Проверка идентификатора Microsoft Entra

  • 7 мин

Учащиеся должны быть знакомы со службами домен Active Directory (AD DS или традиционно называются только Active Directory). AD DS — это служба каталогов, которая предоставляет методы хранения данных каталога, таких как учетные записи пользователей и пароли, и делает эти данные доступными для сетевых пользователей, администраторов и других устройств и служб. Он выполняется в качестве службы в Windows Server, называемой контроллером домена.

Идентификатор Microsoft Entra является частью платформы как услуги (PaaS) и работает в качестве управляемой корпорацией Майкрософт службы каталогов в облаке. Это не является частью основной инфраструктуры, которую клиенты имеют и управляют ими, и не является инфраструктурой в качестве услуги. Хотя это означает, что у вас меньше контроля над его реализацией, это также означает, что вам не нужно выделять ресурсы для его развертывания или обслуживания.

При использовании идентификатора Microsoft Entra также есть доступ к набору функций, которые не доступны в AD DS в собственном коде, например поддержка многофакторной проверки подлинности, защиты идентификации и самостоятельного сброса пароля.

Идентификатор Microsoft Entra можно использовать для обеспечения более безопасного доступа к облачным ресурсам для организаций и частных лиц.

  • Настройка доступа к приложениям
  • Настройка единого входа в облачные приложения SaaS
  • Управление пользователями и группами
  • Подготовка пользователей
  • Включение федерации между организациями
  • Предоставление решения по управлению удостоверениями
  • Определение нерегулярного входа
  • Настройка многофакторной проверки подлинности
  • Расширение существующих реализаций локальная служба Active Directory до идентификатора Microsoft Entra
  • Настройка прокси приложения для облачных и локальных приложений
  • Настройка условного доступа для пользователей и устройств

Схема, показывающая стек Microsoft Entra Connect.

Microsoft Entra представляет собой отдельную службу Azure. Его самая простая форма, которая любая новая подписка Azure включается автоматически, не несет дополнительных затрат и называется уровнем "Бесплатный". Если вы подписаны на любые бизнес-службы Microsoft Online (например, Microsoft 365 или Microsoft Intune), вы автоматически получите идентификатор Microsoft Entra с доступом ко всем бесплатным функциям.

Примечание.

По умолчанию при создании новой подписки Azure с помощью учетной записи Майкрософт подписка автоматически включает новый клиент Microsoft Entra с именем Default Directory.

Некоторые из более сложных функций управления удостоверениями требуют платных версий идентификатора Microsoft Entra ID, предлагаемых в виде уровней "Базовый" и "Премиум". Некоторые из этих функций также автоматически включаются в экземпляры Microsoft Entra, созданные в рамках подписок Microsoft 365. Различия между версиями Microsoft Entra рассматриваются далее в этом модуле.

Реализация идентификатора Microsoft Entra не совпадает с развертыванием виртуальных машин в Azure, добавлением AD DS и развертыванием некоторых контроллеров домена для нового леса и домена. Идентификатор Microsoft Entra — это другая служба, гораздо более ориентированная на предоставление служб управления удостоверениями веб-приложениям, в отличие от AD DS, которая более ориентирована на локальные приложения.

Клиенты Microsoft Entra

В отличие от AD DS, идентификатор Microsoft Entra является мультитенантным по проектированию и реализуется специально для обеспечения изоляции отдельных экземпляров каталога. Это крупнейший в мире мультитенантный каталог, на котором размещено более миллиона экземпляров служб каталогов, с миллиардами запросов проверки подлинности в неделю. Клиент термина в этом контексте обычно представляет компанию или организацию, которая зарегистрировалась для подписки на облачную службу Майкрософт, например Microsoft 365, Intune или Azure, каждая из которых использует идентификатор Microsoft Entra. Однако с технической точки зрения клиент термина представляет отдельный экземпляр Microsoft Entra. В подписке Azure можно создать несколько клиентов Microsoft Entra. Наличие нескольких клиентов Microsoft Entra может быть удобным, если вы хотите протестировать функции Microsoft Entra в одном клиенте, не влияя на другие.

В любое время подписка Azure должна быть связана только с одним клиентом Microsoft Entra. Эта связь позволяет предоставлять разрешения ресурсам в подписке Azure (через RBAC) пользователям, группам и приложениям, которые существуют в этом конкретном клиенте Microsoft Entra.

Примечание.

Вы можете связать один клиент Microsoft Entra с несколькими подписками Azure. Это позволяет использовать одни и те же пользователи, группы и приложения для управления ресурсами в нескольких подписках Azure.

Каждому клиенту Microsoft Entra назначается доменное имя системы доменных имен по умолчанию (DNS), состоящее из уникального префикса. Префикс, производный от имени учетной записи Майкрософт, используемой для создания подписки Azure или предоставленного явным образом при создании клиента Microsoft Entra, следует onmicrosoft.com суффикс. Добавление хотя бы одного личного доменного имени в тот же клиент Microsoft Entra возможно и часто. Это имя использует пространство доменных имен DNS, принадлежащее соответствующей компании или организации. Клиент Microsoft Entra служит границей безопасности и контейнером для объектов Microsoft Entra, таких как пользователи, группы и приложения. Один клиент Microsoft Entra может поддерживать несколько подписок Azure.

Схема Microsoft Entra

Схема Microsoft Entra содержит меньше типов объектов, чем ad DS. В частности, он не включает определение класса компьютера, хотя он включает класс устройства. Процесс присоединения устройств к Microsoft Entra значительно отличается от процесса присоединения компьютеров к AD DS. Схема Microsoft Entra также легко расширяема, и ее расширения полностью обратимы.

Отсутствие поддержки для членства в традиционном домене компьютера означает, что идентификатор Microsoft Entra нельзя использовать для управления компьютерами или параметрами пользователей с помощью традиционных методов управления, таких как объекты групповой политики (ГОП). Вместо этого идентификатор Microsoft Entra и его службы определяют концепцию современного управления. Основная сила идентификатора Microsoft Entra заключается в предоставлении служб каталогов; хранение и публикация данных пользователей, устройств и приложений; и обработка проверки подлинности и авторизации пользователей, устройств и приложений. Эффективность и эффективность этих функций очевидны на основе существующих развертываний облачных служб, таких как Microsoft 365, которые полагаются на идентификатор Microsoft Entra в качестве поставщика удостоверений и поддержки миллионов пользователей.

Идентификатор Microsoft Entra не включает класс подразделения (OU), что означает, что нельзя упорядочивать свои объекты в иерархию пользовательских контейнеров, которые часто используются в локальных развертываниях AD DS. Однако это не является значительным недостатком, так как подразделения в AD DS используются в основном для области групповой политики и делегирования. Вы можете выполнить эквивалентные договоренности, организуя объекты на основе их членства в группе.

Объекты классов Application и servicePrincipal представляют приложения в идентификаторе Microsoft Entra. Объект в классе Application содержит определение приложения и объект в классе servicePrincipal представляет собой его экземпляр в текущем клиенте Microsoft Entra. Разделение этих двух наборов характеристик позволяет определить приложение в одном клиенте и использовать его в нескольких клиентах, создав объект субъекта-службы для этого приложения в каждом клиенте. Идентификатор Microsoft Entra создает объект субъекта-службы при регистрации соответствующего приложения в клиенте Microsoft Entra.