Czym jest usługa Microsoft Entra ID?
Mimo że po udostępnieniu podobnej nazwy identyfikator Entra firmy Microsoft nie jest wersją w chmurze usługi Active Directory systemu Windows Server. Nie umożliwia ona również pełnego zastąpienia lokalnej usługi Active Directory. Zamiast tego, jeśli używasz już serwera usługi AD z systemem Windows, możesz połączyć go z identyfikatorem Entra firmy Microsoft, aby rozszerzyć katalog na platformę Azure. Dzięki temu za pomocą tych samych poświadczeń użytkownicy mogą uzyskiwać dostęp do zasobów lokalnych i opartych na chmurze.
Użytkownik może również używać identyfikatora Microsoft Entra niezależnie od usługi Windows AD. Mniejsze firmy mogą używać identyfikatora Entra firmy Microsoft jako jedynej usługi katalogowej do kontrolowania dostępu do aplikacji i produktów SaaS, takich jak Microsoft 365, Salesforce i Dropbox.
Uwaga
Należy pamiętać, że takie podejście nie zapewnia całkowicie scentralizowanego modelu administracyjnego; Na przykład lokalne maszyny z systemem Windows uwierzytelniają się przy użyciu poświadczeń lokalnych. Użytkownicy mogą pisać aplikacje, aby używać identyfikatora Entra firmy Microsoft i zapewniać uwierzytelnianie i autoryzację, które mają być administrowane przez użytkownika w jednym miejscu.
Katalogi, subskrypcje i użytkownicy
Firma Microsoft oferuje obecnie kilka ofert opartych na chmurze, z których wszystkie mogą używać identyfikatora Entra firmy Microsoft do identyfikowania użytkowników i kontrolowania dostępu:
- Microsoft Azure
- Microsoft 365
- Microsoft Intune
- Microsoft Dynamics 365
Gdy firma lub organizacja zarejestruje się w celu korzystania z jednej z tych ofert, jest przypisany katalog domyślny, wystąpienie identyfikatora Entra firmy Microsoft. Katalog ten zawiera użytkowników i grupy z dostępem do każdej z usług zakupionych przez tę firmę. Ten katalog domyślny można odwoływać jako dzierżawę. Dzierżawa reprezentuje organizację i przypisany do niej domyślny katalog.
Subskrypcja na platformie Azure to zarówno jednostka rozliczeń, jak i granica zabezpieczeń. Zasoby, takie jak maszyny wirtualne, witryny internetowe i bazy danych, są skojarzone z pojedynczą subskrypcją. W każdej subskrypcji występuje jeden właściciel konta odpowiedzialny za opłaty naliczane za używanie zasobów w tej subskrypcji. Jeśli Twoja organizacja chce, aby subskrypcja była rozliczana na innym koncie, możesz przenieść subskrypcję. Subskrypcja jest skojarzona z jednym katalogiem Microsoft Entra. Ten sam katalog może być uznany za zaufany przez wiele subskrypcji, ale dana subskrypcja uznaje za zaufany tylko jeden katalog.
Możesz dodawać użytkowników i grupy do wielu subskrypcji. Dzięki temu użytkownik może tworzyć, kontrolować i uzyskiwać dostęp do zasobów w ramach subskrypcji. Po dodaniu użytkownika do subskrypcji użytkownik musi być znany skojarzonemu katalogowi, jak pokazano na poniższej ilustracji:
Jeśli należysz do wielu katalogów, możesz przełączyć bieżący katalog, w którym pracujesz za pomocą przycisku Katalog i subskrypcja w nagłówku witryny Azure Portal.
Możesz również określić sposób wyboru katalogu domyślnego — może to być katalog wskazany przez użytkownika lub ostatnio używany katalog. Możesz również ustawić domyślny filtr dla wyświetlanych subskrypcji. Domyślne filtry są przydatne, jeśli masz dostęp do kilku subskrypcji, ale zazwyczaj działają tylko w kilku z nich.
Tworzenie nowego katalogu
Uwaga
Wiele z tych zadań można wykonać w witrynie Azure Portal lub w centrum administracyjnym firmy Microsoft Entra. Na potrzeby tego samouczka użyjemy centrum administracyjnego firmy Microsoft Entra dla większości zadań, z wyjątkiem przypadków, w których jest to zaznaczone.
Organizacja (dzierżawa) ma jeden skojarzony domyślny katalog Microsoft Entra. Jednak właściciele mogą tworzyć dodatkowe katalogi do obsługi celów programistycznych lub testowych lub dlatego, że chcą mieć oddzielne katalogi do synchronizacji z lokalnymi lasami usługi AD systemu Windows Server.
Ważne
Kroki tworzenia nowego katalogu są wykonywane; Jednak jeśli nie jesteś właścicielem konta platformy Azure, ta opcja nie jest dla Ciebie dostępna. Piaskownica platformy Azure nie umożliwia tworzenia nowych katalogów firmy Microsoft Entra.
Zaloguj się w witrynie Azure Portal.
Na stronie głównej platformy Azure w obszarze Usługi platformy Azure wybierz pozycję Utwórz zasób.
W okienku menu po lewej stronie wybierz pozycję Tożsamość, a następnie wyszukaj i wybierz pozycję Microsoft Entra ID.
Wybierz pozycję Utwórz.
Wybierz pozycję Microsoft Entra ID dla typu dzierżawy, a następnie wybierz pozycję Dalej: Konfiguracja.
Wprowadź następujące wartości dla każdego ustawienia.
Nazwa organizacji: wprowadź nazwę katalogu, aby ułatwić odróżnienie go od innych katalogów. Katalog do utworzenia zostanie użyty w środowisku produkcyjnym; podaj nazwę, którą użytkownicy będą rozpoznawać jako nazwę organizacji. Później możesz zmienić tę nazwę.
Początkowa nazwa domeny: wprowadź nazwę domeny skojarzona z twoją organizacją. Nieznana lub brakująca domena powoduje błąd weryfikacji. Domyślna nazwa domeny zawsze ma sufiks
.onmicrosoft.com. Nie można zmienić domeny domyślnej. Jeśli wybierzesz opcję, możesz dodać domenę niestandardową należącą do organizacji, aby zdefiniowani użytkownicy mogli używać tradycyjnej firmowej poczty e-mail, takiej jakjohn@contoso.com.Kraj lub region: wybierz kraj/region, w którym powinien znajdować się katalog. Kraj/region identyfikuje region i centrum danych, w którym znajduje się wystąpienie firmy Microsoft Entra; nie można go zmienić później.
Wybierz pozycję Utwórz, aby utworzyć nowy katalog. Tworzony jest katalog w warstwie Bezpłatna, w którym można dodawać użytkowników, tworzyć role, rejestrować aplikacje i urządzenia oraz kontrolować licencje.
Po utworzeniu katalogu wybierz pozycję Kliknij tutaj, aby zarządzać nową dzierżawą , aby przejść do pulpitu nawigacyjnego Przegląd, który umożliwia kontrolowanie wszystkich aspektów katalogu.
Przyjrzyjmy się jednemu z podstawowych elementów, z których będziesz pracować w usłudze Microsoft Entra ID: użytkownicy.