Microsoft Entra 服务说明
Microsoft Entra ID是Microsoft基于云的标识和访问管理解决方案,可帮助员工和来宾用户安全登录并访问Microsoft应用等资源,例如, (Microsoft 365 和 Azure) 、数千个预先集成的常用 SaaS 应用 (例如 ServiceNow、Google 应用) ,以及任何自定义构建的云或本地 Web 应用。 它提供单一登录、多重身份验证、条件访问和生命周期管理等安全功能,以保护组织免受标识泄露的影响。
可用计划
就本文而言,租户级服务是一种为租户中的所有用户部分或完全激活的联机服务(独立许可证和/或作为 Microsoft 365 或 Office 365 计划的一部分)。 尽管某些租户服务目前无法限制只有特定用户才能获得权益,但使用每个联机服务都需要相应的订阅许可证。 若要查看有关使用通过 Microsoft 许可计划获得的 Microsoft 产品和专业服务的条款和条件,请参阅产品条款。
若要查看用户如何从 Microsoft 365 功能中获益,请下载面向企业和一线员工的 Microsoft 365 比较表计划或面向中小型企业的 Microsoft 365 比较表计划。
有关允许用户使用 Microsoft 365 功能且目前在欧洲经济区 (EEA) 国家/地区和瑞士提供的订阅的详细计划信息,请参阅面向 EEA 的 Microsoft 365 商业版计划比较和面向 EEA 的 Microsoft 365 企业版计划比较。
功能可用性
Microsoft Entra功能始终在不断发展和扩展。 有关最新功能列表,请参阅 我们的官方定价页 。
Microsoft Entra ID
Microsoft Entra ID是基于云的标识和访问管理服务,员工可以使用该服务来访问外部资源。 示例资源包括 Microsoft 365、Azure 门户和数千个其他 SaaS 应用程序。
Microsoft Entra ID还可以帮助他们访问内部资源,例如企业 Intranet 上的应用,以及为你自己的组织开发的任何云应用。 若要了解如何创建租户,请参阅快速入门:在 Microsoft Entra ID 中创建新租户。
若要了解 Active Directory 与 Microsoft Entra ID 之间的差异,请参阅比较 Active Directory 与 Microsoft Entra ID。 还可以参考 Microsoft云企业架构师系列海报,以更好地了解 Azure 中的核心标识服务,例如 Microsoft Entra ID 和 Microsoft 365。
可用计划
- Microsoft Entra ID免费。 提供用户和组管理、本地目录同步、基本报表、云用户自助密码更改以及跨 Azure、Microsoft 365 和许多常用 SaaS 应用的单一登录。
- Microsoft Entra ID P1。 除了免费功能,P1 还允许混合用户访问本地和云资源。 它还支持高级管理,例如动态组、自助服务组管理、Microsoft Identity Manager和云写回功能,这些功能允许本地用户进行自助密码重置。
- Microsoft Entra ID P2。 除了免费和 P1 功能外,P2 还提供Microsoft Entra ID 保护,以帮助提供对应用和关键公司数据的基于风险的条件访问,并Privileged Identity Management帮助发现、限制和监视管理员及其对资源的访问,并在需要时提供实时访问。
计划可用性
| 功能 | Microsoft 365 E3 | Microsoft 365 E5/E5 安全加载项1 | Office 365 E1/E3/E5、Microsoft Teams 企业版/Teams EEA | 企业移动性 & 安全性 E3 | 企业移动性 + 安全性 E5 | Microsoft 365 F1/F3 | Microsoft 365 F5 安全加载项2 | Microsoft 365 F5 + 合规性加载项 | Microsoft Teams 基础版 | Microsoft 365 商业基础版/Standard | Microsoft 365 商业高级版 |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Microsoft Entra ID免费 | 否 | 否 | 是 | 否 | 否 | 是 | 否 | 否 | 是 | 是 | 否 |
| Microsoft Entra ID计划 1 | 是 | 否 | 否 | 是 | 否 | 是 | 否 | 否 | 否 | 否 | 是 |
| Microsoft Entra ID计划 2 | 否 | 是 | 否 | 否 | 是 | 否 | 是 | 是 | 否 | 否 | 否 |
功能可用性
有关功能可用性信息,请参阅Microsoft Entra计划和定价 |Microsoft安全性。
了解详细信息
有关详细信息,请参阅什么是Microsoft Entra ID?
