标识和访问管理 (IAM) 体系结构提供了保护数据和资源的框架。 内部网络在本地系统中建立安全边界。 在云环境中,外围网络和防火墙不足以管理对应用和数据的访问。 相反,公有云系统依赖于标识解决方案来实现边界安全性。
标识解决方案控制对组织应用和数据的访问权限。 用户、设备和应用程序具有标识。 IAM 组件支持这些标识和其他标识的身份验证和授权。 身份验证进程控制使用帐户的人员或用途。 授权控制用户可在应用程序中执行的操作。
无论是刚开始评估标识解决方案还是希望扩展当前实现,Azure 都提供了许多选项。 一个示例是 Microsoft Entra ID,这是提供标识管理和访问控制功能的云服务。 若要确定解决方案,请首先了解此服务和其他 Azure 组件、工具和参考体系结构。
Azure 上的标识简介
如果你不熟悉 IAM,则最好从 Microsoft Learn 入手。 此免费的联机平台为各种产品和服务提供视频、教程和实践性培训。
可通过以下资源了解 IAM 的核心概念。
学习路径
- Microsoft 安全性、合规性和标识基础知识:介绍 Microsoft 标识和访问管理解决方案的功能
- 实现 Microsoft 标识 - 助理
- SC-300:实现标识管理解决方案
- MS-500 第 1 部分 - 实现和管理身份和访问
模块
实现生产的路径
了解标识管理的基础知识后,下一步是开发解决方案。
设计
若要探索标识解决方案的选项,请参阅以下资源:
有关提供对中心标识的访问权限的三种服务的比较,请参阅自我管理型 Active Directory 域服务、Azure Active Directory 和托管型 Azure Active Directory 域服务的比较。
若要了解如何使 IAM 可复原,请参阅使用 Microsoft Entra ID 进行可复原的标识和访问管理。
要比较与 Azure 网络集成时减少延迟的选项,请参阅将本地 AD 与 Azure 集成。
有关将计费套餐与 Microsoft Entra 租户相关联的信息,请参阅 Azure 计费套餐与 Active Directory 租户。
若要评估标识和访问基础的选项,请参阅 Azure 标识和访问管理设计区域。
若要探索组织部署到云的资源的方法,请参阅资源组织。
如需了解各种身份验证选项的比较,请参阅选择 Microsoft Entra 混合标识解决方案的正确身份验证方法。
有关全面的混合标识解决方案,请参阅 Microsoft Entra ID 如何为本地工作负载提供云治理管理。
若要了解 Microsoft Entra Connect 如何将本地目录与 Microsoft Entra ID 集成,请参阅什么是 Microsoft Entra Connect?。
实现
决定采用某种方法后,接下来应实现该方法。 有关部署建议,请参阅以下资源:
有关多租户解决方案的一系列文章和代码示例,请参阅多租户应用程序中的标识管理。
有关部署 Microsoft Entra ID 的信息,请参阅以下资源:
若要了解如何使用 Microsoft Entra ID 来保护单页应用程序,请参阅通过 Microsoft 标识平台注册单页应用程序中的教程。
最佳做法
借助自动化、自助服务和单一登录等功能,Microsoft Entra ID 可以提高工作效率。 有关从此服务中受益的一般信息,请参阅使用 Microsoft Entra ID 构建坚实标识基础的四个步骤。
要检查 Microsoft Entra 实现是否符合 Azure 安全基准 2.0 版,请参阅 Microsoft Entra ID 的 Azure 安全基线。
某些解决方案使用租户中的专用终结点来连接 Azure 服务。 若要查看有关专用终结点的安全问题指南,请参阅限制 Azure 中的跨租户专用终结点连接。
有关以下方案的建议,请参阅将本地 AD 域与 Microsoft Entra ID 集成:
- 为组织的远程用户提供对 Azure Web 应用的访问
- 为最终用户实现自助服务功能
- 使用未通过虚拟专用网络 (VPN) 隧道或 ExpressRoute 线路连接的本地网络和虚拟网络
有关将应用程序迁移到 Microsoft Entra ID 的一般信息和指南,请参阅以下文章:
基线实现套件
这些参考体系结构为各种方案提供基线实现:
随时了解标识
Microsoft Entra ID 会不断改进。
- 若要随时了解最近的开发情况,请参阅 Microsoft Entra ID 中的新增功能。
- 有关显示新关键功能和服务的路线图,请参阅 Azure 更新。
其他资源
以下资源为特定场景提供了实用的建议和信息。
教育环境中的 Microsoft Entra ID
- Microsoft Entra 租户简介
- 为大型机构设计多目录体系结构
- 设计租户配置
- 设计身份验证和凭据策略
- 设计帐户策略
- 设计标识治理
- 新冠肺炎期间 Microsoft 365 EDU 部署的更新指南