了解 Azure Active Directory 中的功能
屬於 Microsoft Entra 一部分的 Azure Active Directory (Azure AD) 是 Microsoft 365 的雲端式身分識別和存取權管理服務。
您可以根據您的業務需求,使用 Azure AD 來控制對應用程式和應用程式資源的存取。 例如,您可以使用 Azure AD 在存取重要的組織資源時,要求多重要素驗證。 此外,您可以使用 Azure AD,在現有 Windows Server AD 與雲端應用程式 (包括 Microsoft 365) 之間自動化使用者佈建。 最後,Azure AD 為您提供強大的工具,可自動協助保護使用者身分識別和認證,並符合您的存取控管需求。
Azure AD 中的功能
類別 | 描述 |
---|---|
應用程式管理 | 使用應用程式 Proxy、單一登入、「我的應用程式」入口網站 (也稱為「存取面板」) 和「軟體即服務 (SaaS)」應用程式,管理您的雲端和內部部署應用程式。 |
驗證 | 管理 Azure Active Directory 自助密碼重設、多重要素驗證、自訂禁止密碼清單和智慧鎖定。 |
開發人員的 Azure Active Directory | 建立可登入所有 Microsoft 身分識別、取得權杖以呼叫 Microsoft Graph、其他 Microsoft API,或自訂 API 的應用程式。 |
企業對企業 (B2B) | 管理您的客人和外部合作夥伴,同時維持對您自己公司資料的控制權。 |
企業對客戶 (B2C) | 使用您的應用程式時,請自訂及控制使用者如何註冊、登入和管理設定檔。 |
條件式存取 | 管理雲端應用程式的存取。 |
裝置管理 | 管理您的雲端或內部部署裝置如何存取您的公司資料。 |
網域服務 | 將 Azure 虛擬機器加入網域,而不使用網域控制站。 |
企業使用者 | 管理授權指派、對應用程式的存取,以及使用群組和系統管理員角色設定代理人。 |
混合式身分識別 | 使用 Azure Active Directory 連線和連線健全狀況,提供單一使用者身分識別,以供驗證及授權存取所有資源,不論位置為何 (雲端或內部部署)。 |
身分識別控管 | 透過員工、商務夥伴、廠商、服務和應用程式存取控制來管理您組織的身分識別。 您也可以執行存取檢查。 |
身分識別保護 | 偵測影響組織之身分識別的潛在弱點,設定原則以回應可疑的動作,然後採取適當的動作解決這些問題。 |
Azure 資源的受管理身分識別 | 在可驗證任何 Azure AD 支援之驗證服務的 Azure AD 中,為您的 Azure 服務提供自動管理身分識別 (包括 Key Vault)。 |
特殊權限身分識別管理 (PIM) | 管理、控制及監視組織內的存取。 這項功能包括可存取 Azure AD 和 Azure,以及其他 Microsoft 線上服務,例如 Microsoft 365 與 Intune 中的資源。 |
報告和監控 | 取得您的環境安全性和使用模式的深入解析。 |
Azure Active Directory 和 Microsoft 365 中的外部共同作業
Microsoft Teams、SharePoint 及 OneDrive 是與外部使用者共同作業和共用內容最常用的三種方式。
Azure Active Directory (Azure AD) 企業對企業 (B2B) 共同作業是「外部身分識別」中的一項功能,可讓您邀請客人與您的組織共同作業。 透過 B2B 共同作業,您可以從任何其他組織安全地與來賓共用 Microsoft 365 應用程式和服務,同時維持對您自己公司資料的控制權。
使用 Azure AD B2B,合作夥伴會使用自己的身分識別管理解決方案,因此組織不需要額外負荷外部系統管理工作。 來賓會以自己的公司、學校或社交身分登入您的應用程式和服務。
合作夥伴使用他們自己的身分識別與認證;就不需要使用 Azure AD。
您不需要管理外部帳戶或密碼。
您不需要同步處理帳戶或管理帳戶的生命週期。
Azure AD 權利管理
組織的員工需要存取各種群組、應用程式和網站才能執行他們的工作。 隨著需求的變更,管理此存取會具有挑戰性。 企業組織在管理員工對資源的存取時,時常會面臨挑戰,例如:
使用者可能不知道應該擁有哪些存取,即使知道,也可能難以找到正確的人員來核准他們的存取。
一旦使用者找到並接收資源的存取,他們可能會保留超過商務用途所需的存取時間
對於需要從另一個組織 (例如來自供應鏈組織或其他商業夥伴的外部使用者) 進行存取的使用者,這些問題會變的更加棘手。 例如,您可能不知道其他組織中的哪些人需要存取貴組織的資源,而他們也不會知道貴組織正在使用哪些應用程式、群組或網站。
Azure Active Directory (Azure AD) 權利管理是一項 身份識別控管功能,可讓組織透過自動執行存取要求工作流程、存取指派、檢閱和到期日,以大規模地管理身分識別與存取生命週期。 Azure AD 權利管理可協助更有效地管理內部使用者,以及組織外部需要存取這些資源的使用者對群組、應用程式和 SharePoint 網站的存取。
透過權利管理,您可以將存取管理委派給這些非系統管理員,因為他們是知道哪些使用者需要存取、存取時間,以及哪些資源的人。 委派給非系統管理員可確保適當的人員管理其部門的存取權限。
存取套件
權利管理引入了 Azure AD 存取套件的概念。 存取套件是使用者處理專案或執行其工作所需存取的所有資源套件。 存取套件可用來管理內部員工和組織外部使用者的存取。 您可以使用權利管理來管理使用者對下列資源的存取:
- Azure AD 安全性群組的成員資格。
- Microsoft 365 群組和 Teams 的成員資格。
- 指派給 Azure AD 企業應用程式,包括支持同盟/單一登入和/或佈建的 SaaS 應用程式和自訂整合的應用程式。
- SharePoint 網站的成員資格。
您也可以控制依賴 Azure AD 安全性群組或 Microsoft 365 群組的其他資源存取。 例如,您可以提供:
- 使用存取套件中的 Azure AD 安全性群組,並針對該群組進行群組型授權設定,以取得 Microsoft 365 的授權。
- 管理 Azure AD 角色的存取,方法為在存取套件中使用 Azure AD 安全性群組並為該群組建立 Azure 角色指派。
- 管理 Azure AD 角色的存取,方法為在存取套件中使用可指派至 Azure AD 角色的群組並將 Azure AD 角色指派至該群組。