Что такое Microsoft Entra ID?
Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом, которую сотрудники могут использовать для доступа к внешним ресурсам. Примерами ресурсов являются Microsoft 365, портал Azure и тысячи других приложений SaaS.
Идентификатор Microsoft Entra также помогает им получать доступ к внутренним ресурсам, таким как приложения в корпоративной интрасети, и любым облачным приложениям, разработанным для вашей организации. Сведения о создании клиента см. в кратком руководстве по созданию нового клиента в идентификаторе Microsoft Entra.
Сведения о различиях между Идентификатором Active Directory и Microsoft Entra см. в статье "Сравнение Active Directory с идентификатором Microsoft Entra". Вы также можете обратиться к плакатам Microsoft Cloud для корпоративных архитекторов , чтобы лучше понять основные службы удостоверений в Azure, такие как идентификатор Microsoft Entra и Microsoft-365.
Кто использует идентификатор Microsoft Entra?
Идентификатор Microsoft Entra предоставляет различные преимущества для членов вашей организации на основе их роли:
ИТ-администраторы используют идентификатор Microsoft Entra для управления доступом к приложениям и ресурсам приложений на основе бизнес-требований. Например, в качестве ИТ-администратора можно использовать идентификатор Microsoft Entra, чтобы требовать многофакторную проверку подлинности при доступе к важным ресурсам организации. Вы также можете использовать идентификатор Microsoft Entra для автоматизации подготовки пользователей между существующими приложениями Windows Server AD и облачными приложениями, включая Microsoft 365. Наконец, идентификатор Microsoft Entra предоставляет мощные средства для автоматической защиты удостоверений пользователей и учетных данных и соответствия требованиям к управлению доступом. Чтобы приступить к работе, зарегистрируйте бесплатную 30-дневную пробную версию Microsoft Entra ID P1 или P2.
Разработчики приложений могут использовать идентификатор Microsoft Entra в качестве поставщика проверки подлинности на основе стандартов, который помогает им добавлять единый вход в приложения, которые работают с существующими учетными данными пользователя. Разработчики также могут использовать API Microsoft Entra для создания персонализированных интерфейсов с помощью данных организации. Чтобы приступить к работе, зарегистрируйте бесплатную 30-дневную пробную версию Microsoft Entra ID P1 или P2. Дополнительные сведения см. также в идентификаторе Microsoft Entra для разработчиков.
Подписчики Microsoft 365, Office 365, Azure или Dynamics CRM Online уже используют идентификатор Microsoft Entra, так как каждый клиент Microsoft 365, Office 365, Azure и Dynamics CRM Online автоматически является клиентом Microsoft Entra. Вы можете немедленно начать управление доступом к интегрированным облачным приложениям.
Что такое лицензии на идентификатор Microsoft Entra ID?
Бизнес-службы Microsoft Online, такие как Microsoft 365 или Microsoft Azure, используют идентификатор Microsoft Entra для действий входа и для защиты удостоверений. Если вы подписаны на любую службу Microsoft Online для бизнеса, вы автоматически получите доступ к идентификатору Microsoft Entra ID Free.
Чтобы улучшить реализацию Microsoft Entra, вы также можете добавить платные функции, обновив лицензии Microsoft Entra ID P1 или P2, или добавив лицензии для таких продуктов, как Управление идентификацией Microsoft Entra. Вы также можете лицензировать платные лицензии Microsoft Entra на основе существующего бесплатного каталога. Лицензии предоставляют самообслуживание, улучшенный мониторинг, отчеты о безопасности и безопасный доступ для мобильных пользователей.
Примечание.
Сведения о ценах этих лицензий см. в разделе о ценах Microsoft Entra.
Дополнительные сведения о ценах на Microsoft Entra см. на форуме Microsoft Entra.
Бесплатный идентификатор Microsoft Entra. Предоставляет управление пользователями и группами, синхронизацию локальной службы каталогов, базовые отчеты, возможность самостоятельного изменения паролей для пользователей облака, единый вход в Azure, Microsoft 365 и многие другие популярные приложения SaaS.
Идентификатор Microsoft Entra P1. В дополнение к возможностям в рамках предложения уровня "Бесплатный", P1 обеспечивает пользователям гибридный доступ к локальным и облачным ресурсам. Она также поддерживает расширенные возможности администрирования, такие как динамические группы членства, самостоятельное управление группами, Microsoft Identity Manager и возможности обратной записи в облаке, которые позволяют самостоятельно сбросить пароль для локальных пользователей.
Идентификатор Microsoft Entra P2. Помимо функций Бесплатной и P1, P2 также предлагает Защита идентификации Microsoft Entra для предоставления условного доступа на основе рисков для приложений и критически важных корпоративных данных и управление привилегированными пользователями чтобы помочь обнаруживать, ограничивать и отслеживать администраторов и их доступ к ресурсам и предоставлять jit-доступ по мере необходимости.
