Välj en Microsoft Entra-integrationsmodell

  • 13 minuter

Microsoft Entra ID är en katalogtjänst som är utformad för molnbaserade och webbaserade program, som delar vissa funktioner med traditionella AD DS-distributioner. Contosos IT-team kan implementera Microsoft Entra-ID och synkronisera sina lokala identiteter till molnet. De här stegen skulle göra det möjligt för Contosos personal att använda enkel inloggning för att få åtkomst till både lokala resurser och relaterade resurser i sin Azure-klientorganisation.

IT-teamet kan använda Microsoft Entra-ID för att öka medarbetarnas produktivitet, effektivisera IT-processer och förbättra säkerheten för att införa olika molntjänster. Contosos anställda kan komma åt onlineprogram med hjälp av ett enda användarkonto. Contoso kan också utföra central användarhantering med hjälp av välkända Windows PowerShell-cmdletar. Det är också värt att notera att eftersom Microsoft Entra ID är mycket skalbart och mycket tillgängligt avsiktligt behöver IT-teamet inte underhålla relaterad infrastruktur eller oroa sig för haveriberedskap.

Som en komponent i Azure kan Microsoft Entra ID stödja multifaktorautentisering som en del av en övergripande åtkomststrategi för molntjänster, vilket ger ytterligare ett säkerhetslager. Rollbaserad åtkomstkontroll (RBAC), självbetjäningslösenord, grupphantering och enhetsregistrering tillhandahåller lösningar för företagsklar identitetshantering. Microsoft Entra-ID ger också avancerat identitetsskydd utöver förbättrad rapportering och aviseringar som kan hjälpa dig att identifiera hot mer effektivt.

Översikt över Microsoft Entra ID

Microsoft Entra ID är en del av paaS-erbjudandet (platform as a service) och fungerar som en Microsoft-hanterad katalogtjänst i molnet. Det är inte en del av den kärninfrastruktur som kunderna äger och hanterar, och det är inte heller ett IaaS-erbjudande. Även om detta innebär att du har mindre kontroll över dess implementering innebär det också att du inte behöver ägna resurser åt dess distribution eller underhåll.

Med Microsoft Entra-ID har du också åtkomst till en uppsättning funktioner som inte är inbyggda i AD DS, till exempel stöd för multifaktorautentisering, identitetsskydd och lösenordsåterställning via självbetjäning. Du kan använda Microsoft Entra-ID för att ge säkrare åtkomst till molnbaserade resurser för organisationer och individer genom att:

  • Konfigurera åtkomst till program.
  • Konfigurera enkel inloggning till molnbaserade SaaS-program.
  • Hantera användare och grupper.
  • Etablera användare.
  • Aktivera federation mellan organisationer.
  • Tillhandahålla en identitetshanteringslösning.
  • Identifiera oregelbunden inloggningsaktivitet.
  • Konfigurera multifaktorautentisering.
  • Utöka befintliga lokal Active Directory-implementeringar till Microsoft Entra-ID.
  • Konfigurera Programproxy för molnbaserade och lokala program.
  • Konfigurera villkorlig åtkomst för användare och enheter.

Microsoft Entra-klienter

Till skillnad från lokal AD DS är Microsoft Entra ID multitenant avsiktligt och implementeras specifikt för att säkerställa isolering mellan sina enskilda kataloginstanser. Det är världens största flertenantkatalog som är värd för över en miljon katalogtjänstinstanser med miljarder autentiseringsbegäranden per vecka. Termen klientorganisation i den här kontexten representerar vanligtvis ett företag eller en organisation som har registrerat sig för en prenumeration på en Microsoft-molnbaserad tjänst som Microsoft 365, Microsoft Intune eller Azure, som var och en använder Microsoft Entra-ID.

Men ur teknisk synvinkel representerar termen klientorganisation en enskild Microsoft Entra-instans. I en Azure-prenumeration kan du skapa flera Microsoft Entra-klienter. Det kan vara praktiskt att ha flera Microsoft Entra-klienter om du vill testa Microsoft Entra-funktioner i en klientorganisation utan att påverka de andra.

Kommentar

Vid en viss tidpunkt måste en Azure-prenumeration associeras med en och endast en Microsoft Entra-klientorganisation. Du kan dock associera samma Microsoft Entra-klientorganisation med flera Azure-prenumerationer.

Varje Microsoft Entra-klientorganisation tilldelas dns-standarddomännamnet som består av ett unikt prefix. Prefixet härleds från namnet på det Microsoft-konto som du använder för att skapa en Azure-prenumeration, eller anges uttryckligen när du skapar en Microsoft Entra-klientorganisation och följs av suffixet onmicrosoft.com . Det är möjligt och vanligt att lägga till minst ett anpassat domännamn i samma Microsoft Entra-klientorganisation. Det här namnet använder dns-domännamnområdet som motsvarande företag eller organisation äger. till exempel Contoso.com. Microsoft Entra-klientorganisationen fungerar som säkerhetsgräns och en container för Microsoft Entra-objekt som användare, grupper och program.

