Co to jest katalog usługi Azure AD?
Zaktualizowano: 6 lipca 2015 r.
Dotyczy: Azure, Office 365, Windows Intune
Uwaga
Ten temat zawiera zawartość pomocy online dla usług w chmurze, takich jak Microsoft Intune i Office 365, które polegają na Microsoft Azure Active Directory dla usług tożsamości i katalogów.
W tym temacie opisano ważne pojęcia i zadania związane z zarządzaniem katalogami Azure AD i zawiera następujące sekcje:
Co to jest dzierżawa usługi Azure AD?
Jak uzyskać katalog Azure AD
Kojarzenie katalogu usługi Azure AD z nową subskrypcją platformy Azure
Tworzenie katalogu Azure AD przez zarejestrowanie się w usłudze jako organizacji
Zarządzanie domyślnym katalogiem aprowizowanym przez platformę Azure
Dodawanie wielu katalogów Azure AD i zarządzanie nimi
Usuwanie katalogu Azure AD
- Warunki, które muszą zostać spełnione, aby usunąć katalog usługi Azure AD
Co to jest dzierżawa usługi Azure AD?
W przypadku fizycznego miejsca pracy słowo „dzierżawa” może oznaczać budynek zajmowany przez grupę lub firmę. Na przykład organizacja może posiadać biuro w budynku. Ten budynek może znajdować się przy jednej ulicy razem z budynkami kilku innych organizacji. Twoja organizacja będzie wtedy dzierżawiła ten budynek. Budynek jest zasobem organizacji, zapewnia bezpieczeństwo i możliwość bezpiecznego prowadzenia działalności. Jest także oddzielony od budynków innych firm przy ulicy. To zapewnia, że Twoja organizacja i jej zasoby są izolowane od innych organizacji.
W przypadku miejsca pracy w chmurze dzierżawę można zdefiniować jako klienta lub organizację, do której należy określone wystąpienie danej usługi w chmurze. Na platformie obsługi tożsamości udostępnianej w ramach platformy Microsoft Azure dzierżawa to po prostu dedykowane wystąpienie usługi Azure Active Directory (Azure AD), które otrzymuje i posiada organizacja po utworzeniu konta w usłudze w chmurze firmy Microsoft, takiej jak Azure lub Office 365.
Każdy katalog usługi Azure AD jest odrębny i oddzielony od innych katalogów usługi Azure AD. Podobnie jak budynek biurowy, który jest zabezpieczonym zasobem przeznaczonym tylko dla Twojej organizacji, katalog Azure AD został zaprojektowany jako zabezpieczony zasób do użytku tylko Twojej organizacji. Architektura usługi Azure AD chroni dane klientów i informacje o tożsamości przez zmieszaniem. Oznacza to, że użytkownicy i administratorzy jednego katalogu usługi Azure AD nie mogą przypadkowo ani złośliwie uzyskać dostępu do danych w innym katalogu.
Jak uzyskać katalog Azure AD
Po zarejestrowaniu się w usłudze w chmurze firmy Microsoft otrzymasz katalog Azure AD. W razie potrzeby możesz utworzyć dodatkowe katalogi. Na przykład możesz zachować pierwszy katalog jako katalog produkcyjny i utworzyć kolejny na potrzeby testowania lub wdrażania przejściowego.
Uwaga
Po utworzeniu konta w ramach pierwszej usługi zalecamy użycie tego samego konta administratora skojarzonego z Twoją organizacją podczas rejestrowania się w innych usługach w chmurze firmy Microsoft. Aby uzyskać więcej informacji na temat identyfikatorów użytkowników, zobacz Co to jest mój identyfikator użytkownika i dlaczego go potrzebuję?.
