Основы Microsoft Entra

Идентификатор Microsoft Entra ID предоставляет границу идентификации и доступа для ресурсов Azure и доверенных приложений. Большинство требований к разделению среды можно выполнить с делегированным администрированием в одном клиенте Microsoft Entra. Эта конфигурация снижает затраты на управление системами. Однако для некоторых конкретных случаев, например полной изоляции ресурсов и удостоверений, требуется несколько арендаторов.

Необходимо определить архитектуру разделения среды в соответствии с вашими потребностями. К таким областям относятся:

• Разделение ресурсов. Если ресурс может изменить объекты каталога, такие как пользовательские объекты, и изменение будет мешать другим ресурсам, ресурс может быть изолирован в мультитенантной архитектуре.

• Разделение конфигураций. Конфигурации на уровне арендатора влияют на все ресурсы. Эффект некоторых конфигураций на уровне клиента можно ограничить с помощью политик условного доступа и других методов. Если у вас есть необходимость в различных конфигурациях клиента, которые не могут быть ограничены политиками условного доступа, может потребоваться мультитенантная архитектура.

• Административное разделение. Вы можете делегировать администрирование групп управления, подписок, групп ресурсов, ресурсов и некоторых политик в рамках единого арендатора. Глобальный администратор всегда имеет доступ ко всему арендатору. Если необходимо убедиться, что среда не разделяет администраторов с другой средой, вам нужна мультитенантная архитектура.

Чтобы обеспечить безопасность, необходимо соблюдать рекомендации по подготовке удостоверений, управлению аутентификацией, управлению удостоверениями, управлению жизненным циклом и операциями во всех арендаторах.

Терминология

Этот список терминов обычно связан с идентификатором Microsoft Entra и относится к этому содержимому:

Клиент Microsoft Entra. Выделенный и доверенный экземпляр идентификатора Microsoft Entra, который автоматически создается при регистрации вашей организации для подписки на облачную службу Майкрософт. К таким подпискам относятся Microsoft Azure, Microsoft Intune или Microsoft 365. Клиент Microsoft Entra обычно представляет одну организацию или границу безопасности. Клиент Microsoft Entra включает пользователей, группы, устройства и приложения, используемые для управления удостоверениями и доступом (IAM) для ресурсов клиента.

Среда. В контексте этого содержимого среда — это коллекция подписок Azure, ресурсов Azure и приложений, связанных с одним или несколькими элементами управления Microsoft Entra. Клиент Microsoft Entra предоставляет платформу управления удостоверениями для регулирования доступа к этим ресурсам.

Рабочая среда. В контексте этого содержимого рабочая среда — это динамическая среда с инфраструктурой и службами, с которыми конечные пользователи взаимодействуют напрямую. Например, корпоративная или клиентская среда.

Непроизводственная среда. В контексте этого содержимого непроизводственная среда ссылается на среду, используемую для:

• Разработка

• Тестирование

• Цели задания

Непроизводственные среды обычно называются песочницами.

Удостоверение. Идентификатор — это объект каталога, который может быть аутентифицирован и авторизован для доступа к ресурсу. Объекты идентичности существуют для человеческих и нечеловеческих сущностей. Нечеловеческие сущности включают:

• Объекты приложения

• Идентификации рабочей нагрузки (ранее описывались как ключевые элементы обслуживания)

• Управляемые удостоверения

• Устройства.

Личности пользователей — это объекты пользователей, которые обычно представляют собой людей в организации. Эти удостоверения создаются и управляются непосредственно в Microsoft Entra ID или синхронизируются из локальной службы Active Directory в Microsoft Entra ID для данной организации. Эти типы удостоверений называются локальными удостоверениями. Также можно приглашать пользователей из партнерской организации или от поставщика социальных удостоверений с помощью платформы Microsoft Entra B2B. В этом содержимом мы называем эти типы удостоверений внешними удостоверениями.

