Microsoft Entra 基本概念
Microsoft Entra ID 為 Azure 資源和信任應用程式提供身分識別及存取界限。 透過單一 Microsoft Entra 租用戶中委派的管理可以滿足大部分的環境區隔需求。 此設定可以減少系統的管理負荷。 不過,某些特定情況需要多個租用戶,例如資源和身分識別完全隔離。
您必須根據需求來決定環境區隔架構。 需要考慮的方面包括:
資源區隔。 如果資源可以變更目錄物件 (例如使用者物件),且變更可能會干擾其他資源,則可能需要在多組織用戶共享結構中隔離資源。
組態區隔。 全租用戶組態會影響所有資源。 條件式存取原則和其他方法可以限制某些全租用戶組態的影響範圍。 如果您需要不同的租用戶組態,但無法以條件式存取原則限定範圍,則您可能需要多組織用戶共享結構。
管理區隔。 您可以委派在單一租用戶內管控管理群組、訂用帳戶、資源群組、資源及一些原則。 全域管理員一律可以存取租用戶內的一切項目。 如果您需要確保環境之間不共用管理員,則需要多組織用戶共享結構。
為了確保安全,在身分識別佈建、驗證管理、身分識別治理、生命週期管理和作業方面,您必須跨所有租用戶貫徹最佳做法。
詞彙
以下詞彙清單通常與 Microsoft Entra ID 相關聯,也與本文有關:
Microsoft Entra 租用戶。 專用且受信任的 Microsoft Entra ID 執行個體,由組織在註冊 Microsoft 雲端服務訂用帳戶時自動建立。 訂用帳戶的例子包括 Microsoft Azure、Microsoft Intune 或 Microsoft 365。 Microsoft Entra 租用戶通常代表單一組織或安全性界限。 Microsoft Entra 租用戶包括使用者、群組和應用程式,用來為租用戶資源執行身分識別與存取管理 (IAM)。
環境。 在本文中,環境是指與一或多個 Microsoft Entra 租用戶相關聯的一組 Azure 訂用帳戶、Azure 資源和應用程式。 Microsoft Entra 租用戶提供身分識別控制平面,以控管對這些資源的存取權。
生產環境。 在本文中,生產環境是即時環境,提供基礎結構和服務供終端使用者直接互動。 例如,公司或面向客戶的環境。
非生產環境。 在本文中,非生產環境是指下列用途的環境:
部署
測試
實驗室用途
非生產環境通常稱為沙箱環境。
身分識別。 身分識別是可以經過驗證並獲授權存取資源的目錄物件。 身分識別物件存在於人類身分識別和非人類身分識別。 非人類實體包括:
應用程式物件
工作負載身分識別 (先前稱為服務原則)
受控識別
裝置
人類身分識別是使用者物件,通常代表組織中的人員。 這些身分識別直接在 Microsoft Entra ID 中建立和管理,或從指定組織的內部部署 Active Directory 同步至 Microsoft Entra ID。 這幾種身分識別稱為本機身分識別。 還有透過 Microsoft Entra B2B 共同作業從合作夥伴組織或社交識別提供者邀請的使用者物件。 在本文中,我們將這幾種身分識別稱為外部身分識別。
非人類身分識別包括與人類無關的任何身分識別。 這種身分識別是需要執行身分識別的物件,例如應用程式。 在本文中,我們將這種身分識別稱為工作負載身分識別。 有各種詞彙描述這種身分識別,包括應用程式物件和服務主體。
應用程式物件。 Microsoft Entra 應用程式由其應用程式物件來定義。 物件位於應用程式註冊所在的 Microsoft Entra 租用戶中。 此租用戶稱為應用程式的「主」租用戶。
建立單一租用戶應用程式只為了授權來自「主」租用戶的身分識別。
多租用戶應用程式允許驗證來自任何 Microsoft Entra 租用戶的身分識別。
服務主體物件。 應用程式物件可視為應用程式的「定義」(雖有例外)。 服務主體物件可視為應用程式的執行個體。 服務主體通常會參考應用程式物件,而且一個應用程式物件供不同目錄的多個服務主體來參考。
服務主體物件也是目錄身分識別,無須人為介入即可執行工作。 對於 Microsoft Entra 租用戶中的使用者或應用程式,服務主體定義存取原則和權限。 此機制啟用核心功能,例如在登入期間驗證使用者或應用程式,以及在資源存取期間授權。
Microsoft Entra ID 可讓應用程式和服務主體物件使用密碼 (也稱為應用程式秘密) 或憑證進行驗證。 不建議使用服務主體的密碼,建議盡可能使用憑證。
Azure 資源的受控識別。 受控識別是 Microsoft Entra ID 中的特殊服務主體。 這種服務主體可用來驗證支援 Microsoft Entra 驗證的服務,而不需要將認證儲存在程式碼中或處理秘密管理。 如需詳細資訊,請參閱什麼是 Azure 資源受控識別?