Przy pierwszym zarejestrowaniu się w usłudze w chmurze firmy Microsoft, takiej jak Azure, Microsoft Office 365 lub Microsoft Intune, zostanie wyświetlony monit o podanie szczegółowych informacji o twojej organizacji i rejestracji nazwy domeny internetowej organizacji. Te informacje są następnie używane do utworzenia nowego wystąpienia katalogu usługi Azure AD dla Twojej organizacji. Ten sam katalog jest używany na potrzeby uwierzytelniania logowania przy subskrybowaniu wielu usług w chmurze firmy Microsoft.
Dodatkowe usługi w pełni korzystają z istniejących kont użytkowników, zasad, ustawień lub lokalnej integracji katalogów skonfigurowanych w celu poprawy wydajności między lokalną i Azure AD infrastruktury tożsamości organizacji.
Na przykład jeśli pierwotnie utworzono konto w usłudze Microsoft Intune i wykonano kroki niezbędne do dalszej integracji lokalnej usługi Active Directory z katalogiem usługi Azure AD przez wdrożenie synchronizacji katalogów i/lub serwerów logowania jednokrotnego, można zarejestrować się w innej usłudze w chmurze firmy Microsoft, takiej jak Office 365, która także ma dostęp do tych samych korzyści integracji katalogu co używane teraz przez usługę Microsoft Intune.
Aby uzyskać więcej informacji na temat integracji lokalnego katalogu z usługą Azure AD, zobacz Directory integration (Integracja katalogu).
Kojarzenie katalogu usługi Azure AD z nową subskrypcją platformy Azure
Możesz skojarzyć nową subskrypcję platformy Azure z tym samym katalogiem, który uwierzytelnia logowanie dla istniejącej subskrypcji usługi Office 365 lub Microsoft Intune. Zaloguj się do portalu zarządzania platformy Azure przy użyciu konta służbowego. Portal zarządzania Platformy Azure zwraca komunikat, że nie może odnaleźć żadnych subskrypcji dla tego konta. Wybierz pozycję Zarejestruj się na platformie Azure, a katalog będzie dostępny do administrowania w portalu zarządzania Platformy Azure. Aby uzyskać więcej informacji, zobacz Zarządzanie katalogiem dla subskrypcji usługi Office 365 na platformie Azure.
Aby zobaczyć wideo przedstawiające często zadawane pytania dotyczące użycia usługi Azure AD, zobacz Azure Active Directory - Common Sign-up, sign-in and usage questions (Usługa Azure Active Directory — często zadawane pytania dotyczące tworzenia konta, logowania i użycia).
Tworzenie katalogu Azure AD przez zarejestrowanie się w usłudze jako organizacji
Jeśli jeszcze nie masz subskrypcji usługi w chmurze firmy Microsoft, użyj linków poniżej, aby utworzyć konto. Utworzenie konta w ramach pierwszej usługi spowoduje automatyczne utworzenie katalogu usługi Azure AD.
Azure - Zarejestruj się teraz.
Office 365 — zarejestruj się teraz.
- Microsoft Intune Podpisuj teraz.
Zarządzanie domyślnym katalogiem aprowizowanym przez platformę Azure
Obecnie katalog jest tworzony automatycznie podczas tworzenia konta na platformie Azure. Twoja subskrypcja jest z nim kojarzona. Jednak jeśli konto na platformie Azure zostało utworzone przed październikiem 2013 r., katalog nie został automatycznie utworzony. W takim przypadku platforma Azure mogła „uzupełnić” Twoje konto, aprowizując dla niego domyślny katalog. Twoja subskrypcja została następnie skojarzona z domyślnym katalogiem.
Uzupełnianie katalogów zostało wykonane w październiku 2013 r. w ramach ogólnej poprawy modelu zabezpieczeń platformy Azure. Katalog udostępnia funkcje obsługi tożsamości w organizacji dla wszystkich klientów platformy Azure oraz zapewnia, że wszystkie zasoby platformy Azure są dostępne w kontekście użytkownika w katalogu. Nie można używać platformy Azure bez katalogu. Aby to osiągnąć, każdy użytkownik, który utworzył konto przed 7 lipca 2013 r., ale nie miał katalogu, musiał go utworzyć. Jeśli katalog został już utworzony, Twoja subskrypcja została z nim skojarzona.
