口網站配置和管理所有 Microsoft Entra 產品。
現在你已經對 Microsoft Entra 產品家族有了高層次的了解,接下來的部分將聚焦於 Microsoft Entra ID——這個系列的基礎產品。 你會了解其核心功能、所支持的身份類型、混合身份的概念,以及外部身份的運作方式。