裝置身分識別:裝置身分識別確認驗證流程中使用的裝置已通過流程來證明裝置合法,且符合技術需求。 一旦裝置成功完成此流程,相關的身分識別就可以用來進一步控制對組織資源的存取權。 透過 Microsoft Entra ID,裝置可以使用憑證進行驗證。
某些舊版案例需要在 非人類 案例中使用人類身分識別。 例如,當內部部署應用程式 (例如指令碼或批次作業) 中使用的服務帳戶需要存取 Microsoft Entra ID 時。 不建議使用此模式,建議您使用憑證。 不過,如果您使用人類身分識別搭配密碼進行驗證,請使用 Microsoft Entra 多重要素驗證來保護您的 Microsoft Entra 帳戶。
混合式身分識別。 混合式身分識別是跨越內部部署和雲端環境的身分識別。 混合式的優點是能夠使用相同的身分識別來存取內部部署和雲端資源。 在此案例中的授權來源通常是內部部署目錄,而佈建、取消佈建和資源指派的身分識別生命週期也由內部部署驅動。 若需詳細資訊,請參閱混合式身分識別文件 (部份機器翻譯)。
目錄物件。 Microsoft Entra 租用戶包含下列常見物件:
使用者物件 對於目前不支援服務主體的服務,代表人類身分識別和非人類身分識別。 使用者物件包含的屬性具有使用者的必要資訊,包括指派給使用者的個人詳細資料、群組成員資格、裝置和角色。
裝置物件 代表與 Microsoft Entra 租用戶相關的裝置。 裝置物件包含的屬性具有裝置的必要資訊。 這些物件包括作業系統、相關的使用者、合規性狀態,以及與 Microsoft Entra 租用戶相關聯的本質。 視裝置的互動和信任層級的本質而定,此關聯可能有多種形式。
已加入混合式網域。 組織所擁有且 已加入 內部部署的 Active Directory 和 Microsoft Entra ID 的裝置。 通常是由組織購買和管理並由 System Center Configuration Manager 管理的裝置。
已加入 Microsoft Entra 網域。 組織所擁有且已加入組織 Microsoft Entra 租用戶的裝置。 通常是由加入 Microsoft Entra ID 的組織所購買和管理並由服務 (例如 Microsoft Intune) 管理的裝置。
已註冊 Microsoft Entra。 組織未擁有的裝置 (例如個人裝置),用來存取公司資源。 組織可能要求裝置必須透過 行動裝置裝置管理 (MDM)註冊,或透過 行動裝置應用程式管理 (MAM) 來強制執行,不必註冊即可存取資源。 Microsoft Intune 之類的服務可提供此項功能。
群組物件包含的物件用於指派資源存取權、套用控制或組態。 群組物件包含的屬性具有群組的必要資訊,包括名稱、描述、群組成員、群組擁有者和群組類型。 Microsoft Entra ID 中的群組會根據組織的需求採取多種形式。 您可以使用 Microsoft Entra ID 或從內部部署的 Active Directory 網域服務 (AD DS) 同步處理這些需求。
指派的群組。 在指派的群組中,使用者可以手動新增至群組或從群組中移除、從內部部署 AD DS 同步,或在自動化指令碼工作流程中更新。 指派的群組可能從內部部署 AD DS 同步,或放在 Microsoft Entra ID 中。
動態成員資格群組。 在組動態成員資格群組中,使用者是根據定義的屬性自動指派至群組。 此案例允許根據使用者物件內保留的資料,動態更新群組成員資格。 組動態成員資格群組只能放在 Microsoft Entra ID 中。
