Основы Microsoft Entra

Идентификатор Microsoft Entra предоставляет границу удостоверения и доступа для ресурсов Azure и доверия приложений. Большинство требований к разделению среды можно выполнить с делегированным администрированием в одном клиенте Microsoft Entra. Эта конфигурация снижает затраты на управление системами. Однако для некоторых конкретных случаев, например полной изоляции ресурсов и удостоверений, требуется несколько арендаторов.

Необходимо определить архитектуру разделения среды в соответствии с вашими потребностями. К таким областям относятся:

• Разделение ресурсов. Если ресурс может изменить объекты каталога, такие как пользовательские объекты, и изменение будет мешать другим ресурсам, ресурс может быть изолирован в мультитенантной архитектуре.

• Разделение конфигураций. Конфигурации на уровне арендатора влияют на все ресурсы. Эффект некоторых конфигураций на уровне клиента можно ограничить с помощью политик условного доступа и других методов. Если у вас есть необходимость в различных конфигурациях клиента, которые не могут быть ограничены политиками условного доступа, может потребоваться мультитенантная архитектура.

• Административное разделение. Вы можете делегировать администрирование групп управления, подписок, групп ресурсов, ресурсов и некоторых политик в одном арендаторе. Глобальный администратор всегда имеет доступ ко всему арендатору. Если необходимо убедиться, что среда не совместно использует администраторов с другой средой, вам нужна мультитенантная архитектура.

Чтобы обеспечить безопасность, необходимо соблюдать рекомендации по подготовке удостоверений, управлению аутентификацией, управлению удостоверениями, управлению жизненным циклом и операциями во всех арендаторах.

Терминология

Этот список терминов обычно связан с идентификатором Microsoft Entra и относится к этому содержимому:

Клиент Microsoft Entra. Выделенный и доверенный экземпляр идентификатора Microsoft Entra, который автоматически создается при регистрации вашей организации для подписки на облачную службу Майкрософт. К таким подпискам относятся Microsoft Azure, Microsoft Intune или Microsoft 365. Клиент Microsoft Entra обычно представляет одну организацию или границу безопасности. Клиент Microsoft Entra включает пользователей, группы, устройства и приложения, используемые для управления удостоверениями и доступом (IAM) для ресурсов клиента.

Среда. В контексте этого содержимого среда — это коллекция подписок Azure, ресурсов Azure и приложений, связанных с одним или несколькими элементами управления Microsoft Entra. Клиент Microsoft Entra предоставляет плоскость управления удостоверениями для управления доступом к этим ресурсам.

Рабочая среда. В контексте этого содержимого рабочая среда — это динамическая среда с инфраструктурой и службами, с которыми конечные пользователи взаимодействуют напрямую. Например, корпоративная или клиентская среда.

Нерабочая среда. В контексте этого содержимого непроизводственная среда ссылается на среду, используемую для:

• Разработка

• Тестирование

• Цели задания

Непроизводственные среды обычно называются изолированными средами.

Удостоверение. Удостоверение — это объект каталога, который может быть аутентифицирован и авторизован для доступа к ресурсу. Объекты удостоверений существуют для человеческих удостоверений и нечеловеческих удостоверений. Нечеловеческие сущности включают:

• Объекты приложения

• Удостоверения рабочей нагрузки (ранее описанные как принципы обслуживания)

• Управляемые удостоверения

• .

Удостоверения человека — это объекты пользователей, которые обычно представляют людей в организации. Эти удостоверения создаются и управляются непосредственно в идентификаторе Microsoft Entra или синхронизируются из локальная служба Active Directory с идентификатором Microsoft Entra для данной организации. Эти типы удостоверений называются локальными удостоверениями. Также могут быть объекты пользователей, приглашенные из партнерской организации или поставщика удостоверений социальных удостоверений с помощью совместной работы Microsoft Entra B2B. В этом содержимом мы называем эти типы удостоверений внешними удостоверениями.