Microsoft Entra 权限管理
Microsoft Entra 权限管理 (权限管理) 是一种云基础结构权利管理 (CIEM) 解决方案,可全面了解分配给所有标识的权限,例如,Microsoft Azure、Amazon Web Services (AWS) 和 Google Cloud 中跨多云基础结构的过度特权工作负载和用户标识、作和资源平台 (GCP) 。 权限管理检测、自动调整大小,并持续监视未使用的权限和过多权限。 它通过增强最低特权访问原则来深化零信任安全策略。
有关详细信息,检查以下资源:
- Microsoft Entra 权限管理
- Microsoft Entra 权限管理常见问题解答,以获取指向更多资源的链接。
Microsoft Entra ID 保护
Microsoft Entra ID 保护是 Microsoft Entra ID P2 计划的一项功能,可用于保护、检测和修正已泄露的标识。 Entra ID Protection 由数万亿个信号提供支持,用于检测影响组织标识的潜在漏洞。 这些风险通过实时 ML 引擎进行评估,该引擎评估有风险的用户、登录和工作负载标识。 用户可以配置自动响应,以检测出与组织标识相关的可疑作,并通过策略强制实施安全访问。
用户如何通过该服务受益?
在当今的数字环境中,IT 管理员和 SecOps 分析师面临着越来越多的复杂网络威胁。 Entra ID Protection 提供由机器学习算法提供支持的已标记用户和风险事件的合并视图,为安全专业人员提供可作的见解。 用户通过基于风险的策略从无缝自动保护中受益,确保对标识威胁进行强大的防御。
优势
- 减少调查和修正安全事件所需的时间和资源。
- 减少基于风险的条件访问策略的手动干预,这些策略可自动保护用户。
- 减少帐户泄露。
如何预配/部署该服务?
默认情况下,Microsoft Entra ID 保护功能在租户级别为启用了 Microsoft Entra ID P2 或试用许可证的所有用户启用。 有关免费试用版的信息,请参阅Microsoft Entra计划和定价。 若要启用此功能,请执行以下步骤:
- 查看现有报表。
- 规划条件访问风险策略 - 注册多重身份验证 (MFA) 进行自我修正,在条件访问中配置命名位置,将 VPN 范围添加到 Defender。
- 配置 MFA 和条件访问策略以跟踪登录和用户风险。
- 根据作需求进行监视和调查。
可用性
客户可以通过获取Microsoft Entra ID P2 或包含 Microsoft Entra ID P2 的订阅来获取Microsoft Entra ID 保护。
了解Microsoft Entra ID 保护。 有关Microsoft Entra ID 保护的快速概述视频,请参阅此视频。
Microsoft Entra ID 治理
Microsoft Entra ID 治理是一种标识治理解决方案,使组织能够提高工作效率、增强安全性,并更轻松地满足合规性和法规要求。 可以使用Microsoft Entra ID 治理自动确保合适的人员对正确的资源具有适当的访问权限,以及标识和访问流程自动化、委派到业务组以及提高可见性。 借助 Microsoft Entra ID 治理 中包含的功能,以及相关Microsoft Entra、Microsoft安全性和Microsoft Azure 产品中的功能,可以通过保护、监视和审核对关键资产的访问来缓解标识和访问风险。
具体而言,Microsoft Entra ID 治理可帮助组织解决以下四个关键问题,即在本地和云中跨服务和应用程序进行访问:
- 哪些用户应有权访问哪些资源?
- 这些用户使用该访问权限做什么?
- 是否有用于管理访问权限的组织控制措施?
- 审核员能否验证控制措施是否有效?
