什么是 Microsoft Entra ID?
尽管曾经名称相似,但 Microsoft Entra ID 不是 Windows Server Active Directory 的云版本。 它也不能完全取代本地 Active Directory。 相反,如果你已在使用 Windows AD 服务器,可将它连接到 Microsoft Entra ID 来将目录扩展到 Azure。 此方法允许用户使用相同的凭据来访问本地资源和基于云的资源。
用户也可以独立于 Windows AD 使用 Microsoft Entra ID。 小型公司可使用 Microsoft Entra ID 作为其唯一的目录服务,用来控制对其应用程序和 SaaS 产品(例如 Microsoft 365、Salesforce 和 Dropbox)的访问。
注意
请记住,此方法不提供完全集中的管理模型。例如,本地 Windows 计算机使用本地凭据进行身份验证。 用户可编写应用程序来使用 Microsoft Entra ID 并提供使用户在一个位置管理的身份验证和授权。
目录、订阅和用户
Microsoft 目前提供若干基于云的产品/服务,它们都可使用 Microsoft Entra ID 来标识用户和控制访问权限:
- Microsoft Azure
- Microsoft 365
- Microsoft Intune
- Microsoft Dynamics 365
公司或组织注册使用其中某项产品/服务时,系统会为其分配一个默认目录(即 Microsoft Entra ID 的实例)。 此目录包含有权访问公司已购买的每种服务的用户和组。 可以将此默认目录称为租户。 租户表示组织以及分配给该组织的默认目录。
Azure 中的订阅既是计费实体又是安全边界。 虚拟机、网站和数据库等资源与单个订阅关联。 每个订阅还包含一个帐户所有者,其对该订阅中的资源所产生的任何费用负责。 如果组织希望将订阅费用计入到其他帐户,你可转让订阅。 订阅与单个 Microsoft Entra 目录关联。 多个订阅可以信任同一个目录,但一个订阅只能信任一个目录。
可以将用户和组添加到多个订阅。 这使用户能够创建、控制和访问订阅中的资源。 将用户添加到订阅时,关联的目录必须已知晓该用户,如下图所示:
如果你属于多个目录,则可以通过 Azure 门户标头中的“目录 + 订阅”按钮切换正在使用的当前目录。
你还可以确定如何选择默认目录:上次访问的目录或特定目录。 还可以为显示的订阅设置默认筛选器。 如果可以访问很多订阅,但通常只使用其中几个订阅,默认筛选器会很有用。
创建新目录
注意
可以在 Azure 门户或 Microsoft Entra 管理中心完成其中许多任务。 在本教程中,我们将使用 Microsoft Entra 管理中心执行大多数任务,除非另有说明。
组织(租户)具有一个关联的默认 Microsoft Entra 目录。 但是,所有者可创建其他目录来支持开发或测试,或者基于想要拥有单独的目录来与其本地 Windows Server AD 林同步这一理由创建其他目录。
重要
创建新目录的步骤如下所示,但只有 Azure 帐户的所有者才可使用此选项。 Azure 沙盒不允许创建新的 Microsoft Entra 目录。
登录 Azure 门户。
在 Azure 主页的“Azure 服务”下,选择“创建资源”。
在左侧菜单窗格中,选择“标识”,然后搜索并选择“Microsoft Entra ID”。
选择创建。
选择“Microsoft Entra ID”作为租户类型,然后选择“下一步:配置”。
为每个设置输入以下值。
组织名称:为目录输入一个名称,以帮助将该目录与其他目录区分开来。 要创建的目录将用于生产;请提供一个名称,用户可将该名称识别为组织名称。 以后可以根据需要更改名称。
初始域名:输入与组织关联的域名。 如果域未知或缺失,会导致验证错误。 默认域名始终带有后缀
.onmicrosoft.com。 无法更改此默认域。 如果你选择更改,稍后可以添加组织拥有的自定义域,以便定义的用户可以使用传统的公司电子邮件(例如john@contoso.com)。国家或地区:选择目录所在的国家/地区。 国家/地区确定了 Microsoft Entra 实例所在的区域和数据中心;你之后无法更改它。
选择“创建”以创建新目录。 会创建一个免费层目录,可在其中添加用户、创建角色、注册应用和设备以及控制许可证。
创建目录后,选择“单击此处管理新租户”转到“概述”仪表板,在该仪表板中,可以控制目录的各个方面。
我们来了解一下将在 Microsoft Entra ID 中使用的一个主要元素:用户。