Удостоверения, не относящиеся к человеку, включают в себя какие-либо удостоверения, не связанные с человеком. Данный тип удостоверения — это объект, например приложение, которому требуется удостоверение для запуска. В этом содержимом мы ссылаемся на данный тип удостоверения как удостоверение рабочей нагрузки. Для описания этого типа удостоверения используются различные термины, включая объекты приложения и субъекты-службы.

• Объект приложения. Приложение Microsoft Entra определяется его объектом приложения. Объект находится в клиенте Microsoft Entra, где зарегистрировано приложение. Арендатор называется "домашним" арендатором приложения.

  • Приложения для одного арендатора создаются только для авторизации удостоверений, поступающих из "домашнего" арендатора.

  • Мультитенантные приложения позволяют удостоверениям любого клиента Microsoft Entra проходить проверку подлинности.

• Объект субъекта-службы. Хотя существуют исключения, объекты приложения можно рассматривать как определение приложения. Объекты субъектов-служб можно считать экземпляром приложения. Субъекты-службы обычно ссылаются на объект приложения, а один объект приложения ссылается на несколько субъектов-служб в разных каталогах.

Объекты субъекта-службы также являются удостоверениями каталогов, которые могут выполнять задачи независимо от вмешательства человека. Субъект-служба определяет политику доступа и разрешения для пользователя или приложения в клиенте Microsoft Entra. Этот механизм обеспечивает базовые возможности, включая аутентификацию пользователя или приложения во время входа, а также авторизацию во время получения доступа к ресурсам.

Идентификатор Microsoft Entra позволяет объектам приложения и субъекта-службы проходить проверку подлинности с помощью пароля (также известного как секрет приложения) или с помощью сертификата. Использование паролей для субъектов-служб не рекомендуется, поэтому по возможности рекомендуется использовать сертификат.

• Управляемые удостоверения для ресурсов Azure. Управляемые удостоверения — это специальные субъекты-службы в идентификаторе Microsoft Entra. Этот тип субъекта-службы можно использовать для проверки подлинности в службах, поддерживающих проверку подлинности Microsoft Entra, без необходимости хранить учетные данные в коде или обрабатывать управление секретами. См. сведения об управляемых удостоверениях для ресурсов Azure.

• Удостоверение устройства: удостоверение устройства проверяет устройство в потоке проверки подлинности, чтобы убедиться, что устройство является законным и соответствует техническим требованиям. После успешного завершения этого процесса связанное удостоверение можно использовать для дальнейшего управления доступом к ресурсам организации. С помощью идентификатора Microsoft Entra устройства могут проходить проверку подлинности с помощью сертификата.

Некоторые устаревшие сценарии требуют использования человеческой личности в нечеловеческих сценариях. Например, если учетные записи служб используются в локальных приложениях, таких как сценарии или пакетные задания, требуют доступа к идентификатору Microsoft Entra. Этот шаблон не рекомендуется, поэтому лучше использовать сертификаты. Однако если вы используете удостоверение человека с паролем для проверки подлинности, защитите учетные записи Microsoft Entra с помощью многофакторной проверки подлинности Microsoft Entra.

Гибридное удостоверение. Гибридное удостоверение — это удостоверение, которое охватывает локальные и облачные среды. Гибридная среда позволяет использовать то же удостоверение для доступа к локальным и облачным ресурсам. Источник центра в этом сценарии обычно является локальным каталогом, а жизненный цикл удостоверений вокруг подготовки, отмены подготовки и назначения ресурсов также осуществляется из локальной среды. Дополнительные сведения см. в статье Документация по гибридной идентификации.

Объекты каталога. Клиент Microsoft Entra содержит следующие распространенные объекты:

• Пользовательские объекты представляют человеческие удостоверения и нечеловеческие удостоверения для служб, которые в настоящее время не поддерживают субъекты-службы. Пользовательские объекты содержат атрибуты, содержащие необходимые сведения о пользователе, включая персональные данные, членство в группах, устройства и роли, назначенные пользователю.

