描述身分識別類型

  • 12 分鐘

在 Microsoft Entra 識別碼中,支援不同類型的身分識別。 您在此單元中會聽到並認識的字詞包括使用者身分識別、工作負載身分識別、裝置身分識別、外部身分識別和混合式身分識別。 下列各章節會更詳細地說明這些字詞。

當您詢問問題時,我可以在 Microsoft Entra 識別碼中指派身分識別的對象,有三種類別。

  • 您可以將身分識別指派給人員 (人類)。 指派給人員的身分識別範例是組織的員工,這些員工通常會設定為內部使用者,以及包含客戶、顧問、廠商和合作夥伴的外部使用者。 針對我們的目的,我們會稱此為使用者身分識別。
  • 您可以將身分識別指派給實體裝置,例如行動電話、桌上型電腦和 IoT 裝置。
  • 最後,您可以將身分識別指派給軟體型物件,例如應用程式、虛擬機器、服務和容器。 這些身份識別稱為工作負載身份識別。

顯示身份識別類型類別的區塊圖表。類別包括工作負載身分識別、裝置身份識別和人員身份識別。工作負載和裝置身份識別被分組在機器身份識別下。

在此單元中,我們會考慮每種類型的 Microsoft Entra 身分識別。

使用者

使用者身份識別代表員工和外部使用者 (客戶、顧問、廠商和合作夥伴) 等人員。 在 Microsoft Entra 識別碼中,使用者身分識別的特性是其驗證方式和使用者類型屬性。

如何詢問使用者驗證與主機組織的 Microsoft Entra 租用戶相關,而且可以是內部或外部。 內部驗證表示使用者具有主機組織 Microsoft Entra 識別碼上的帳戶,並使用該帳戶向 Microsoft Entra 識別碼進行驗證。 外部驗證表示使用者使用屬於另一個組織、社交網路身分識別或其他外部身份識別提供者的外部 Microsoft Entra 帳戶進行驗證。

使用者類型屬性描述使用者與組織的關係,或更具體來說,是主機組織的租賃。 使用者可以是組織 Microsoft Entra 租用戶的來賓或成員。 根據預設,與組織的成員相比,組織的來賓在組織的目錄中的權限有限。

一個四乘四的矩陣,根據使用者是來賓還是成員使用者來顯示支持的使用者身份識別類型。該矩陣還會根據使用者會使用內部還是外部驗證顯示使用者的類型。

  • 內部成員: 這些使用者通常視為組織的員工。 使用者會透過其組織的 Microsoft Entra ID 在內部進行驗證,而且在資源 Microsoft Entra 目錄中建立的使用者物件具有「成員」的 UserType。
  • 外部來賓: 外部使用者或來賓,包括顧問、廠商和合作夥伴,通常屬於此類別。 使用者會使用外部 Microsoft Entra 帳戶或外部身分識別提供者 (例如社交身分識別) 進行驗證。 在資源 Microsoft Entra 目錄中建立的使用者物件具有「來賓」的 UserType,提供有限的來賓層級權限。
  • 外部成員: 此案例常見於由多個租用戶組成的組織中。 可參考 Contoso Microsoft Entra 租用戶和 Fabrikam Microsoft Entra 租用戶是一個大型組織內的租用戶的案例。 Contoso 租用戶中的使用者需要成員層級存取權以存取 Fabrikam 中的資源。 在此案例中,Contoso 使用者會在 Fabrikam Microsoft Entra 目錄中設定,讓其使用 Fabrikam 外部的 Contoso 帳戶進行驗證,但具有 「成員」的 UserType 來啟用 Fabrikam 組織資源的成員層級存取權。
  • 內部來賓:此案例存在於與轉銷商、供應商和廠商共同作業的組織為這些使用者設定內部 Microsoft Entra 帳戶,但藉由將 UserType 設定為「來賓」來將其指定為來賓時。 身為來賓,他們在目錄中具有較少的權限。 這被視為舊版案例,因為現在較常使用 B2B 共同作業。 透過 B2B 共同作業,使用者可以使用自己的認證,從而允許其外部身份識別提供者管理身份驗證及其帳戶生命週期。

外部來賓和外部成員是企業對企業 (B2B) 共同作業使用者,這些使用者屬於 Microsoft Entra 識別碼中的外部身分識別類別,並在後續單元中詳細說明。

工作負載身分識別

工作負載身分識別是您指派給軟體工作負載的身分識別。 這可讓軟體工作負載驗證並存取其他服務和資源。 這有助於保護您的工作負載。

保護工作負載身分識別很重要,因為與人類使用者不同,軟體工作負載可能會處理多個認證來存取不同的資源,且需要安全儲存那些認證。 也很難追蹤何時建立工作負載身分識別,或何時應撤銷。 企業會因為難以保護工作負載身分識別而造成其應用程式或服務遭到惡意探索或入侵的風險。

Microsoft Entra 工作負載 ID 有助於在保護工作負載身分識別時解決這些問題。

在 Microsoft Entra 中,工作負載身分識別為應用程式、服務主體和受控識別。

應用程式與服務主體

服務主體基本上就是應用程式的身分識別。 若要讓應用程式將其身分識別和存取功能委派給 Microsoft Entra 識別碼,必須先向 Microsoft Entra 識別碼註冊應用程式,以啟用其整合。 應用程式註冊後,服務主體會建立於使用應用程式的每個 Microsoft Entra 租用戶中。 服務主體可啟用核心功能,例如讓受到 Microsoft Entra 租用戶保護的資源進行應用程式的驗證和授權。