Egenskaper för Microsoft Entra-ID

Även om Microsoft Entra ID har många likheter med AD DS finns det också många skillnader. Det är viktigt att inse att användning av Microsoft Entra-ID inte är detsamma som att distribuera en AD DS-domänkontrollant på en virtuell Azure-dator och sedan lägga till den i din lokala domän.

När du jämför Microsoft Entra-ID med AD DS är det viktigt att notera de Microsoft Entra-egenskaper som skiljer sig från AD DS:

  • Microsoft Entra-ID är främst en identitetslösning och är utformat för internetbaserade program med http-kommunikation (port 80) och HTTPS (port 443).
  • Microsoft Entra ID är en katalogtjänst för flera klientorganisationer.
  • Microsoft Entra-användare och -grupper skapas i en platt struktur och det finns inga organisationsenheter (OUs) eller grupprincip objekt (GPO).
  • Du kan inte fråga Microsoft Entra-ID med hjälp av LDAP. I stället använder Microsoft Entra ID REST API via HTTP och HTTPS.
  • Microsoft Entra-ID använder inte Kerberos-autentisering. I stället använder den HTTP- och HTTPS-protokoll som SAML (Security Assertion Markup Language), Web Services Federation (WS-Federation) och OpenID Connect för autentisering. Den använder också Open Authorization (OAuth) för auktorisering.
  • Microsoft Entra-ID innehåller federationstjänster och många tjänster från tredje part är federerade med och litar på Microsoft Entra-ID.

Integreringsalternativ för Microsoft Entra

Små organisationer som inte har en lokal katalog, till exempel AD DS, kan helt förlita sig på Microsoft Entra-ID som en autentiserings- och auktoriseringstjänst. Antalet organisationer är dock fortfarande litet, så de flesta företag söker efter ett sätt att integrera lokal AD DS med Microsoft Entra-ID. Microsoft erbjuder identitets- och åtkomsthantering i molnskala via Microsoft Entra-ID, vilket ger flera alternativ för att integrera AD DS med Azure. De här alternativen beskrivs i följande tabell.

Alternativ Description
Utöka lokal AD DS till Azure Med det här alternativet är du värd för virtuella datorer i Azure som du sedan befordrar till domänkontrollanter i din lokala AD DS.
Synkronisera lokal AD DS med Microsoft Entra-ID Katalogsynkronisering sprider användar-, grupp- och kontaktinformation till Microsoft Entra-ID och håller den informationen synkroniserad. I det här scenariot använder användarna olika lösenord för att komma åt molnresurser och lokala resurser, och autentiseringsprocesserna är separata.
Synkronisera AD DS med Microsoft Entra-ID med hjälp av synkronisering av lösenordshash I den här metoden synkroniserar lokala AD DS objekt med Microsoft Entra-ID, men skickar även lösenordshashvärden för användarobjekt till Microsoft Entra-ID. Med det här alternativet kan användare komma åt Microsoft Entra ID-medvetna program och resurser genom att ange samma lösenord som den aktuella lokala inloggningen. För slutanvändare ger den här metoden samma inloggningsupplevelse.
Implementera enkel inloggning mellan lokal AD DS och Microsoft Entra ID Det här alternativet stöder det största utbudet av integreringsfunktioner och gör att en användare kan logga in på Azure efter att ha autentiserats via den lokala AD DS. Tekniken som tillhandahåller den här funktionen kallas federation, som du kan implementera med hjälp av Active Directory Federation Services (AD FS) (AD FS). AD FS förlitar sig på en uppsättning federationsservrar och proxyservrar, som har formen av rolltjänsten Webb Programproxy server. Som ett alternativ till att distribuera AD FS kan du också använda direktautentiseringsteknik, vilket ger nästan samma resultat som AD FS. Den använder dock inte en webb-Programproxy och kräver en mindre komplex infrastruktur än AD FS.

Microsoft Entra-katalogen är inte ett tillägg för en lokal katalog. Det är i stället en kopia som innehåller samma objekt och identiteter. Ändringar som görs i dessa objekt lokalt kopieras till Microsoft Entra-ID, men ändringar som görs i Microsoft Entra-ID replikeras inte tillbaka till den lokala domänen.

Dricks

Du kan också använda Microsoft Entra-ID utan att använda en lokal katalog. I det här fallet fungerar Microsoft Entra-ID som den primära källan för all identitetsinformation i stället för att innehålla data som replikeras från en lokal katalog.