• Объекты устройств представляют устройства, связанные с клиентом Microsoft Entra. Объекты устройств содержат атрибуты, содержащие необходимые сведения об устройстве. К этим объектам относятся операционная система, связанный пользователь, состояние соответствия требованиям и характер связи с клиентом Microsoft Entra. Эта связь может принимать несколько форм в зависимости от типа взаимодействия и уровня доверия устройства.

  • Присоединено к гибридному домену. Устройства, принадлежащие организации и присоединенные к локальная служба Active Directory и идентификатору Microsoft Entra. Обычно организация приобретает устройство и управляет им, а также оно управляется System Center Configuration Manager.

  • Присоединено к домену Microsoft Entra. Устройства, принадлежащие организации и присоединенные к клиенту Microsoft Entra организации. Обычно устройство, приобретенное и управляемое организацией, присоединенное к идентификатору Microsoft Entra и управляемое службой, например Microsoft Intune.

  • Зарегистрирована microsoft Entra. Устройства, не принадлежащие организации, например личные устройства, используемые для доступа к ресурсам компании. Организациям может потребоваться регистрация устройства с помощью мобильных Управление устройствами (MDM) или принудительное применение с помощью управления мобильными приложениями (MAM) без регистрации для доступа к ресурсам. Такая служба, как Microsoft Intune, может предоставить эту возможность.

• Объекты группы содержат объекты для назначения доступа к ресурсам, применения элементов управления или конфигурации. Объекты группы содержат атрибуты, в которые входят необходимые сведения о группе, включая имя, описание, члены группы, владельцев групп и тип группы. Группы в идентификаторе Microsoft Entra id принимают несколько форм на основе требований организации. Эти требования можно выполнить с помощью идентификатора Microsoft Entra или синхронизации из локальная служба Active Directory доменных служб (AD DS).

  • Назначенные группы. В назначенных группах пользователи добавляются или удаляются из группы вручную, синхронизируются из локальной службы AD DS или обновляются как часть автоматизированного рабочего процесса с скриптами. Назначенная группа может быть синхронизирована из локальной службы AD DS или может быть размещена в идентификаторе Microsoft Entra.

  • Группы динамического членства. В группах динамического членства на основе атрибутов пользователи автоматически назначаются группе на основе определенных атрибутов. Этот сценарий позволяет динамически обновлять членства в группах на основе данных, содержащихся в пользовательских объектах. Динамическую группу членства можно использовать только в идентификаторе Microsoft Entra.

Учетная запись Майкрософт (MSA). Вы можете создавать подписки и арендаторы Azure с помощью учетных записей Майкрософт (MSA). Учетная запись Майкрософт — это личная учетная запись (в отличие от учетной записи организации), которая обычно используется разработчиками и применяется для пробных сценариев. При использовании личная учетная запись всегда делается гостем в клиенте Microsoft Entra.

Функциональные области Microsoft Entra

Эти функциональные области предоставляются идентификатором Microsoft Entra, соответствующими изолированным средам. Дополнительные сведения о возможностях идентификатора Microsoft Entra см. в статье "Что такое идентификатор Microsoft Entra ID?".

Проверка подлинности

Проверка подлинности. Идентификатор Microsoft Entra обеспечивает поддержку протоколов проверки подлинности, соответствующих открытым стандартам, таким как OpenID Connect, OAuth и SAML. Идентификатор Microsoft Entra также предоставляет возможности, позволяющие организациям федеративные существующие локальные поставщики удостоверений, такие как службы федерации Active Directory (AD FS) (AD FS) для проверки подлинности доступа к интегрированным приложениям Microsoft Entra.

Идентификатор Microsoft Entra предоставляет ведущие в отрасли варианты надежной проверки подлинности, которые организации могут использовать для защиты доступа к ресурсам. Возможности многофакторной проверки подлинности Microsoft Entra, проверки подлинности устройств и без пароля позволяют организациям развертывать надежные варианты проверки подлинности, соответствующие требованиям своих сотрудников.