若要讓服務主體能夠存取受到 Microsoft Entra 租用戶保護的資源,應用程式開發人員必須管理和保護認證。 如果未正確完成,這可能會造成安全性弱點。 受控識別有助於減輕開發人員的責任。

受控識別

受控識別是一種服務主體,在 Microsoft Entra 識別碼中會自動受到管理,不需要開發人員管理認證。 受控識別可為應用程式提供身分識別,以便在連線到支援 Microsoft Entra 驗證的 Azure 資源時使用,且無須任何額外的費用。

開發人員要如何使用受控識別以便從程式碼存取資源,而無須管理認證的圖表。

如需支援受控識別的 Azure 服務清單,請參閱摘要的「深入了解」一節和資源單元。

有兩種受控識別:系統指派和使用者指派。

  • 系統指派。 某些 Azure 資源 (例如虛擬機器) 可讓您直接在資源上啟用受控識別。 啟用系統指派的受控識別時,會在 Microsoft Entra 中建立身分識別,該識別與服 Azure 資源的生命週期連繫在一起。 由於身分識別會在刪除資源時連繫至該 Azure 資源的生命週期,因此 Azure 會自動為您刪除身分識別。 您可能會發現系統指派的身分識別範例是當工作負載包含在單一 Azure 資源內時,例如在單一虛擬機器上執行的應用程式。

  • 使用者指派。 您也可以建立受控身分識別作為獨立 Azure 資源。 建立使用者指派的受控識別後,您可以將其指派給 Azure 服務的一個或多個執行個體。 例如,使用者指派的受控識別可以指派給多個 VM。 若是使用者指派的受控識別,Azure 會分開管理身分識別與使用該身分識別的資源。 刪除使用使用者指派受控識別的資源並不會刪除身分識別。 使用者指派的受控識別必須明確刪除。 這在您可能有多個 VM 的案例中很有用,這些 VM 都有一組相同的權限,但可能會經常回收。 刪除任何 VM 不會影響使用者指派的受控識別。 同樣地,您可以建立新的 VM,並將它指派給現有的使用者指派受控識別。

裝置

裝置是指硬體,例如行動裝置、膝上型電腦、伺服器或印表機。 裝置身分識別會在進行存取或設定決策時,提供可使用的系統管理員資訊。 您可以在 Microsoft Entra 識別碼中以不同方式設定裝置的身分識別。

  • 已註冊 Microsoft Entra 的裝置。 Microsoft Entra 註冊裝置的目標是為了支援使用者攜帶自己的裝置 (BYOD) 或行動裝置的案例。 在這些案例中,使用者可以使用個人裝置存取貴組織的資源。 已註冊 Microsoft Entra 的裝置可直接向 Microsoft Entra ID 註冊,而不需要組織帳戶來登入裝置。
  • 已加入 Microsoft Entra。 已加入 Microsoft Entra 的裝置,是透過組織帳戶加入 Microsoft Entra ID 的裝置,此組織帳戶之後會用來登入裝置。 已加入 Microsoft Entra 的裝置通常由組織所擁有。
  • 已加入混合式 Microsoft Entra 的裝置。 具有現有內部部署 Active Directory 實作的組織,若實作已加入 Microsoft Entra 混合式的裝置,就可利用 Microsoft Entra ID 所提供的功能。 這些裝置會加入您的內部部署 Active Directory,且 Microsoft Entra 識別碼會要求組織以帳戶登入裝置。

註冊裝置並將其加入 Microsoft Entra 識別碼,可讓使用者得以用單一登入 (SSO) 存取雲端式資源。 此外,裝置加入 Microsoft Entra 後,無論是依賴內部部署的 Active Directory 的資源還是應用程式,都可以享用 SSO 體驗。

IT 管理員可以使用 Microsoft Intune 等工具,這是雲端型服務,重點在於行動裝置管理 (MDM) 和行動應用程式管理 (MAM),可以控制組織裝置的使用方式。 如需詳細資訊,請參閱 Microsoft Intune

群組

在 Microsoft Entra 識別碼中,如果您有數個具有相同存取需求的身分識別,您可以建立一個群組。 您可以使用群組將存取權限授與群組的所有成員,而不必個別指派存取權限。 限定只有需要存取的使用者才可以存取 Microsoft Entra 資源,是零信任的核心安全性準則之一。

有兩種群組類型:

  • 安全性: 安全性群組是最常見的群組類型,可用來管理使用者和裝置對共用資源的存取。 例如,您可以針對特定安全性原則建立安全性群組,例如自助式密碼重設,或要求 MFA (以搭配條件式存取原則使用)。 安全性群組的成員可以包含使用者 (包括外部使用者)、裝置、其他群組和服務主體。 建立安全性群組需要 Microsoft Entra 系統管理員角色。

  • Microsoft 365: Microsoft 365 群組,通常也稱為通訊群組,會根據共同作業需求將使用者分組。 例如,您可以為群組的成員提供共用信箱、行事曆、檔案 SharePoint 網站等存取權。 Microsoft 365 群組的成員只能包含使用者,包括組織外部的使用者。 由於 Microsoft 365 群組適用於共同作業,因此預設是允許使用者建立 Microsoft 365 群組,因此您不需要系統管理員角色。

群組可以設定為允許指派手動選取的成員,也可以設定為動態成員資格。 動態成員資格會使用規則來自動新增及移除身份識別。