Microsoft 帳戶 (MSA)。 您可以使用 Microsoft 帳戶 (MSA) 建立 Azure 訂用帳戶和租用戶。 Microsoft 帳戶是個人帳戶 (而不是組織帳戶),通常供開發人員使用和用於試用情節。 使用時,個人帳戶一律為 Microsoft Entra 租用戶中的來賓。
Microsoft Entra 功能區域
這些功能領域是由與隔離環境有關的 Microsoft Entra ID 提供。 若要深入瞭解 Microsoft Entra ID 的功能,請參閱什麼是 Microsoft Entra ID?。
驗證
驗證。 Microsoft Entra ID 支援符合開放標準的驗證通訊協定,例如 Open ID Connect、OAuth 和 SAML。 Microsoft Entra ID 也能夠讓組織聯合現有的內部部署身分識別提供者,例如 Active Directory 同盟服務 (AD FS),以驗證對 Microsoft Entra ID 整合式應用程式的存取權。
Microsoft Entra ID 提供領先業界的增強式驗證選項,供組織用來保護對資源的存取權。 Microsoft Entra 多重要素驗證、裝置驗證和無密碼功能可讓組織部署符合其員工需求的增強式驗證選項。
單一登入 (SSO)。 透過單一登入,使用者只要使用一個帳戶登入一次,即可存取信任目錄的所有資源,例如已加入網域的裝置、公司資源、軟體即服務 (SaaS) 應用程式,以及所有 Microsoft Entra 整合式應用程式。 如需詳細資訊,請參閱在 Microsoft Entra ID 中單一登入應用程式。
授權
資源存取指派。 Microsoft Entra ID 提供並保護對資源的存取權。 在 Microsoft Entra ID 中指派對資源的存取權有兩種方式:
使用者指派:直接指派對資源的存取權給使用者,並將適當的角色或權限指派給使用者。
群組指派:將包含一或多個使用者的群組指派給資源,並將適當的角色或權限指派給群組
應用程式存取原則。 Microsoft Entra ID 能夠進一步控制和保護對組織應用程式的存取權。
條件式存取。 Microsoft Entra 條件式存取原則這項工具會在存取 Microsoft Entra 資源時,將使用者和裝置內容帶進授權流程中。 組織應該探索使用條件式存取原則,以根據使用者、風險、裝置和網路內容來允許、拒絕或增強驗證。 如需詳細資訊,請參閱 Microsoft Entra 條件式存取文件。
Microsoft Entra ID 保護。 此功能可讓組織自動偵測及補救以身分識別為基礎的風險、調查風險,以及將風險偵測資料匯出至第三方公用程式來進一步分析。 如需詳細資訊,請參閱 Microsoft Entra ID Protection 概觀。
系統管理
身分識別管理。 Microsoft Entra ID 提供工具來管理使用者、群組和裝置身分識別的生命週期。 Microsoft Entra Connect 可讓組織將其目前的內部部署身分識別管理解決方案延伸至雲端。 Microsoft Entra Connect 管理 Microsoft Entra ID 中這些身分識別的佈建、取消佈建及更新。
Microsoft Entra ID 也提供入口網站和 Microsoft Graph API,可讓組織管理身分識別,或將 Microsoft Entra 身分識別管理整合到現有的工作流程或自動化中。 若要深入了解 Microsoft Graph,請參閱使用 Microsoft Graph API。
裝置管理。 Microsoft Entra ID 用來管理生命週期,並與雲端和內部部署裝置管理基礎結構整合。 也可用來定義原則,以控制從雲端或內部部署裝置存取組織資料。 Microsoft Entra ID 為目錄中的裝置提供生命週期服務,也提供認證佈建來啟用驗證。 還為系統中的信任層級裝置管理主要屬性。 在設計資源存取原則時,這項細節很重要。 若需詳細資訊,請參閱 Microsoft Entra 裝置管理文件 (部份機器翻譯)。