Единый вход. С помощью единого входа пользователи войдите один раз с одной учетной записью, чтобы получить доступ ко всем ресурсам, которые доверяют каталогу, таким как устройства, присоединенные к домену, корпоративные ресурсы, приложения программного обеспечения как услуга (SaaS) и все интегрированные приложения Microsoft Entra. Дополнительные сведения см. в разделе "Единый вход в приложения" в идентификаторе Microsoft Entra.

Авторизация

Назначение доступа к ресурсам. Идентификатор Microsoft Entra предоставляет и защищает доступ к ресурсам. Назначение доступа к ресурсу в идентификаторе Microsoft Entra можно сделать двумя способами:

• Назначение пользователя. Пользователю напрямую назначается доступ к ресурсу, а также назначается соответствующая роль или разрешение.

• Назначение группы. Группа, содержащая одного или нескольких пользователей, назначается ресурсу, а также назначается соответствующая роль или разрешение.

Политики доступа приложений. Идентификатор Microsoft Entra предоставляет возможности для дальнейшего управления и безопасного доступа к приложениям вашей организации.

Условный доступ. Политики условного доступа Microsoft Entra — это средства для привлечения контекста пользователей и устройств к потоку авторизации при доступе к ресурсам Microsoft Entra. Организации должны изучить использование политик условного доступа, чтобы разрешить, запретить или улучшить проверку подлинности на основе пользователя, риска, устройства и контекста сети. Дополнительные сведения см. в документации по условному доступу Microsoft Entra.

Защита идентификации Microsoft Entra. Эта возможность позволяет организациям автоматизировать обнаружение и устранение рисков на основе удостоверений, анализировать риски и экспортировать данные об обнаружении рисков в сторонние программы для дальнейшего анализа. Дополнительные сведения см. в обзоре Защита идентификации Microsoft Entra.

Администрирование

Управление удостоверениями. Идентификатор Microsoft Entra предоставляет средства для управления жизненным циклом удостоверений пользователей, групп и устройств. Microsoft Entra Connect позволяет организациям расширить текущее локальное решение для управления удостоверениями в облаке. Microsoft Entra Connect управляет подготовкой, отменой подготовки и обновлениями этих удостоверений в идентификаторе Microsoft Entra.

Идентификатор Microsoft Entra также предоставляет портал и API Microsoft Graph, чтобы организации могли управлять удостоверениями или интегрировать управление удостоверениями Microsoft Entra в существующие рабочие процессы или автоматизацию. Дополнительные сведения о Microsoft Graph см. в статье Использование Microsoft API Graph.

Управление устройством. Идентификатор Microsoft Entra используется для управления жизненным циклом и интеграцией с облачными и локальными инфраструктурами управления устройствами. Эта служба также используется для определения политик для управления доступом из облачных или локальных устройств к данным организации. Идентификатор Microsoft Entra предоставляет службы жизненного цикла устройств в каталоге и подготовку учетных данных для включения проверки подлинности. Эта служба также управляет ключевым атрибутом устройства в системе, которая имеет уровень доверия. Это важно при разработке политики доступа к ресурсам. Дополнительные сведения см. в документации по Microsoft Entra Управление устройствами.

Управление конфигурацией. Идентификатор Microsoft Entra содержит элементы службы, которые необходимо настроить и управлять, чтобы служба была настроена в соответствии с требованиями организации. К этим элементам относятся управление доменами, конфигурация единого входа, управление приложениями для имен и т. д. Идентификатор Microsoft Entra предоставляет портал и API Microsoft Graph, чтобы организации могли управлять этими элементами или интегрироваться в существующие процессы. Дополнительные сведения о Microsoft Graph см. в статье Использование Microsoft API Graph.

