Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Entra ID为Azure资源和信任应用程序提供标识和访问边界。 大多数环境分离要求都可以在单个Microsoft Entra租户中使用委派的管理来实现。 此配置可减少系统的管理开销。 但某些特定情况,例如资源和标识的完全隔离,就需要多个租户。
必须根据需求确定环境分离体系结构。 需要注意的方面:
资源分离。 如果资源可以更改用户对象等 Directory 对象,并且更改会干扰其他资源,可能需要在多租户体系结构中隔离资源。
配置分离。 租户范围的配置会影响所有资源。 某些租户范围的配置的影响可以通过条件访问策略和其他方法来确定。 如果需要不同的租户配置,而这些配置无法使用条件访问策略确定范围,可能需要多租户体系结构。
管理分离。 可以在单个租户中委托管理组、订阅、资源组、资源和某些策略的管理。 全局管理员始终有权访问租户内的所有内容。 如需确保环境不与另一个环境共享管理员,就需要多租户体系结构。
为了保持安全,必须在所有租户之间一致遵循标识预配、身份验证管理、标识治理、生命周期管理和操作的最佳做法。
术语
此术语列表通常与Microsoft Entra ID及相关内容相关联,如下所示:
Microsoft Entra tenant。 组织注册Azure云服务订阅时自动创建的专用且受信任的Microsoft Entra ID实例。 订阅示例包括Azure、Microsoft Intune或Microsoft 365。 Microsoft Entra 租户通常表示一个单独的组织或安全边界。 Microsoft Entra租户包括用于为租户资源执行标识和访问管理(IAM)的用户、组、设备和应用程序。
环境。 在此内容的上下文中,环境是Azure订阅、Azure资源和与一个或多个Microsoft Entra原则关联的应用程序集合。 Microsoft Entra 租户提供标识控制平面,以管理对这些资源的访问。
生产环境。 在此内容的上下文中,生产环境是具有与最终用户直接交互的基础结构和服务的实时环境。 例如,面向企业或客户的环境。
非生产环境。 在此内容的上下文中,非生产环境是指用于以下场景的环境:
开发
测试
实验室用途
非生产环境通常称为沙盒环境。
身份。 标识是一种 Directory 对象,可通过身份验证和授权来访问资源。 标识对象分为人类标识和非人类标识。 非人类实体包括:
应用程序对象
工作负载标识(以前称为服务原则)
托管身份
设备
人类标识是通常代表组织中人员的用户对象。 这些标识可以直接在Microsoft Entra ID中创建和管理,也可以从on-premises Active Directory同步到给定组织的Microsoft Entra ID。 这些类型的标识称为本地标识。 可以通过Microsoft Entra B2B 协作,邀请来自合作伙伴组织或社交身份提供商的用户对象。 在此内容中,我们将这些类型的标识称为外部标识。
非人类标识包括与人类无关的任何标识。 此类型标识是一种对象,例如需要标识才能运行的应用程序。 在此内容中,我们将此类标识称为工作负载标识。 用于描述此类标识的各种术语包括应用程序对象和服务主体。
应用程序对象。 Microsoft Entra应用程序由其应用程序对象定义。 该对象驻留在应用程序注册的Microsoft Entra租户中。 该租户称为应用程序的“主”租户。
创建单租户应用程序,仅用于授权来自“主”租户的标识。
Multi-tenant 应用程序允许来自任何 Microsoft Entra 租户的标识进行身份验证。
服务主体对象。 尽管存在例外情况,但可将应用程序对象视为应用程序的定义。 可将服务主体对象视为应用程序的实例。 服务主体通常引用应用程序对象,一个应用程序对象由不同目录中的多个服务主体引用。
服务主体对象还是可以独立于人为干预而执行任务的目录标识。 服务主体为Microsoft Entra租户中的用户或应用程序定义访问策略和权限。 此机制可实现核心功能,如在登录时对用户或应用程序进行身份验证,在访问资源时进行授权。
Microsoft Entra ID允许应用程序和服务主体对象使用密码(也称为应用程序机密)或证书进行身份验证。 不建议对服务主体使用密码,建议尽可能使用证书。
Azure 资源的托管标识。 托管标识是Microsoft Entra ID中的特殊服务主体。 这种类型的服务主体可用于针对支持Microsoft Entra身份验证的服务进行身份验证,而无需在代码中存储凭据或处理机密管理。 有关详细信息,请参阅 Azure 资源的托管标识是什么?