Używanie usługi Azure AD nie wiąże się z żadnymi kosztami. Katalog jest bezpłatnym zasobem. Istnieje dodatkowa warstwa Azure Active Directory — wersja Premium, która jest licencjonowana oddzielnie i udostępnia dodatkowe funkcje, takie jak znakowanie firmy i samoobsługowe resetowanie haseł.
Aby zmienić nazwę wyświetlaną katalogu, kliknij katalog w portalu zarządzania i kliknij przycisk Konfiguruj. Jak wyjaśniono dalej w tym temacie, możesz dodać nowy katalog lub usunąć katalog, który nie jest już potrzebny. Aby skojarzyć subskrypcję z innym katalogiem, kliknij pozycję Ustawienia>Subskrypcje>Edytuj katalog. Możesz także utworzyć niestandardową domenę przy użyciu nazwy DNS, która została zarejestrowana, zamiast domyślnej domeny *.onmicrosoft.com, która może być preferowana w przypadku usług takich jak SharePoint Online.
Aby uzyskać więcej informacji na temat zarządzania katalogiem, administrowanie katalogiem Azure AD.
Dodawanie wielu katalogów Azure AD i zarządzanie nimi
Możesz dodać katalog usługi Azure AD w Portalu zarządzania Azure. Wybierz rozszerzenie Usługa Active Directory po lewej stronie i kliknij polecenie Dodaj.
Możesz zarządzać każdym katalogiem jako w pełni niezależnym zasobem: każdy katalog jest równorzędny, obsługuje wszystkie funkcje i jest logicznie niezależny od innych katalogów zarządzanych przez Ciebie. Między katalogami nie ma relacji nadrzędny-podrzędny. Ta niezależność między katalogami obejmuje niezależność zasobów, niezależność administracyjną i niezależność synchronizacji.
Niezależność zasobów. Jeśli utworzysz lub usuniesz zasób w jednym katalogu, nie ma to wpływu na żaden zasób w innym katalogu (z częściowym wyjątkiem dotyczącym zewnętrznych użytkowników opisanym poniżej). Jeśli używasz niestandardowej domeny „contoso.com” w jednym katalogu, nie można jej użyć w żadnym innym katalogu.
Niezależność administracyjna. Jeśli użytkownik nieadministracyjny katalogu „Contoso” utworzy katalog testowy „Test”, wtedy:
Domyślnie użytkownik tworzący katalog jest dodawany jako użytkownik zewnętrzny w tym nowym katalogu i ma przypisaną rolę administratora globalnego w tym katalogu.
Administratorzy katalogu „Contoso” nie mają bezpośrednich uprawnień administracyjnych do katalogu „Test”, chyba że administrator tego katalogu jawnie nada im odpowiednie uprawnienia. Administratorzy katalogu „Contoso” mogą kontrolować dostęp do katalogu „Test”, korzystając ze swoich możliwości kontrolowania konta użytkownika, za pomocą którego utworzono katalog „Test”.
W przypadku zmiany (dodania lub usunięcia) roli administracyjnej dla użytkownika w jednym katalogu, zmiana ta nie wpłynie na żadną rolę administracyjną, którą użytkownik może mieć w innym katalogu.
Niezależność synchronizacji. Każdą usługę Azure AD można skonfigurować niezależnie w celu synchronizowania danych z jednego wystąpienia:
Narzędzia do synchronizacji katalogów w celu zsynchronizowania danych z pojedynczym lasem usługi AD.
Łącznika usługi Azure Active Directory dla programu Forefront Identity Manager w celu zsynchronizowania danych z co najmniej jednego lokalnego lasu i/lub źródeł danych niezwiązanych z usługą AD.
