Prozkoumání ID Microsoft Entra

  • 7 min

Studenti by měli být obeznámeni se službami Doména služby Active Directory Services (AD DS nebo tradičně označované jako "Active Directory"). SLUŽBA AD DS je adresářová služba, která poskytuje metody pro ukládání dat adresáře, jako jsou uživatelské účty a hesla, a tato data zpřístupňuje síťovým uživatelům, správcům a dalším zařízením a službám. Běží jako služba na Windows Serveru, která se označuje jako řadič domény.

Microsoft Entra ID je součástí nabídky PaaS (platforma jako služba) a funguje jako adresářová služba spravovaná Microsoftem v cloudu. Nejedná se o součást základní infrastruktury, kterou vlastní a spravuje zákazníci, ani se nejedná o infrastrukturu jako nabídku služeb. I když to znamená, že máte menší kontrolu nad jeho implementací, znamená to také, že nemusíte vyhradit prostředky na jeho nasazení nebo údržbu.

S ID Microsoft Entra máte také přístup k sadě funkcí, které nejsou nativně dostupné ve službě AD DS, jako je podpora vícefaktorového ověřování, ochrany identit a samoobslužného resetování hesla.

Microsoft Entra ID můžete použít k zajištění bezpečnějšího přístupu ke cloudovým prostředkům pro organizace a jednotlivce:

  • Konfigurace přístupu k aplikacím
  • Konfigurace jednotného přihlašování (SSO) ke cloudovým aplikacím SaaS
  • Správa uživatelů a skupin
  • Zřizování uživatelů
  • Povolení federace mezi organizacemi
  • Poskytování řešení pro správu identit
  • Identifikace nepravidelné přihlašovací aktivity
  • Konfigurace vícefaktorového ověřování
  • Rozšíření stávajících implementací místní Active Directory na Microsoft Entra ID
  • Konfigurace proxy aplikací pro cloudové a místní aplikace
  • Konfigurace podmíněného přístupu pro uživatele a zařízení

Diagram znázorňující zásobník Microsoft Entra Connect

Microsoft Entra představuje samostatnou službu Azure. Její nejzákladnější forma, kterou jakékoli nové předplatné Azure zahrnuje automaticky, neúčtují žádné další náklady a označují se jako úroveň Free. Pokud se přihlásíte k odběru všech podnikových služeb Microsoft Online (například Microsoft 365 nebo Microsoft Intune), automaticky získáte ID Microsoft Entra s přístupem ke všem funkcím Free.

Poznámka:

Když ve výchozím nastavení vytvoříte nové předplatné Azure pomocí účtu Microsoft, předplatné automaticky zahrne nového tenanta Microsoft Entra s názvem Výchozí adresář.

Některé pokročilejší funkce správy identit vyžadují placené verze Microsoft Entra ID, které jsou nabízeny ve formě úrovní Basic a Premium. Některé z těchto funkcí se také automaticky zahrnou do instancí Microsoft Entra generovaných jako součást předplatných Microsoftu 365. Rozdíly mezi verzemi Microsoft Entra jsou popsány dále v tomto modulu.

Implementace Microsoft Entra ID není stejná jako nasazení virtuálních počítačů v Azure, přidání služby AD DS a následné nasazení některých řadičů domény pro novou doménovou strukturu a doménu. Microsoft Entra ID je jiná služba, mnohem více zaměřená na poskytování služeb správy identit webovým aplikacím, na rozdíl od SLUŽBY AD DS, která se zaměřuje spíše na místní aplikace.

Tenanti Microsoft Entra

Na rozdíl od služby AD DS je Microsoft Entra ID více tenantů návrhem a implementuje se speciálně pro zajištění izolace mezi instancemi jednotlivých adresářů. Jedná se o největší adresář s více tenanty na světě, který hostuje více než milion instancí adresářových služeb s miliardami žádostí o ověření za týden. Termín tenant v tomto kontextu obvykle představuje společnost nebo organizaci, která si zaregistrovala předplatné cloudové služby Microsoftu, jako je Microsoft 365, Intune nebo Azure. Každá z nich používá ID Microsoft Entra. Z technického hlediska však tenant termínu představuje jednotlivou instanci Microsoft Entra. V rámci předplatného Azure můžete vytvořit více tenantů Microsoft Entra. Pokud chcete otestovat funkce Microsoft Entra v jednom tenantovi, aniž by to mělo vliv na ostatní, může být vhodné mít více tenantů Microsoft Entra.