Удостоверения, не относящиеся к человеку, включают в себя какие-либо удостоверения, не связанные с человеком. Данный тип удостоверения — это объект, например приложение, которому требуется удостоверение для запуска. В этом содержимом мы ссылаемся на данный тип удостоверения как удостоверение рабочей нагрузки. Для описания этого типа идентичности используются различные термины, включая объекты приложения и служебные принципы.

• Объект приложения. Приложение Microsoft Entra определяется его объектом приложения. Объект находится в клиенте Microsoft Entra, где зарегистрировано приложение. Арендатор называется "основным" арендатором приложения.

  • Приложения для одного арендатора создаются только для авторизации удостоверений, поступающих из "домашнего" арендатора.

  • Мультитенантные приложения позволяют удостоверениям любого клиента Microsoft Entra проходить проверку подлинности.

• Объект главного элемента управления услугами. Хотя существуют исключения, объекты приложения можно рассматривать как определение приложения. Объекты основных сервисов можно считать экземпляром приложения. Субъекты-службы обычно ссылаются на объект приложения, а один объект приложения ссылается на несколько субъектов-служб в разных каталогах.

Объекты служебного принципала также являются объектами каталога, которые могут выполнять задачи независимо от участия человека. Субъект-служба определяет политику доступа и разрешения для пользователя или приложения в клиенте Microsoft Entra. Этот механизм обеспечивает базовые возможности, включая аутентификацию пользователя или приложения во время входа, а также авторизацию во время получения доступа к ресурсам.

Идентификатор Microsoft Entra позволяет объектам приложений и объектов-служб аутентифицироваться с помощью пароля (также известного как секрет приложения) или сертификата. Использование паролей для субъектов-служб не рекомендуется, поэтому по возможности рекомендуется использовать сертификат.

• Управляемые идентификаторы для ресурсов Azure. Управляемые удостоверения — это специальные субъекты-службы в идентификаторе Microsoft Entra. Этот тип принципала службы можно использовать для выполнения аутентификации в службах, поддерживающих проверку подлинности Microsoft Entra, без необходимости хранить учетные данные в коде или управлять секретами. См. сведения об управляемых удостоверениях для ресурсов Azure.

• Идентификация устройства: идентификация устройства проверяет устройство в процессе аутентификации, чтобы удостовериться, что устройство является подлинным и соответствует техническим требованиям. После успешного завершения этого процесса связанное удостоверение можно использовать для дальнейшего управления доступом к ресурсам организации. С помощью идентификатора Microsoft Entra устройства могут проходить проверку подлинности с помощью сертификата.

Некоторые устаревшие сценарии требуют использования человеческой личности в нечеловеческих сценариях. Например, если учетные записи служб, используемые в локальных приложениях, таких как сценарии или пакетные задания, требуют доступа к Microsoft Entra ID. Этот шаблон не рекомендуется, поэтому лучше использовать сертификаты. Однако если вы используете удостоверение человека с паролем для проверки подлинности, защитите учетные записи Microsoft Entra с помощью многофакторной проверки подлинности Microsoft Entra.

Гибридная идентификация. Гибридная идентичность — это идентичность, которая распространяется на локальные и облачные среды. Гибридная среда позволяет использовать то же удостоверение для доступа к локальным и облачным ресурсам. В этом сценарии источником полномочий обычно является локальный каталог, и жизненный цикл управления идентификацией, включая предоставление, аннулирование доступа и назначение ресурсов, также управляется из локальной среды. Дополнительные сведения см. в статье Документация по гибридной идентификации.

Объекты каталога. Клиент Microsoft Entra содержит следующие распространенные объекты:

• Пользовательские объекты представляют человеческие идентификаторы и нечеловеческие идентификаторы для служб, которые в настоящее время не поддерживают учетные записи служб. Пользовательские объекты содержат атрибуты, содержащие необходимые сведения о пользователе, включая персональные данные, членство в группах, устройства и роли, назначенные пользователю.

