探討 Microsoft Entra ID
學生應該熟悉 Active Directory Domain Services(AD DS 或傳統上稱為「Active Directory」)。 AD DS 是目錄服務,提供儲存目錄資料的方法,例如使用者帳戶和密碼,並讓此資料可供網路使用者、系統管理員和其他裝置和服務使用。 其會在 Windows Server 上以服務的形式執行,稱為網域控制站。
Microsoft Entra ID 是平台即服務 (PaaS) 供應項目的一部分,是雲端中 Microsoft 受控的目錄服務。 這不是客戶擁有和管理的核心基礎結構的一部分,也不是基礎結構即服務供應項目。 雖然這表示您幾乎無法控制此服務實作,但也表示您不需要為這項部署投注專屬資源專或進行維護。
透過 Microsoft Entra ID,您也能存取一組 AD DS 原生未提供的功能,例如支援多重要素驗證、身分識別保護,以及自助式密碼重設。
您可以利用下列方式,使用 Microsoft Entra ID,為組織與個人提供更安全的雲端式資源存取:
- 設定應用程式的存取權
- 設定單一登入 (SSO) 至雲端式 SaaS 應用程式
- 管理使用者與群組
- 佈建使用者
- 啟用組織之間的同盟
- 提供身分識別管理解決方案
- 識別異常的登入活動
- 設定多重要素驗證
- 將現有的內部部署 Active Directory 實作擴充至 Microsoft Entra ID
- 為雲端與本機應用程式,設定應用程式 Proxy
- 為使用者與裝置設定條件式存取
Microsoft Entra 構成個別的 Azure 服務。 其最基本的形式,任何新的 Azure 訂用帳戶都會自動包含,不會產生任何額外費用,並稱為免費層。 如果您訂閱任何 Microsoft Online 商務服務 (例如 Microsoft 365 或 Microsoft Intune),會自動取得 Microsoft Entra ID 以存取所有免費功能。
注意
根據預設,當您使用 Microsoft 帳戶建立新的 Azure 訂用帳戶時,訂用帳戶會自動包含名為 Default Directory 的新 Microsoft Entra 租用戶。
某些更進階的身分識別管理功能需要以基本和進階服務層級形式提供的 Microsoft Entra ID 付費版本。 其中有些功能也會自動包含在 Microsoft 365 訂用帳戶中產生的 Microsoft Entra 執行個體中。 本課程模組稍後會討論 Microsoft Entra 版本之間的差異。
實作 Microsoft Entra ID 與在 Azure 中部署虛擬機器不同、新增 AD DS,然後為新的樹系和網域部署一些網域控制站。 Microsoft Entra ID 是不同的服務,更著重於將身分識別管理服務提供給 Web 型應用程式,與 AD DS 不同,AD DS 更著重於內部部署應用程式。
Microsoft Entra 租用戶
不同於 AD DS,Microsoft Entra ID 採多租用戶設計,主要功能在確保其個別目錄執行個體之間的隔離。 這是全球最大的多租用戶目錄,裝載超過 100 萬個目錄服務執行個體,每週的驗證要求高達數十億個。 此內容中的租用戶一詞通常代表註冊 Microsoft 雲端式服務訂用帳戶的公司或組織,例如 Microsoft 365、Intune 或 Azure,每個服務都會使用 Microsoft Entra ID。 然而,從技術的觀點來看,「租用戶」一詞代表個別的 Microsoft Entra 執行個體。 在 Azure 訂用帳戶中,您可以建立多個 Microsoft Entra 租用戶。 若您想要在一個租用戶中測試 Microsoft Entra 功能,但不希望影響其他租用戶,就能建立多個 Microsoft Entra 租用戶,十分方便。
Azure 訂用帳戶必須隨時連結到一個 Microsoft Entra 租用戶,而且只能連結一個。 此關聯可讓您將 Azure 訂用帳戶中資源的權限 (透過 RBAC) 授與存在於該特定 Microsoft Entra 租用戶中的使用者、群組和應用程式。
注意
您可以將相同的 Microsoft Entra 租用戶與多個 Azure 訂用帳戶產生關聯。 這可讓您使用相同的使用者、群組和應用程式來管理多個 Azure 訂用帳戶的資源。
每個 Microsoft Entra 租用戶都會受指派預設網域名稱系統 (DNS) 網域名稱,其中包含唯一的前置詞。 該前置詞來自您建立 Azure 訂用帳戶時所使用,或在建立 Microsoft Entra 租用戶時直接提供的 Microsoft 帳戶名稱,後接 onmicrosoft.com 尾碼。 比較可行的常見方式,是將至少一個自訂網域名稱新增到相同的 Microsoft Entra 租用戶。 此名稱會使用對應公司或組織所擁有的 DNS 網域命名空間。 Microsoft Entra 租用戶可以是安全性界限,也可以是 Microsoft Entra 物件 (例如使用者、群組與應用程式) 的容器。 單一 Microsoft Entra 租用戶可以支援多個 Azure 訂用帳戶。
Microsoft Entra 結構描述
Microsoft Entra 架構包含的物件類型比 AD DS 少。 最值得注意的是不包含電腦類別的定義,儘管其確實包含裝置類別。 將裝置加入 Microsoft Entra 的程序與將電腦加入 AD DS 的程序有很大的不同。 Microsoft Entra 結構描述也很容易擴充,且其延伸模組完全可還原。
缺乏傳統電腦網域成員資格的支援表示您無法使用 Microsoft Entra ID 來管理電腦或使用者設定,也就是使用傳統管理技術,例如群組原則物件 (GPO)。 相反地,Microsoft Entra ID 及其服務會定義新式管理概念。 Microsoft Entra ID 的主要優勢在於提供目錄服務;儲存和發佈使用者、裝置和應用程式資料;以及處理使用者、裝置和應用程式的驗證和授權。 這些功能的有效性和效率顯然基於 Microsoft 365 等雲端服務的現有部署,Microsoft 365 依賴 Microsoft Entra ID 作為其識別提供者,且支援數百萬個使用者。
Microsoft Entra ID 不包含組織單位 (OU) 類別,這表示您無法將其物件排列成自訂容器的階層,而自訂容器經常用於內部 AD DS 部署。 不過,這不是一個重大缺點,因為 AD DS 中的 OU 主要用於群組原則範圍設定和委派。 您可以根據物件的群組成員資格來組織物件,以完成對等的排列。
應用程式和 servicePrincipal 類別的物件代表 Microsoft Entra ID 中的應用程式。 應用程式類別中的物件包含應用程式定義,而 servicePrincipal 類別中的 物件會構成其在目前 Microsoft Entra 租用戶中的執行個體。 分隔這兩組特性可讓您在一個租用戶中定義應用程式,並在多個租用戶之間使用它,方法是在每個租用戶中建立此應用程式的服務主體物件。 當您在該 Microsoft Entra 租用戶中註冊對應的應用程式時,Microsoft Entra ID 會建立服務主體物件。