Что такое Microsoft Entra ID?
Хотя они когда-то поделились аналогичным именем, идентификатор Microsoft Entra не является облачной версией Windows Server Active Directory. Эта служба не предназначена для полной замены локального Active Directory. Вместо этого, если вы уже используете сервер Windows AD, его можно подключить к идентификатору Microsoft Entra, чтобы расширить каталог в Azure. Такой подход позволяет пользователям использовать одни и те же учетные данные для доступа к локальным и облачным ресурсам.
Пользователь также может использовать идентификатор Microsoft Entra независимо от Windows AD. Небольшие компании могут использовать идентификатор Microsoft Entra в качестве единственной службы каталогов для управления доступом к приложениям и продуктам SaaS, таким как Microsoft 365, Salesforce и Dropbox.
Примечание.
Помните, что этот подход не обеспечивает полностью централизованную административную модель; Например, локальные компьютеры Windows будут проходить проверку подлинности с помощью локальных учетных данных. Пользователи могут создавать приложения для использования идентификатора Microsoft Entra и предоставлять проверку подлинности и авторизацию для администрирования пользователем в одном месте.
Каталоги, подписки и пользователи
Корпорация Майкрософт предлагает несколько облачных предложений, все из которых могут использовать идентификатор Microsoft Entra для идентификации пользователей и управления доступом:
- Microsoft Azure
- Microsoft 365
- Microsoft Intune
- Microsoft Dynamics 365
Когда компания или организация регистрируется для использования одного из этих предложений, они назначаются каталогом по умолчанию, экземпляром идентификатора Microsoft Entra. В этом каталоге содержатся пользователи и группы, которые будут иметь доступ к каждой из служб, приобретенных компанией. Этот каталог по умолчанию можно ссылаться на клиент. Клиент представляет организацию и назначенный ему каталог по умолчанию.
Подписка в Azure — это как сущность выставления счетов, так и граница безопасности. Такие ресурсы, как виртуальные машины, веб-сайты и базы данных, связаны с одной подпиской. У каждой подписки также один владелец учетной записи, отвечающий за любые расходы на ресурсы в этой подписке. Если вашей организации требуется выставлять счета за эту подписку в другой учетной записи, можно передать подписку. Подписка связана с одним каталогом Microsoft Entra. Несколько подписок могут доверять одному и тому же каталогу, но одна конкретная подписка может доверять только одному каталогу.
Вы можете добавить пользователей и группы в несколько подписок. Это позволяет пользователю создавать, контролировать и получать доступ к ресурсам в подписке. При добавлении пользователя в подписку пользователь должен быть известен связанному каталогу, как показано на следующем рисунке:
Если вы принадлежите нескольким каталогам, вы можете переключить текущий каталог, в котором выполняется работа с кнопкой "Каталог + подписка" в заголовке портал Azure.
Кроме того, вы можете решить, какой выбирать каталог по умолчанию: последний посещенный или конкретный каталог. Можно также задать фильтр по умолчанию для отображаемых подписок. Фильтры по умолчанию полезны, если у вас есть доступ к нескольким подпискам, но обычно работают только в нескольких из них.
Создайте новый каталог
Примечание.
Вы можете выполнить многие из этих задач в портал Azure или Центре администрирования Microsoft Entra. В этом руководстве мы будем использовать Центр администрирования Microsoft Entra для большинства задач, за исключением отмеченных.
Организация (клиент) имеет один связанный каталог Microsoft Entra по умолчанию. Однако владельцы могут создавать дополнительные каталоги для поддержки целей разработки или тестирования или из-за того, что они хотят синхронизировать отдельные каталоги с локальными лесами Windows Server AD.
Внимание
Действия по созданию нового каталога; однако, если вы не являетесь владельцем учетной записи Azure, этот параметр недоступен для вас. Песочница Azure не позволяет создавать новые каталоги Microsoft Entra.
Войдите на портал Azure.
На домашней странице Azure в разделе Службы Azure выберите Создать ресурс.
В области меню слева выберите "Удостоверение", а затем найдите и выберите идентификатор Microsoft Entra.
Нажмите кнопку создания.
Выберите идентификатор Microsoft Entra для типа клиента, а затем нажмите кнопку "Далее: конфигурация".
Введите указанные ниже значения для каждого параметра.
Имя организации: введите имя для каталога, чтобы было проще отличить его от других каталогов. Создаваемый каталог будет использоваться в рабочей среде. Предоставьте имя, по которому пользователи будут узнавать вашу организацию. При необходимости имя можно изменить позже.
Имя исходного домена: введите имя домена, связанное с вашей организацией. Неизвестный или отсутствующий домен вызывает ошибку проверки. Имя домена по умолчанию всегда будет иметь суффикс
.onmicrosoft.com. Вы не можете изменить домен по умолчанию. Если вы решили добавить личный домен, принадлежащий вашей организации, чтобы определенные пользователи могли использовать традиционную корпоративную электронную почту, напримерjohn@contoso.com.Страна или регион: выберите страну или регион, в котором должен находиться каталог. Страна или регион идентифицирует регион и центр обработки данных, в котором находится экземпляр Microsoft Entra; Вы не можете изменить его позже.
Щелкните Создать, чтобы создать каталог. Каталог уровня "Бесплатный" создается, где можно добавлять пользователей, создавать роли, регистрировать приложения и устройства и управлять лицензиями.
После создания каталога щелкните здесь, чтобы управлять новым клиентом , чтобы перейти на панель мониторинга обзора, которая позволяет управлять всеми аспектами каталога.
Давайте рассмотрим один из основных элементов, с которыми вы будете работать в идентификаторе Microsoft Entra: пользователи.