Обзор Microsoft Entra ID

Завершено

Идентификатор Microsoft Entra — это управляемое корпорацией Майкрософт облачное решение для управления удостоверениями и доступом. Обеспечивает безопасный доступ для организаций и отдельных пользователей к разным облачным службам, включая Azure, Office 365, Microsoft Dynamics CRM Online и Microsoft Intune. Его также можно использовать для упрощения проверки подлинности в локальных приложениях.

Идентификатор Microsoft Entra предлагает мультитенантность и масштабируемость:

• Мультитенантная архитектура. Идентификатор Microsoft Entra является мультитенантным по проектированию, обеспечивая изоляцию между отдельными экземплярами каталога. Клиент термина в этом контексте обычно представляет отдельную, компанию или организацию, которая зарегистрировалась для подписки на облачную службу Майкрософт, например Office 365, Windows Intune или Microsoft Azure, каждая из которых использует идентификатор Microsoft Entra. Однако с технической точки зрения клиент термина представляет отдельный экземпляр Microsoft Entra. В качестве клиента Azure можно создать несколько клиентов Microsoft Entra. Это полезно, если вы хотите протестировать функциональные возможности Microsoft Entra в одном, не влияя на другие. Каждый клиент Microsoft Entra служит границей безопасности и контейнером для объектов Microsoft Entra, таких как пользователи, группы и приложения.
• Масштабируемость. Идентификатор Microsoft Entra — это крупнейший в мире мультитенантный каталог, на котором размещено более миллиона экземпляров служб каталогов, с миллиардами запросов проверки подлинности в неделю.

Бизнес-службам Microsoft Online, таким как Office 365 или Microsoft Azure, требуется идентификатор Microsoft Entra для входа и справки по защите идентификации. Если вы подписаны на любую службу Microsoft Online для бизнеса, вы автоматически получите идентификатор Microsoft Entra с доступом ко всем бесплатным функциям.

Чтобы улучшить реализацию Microsoft Entra, вы также можете добавить платные возможности, обновив лицензии Microsoft Entra Basic, Premium P1 или Premium P2. Платные лицензии Microsoft Entra основаны на существующем бесплатном каталоге, обеспечивая самообслуживание, расширенный мониторинг, отчеты о безопасности и безопасный доступ для мобильных пользователей.

• Бесплатный идентификатор Microsoft Entra. Предоставляет управление пользователями и группами, синхронизацию локальной службы каталогов, базовые отчеты и единый вход в Azure, Office 365 и многих популярных приложениях SaaS.
• Microsoft Entra Basic. Помимо бесплатных функций, Basic также предоставляет доступ к облачным приложениям, управление доступом на основе групп, самостоятельный сброс пароля для облачных приложений и прокси приложения Microsoft Entra, который позволяет публиковать локальные веб-приложения с помощью идентификатора Microsoft Entra.
• Идентификатор Microsoft Entra P1. В дополнение к функциям предложений Free и Basic, P1 предоставляет пользователям гибридный доступ к локальным и облачным ресурсам. Также поддерживается расширенное администрирование, например динамические группы, самостоятельное управление группами, Microsoft Identity Manager (локальный пакет для управления удостоверениями и доступом), а также возможность обратной записи в облако, которая позволяет локальным пользователям самостоятельно сбрасывать пароль.
• Идентификатор Microsoft Entra P2. Помимо функций "Бесплатный", "Базовый" и "P1", P2 также предлагает Защита идентификации Microsoft Entra для обеспечения условного доступа на основе рисков для приложений и критически важных корпоративных данных; и управление привилегированными пользователями (PIM) помогает обнаруживать, ограничивать и отслеживать администраторов и их доступ к ресурсам и предоставлять jit-доступ при необходимости.

Каждая подписка Azure связана только с одним клиентом Microsoft Entra. Помимо проверки подлинности, эта связь также упрощает авторизацию, позволяя предоставлять разрешения ресурсам в подписке Azure (с помощью ролей контроль доступа) пользователям, группам и субъектам-службам, существующим в этом конкретном клиенте Microsoft Entra. Обратите внимание, что отдельный клиент Microsoft Entra может быть связан с несколькими подписками Azure. Это позволит вам использовать одних и тех же пользователей, группы и субъекты-службы для доступа к ресурсам в нескольких подписках Azure и управления ими.

Многие приложения, созданные на различных платформах, таких как .NET, Java, Node.js и PHP, могут использовать стандартные отраслевые протоколы, такие как язык разметки утверждений безопасности (SAML) 2.0, федерация веб-служб (WS-Federation) и OpenID Connect для интеграции с управлением удостоверениями, предоставляемыми идентификатором Microsoft Entra ID. С поддержкой Open Authorization (OAuth 2.0) разработчики могут разрабатывать мобильные и веб-службы приложения, использующие идентификатор Microsoft Entra для облачной проверки подлинности и управления доступом. Они также могут воспользоваться поддержкой идентификатора Microsoft Entra в нескольких службах PaaS, таких как Azure веб-приложения или База данных SQL Azure.

Организации, использующие AD DS, могут синхронизировать пользователей и группы из доменов Active Directory с идентификатором Microsoft Entra, чтобы обеспечить единый вход для пользователей, обращаюющихся как к локальным, так и облачным приложениям.

Примечание.

Дополнительные сведения о функциональных возможностях, реализующих проверку подлинности Microsoft Entra для виртуальных машин Linux, см. в статье "Вход в виртуальную машину Linux в Azure" с помощью идентификатора Microsoft Entra и OpenSSH.