借助 Microsoft Entra ID 治理,可以为员工、业务合作伙伴和供应商实现以下方案:
- 管理标识生命周期
- 管理访问生命周期
- 用于管理的安全特权访问
可用性
客户可以通过以下方式获取Microsoft Entra ID 治理:
- 购买Microsoft Entra 套件。
- 如果加载项产品/服务满足先决条件,则购买这些产品/服务。 有关先决条件的信息,请参阅 Microsoft产品条款。
有关许可的详细信息,请访问Microsoft Entra ID 治理许可基础知识。
有关Microsoft Entra ID 治理功能的详细信息,检查以下资源:
Microsoft Entra Workload ID
工作负荷标识是分配给软件工作负载的标识, (应用程序、服务、脚本或容器) 进行身份验证和访问其他服务和资源。 术语在整个行业内不一致,但通常工作负载标识是软件实体向某些系统进行身份验证所需的内容。 例如,为了使GitHub Actions访问 Azure 订阅,作需要一个有权访问这些订阅的工作负载标识。 工作负荷标识也可以是附加到 EC2 实例的 AWS 服务角色,该实例对 Amazon S3 存储桶具有只读访问权限。
在Microsoft Entra中,工作负载标识是应用程序、服务主体和托管标识。
应用程序是由其应用程序对象定义的抽象实体或模板。 应用程序对象是应用程序的全局表示形式,可跨所有租户使用。 应用程序对象描述令牌的颁发方式、应用程序需要访问的资源以及应用程序可以执行的作。
服务主体是特定租户中全局应用程序对象的本地表示形式或应用程序实例。 应用程序对象用作模板,用于在使用应用程序的每个租户中创建服务主体对象。 服务主体对象定义应用在特定租户中实际可以执行的作、谁可以访问应用以及应用可以访问的资源。
托管标识是一种特殊类型的服务原则,无需开发人员管理凭据。
功能可用性
| 功能 | 说明 | 空闲 | 高级 |
|---|---|---|---|
| 身份验证和授权 | |||
| 创建、读取、更新和删除工作负载标识 | 创建和更新标识,以保护服务到服务的访问权限 | 是 | 是 |
| 对工作负载标识和令牌进行身份验证以访问资源 | 使用Microsoft Entra ID保护资源访问 | 是 | 是 |
| 工作负载标识登录活动和审核跟踪 | 监视和跟踪工作负载标识行为 | 是 | 是 |
| 托管标识 | 在 Azure 中使用Microsoft Entra标识,而无需处理凭据 | 是 | 是 |
| 工作负载联合身份验证 | 使用外部标识提供者测试的工作负载 (IdP) 来访问Microsoft Entra受保护的资源 | 是 | 是 |
| Microsoft Entra条件访问 | |||
| 工作负载标识的条件访问策略 | 定义工作负载可以访问资源的条件,例如 IP 范围 | 是 | |
| 生命周期管理 | |||
| 服务提供程序分配的特权角色的访问评审 | 密切监视具有影响权限的工作负载标识 | 是 | |
| 应用程序身份验证方法 API | 允许 IT 管理员对其组织中的应用如何使用应用程序身份验证方法强制实施最佳做法 | 是 | |
| 应用运行状况建议 | 确定未使用或非活动工作负载标识及其风险级别。 获取修正指南 | 是 | |
| Microsoft Entra ID 保护 | |||
| 工作负载标识的 ID 保护 | 检测并修正已泄露的工作负载标识 | 是 |
了解详细信息
有关详细信息,请参阅 什么是工作负载标识?
查看有关Microsoft Entra Workload ID的常见问题解答,了解详细信息和指向更多资源的链接。
消息传递
要了解即将发生的更改,包括新功能和已更改的功能、计划的维护或其他重要公告,请访问消息中心。
许可条款
有关通过 Microsoft 商业批量许可计划购买的产品和服务的许可条款和条件,请参阅产品条款网站。
辅助功能
Microsoft 始终致力于确保数据的安全性以及服务的辅助功能。 有关详细信息,请参阅 Microsoft 信任中心和 Office 辅助功能中心。
了解详细信息
有关Microsoft Entra ID和Microsoft Entra 权限管理的详细信息,检查以下资源: