描述 Azure 目錄服務

  • 6 分鐘

Microsoft Entra ID 是目錄服務,可讓您登入和存取 Microsoft 雲端應用程式和您開發的雲端應用程式。 Microsoft Entra ID 也可以協助您維護內部部署的 Active Directory 部署。

對於內部部署環境,在 Windows Server 上執行的 Active Directory 會提供由貴組織所管理的身分識別和存取管理服務。 Microsoft Entra ID 是 Microsoft 的雲端式身分識別與存取管理服務。 使用 Microsoft Entra ID,您可以控制身分識別帳戶,而 Microsoft 則會確保服務可供全域使用。 如果您曾經使用過 Active Directory,就會熟悉 Microsoft Entra ID。

使用 Active Directory 保護內部部署的身分識別時,Microsoft 不會監視登入嘗試。 使用 Microsoft Entra ID 連線 Active Directory 時,Microsoft 會偵測可疑的登入嘗試來協助保護您的安全,而不另行收費。 例如,Microsoft Entra ID 會偵測來自非預期位置或未知裝置的登入嘗試。

誰使用 Microsoft Entra 識別碼?

Microsoft Entra ID 適用於:

  • IT 系統管理員。 系統管理員可根據商務需求,使用 Microsoft Entra ID 來控制對應用程式和資源的存取。
  • 應用程式開發人員。 開發人員可使用 Microsoft Entra ID 來提供標準型方法,以將功能新增至其建置的應用程式,例如將 SSO 功能新增至應用程式,或讓應用程式搭配使用者現有的認證來運作。
  • 使用者。 使用者可以管理其身分識別,並採取維護動作,例如自助式密碼重設。
  • 線上服務訂閱者。 Microsoft 365、Microsoft Office 365、Azure 及 Microsoft Dynamics CRM Online 訂閱者皆已使用 Microsoft Entra ID 以驗證其帳戶。

Microsoft Entra ID 有何用途?

Microsoft Entra ID 提供服務,例如:

  • 驗證:這包括驗證身分識別以存取應用程式與資源。 其也包括提供像是自助式密碼重設、多重要素驗證、自訂的禁用密碼清單,以及智慧鎖定服務等功能。
  • 單一登入:讓您只需要記住一個使用者名稱和一組密碼即可存取多個應用程式。 單一身分識別繫結至一名使用者,這可簡化安全性模型。 當使用者變更角色或離開組織時,存取權的修改會繫結至該身分識別,其會大幅降低變更或停用帳戶所需的工作量。
  • 應用程式管理:您可使用 Microsoft Entra ID 來管理自己的雲端和內部部署應用程式。 應用程式 Proxy、SaaS 應用程式、我的應用程式入口網站,以及單一登入等功能提供更佳的使用者體驗。
  • 裝置管理:與個人帳戶一樣,Microsoft Entra ID 也支援裝置註冊。 註冊後即可透過 Microsoft Intune 之類的工具來管理裝置。 其也讓裝置型條件式存取原則僅允許來自已知且已註冊裝置的存取嘗試,不論發出要求的使用者帳戶為何。

我是否可以使用 Microsoft Entra ID 來連線我的內部部署 AD?

如果您有使用 Microsoft Entra ID 執行 Active Directory 和雲端部署的內部部署環境,則必須維護兩個身分識別集。 不過,您可以使用 Microsoft Entra ID 連線 Active Directory,以在雲端與內部部署之間啟用一致的身分識別體驗。

將 Microsoft Entra ID 與您的內部部署 AD 連線的其中一種方法,是使用 Microsoft Entra 連線。 Microsoft Entra Connect 會同步處理內部部署 Active Directory 與 Microsoft Entra ID 之間的使用者身分識別。 Microsoft Entra Connect 會同步處理兩種身分識別系統間的變更,因此您可以在這兩種系統下使用像 SSO、多重要素驗證與自助式密碼重設等功能。

什麼是 Microsoft Entra Domain Services?

Microsoft Entra Domain Services 服務可提供受控網域服務,例如網域加入、群組原則、輕量型目錄存取通訊協定 (LDAP) 與 Kerberos/NTLM 驗證。 就像 Microsoft Entra ID 可讓您使用目錄服務,而不需要維護其支援基礎結構一樣,使用 Microsoft Entra Domain Services,即可獲得網域服務的權益,而不需要在雲端中部署、管理和修補網域控制站 (DC)。

Microsoft Entra Domain Services 受控網域可讓您在無法使用新式驗證方法的雲端中,或在您不希望目錄查閱一律回到內部部署的 AD DS 環境中執行舊版應用程式。 您可以將這些舊版應用程式從內部部署環境提起並轉移到受控網域,而不需要管理雲端中的 AD DS 環境。

Microsoft Entra Domain Services 會與您的現有 Microsoft Entra 租用戶整合。 這項整合可讓使用者使用現有的認證登入與受控網域連線的服務與應用程式。 您也可以使用現有的群組與使用者帳戶來保護對資源的存取。 這些功能提供了內部部署資源到 Azure 的順暢隨即轉移。

Microsoft Entra Domain Services 如何運作?

當您建立 Microsoft Entra Domain Services 受控網域時,您會定義唯一的命名空間。 此命名空間是網域名稱。 接著,會將兩個 Windows Server 網域控制站部署到您選取的 Azure 區域。 這個 DC 的部署稱為複本集。

您不需要管理、設定或更新這些 DC。 Azure 平台會以受控網域的一部分來處理 DC,包括使用 Azure 磁碟加密的備份與待用加密。

資訊是否同步?

受控網域已設定為執行從 Microsoft Entra ID 到 Microsoft Entra Domain Services 的單向同步處理。 您可以直接在受控網路中建立資源,但資源不會同步回 Microsoft Entra ID。 在具有內部部署 AD DS 環境的混合式環境中,Microsoft Entra Connect 會將身分識別資訊與 Microsoft Entra ID 同步處理,然後同步至受控網域。

將資訊從內部部署 AD 同步回 Microsoft Entra 租用戶的 Microsoft Entra Connect Sync 圖表。

連線到受控網域的 Azure 應用程式、服務和 VM 接著就可以使用常見的 Microsoft Entra Domain Services 功能,例如網域加入、群組原則、LDAP 與 Kerberos/NTLM 驗證。