了解 Azure Active Directory 中的功能

已完成

屬於 Microsoft Entra 一部分的 Azure Active Directory (Azure AD) 是 Microsoft 365 的雲端式身分識別和存取權管理服務。

您可以根據您的業務需求,使用 Azure AD 來控制對應用程式和應用程式資源的存取。 例如,您可以使用 Azure AD 在存取重要的組織資源時,要求多重要素驗證。 此外,您可以使用 Azure AD,在現有 Windows Server AD 與雲端應用程式 (包括 Microsoft 365) 之間自動化使用者佈建。 最後,Azure AD 為您提供強大的工具,可自動協助保護使用者身分識別和認證,並符合您的存取控管需求。

顯示 Microsoft Entra 系統管理中心的圖表

Azure AD 中的功能

類別 描述
應用程式管理 使用應用程式 Proxy、單一登入、「我的應用程式」入口網站 (也稱為「存取面板」) 和「軟體即服務 (SaaS)」應用程式,管理您的雲端和內部部署應用程式。
驗證 管理 Azure Active Directory 自助密碼重設、多重要素驗證、自訂禁止密碼清單和智慧鎖定。
開發人員的 Azure Active Directory 建立可登入所有 Microsoft 身分識別、取得權杖以呼叫 Microsoft Graph、其他 Microsoft API,或自訂 API 的應用程式。
企業對企業 (B2B) 管理您的客人和外部合作夥伴,同時維持對您自己公司資料的控制權。
企業對客戶 (B2C) 使用您的應用程式時,請自訂及控制使用者如何註冊、登入和管理設定檔。
條件式存取 管理雲端應用程式的存取。
裝置管理 管理您的雲端或內部部署裝置如何存取您的公司資料。
網域服務 將 Azure 虛擬機器加入網域,而不使用網域控制站。
企業使用者 管理授權指派、對應用程式的存取,以及使用群組和系統管理員角色設定代理人。
混合式身分識別 使用 Azure Active Directory 連線和連線健全狀況,提供單一使用者身分識別,以供驗證及授權存取所有資源,不論位置為何 (雲端或內部部署)。
身分識別控管 透過員工、商務夥伴、廠商、服務和應用程式存取控制來管理您組織的身分識別。 您也可以執行存取檢查。
身分識別保護 偵測影響組織之身分識別的潛在弱點,設定原則以回應可疑的動作,然後採取適當的動作解決這些問題。
Azure 資源的受管理身分識別 在可驗證任何 Azure AD 支援之驗證服務的 Azure AD 中,為您的 Azure 服務提供自動管理身分識別 (包括 Key Vault)。
特殊權限身分識別管理 (PIM) 管理、控制及監視組織內的存取。 這項功能包括可存取 Azure AD 和 Azure,以及其他 Microsoft 線上服務,例如 Microsoft 365 與 Intune 中的資源。
報告和監控 取得您的環境安全性和使用模式的深入解析。

Azure Active Directory 和 Microsoft 365 中的外部共同作業

Microsoft Teams、SharePoint 及 OneDrive 是與外部使用者共同作業和共用內容最常用的三種方式。

Azure Active Directory (Azure AD) 企業對企業 (B2B) 共同作業是「外部身分識別」中的一項功能,可讓您邀請客人與您的組織共同作業。 透過 B2B 共同作業,您可以從任何其他組織安全地與來賓共用 Microsoft 365 應用程式和服務,同時維持對您自己公司資料的控制權。

顯示 Azure Active Directory (Azure A D) 企業對企業 (B 2 B) 的圖表。

使用 Azure AD B2B,合作夥伴會使用自己的身分識別管理解決方案,因此組織不需要額外負荷外部系統管理工作。 來賓會以自己的公司、學校或社交身分登入您的應用程式和服務。

  • 合作夥伴使用他們自己的身分識別與認證;就不需要使用 Azure AD。

  • 您不需要管理外部帳戶或密碼。

  • 您不需要同步處理帳戶或管理帳戶的生命週期。

Azure AD 權利管理

組織的員工需要存取各種群組、應用程式和網站才能執行他們的工作。 隨著需求的變更,管理此存取會具有挑戰性。 企業組織在管理員工對資源的存取時,時常會面臨挑戰,例如:

  • 使用者可能不知道應該擁有哪些存取,即使知道,也可能難以找到正確的人員來核准他們的存取。

  • 一旦使用者找到並接收資源的存取,他們可能會保留超過商務用途所需的存取時間

對於需要從另一個組織 (例如來自供應鏈組織或其他商業夥伴的外部使用者) 進行存取的使用者,這些問題會變的更加棘手。 例如,您可能不知道其他組織中的哪些人需要存取貴組織的資源,而他們也不會知道貴組織正在使用哪些應用程式、群組或網站。

Azure Active Directory (Azure AD) 權利管理是一項 身份識別控管功能,可讓組織透過自動執行存取要求工作流程、存取指派、檢閱和到期日,以大規模地管理身分識別與存取生命週期。 Azure AD 權利管理可協助更有效地管理內部使用者,以及組織外部需要存取這些資源的使用者對群組、應用程式和 SharePoint 網站的存取。

透過權利管理,您可以將存取管理委派給這些非系統管理員,因為他們是知道哪些使用者需要存取、存取時間,以及哪些資源的人。 委派給非系統管理員可確保適當的人員管理其部門的存取權限。

顯示 IT 系統管理員委派代理人給經理的圖表。

存取套件

權利管理引入了 Azure AD 存取套件的概念。 存取套件是使用者處理專案或執行其工作所需存取的所有資源套件。 存取套件可用來管理內部員工和組織外部使用者的存取。 您可以使用權利管理來管理使用者對下列資源的存取:

  • Azure AD 安全性群組的成員資格。
  • Microsoft 365 群組和 Teams 的成員資格。
  • 指派給 Azure AD 企業應用程式,包括支持同盟/單一登入和/或佈建的 SaaS 應用程式和自訂整合的應用程式。
  • SharePoint 網站的成員資格。

您也可以控制依賴 Azure AD 安全性群組或 Microsoft 365 群組的其他資源存取。 例如,您可以提供:

  • 使用存取套件中的 Azure AD 安全性群組,並針對該群組進行群組型授權設定,以取得 Microsoft 365 的授權。
  • 管理 Azure AD 角色的存取,方法為在存取套件中使用 Azure AD 安全性群組並為該群組建立 Azure 角色指派。
  • 管理 Azure AD 角色的存取,方法為在存取套件中使用可指派至 Azure AD 角色的群組並將 Azure AD 角色指派至該群組。

顯示 Access 套件的圖表。