了解 Microsoft Entra ID
学生应熟悉 Active Directory 域服务(AD DS 或通常称为“Active Directory”)。 AD DS 是一项目录服务,它提供用于存储目录数据(如用户帐户和密码)的方法,并向网络用户、管理员以及其他设备和服务提供此数据。 它在 Windows Server 上作为服务运行,称为域控制器。
Microsoft Entra ID 是平台即服务 (PaaS) 产品/服务的一部分,并在云中作为 Microsoft 托管的目录服务运行。 它不是客户拥有和管理的核心基础结构的一部分,也不是基础结构即服务产品。 尽管这意味着你对该服务的实现的控制更少,但也意味着你不需要专门为它的部署或维护使用资源。
借助 Microsoft Entra ID,还可以访问一套 AD DS 中非本机提供的功能,例如对多重身份验证的支持、标识保护和自助式密码重置。
可以通过以下方式,使用 Microsoft Entra ID 为组织和个人提供对基于云的资源更安全的访问:
- 配置对应用程序的访问
- 配置对基于云的 SaaS 应用程序的单一登录 (SSO)
- 管理用户和组
- 预配用户
- 启用组织之间的联合
- 提供标识管理解决方案
- 标识异常的登录活动
- 配置多重身份验证
- 将现有的本地 Active Directory 实现扩展到 Microsoft Entra ID
- 为云和本地应用程序配置应用程序代理
- 为用户和设备配置条件访问
Microsoft Entra 构成了单独的 Azure 服务。 其最基本的窗体(任何新的 Azure 订阅都自动包含)不会产生任何额外费用,称为免费层。 如果订阅任何 Microsoft Online 业务服务(例如 Microsoft 365 或 Microsoft Intune),则会自动获得 Microsoft Entra ID,可用于访问所有免费功能。
注意
默认情况下,使用 Microsoft 帐户创建新的 Azure 订阅时,订阅会自动包含名为 Default Directory 的新 Microsoft Entra 租户。
一些更高级的标识管理功能需要以基本层和高级层形式提供的付费版 Microsoft Entra ID。 其中一些功能也会自动包含在作为 Microsoft 365 订阅的一部分生成的 Microsoft Entra 实例中。 本模块的后面部分会讨论 Microsoft Entra 版本之间的差异。
实现 Microsoft Entra ID 不同于在 Azure 中部署虚拟机、添加 AD DS,然后为新林和域部署一些域控制器。 Microsoft Entra ID 是一项不同的服务,更侧重于向基于 Web 的应用提供标识管理服务,而 AD DS 更侧重于本地应用。
Microsoft Entra 租户
与 AD DS 不同,Microsoft Entra ID 在设计上是多租户的,其实现目的是确保其各个目录实例之间的隔离。 它是世界上最大的多租户目录,托管超过一百万个目录服务实例,每周有数十亿次身份验证请求。 此上下文中的术语“租户”通常表示一个公司或组织,该公司或组织已注册基于 Microsoft 云的服务订阅,例如 Microsoft 365、Intune 或 Azure,每个服务都使用 Microsoft Entra ID。 但从技术角度来讲,术语“租户”则表示单个 Microsoft Entra 实例。 在 Azure 订阅中,可以创建多个 Microsoft Entra 租户。 如果要在一个租户中测试 Microsoft Entra 功能,而不影响其他租户,则有多个 Microsoft Entra 租户就会很方便。
在任何给定时间,Azure 订阅都必须与仅一个 Microsoft Entra 租户相关联。 关联后,可以(通过 RBAC)向该特定 Microsoft Entra 租户中存在的用户、组和服务主体授予对 Azure 订阅中资源的权限。
注意
可以将同一个 Microsoft Entra 租户与多个 Azure 订阅相关联。 因此,你可以使用相同的用户、组和应用程序来管理多个 Azure 订阅中的资源。
每个 Microsoft Entra 租户都分配有唯一前缀组成的默认域名系统 (DNS) 域名。 前缀派生自用于创建 Azure 订阅的 Microsoft 帐户的名称,或在创建 Microsoft Entra 租户时显式提供的名称,后跟 onmicrosoft.com 后缀。 将至少一个自定义域名添加到同一 Microsoft Entra 租户是可行且常见的。 此名称使用相应公司或组织拥有的 DNS 域命名空间。 Microsoft Entra 租户充当安全边界和 Microsoft Entra 对象(例如用户、组和应用程序)的容器。 单个 Microsoft Entra 租户可以支持多个 Azure 订阅。
Microsoft Entra 架构
Microsoft Entra 架构包含的对象类型少于 AD DS 包含的对象类型。 最值得注意的是,它不包含计算机类的定义,尽管它确实包含设备类。 将设备加入 Microsoft Entra 的过程与将计算机加入 AD DS 的过程有很大不同。 Microsoft Entra 架构也易于扩展,其扩展是完全可逆的。
缺乏对传统计算机域成员身份的支持意味着无法使用 Microsoft Entra ID 通过传统管理技术(如组策略对象 (GPO))来管理计算机或用户设置。 而 Microsoft Entra ID 及其服务定义了新式管理的概念。 Microsoft Entra ID 的主要优势在于提供目录服务;存储和发布用户、设备和应用程序数据;以及处理用户、设备和应用程序的身份验证和授权。 基于 Microsoft 365 等云服务(依赖 Microsoft Entra ID 作为其标识提供者并支持数百万用户)的现有部署,这些功能的有效性和效率是显而易见的。
Microsoft Entra ID 不包括组织单位 (OU) 类,这意味着你无法将其对象排列在自定义容器的层次结构中,而自定义容器通常用于本地 AD DS 部署。 但是,这并不是一个明显的缺点,因为 AD DS 中的 OU 主要用于组策略范围确定和委派。 可通过根据对象组成员身份来组织对象,从而实现等效排列。
Application 和 servicePrincipal 类的对象表示 Microsoft Entra ID 中的应用程序。 Application 类中的对象包含应用程序定义,servicePrincipal 类中的对象构成其在当前 Microsoft Entra 租户中的实例。 通过分离这两组特征,你可以在一个租户中定义应用程序,并通过在每个租户中为该应用程序创建服务主体对象来跨多个租户使用它。 当你在 Microsoft Entra 租户中注册相应的应用程序时,Microsoft Entra ID 会创建服务主体对象。