Помимо лицензий На идентификатор Microsoft Entra, вы можете включить дополнительные возможности управления удостоверениями с лицензиями для других продуктов Microsoft Entra, в том числе:
Управление идентификацией Microsoft Entra. Управление идентификацией Microsoft Entra — это расширенный набор возможностей управления удостоверениями для клиентов Microsoft Entra ID P1 и P2.
Управление разрешениями Microsoft Entra. Управление разрешениями Microsoft Entra — это решение для управления правами облачной инфраструктуры (CIEM), которое обеспечивает исчерпывающую видимость разрешений, назначенных всем удостоверениям (пользователям и рабочим нагрузкам), действиям и ресурсам в облачных инфраструктурах Microsoft Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP).
Лицензии на использование функций с оплатой по мере использования. Вы также можете получить лицензии на такие функции, как доменные службы Microsoft Entra и Microsoft Entra Business-to-Customer (B2C). B2C помогает предоставлять решения для управления идентификацией и доступом для клиентских приложений. Дополнительные сведения см. в статье об Azure Active Directory B2C.
Дополнительные сведения о семействе продуктов Microsoft Entra см. в разделе Microsoft Entra.
Дополнительные сведения о связывании подписки Azure с идентификатором Microsoft Entra см. в статье "Связывание или добавление подписки Azure" в идентификатор Microsoft Entra. Дополнительные сведения о назначении лицензий пользователям см. в статье "Практическое руководство. Назначение или удаление лицензий идентификатора Microsoft Entra ID".
Какие функции работают в идентификаторе Microsoft Entra?
Выбрав лицензию на идентификатор Microsoft Entra, вы получите доступ к некоторым или всем следующим функциям:
Категория | Description |
---|---|
Управление приложениями | Управление облачными и локальными приложениями с помощью Application Proxy, единого входа, портала "Мои приложения" и приложений модели "программное обеспечение как услуга" (SaaS). Дополнительные сведения см. в статье об обеспечении безопасного удаленного доступа к локальным приложениям и документации по управлению приложениями. |
Проверка подлинности | Управление самостоятельным сбросом пароля Microsoft Entra, многофакторной проверкой подлинности, настраиваемым списком запрещенных паролей и смарт-блокировкой. Дополнительные сведения см . в документации по проверке подлинности Microsoft Entra. |
Идентификатор Microsoft Entra для разработчиков | Создание приложений, которые разрешают вход со всеми удостоверениями Майкрософт, получение маркеров для вызова Microsoft Graph, других API Майкрософт или настраиваемых API. Дополнительные сведения см. в разделе платформа удостоверений Майкрософт (Идентификатор Microsoft Entra для разработчиков). |
Категория "бизнес — бизнес" (B2B) | Управление гостевыми пользователями и внешними партнерами и сохранение контроля над корпоративными данными. Дополнительные сведения см . в документации по Microsoft Entra B2B. |
Категория "бизнес — потребитель" (B2C) | Настройка и контроль регистрации и входа пользователей, а также управление их профилями, когда они используют ваши приложения. Дополнительные сведения см. в статье об Azure Active Directory B2C. |
Условный доступ | Управление доступом к облачным приложениям. Дополнительные сведения см . в документации по условному доступу Microsoft Entra. |
Управление устройствами | Управление тем, как облачные и локальные устройства получают доступ к корпоративным данным. Дополнительные сведения см. в документации по Microsoft Entra Управление устройствами. |
Доменные службы | Присоединение виртуальных машин Azure к домену без использования контроллеров домена. Дополнительные сведения см . в документации по доменным службам Microsoft Entra. |
Корпоративные пользователи | Управление назначениями лицензий, доступ к приложениям и настройка делегатов с использованием групп и ролей администратора. Дополнительные сведения см . в документации по управлению пользователями Microsoft Entra. |
Интеграция локальных каталогов с Azure Active Directory | Используйте Microsoft Entra Connect and Connect Health для предоставления единого удостоверения пользователя для проверки подлинности и авторизации для всех ресурсов независимо от расположения (облака или локальной среды). Дополнительные сведения см. в статье Документация по гибридной идентификации. |
Система управления удостоверениями | Идентификатор Microsoft Entra ID P2 включает основные возможности для управления привилегированными удостоверениями (PIM), проверки доступа и управление правами. Управление идентификацией Microsoft Entra клиенты могут управлять удостоверениями организации и доступом с помощью комплексных сотрудников, деловых партнеров, поставщиков, служб и элементов управления приложениями. Дополнительные сведения см. в Управление идентификацией Microsoft Entra документации и компонентах по лицензиям. |
Защита идентификации Microsoft Entra | Определение потенциальных уязвимостей, влияющих на удостоверения организации, настройка политик для ответа на подозрительную активность и выполнение соответствующих действий для ее устранения. Дополнительные сведения см. в Защита идентификации Microsoft Entra. |
Управляемые удостоверения для ресурсов Azure | Предоставьте службы Azure автоматически управляемым удостоверением в идентификаторе Microsoft Entra, который может пройти проверку подлинности любой поддерживаемой службой проверки подлинности Microsoft Entra, включая Key Vault. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure. |
Управление привилегированными пользователями (PIM) | Управление, контроль и мониторинг доступа в организации. Эта функция включает доступ к ресурсам в идентификаторе Microsoft Entra и Azure, а также других веб-службах Майкрософт, таких как Microsoft 365 или Intune. Дополнительные сведения см. в управление привилегированными пользователями Microsoft Entra. |
Мониторинг и работоспособность | Получение ценных сведений о безопасности и особенностях использования ресурсов в вашей среде. Дополнительные сведения см. в разделе мониторинга и работоспособности Microsoft Entra. |
Удостоверения рабочей нагрузки | Предоставьте удостоверение рабочей нагрузке программного обеспечения (например, приложению, службе, скрипту или контейнеру) для проверки подлинности и доступа к другим службам и ресурсам. Дополнительные сведения см. в разделах часто задаваемых вопросов о удостоверениях рабочей нагрузки. |
Терминология
Чтобы лучше понять идентификатор Microsoft Entra и ее документацию, рекомендуется ознакомиться со следующими условиями.