• Объекты устройств представляют устройства, связанные с арендатором Microsoft Entra. Объекты устройств содержат атрибуты, содержащие необходимые сведения об устройстве. К этим объектам относятся операционная система, связанный пользователь, состояние соответствия требованиям и характер связи с клиентом Microsoft Entra. Эта связь может принимать несколько форм в зависимости от типа взаимодействия и уровня доверия устройства.

  • Присоединено к гибридному домену. Устройства, принадлежащие организации и присоединенные к локальным служебным Active Directory и Microsoft Entra ID. Обычно устройство приобретается организацией и управляется через System Center Configuration Manager.

  • Присоединено к домену Microsoft Entra. Устройства, принадлежащие организации и присоединенные к клиенту Microsoft Entra организации. Обычно устройство, приобретенное и управляемое организацией, присоединенное к идентификатору Microsoft Entra и управляемое службой, например Microsoft Intune.

  • Microsoft Entra зарегистрирована. Устройства, не принадлежащие организации, например личные устройства, используемые для доступа к ресурсам компании. Организациям может потребоваться учет устройства с помощью управления мобильными устройствами (MDM) или применение политики с помощью Управления мобильными приложениями (MAM) без учета для доступа к ресурсам. Такая служба, как Microsoft Intune, может предоставить эту возможность.

• Объекты группы содержат объекты для назначения доступа к ресурсам, применения элементов управления или конфигурации. Объекты группы содержат атрибуты, в которые входят необходимые сведения о группе, включая имя, описание, члены группы, владельцев групп и тип группы. Группы в Microsoft Entra ID принимают различные формы в зависимости от требований организации. Эти требования можно выполнить с помощью Microsoft Entra ID или синхронизации из локальной службы доменных служб Active Directory (AD DS).

  • Назначенные группы. В назначенных группах пользователи добавляются или удаляются из группы вручную, синхронизируются из локальной службы AD DS или обновляются как часть автоматизированного рабочего процесса с скриптами. Назначенная группа может быть синхронизирована из локальной инфраструктуры службы AD DS или может быть размещена в среде Microsoft Entra ID.

  • Группы динамического членства. В группах динамического членства на основе атрибутов пользователи автоматически назначаются группе на основе определенных атрибутов. Этот сценарий позволяет динамически обновлять членства в группах на основе данных, содержащихся в пользовательских объектах. Динамическую группу членства можно использовать только в идентификаторе Microsoft Entra.

Учетная запись Майкрософт (MSA). Вы можете создавать подписки и арендаторы Azure с помощью учетных записей Майкрософт (MSA). Учетная запись Майкрософт — это личная учетная запись (в отличие от учетной записи организации), которая обычно используется разработчиками и применяется для пробных сценариев. При использовании личной учетной записи она всегда становится гостем в клиенте Microsoft Entra.

Функциональные области Microsoft Entra

Эти функциональные области предоставляются Microsoft Entra ID и актуальны для изолированных сред. Дополнительные сведения о возможностях идентификатора Microsoft Entra см. в статье "Что такое идентификатор Microsoft Entra ID?".

Проверка подлинности

Проверка подлинности. Идентификатор Microsoft Entra обеспечивает поддержку протоколов проверки подлинности, соответствующих открытым стандартам, таким как OpenID Connect, OAuth и SAML. Идентификатор Microsoft Entra также предоставляет возможности для федерации существующих локальных поставщиков удостоверений, таких как службы федерации Active Directory (AD FS), для аутентификации доступа к интегрированным приложениям Microsoft Entra.

Идентификатор Microsoft Entra предоставляет ведущие в отрасли варианты надежной проверки подлинности, которые организации могут использовать для защиты доступа к ресурсам. Возможности многофакторной проверки подлинности Microsoft Entra, проверки подлинности устройств и без пароля позволяют организациям развертывать надежные варианты проверки подлинности, соответствующие требованиям своих сотрудников.

Единый вход. Единый вход позволяет пользователям входить один раз с одной учетной записью для доступа ко всем ресурсам, которые доверяют каталогу, таким как устройства, присоединенные к домену, корпоративные ресурсы, приложения SaaS (программное обеспечение как услуга), и все интегрированные приложения Microsoft Entra. Дополнительные сведения см. в разделе "Единый вход в приложения" в идентификаторе Microsoft Entra.