Zwróć uwagę, że w przeciwieństwie do innych zasobów platformy Azure katalogi nie są zasobami podrzędnymi subskrypcji platformy Azure. Jeśli więc anulujesz subskrypcję platformy Azure lub zezwolisz na jej wygaśnięcie, nadal możesz uzyskać dostęp do danych katalogu przy użyciu Azure PowerShell, usługi Azure interfejs Graph API lub innych interfejsów, takich jak centrum Office 365 Admin. Możesz także skojarzyć inną subskrypcję z katalogiem.
Usuwanie katalogu Azure AD
Administrator globalny może usunąć katalog Azure AD z portalu zarządzania Azure. Po usunięciu katalogu zostaną także usunięte wszystkie zasoby zawarte w katalogu. Dlatego przed usunięciem katalogu należy upewnić się, że nie będzie on potrzebny.
Uwaga
Jeśli użytkownik jest zalogowany za pomocą konta służbowego, nie może próbować usunąć własnego katalogu macierzystego. Jeśli na przykład użytkownik jest zalogowany za pomocą konta joe@contoso.onmicrosoft.com, to nie może usunąć katalogu, którego domyślna domena to contoso.onmicrosoft.com.
Warunki, które muszą zostać spełnione, aby usunąć katalog usługi Azure AD
Usługa Azure AD wymaga spełnienia pewnych warunków przed usunięciem katalogu. Zmniejszają one ryzyko negatywnego wpływu, jaki usunięcie katalogu mogłoby mieć na użytkowników lub aplikacje, na przykład na możliwość zalogowania się do usługi Office 365 lub dostęp do zasobów platformy Azure. Na przykład jeśli katalog subskrypcji zostanie przypadkowo usunięty, użytkownicy nie będą mieli dostępu do zasobów platformy Azure dla tej subskrypcji.
Są sprawdzane następujące warunki:
Jedynym użytkownikiem w usuwanym katalogu jest administrator globalny. Wszyscy inni użytkownicy muszą zostać usunięci przed usunięciem katalogu. Jeśli użytkownicy są synchronizowani z lokalnego źródła, synchronizacja będzie musiała zostać wyłączona, a użytkownicy usunięci z katalogu w chmurze za pomocą Portalu zarządzania lub modułu platformy Azure dla programu Windows PowerShell. Nie jest wymagane usunięcie grup ani kontaktów, takich jak kontakty dodane za pomocą centrum administracyjnego usługi Office 365.
W katalogu nie może być aplikacji. Wszystkie aplikacje muszą zostać usunięte przed usunięciem katalogu.
Z katalogiem nie mogą być skojarzone żadne z usług Microsoft Online Services, takie jak platforma Microsoft Azure, usługa Office 365 lub usługa Azure AD w warstwie Premium. Na przykład jeśli domyślny katalog został utworzony na platformie Azure, nie możesz usunąć tego katalogu, jeśli subskrypcja platformy Azure wciąż korzysta z niego na potrzeby uwierzytelniania. Nie można także usunąć katalogu, jeśli inny użytkownik skojarzył z nim subskrypcję. Aby skojarzyć subskrypcję z innym katalogiem, zaloguj się do portalu zarządzania Azure i kliknij przycisk Ustawienia w lewym obszarze nawigacji. Następnie kliknij pozycję Subskrypcje i Edytuj katalog. Aby uzyskać więcej informacji na temat subskrypcji platformy Azure, zobacz Jak subskrypcje platformy Azure są kojarzone z usługą Azure AD.
Uwaga
Jeśli subskrypcja zostanie anulowana i chcesz usunąć katalog, zaloguj się przy użyciu innej subskrypcji i dodaj administratora globalnego katalogu jako współadministrator subskrypcji. Następnie wyloguj się i zaloguj się ponownie przy użyciu konta współadministratora subskrypcji. Następnie należy usunąć katalog, jeśli wszystkie inne warunki zostaną spełnione.
Żaden dostawca usługi Multi-Factor Authentication nie może być połączony z katalogiem.