V každém okamžiku musí být předplatné Azure přidružené k jednomu a pouze jednomu tenantovi Microsoft Entra. Toto přidružení umožňuje udělit oprávnění k prostředkům v předplatném Azure (prostřednictvím RBAC) uživatelům, skupinám a aplikacím, které existují v konkrétním tenantovi Microsoft Entra.

Poznámka:

Stejného tenanta Microsoft Entra můžete přidružit k několika předplatným Azure. Díky tomu můžete ke správě prostředků napříč několika předplatnými Azure používat stejné uživatele, skupiny a aplikace.

Každému tenantovi Microsoft Entra je přiřazen výchozí název domény DNS (Domain Name System), který se skládá z jedinečné předpony. Za předponou odvozenou z názvu účtu Microsoft, který používáte k vytvoření předplatného Azure nebo explicitně při vytváření tenanta Microsoft Entra, následuje přípona onmicrosoft.com . Přidání aspoň jednoho vlastního názvu domény do stejného tenanta Microsoft Entra je možné a běžné. Tento název využívá obor názvů domény DNS, který vlastní odpovídající společnost nebo organizace. Tenant Microsoft Entra slouží jako hranice zabezpečení a kontejner pro objekty Microsoft Entra, jako jsou uživatelé, skupiny a aplikace. Jeden tenant Microsoft Entra může podporovat více předplatných Azure.

Schéma Microsoft Entra

Schéma Microsoft Entra obsahuje méně typů objektů než služba AD DS. Nejvýrazněji nezahrnuje definici třídy počítače, i když zahrnuje třídu zařízení. Proces připojování zařízení k Microsoft Entra se výrazně liší od procesu připojování počítačů ke službě AD DS. Schéma Microsoft Entra je také snadno rozšiřitelné a jeho rozšíření jsou plně reverzibilní.

Nedostatek podpory pro tradiční členství v doméně počítače znamená, že nemůžete použít Microsoft Entra ID ke správě počítačů nebo uživatelských nastavení pomocí tradičních technik správy, jako jsou objekty zásad skupiny (GPO). Místo toho Microsoft Entra ID a jeho služby definují koncept moderní správy. Primární síla Microsoft Entra ID spočívá v poskytování adresářových služeb; ukládání a publikování dat uživatelů, zařízení a aplikací; a zpracovává ověřování a autorizaci uživatelů, zařízení a aplikací. Efektivita a efektivita těchto funkcí je zjevná na základě stávajících nasazení cloudových služeb, jako je Microsoft 365, které jako svého zprostředkovatele identity spoléhají na Microsoft Entra ID a podporují miliony uživatelů.

Microsoft Entra ID nezahrnuje třídu organizační jednotky (OU), což znamená, že jeho objekty nemůžete uspořádat do hierarchie vlastních kontejnerů, která se často používá v místních nasazeních služby AD DS. Nejedná se ale o významné zkrácení, protože organizační jednotky ve službě AD DS se používají hlavně pro určení rozsahu a delegování zásad skupiny. Ekvivalentní uspořádání můžete provést uspořádáním objektů na základě jejich členství ve skupině.

Objekty třídy Application a servicePrincipal představují aplikace v Microsoft Entra ID. Objekt ve třídě Application obsahuje definici aplikace a objekt ve třídě servicePrincipal představuje jeho instanci v aktuálním tenantovi Microsoft Entra. Oddělení těchto dvou sad charakteristik umožňuje definovat aplikaci v jednom tenantovi a používat ji v několika tenantech vytvořením instančního objektu pro tuto aplikaci v každém tenantovi. Microsoft Entra ID vytvoří instanční objekt při registraci odpovídající aplikace v daném tenantovi Microsoft Entra.