Термин или понятие | Description |
---|---|
Идентификация | То, что может пройти аутентификацию. Удостоверение может указывать пользователя, имеющего имя и пароль. К удостоверениям также относятся приложения или другие серверы, для которых может потребоваться проверка подлинности с помощью секретных ключей или сертификатов. |
Учетная запись | Удостоверение, с которым связаны данные. У вас не может быть учетной записи без удостоверения. |
Учетная запись Microsoft Entra | Удостоверение, созданное с помощью идентификатора Microsoft Entra или другой облачной службы Майкрософт, например Microsoft 365. Идентификаторы хранятся в Microsoft Entra ID и доступны для подписки на облачные службы вашей организации. Эту учетную запись также иногда называют Рабочей или Учебной. |
Администратор учетной записи | Это классическая роль администратора подписки, по сути, является владельцем выставления счетов подписки. Эта роль позволяет управлять всеми подписками в учетной записи. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки. |
Администратор служб | Классическая роль администратора подписки позволяет управлять всеми ресурсами Azure, а также доступом к ним. Эта роль имеет эквивалентные права доступа для пользователя, которому назначена роль владельца в области действия подписки. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки. |
Ответственный | Эта роль позволяет управлять всеми ресурсами Azure, а также доступом к ним. Эта роль создана на основе новой системы авторизации под названием "управление доступом на основе ролей Azure" (Azure RBAC), которая обеспечивает точное управление доступом к ресурсам Azure. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки. |
Глобальный администратор Microsoft Entra | Эта роль администратора автоматически назначается тому, кто создал клиент Microsoft Entra. У вас может быть несколько учетных записей с этой ролью, но любой пользователь с не менее привилегированным администратором ролей может назначать роли администратора пользователям. Дополнительные сведения о различных ролях администратора см. в разделе "Разрешения роли администратора" в идентификаторе Microsoft Entra. |
Подписка Azure. | Используется для платы за облачные службы Azure. У вас может быть множество подписок, связанных с кредитной картой. |
Клиент | Выделенный и доверенный экземпляр идентификатора Microsoft Entra. Клиент создается автоматически при оформлении организацией подписки на облачные службы Майкрософт. К таким подпискам относятся Microsoft Azure, Microsoft Intune или Microsoft 365. Этот клиент представляет отдельную организацию и предназначен для управления сотрудниками, бизнес-приложениями и другими внутренними ресурсами. По этой причине он считается конфигурацией клиента рабочей силы. В отличие от этого, вы можете создать клиент во внешней конфигурации, которая используется в решениях управления удостоверениями клиентов и доступом (CIAM) для приложений, стоящих перед потребителем (дополнительные сведения о Внешняя идентификация Microsoft Entra). |
Однотенантное приложение | Клиенты Azure, которые получают доступ к другим службам в выделенной среде, считаются однотенантными. |
Мультитенантные | Клиенты Azure, которые обращаются к другим службам в общей среде в нескольких организациях, считаются мультитенантными. |
Каталог Microsoft Entra | Каждый клиент Azure имеет выделенный и доверенный каталог Microsoft Entra. Каталог Microsoft Entra включает пользователей, групп и приложений клиента и используется для выполнения функций управления удостоверениями и доступом для ресурсов клиента. |
Личный домен | Каждый новый каталог Microsoft Entra поставляется с начальным доменным именем, например domainname.onmicrosoft.com . Кроме этого имени, можно также добавить доменные имена организации. Доменные имена организации включают в себя имена, которые вы используете для ведения бизнеса, а пользователи — для доступа к ресурсам вашей организации. Добавив имена личных доменов, вы сможете создать привычные для пользователей имена, например alain@contoso.com. |
Учетная запись Майкрософт (она же MSA) | Личные учетные записи, которые предоставляют доступ к ориентированным на потребителя продуктам и облачным службам Майкрософт. К этим продуктам и службам относятся Outlook, OneDrive, Xbox LIVE или Microsoft 365. Ваша учетная запись Microsoft создается и хранится в системе учетных записей пользователей Microsoft, которая управляется Microsoft. |