組態管理。 必須設定和管理 Microsoft Entra ID 的一些服務元素,以確保服務設定為符合組織的需求。 這些元素包括網域管理、SSO 組態及應用程式管理等。 Microsoft Entra ID 提供入口網站和 Microsoft Graph API,可讓組織管理這些元素或整合到現有的程序。 若要深入了解 Microsoft Graph,請參閱使用 Microsoft Graph API。
治理
身分識別生命週期。 Microsoft Entra ID 能夠在目錄中建立、擷取、刪除和更新身分識別,包括外部身分識別。 Microsoft Entra ID 也提供服務來自動化身分識別生命週期,以確保持續符合組織的需求。 例如,使用存取權檢閱來移除在規定期限內未登入的外部使用者。
報告與分析。 身分識別治理的一個重要層面是查看使用者動作。 Microsoft Entra ID 可讓您深入解析環境的安全性和使用模式。 這些深入解析包括下列各項的詳細資訊:
使用者存取什麼
從何處存取
使用的裝置
用於存取的應用程式
Microsoft Entra ID 也針對 Microsoft Entra ID 內執行的動作提供相關資訊,並報告安全性風險。 如需詳細資訊,請參閱 Microsoft Entra 報告和監視。
稽核。 稽核可以透過記錄來追蹤特定功能在 Microsoft Entra ID 內進行的所有變更。 稽核記錄中的活動例子包括對 Microsoft Entra ID 內任何資源所做的變更,例如新增或移除使用者、應用程式、群組、角色和原則。 Microsoft Entra ID 中的報告可讓您稽核登入活動、具風險的登入,以及標幟為風險的使用者。 如需詳細資訊,請參閱 Azure 入口網站中的稽核活動報告。
存取認證。 存取認證是證明使用者有權在某個時間點存取資源的一種程序。 Microsoft Entra 存取權檢閱會持續檢閱群組或應用程式的成員資格,並提供深入解析,以判斷是否需要存取權或應該移除存取權。 這項認證可讓組織有效管理群組成員資格、對企業應用程式的存取權,以及角色指派,確保只有合適的人員才可繼續具有存取權限。 如需詳細資訊,請參閱什麼是 Microsoft Entra 存取權檢閱?
特殊權限存取。 Microsoft Entra Privileged Identity Management (PIM) 提供以時間為基礎和以核准為基礎的角色啟用,以降低因為對 Azure 資源的存取權限過多、不必要或誤用而引起的風險。 此技術縮短權限的曝光時間,並透過報告和警示更清楚了解權限的使用情形,以保護特殊權限帳戶。
自助式管理
認證註冊。 Microsoft Entra ID 能夠管理使用者身分識別生命週期的所有層面,並提供自助功能以減輕組織技術服務人員的工作負載。
群組管理。 Microsoft Entra ID 提供可讓使用者在群組中要求成員資格以存取資源的功能。 使用 Microsoft Entra ID 建立可用於保護資源或共同作業的群組。 因此組織可以使用這些功能落實適當的控制。
取用者身分識別與存取管理 (IAM)
Azure AD B2C。 Azure AD B2C 是可在 Azure 訂用帳戶中啟用的服務,可為組織的接觸客戶應用程式使用者提供身分識別。 這項服務是單獨的身分識別供應項目,這些使用者通常不會出現在組織的 Microsoft Entra 租用戶中。 Azure AD B2C 由 Azure 訂用帳戶相關聯租用戶中的管理員所管理。