Авторизация

Назначение доступа к ресурсам. Идентификатор Microsoft Entra предоставляет и защищает доступ к ресурсам. Назначение доступа к ресурсу в идентификаторе Microsoft Entra можно сделать двумя способами:

• Назначение пользователя. Пользователю напрямую назначается доступ к ресурсу, а также назначается соответствующая роль или разрешение.

• Назначение группы. Группа, содержащая одного или нескольких пользователей, назначается ресурсу, а также назначается соответствующая роль или разрешение.

Политики доступа приложений. Идентификатор Microsoft Entra предоставляет возможности для дальнейшего управления и безопасного доступа к приложениям вашей организации.

Условный доступ. Политики условного доступа Microsoft Entra — это средства для привлечения контекста пользователей и устройств к потоку авторизации при доступе к ресурсам Microsoft Entra. Организации должны изучить использование политик условного доступа, чтобы разрешить, запретить или улучшить проверку подлинности на основе пользователя, риска, устройства и контекста сети. Дополнительные сведения см. в документации по условному доступу Microsoft Entra.

Защита идентификации Microsoft Entra. Эта возможность позволяет организациям автоматизировать обнаружение и устранение рисков на основе удостоверений, анализировать риски и экспортировать данные об обнаружении рисков в сторонние программы для дальнейшего анализа. Дополнительные сведения см. в обзоре Защита идентификации Microsoft Entra.

Администрирование

Управление удостоверениями. Microsoft Entra ID предоставляет средства для управления жизненным циклом идентичностей пользователей, групп и устройств. Microsoft Entra Connect позволяет организациям расширить текущее локальное решение для управления удостоверениями в облаке. Microsoft Entra Connect управляет поставкой, отменой и обновлениями этих идентификаций в Microsoft Entra ID.

Идентификатор Microsoft Entra также предоставляет портал и API Microsoft Graph, чтобы организации могли управлять удостоверениями или интегрировать управление удостоверениями Microsoft Entra в существующие рабочие процессы или автоматизацию. Дополнительные сведения о Microsoft Graph см. в статье Использование Microsoft API Graph.

Управление устройством. Идентификатор Microsoft Entra используется для управления жизненным циклом и интеграцией с облачными и локальными инфраструктурами управления устройствами. Эта служба также используется для определения политик для управления доступом из облачных или локальных устройств к данным организации. Microsoft Entra ID предоставляет услуги управления жизненным циклом устройств в каталоге и выпуск учетных данных для обеспечения проверки подлинности. Эта служба также управляет ключевым атрибутом устройства в системе, который является уровнем доверия. Это важно при разработке политики доступа к ресурсам. Для получения дополнительной информации см. документацию по управлению устройствами Microsoft Entra.

Управление конфигурацией. Идентификатор Microsoft Entra содержит элементы службы, которые необходимо настроить и управлять, чтобы служба была настроена в соответствии с требованиями организации. К этим элементам относятся управление доменами, конфигурация единого входа и управление приложениями, чтобы назвать только несколько. Идентификатор Microsoft Entra предоставляет портал и API Microsoft Graph, чтобы организации могли управлять этими элементами или интегрироваться в существующие процессы. Дополнительные сведения о Microsoft Graph см. в статье Использование Microsoft API Graph.

Система управления

Жизненный цикл идентификации. Идентификатор Microsoft Entra предоставляет возможности для создания, извлечения, удаления и обновления удостоверений в каталоге, включая внешние удостоверения. Идентификатор Microsoft Entra также предоставляет службы для автоматизации жизненного цикла удостоверений, чтобы обеспечить его обслуживание в соответствии с потребностями вашей организации. Например, использование проверок доступа для удаления внешних пользователей, которые еще не выполнили вход в течение указанного периода.

