什么是 Microsoft Entra？

项目
07/22/2024

Microsoft Entra 是一系列标识和网络访问产品。它使组织能够实施零信任安全策略，并创建一个信任结构来验证标识、验证访问条件、检查权限、加密连接通道以及监视泄露情况。

Microsoft Entra 产品系列

Microsoft Entra 产品系列涵盖针对任何可信标识的安全端到端访问的四个成熟阶段。这些阶段包括建立零信任访问控制，以及保护员工、客户、合作伙伴和任何云环境的访问安全。

跨四个成熟阶段的 Microsoft Entra 产品的关系图。

建立零信任访问控制

Microsoft Entra ID

Microsoft Entra ID 是 Microsoft Entra 的基础产品。它提供保障员工、设备和企业应用及资源安全的基本标识、身份验证、策略和保护措施。

Microsoft Entra 域服务

Microsoft Entra 域服务提供托管域服务，例如组策略、轻型目录访问协议 (LDAP) 和 Kerberos/NTLM 身份验证。它使组织能够在云中运行无法使用新式身份验证方法的旧版应用程序。

例如，如果组织具有需要访问 Kerberos 身份验证的服务，则可以创建一个托管域，其中核心服务组件由 Microsoft 作为托管域体验进行部署和维护。

保护员工的访问安全

Microsoft Entra 专用访问

Microsoft Entra 专用访问可保护对所有专用应用和资源的访问，包括企业网络和多云环境。它使远程用户无需虚拟专用网 (VPN) 即可从任何设备和网络连接到内部资源。

例如，在家办公甚至在咖啡馆办公时，员工可以安全地访问公司网络打印机。

Microsoft Entra Internet 访问

Microsoft Entra Internet 访问可保护对所有 Internet 资源的访问，包括服务型软件 (SaaS) 应用以及 Microsoft 365 应用和资源。即使权限或风险级别发生变化，组织也能够实时地持续监视和调整用户访问权限。

例如，组织可以启用 Web 内容筛选，根据内容类别和域名来规范对网站的访问。

Microsoft Entra ID 治理

Microsoft Entra ID 治理通过自动执行访问请求、分配和评审，使标识和权限更易于管理。此外，它还有助于通过标识生命周期管理来保护关键资产。

例如，管理员可以自动将用户帐户和 Microsoft 365 许可证分配给新员工，并为不再在公司工作的员工删除这些分配。

Microsoft Entra ID 保护

Microsoft Entra ID 保护可检测和报告基于标识的风险。它使管理员能够使用条件访问等工具来调查和自动修正风险。

例如，组织可以创建基于风险的条件访问策略，当登录风险级别报告为中或高时，这些策略将要求多重身份验证。

Microsoft Entra 验证 ID

除了用于身份验证的标识之外，还存在用于信息验证的分散式标识 (DID)。

Microsoft Entra 验证 ID 是基于开放 DID 标准的凭据验证服务。它使组织能够向在其个人设备上存储凭据的用户颁发可验证凭据（证明信息有效性的数字签名）。收到可验证凭据后，用户可以将其呈现给想要验证其身份的公司或组织。

例如，应届大学毕业生可以要求大学向其 DID 颁发其文凭的数字副本。。然后，他们可以选择向潜在的雇主出示文凭，雇主可以独立验证文凭的颁发者、颁发时间及其状态。

保障客户和合作伙伴的访问安全

Microsoft Entra 外部 ID

Microsoft Entra 外部 ID 使外部标识能够安全地访问业务资源和使用者应用。它提供用于与业务合作伙伴及来宾在内部应用和资源上进行协作，以及为面向消费者的应用程序管理客户身份和访问管理 (CIAM) 的安全方法。

例如，组织可以为客户设置自助注册，以便使用一次性密码或 Google 或 Facebook 的社交帐户等方法登录网络应用程序。

保障任何云中的访问安全

Microsoft Entra 权限管理

利用 Microsoft Entra 权限管理，可全面了解分配给 Microsoft Entra ID 和其他标识提供者管理的所有标识的权限。它使组织能够检测、自动调整大小，并持续监视 Microsoft Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 中未使用和过度的权限。

例如，管理员可以查看拥有高风险权限但未使用这些权限的用户，并自动跨授权系统删除这些未使用的权限。

Microsoft Entra 工作负载 ID

除了人员和设备标识之外，工作负载标识（如应用程序、服务和容器）还需要身份验证和授权策略。

Microsoft Entra 工作负载 ID 是工作负载标识的标识和访问管理解决方案。它使组织能够使用应用的自适应策略和自定义安全属性保护对资源的访问。

例如，GitHub Actions 需要工作负载标识才能访问 Azure 订阅，以便自动执行、自定义和执行软件开发工作流。

准备好 Microsoft Entra

在组织部署 Microsoft Entra 之前，应根据安全最佳做法和标准配置其基础结构和流程。以下文章提供了用于成功集成 Microsoft Entra 的体系结构、部署和操作指南。

使用 Microsoft Entra

组织部署 Microsoft Entra 后，管理员可以使用 Microsoft Entra 管理中心和 Microsoft Graph API 来管理标识和网络访问资源，开发人员可以使用 Microsoft 标识平台来生成身份验证和访问控制应用程序。

Microsoft Entra 管理中心

Microsoft Entra 管理中心是一个基于 Web 的门户，可供管理员使用单个用户界面配置和管理 Microsoft Entra 产品。

若要了解详细信息，请参阅 Microsoft Entra 管理中心概述。

Microsoft Graph API

除了 Microsoft Entra 管理中心，Microsoft Graph API 还可用于自动执行管理任务，包括许可证部署和用户生命周期管理。

若要了解详细信息，请参阅使用 Microsoft Graph 管理 Microsoft Entra。

Microsoft 标识平台

Microsoft 标识平台使开发人员能够使用开源库和符合标准的身份验证服务为 Web、桌面和移动应用程序构建身份验证体验。

若要开始开发，请参阅入门。

后续步骤

许可

通过