Система управления

Жизненный цикл удостоверений. Идентификатор Microsoft Entra предоставляет возможности для создания, извлечения, удаления и обновления удостоверений в каталоге, включая внешние удостоверения. Идентификатор Microsoft Entra также предоставляет службы для автоматизации жизненного цикла удостоверений, чтобы обеспечить его обслуживание в соответствии с потребностями вашей организации. Например, использование проверок доступа для удаления внешних пользователей, которые еще не выполнили вход в течение указанного периода.

Отчеты и аналитика. Важным аспектом управления удостоверениями является видимость действий пользователей. Идентификатор Microsoft Entra предоставляет аналитические сведения о шаблонах безопасности и использования вашей среды. Эти аналитические сведения содержат подробные данные о:

• доступе пользователей;

• месте выполнения доступа;

• использованных устройствах;

• приложениях, используемых для доступа.

Идентификатор Microsoft Entra также содержит сведения о действиях, выполняемых в идентификаторе Microsoft Entra, и отчетах о рисках безопасности. Дополнительные сведения см . в отчетах и мониторинге Microsoft Entra.

Аудит. Аудит обеспечивает трассировку с помощью журналов для всех изменений, выполненных определенными функциями в идентификаторе Microsoft Entra. Примеры действий, найденных в журналах аудита, включают изменения, внесенные в любые ресурсы в идентификаторе Microsoft Entra, например добавление или удаление пользователей, приложений, групп, ролей и политик. Отчеты в идентификаторе Microsoft Entra позволяют выполнять аудит действий входа, рискованных входов и пользователей, помеченных для риска. Дополнительные сведения см. в отчетах о действиях аудита в портал Azure.

Доступ к сертификации. Сертификация доступа — это процесс подтверждения того, что пользователь имеет право на доступ к ресурсу в определенный момент времени. Проверки доступа Microsoft Entra постоянно проверяют членство в группах или приложениях и предоставляют аналитические сведения о необходимости или удалении доступа. Эта сертификация позволяет организациям эффективно управлять членством в группах, доступом к корпоративным приложениям и назначениям ролей, чтобы убедиться, что только правильные люди продолжают иметь доступ. Дополнительные сведения см. в разделе "Что такое проверки доступа Microsoft Entra"?

Привилегированный доступ. Microsoft Entra управление привилегированными пользователями (PIM) обеспечивает активацию роли на основе времени и утверждения, чтобы снизить риски чрезмерного, ненужного или неправильного доступа к ресурсам Azure. Оно используется для обеспечения защиты привилегированных учетных записей, уменьшая время действия привилегий и улучшая видимость их использования с помощью отчетов и оповещений.

Самостоятельное управление услугами

Регистрация учетных данных. Идентификатор Microsoft Entra предоставляет возможности для управления всеми аспектами жизненного цикла удостоверений пользователей и возможностей самообслуживания для уменьшения рабочей нагрузки вспомогательной службы организации.

Управление группами. Идентификатор Microsoft Entra предоставляет возможности, позволяющие пользователям запрашивать членство в группе для доступа к ресурсам. Используйте идентификатор Microsoft Entra для создания групп, которые можно использовать для защиты ресурсов или совместной работы. Таким образом, организации могут использовать соответствующие элементы управления, которые они применяют для управления этими возможностями.

Система управления идентификацией и доступом (IAM)

Azure Active Directory B2C. Azure AD B2C — это служба, которая может быть включена в подписке Azure для предоставления удостоверений потребителям для клиентских приложений вашей организации. Эта служба является отдельным предложением удостоверений, поэтому эти пользователи обычно не отображаются в клиенте Microsoft Entra организации. Администраторы управляют Azure Active Directory B2C в арендаторе, связанном с подпиской Azure.

Следующие шаги

• Общие сведения о делегированном администрировании и изолированных средах

• Основы управления ресурсами Azure

• Изоляция ресурсов в одном арендаторе

• Изоляция ресурсов с несколькими арендаторами

• Рекомендации