Отчеты и аналитика. Важным аспектом управления удостоверениями является видимость действий пользователей. Идентификатор Microsoft Entra предоставляет аналитические сведения о шаблонах безопасности и использования вашей среды. Эти аналитические сведения содержат подробные данные о:

• Что ваши пользователи используют

• Откуда они получают к нему доступ

• использованных устройствах;

• Приложения, используемые для доступа.

Идентификатор Microsoft Entra также содержит сведения о действиях, выполняемых в идентификаторе Microsoft Entra, и отчетах о рисках безопасности. Дополнительные сведения см. в отчетах и мониторинге Microsoft Entra.

Аудит. Аудит обеспечивает возможность прослеживания всех изменений, выполненных с помощью определенных функций в Microsoft Entra ID, через журналы. Примеры действий, найденных в журналах аудита, включают изменения, внесенные в любые ресурсы в идентификаторе Microsoft Entra, например добавление или удаление пользователей, приложений, групп, ролей и политик. Отчеты в идентификаторе Microsoft Entra позволяют выполнять аудит действий входа, рискованных входов и пользователей, помеченных для риска. Дополнительные сведения см. в отчетах о действиях аудита в портале Azure.

Доступ к сертификации. Сертификация доступа — это процесс подтверждения того, что пользователь имеет право на доступ к ресурсу в определенный момент времени. Проверки доступа Microsoft Entra постоянно проверяют членство в группах или приложениях и предоставляют аналитические сведения о необходимости или удалении доступа. Эта сертификация позволяет организациям эффективно управлять членством в группах, доступом к корпоративным приложениям и назначениям ролей, чтобы убедиться, что только правильные люди продолжают иметь доступ. Дополнительные сведения см. в разделе "Что такое проверки доступа Microsoft Entra"?

Привилегированный доступ. Microsoft Entra управление привилегированными пользователями (PIM) обеспечивает активацию роли на основе времени и утверждения, чтобы снизить риски чрезмерного, ненужного или неправильного доступа к ресурсам Azure. Оно используется для обеспечения защиты привилегированных учетных записей, уменьшая время действия привилегий и улучшая видимость их использования с помощью отчетов и оповещений.

Самостоятельное управление услугами

Регистрация учетных данных. Идентификатор Microsoft Entra предоставляет возможности для управления всеми аспектами жизненного цикла удостоверений пользователей и возможностей самообслуживания для уменьшения рабочей нагрузки вспомогательной службы организации.

Управление группами. Идентификатор Microsoft Entra предоставляет возможности, позволяющие пользователям запрашивать членство в группе для доступа к ресурсам. Используйте идентификатор Microsoft Entra для создания групп, которые можно использовать для защиты ресурсов или совместной работы. Таким образом, организации могут использовать соответствующие элементы управления, которые они применяют для управления этими возможностями.

Система управления идентификацией и доступом потребителей (IAM)

Azure Active Directory B2C. Azure AD B2C — это устаревшее решение Майкрософт для управления удостоверениями клиентов и доступом. Начиная с 1 мая 2025 г. Azure AD B2C больше не будет доступен для приобретения для новых клиентов. Чтобы узнать больше, пожалуйста, посмотрите "Технология Azure AD B2C все еще доступна для приобретения?" в нашем разделе часто задаваемых вопросов.

Внешний идентификатор Microsoft Entra — это наш продукт следующего поколения, объединяющий мощные решения для совместной работы с людьми за пределами вашей организации. С помощью возможностей внешнего идентификатора можно разрешить внешним идентификаторам безопасно получать доступ к вашим приложениям и ресурсам. Независимо от того, работаете ли вы с внешними партнерами, потребителями или бизнес-клиентами, пользователи могут использовать свои учетные записи, начиная от корпоративных или государственных аккаунтов до социальных сетей, таких как Google или Facebook. Дополнительные сведения см. в разделе "Общие сведения о внешнем идентификаторе Microsoft Entra".

Следующие шаги

• Общие сведения о делегированном администрировании и изолированных средах

• Основы управления ресурсами Azure

• Изоляция ресурсов у одного клиента

• Изоляция ресурсов в многопользовательской среде

• Рекомендации