设备标识:设备标识验证身份验证流中的设备是否已经历相关流程,该流程证明设备合法且能满足技术需求。 设备成功完成此流程后,相关标识可用于进一步控制对组织资源的访问。 使用 Microsoft Entra ID,设备可以使用证书进行身份验证。
某些旧场景需要在非人类场景中使用人类标识。 例如,当在本地应用程序(如脚本或批处理作业)中使用的服务帐户需要访问Microsoft Entra ID时。 不建议使用此模式,建议使用证书。 但是,如果您使用带有密码的用户身份进行身份验证,请使用 Microsoft Entra 多重身份验证 保护 Microsoft Entra 帐户。
混合身份。 混合标识是跨本地和云环境的标识。 混合标识提供了使用同一标识即可访问本地和云资源这一优势。 在这种情况下,授权源通常是本地目录,并且围绕预配、取消预配和资源分配的标识生命周期也由本地驱动。 有关详细信息,请参阅混合标识文档。
目录对象。 Microsoft Entra租户包含以下常见对象:
用户对象表示当前不支持服务主体的服务的人类标识和非人类标识。 用户对象包含具有用户相关所需信息的属性,包括个人详细信息、组成员资格、设备和分配给用户的角色。
Device 对象表示与Microsoft Entra租户关联的设备。 设备对象包含具有设备相关所需信息的属性。 这些对象包括操作系统、关联的用户、合规状态以及与 Microsoft Entra 租户的关联性质。 根据交互的性质和设备的信任级别,此关联可以采取多种形式。
混合域加入。 组织拥有的设备,加入本地 Active Directory 和 Microsoft Entra ID。 通常是由组织购买和管理并由System Center Configuration Manager管理的设备。
Microsoft Entra域已加入。 组织拥有并加入组织的Microsoft Entra租户的设备。 通常是由组织购买和管理的设备,该设备已加入 Microsoft Entra ID 并由 Microsoft Intune 等服务进行管理。
Microsoft Entra已注册。 不归组织所有的设备,例如用于访问公司资源的个人设备。 组织可能需要通过
Mobile Device Management(MDM) 注册设备,或者通过Mobile 应用程序管理(MAM)1 进行强制实施,而无需注册即可访问资源。 Microsoft Intune等服务可以提供此功能。
组对象包含用于分配资源访问、应用控件或配置的对象。 组对象包含的属性具有关于组的所需信息,包括名称、描述、组成员、组所有者和组类型。 Microsoft Entra ID中的组根据组织的要求采用多种形式。 可以通过使用 Microsoft Entra ID 或从本地活动目录域服务(AD DS)进行同步来满足这些要求。
分配的组。 在分配的组中,可以手动将用户添加到组或从组中移除用户,也可从本地 AD DS 同步用户或在自动化脚本工作流中更新用户。 分配的组可以从本地 AD DS 同步,也可以驻留在Microsoft Entra ID中。
动态成员关系组。 在基于属性的动态成员资格组中,会根据定义的属性将用户自动分配给组。 这种情况下,可根据用户对象中保存的数据动态更新组成员资格。 动态成员身份组只能驻留在Microsoft Entra ID中。
Microsoft 帐户 (MSA)。 可以使用Microsoft帐户(MSA)创建Azure订阅和租户。 Microsoft 帐户是个人帐户(对立于组织帐户),通常供开发人员使用,用于试用场景。 当个人账户被使用时,始终会成为 Microsoft Entra 租户中的来宾。
Microsoft Entra功能区域
这些功能区域由与隔离环境相关的Microsoft Entra ID提供。 若要详细了解Microsoft Entra ID的功能,请参阅 什么是 Microsoft Entra ID?。
身份验证
身份验证。 Microsoft Entra ID支持符合开放标准的身份验证协议,例如 OpenID Connect、OAuth 和 SAML。 Microsoft Entra ID 还提供功能,使组织能够将现有的本地标识提供者(如 Active Directory 联合身份验证服务(AD FS))联合起来,以便对 Microsoft Entra 集成应用程序的访问进行身份验证。
Microsoft Entra ID提供行业领先的强身份验证选项,组织可以使用这些选项来保护对资源的访问。 Microsoft Entra多重身份验证、设备身份验证和无密码功能允许组织部署符合其员工要求的强身份验证选项。
授权
资源访问权限分配。 Microsoft Entra ID提供和保护对资源的访问。 可以通过两种方式在 Microsoft Entra ID 中分配对资源的访问权限:
用户分配:直接为用户分配对资源的访问权限,并为用户分配适当的角色或权限。
组分配:为包含一位或多位用户的组分配对资源的访问权限,并为该组分配适当的角色或权限
应用程序访问策略。 Microsoft Entra ID提供进一步控制和安全访问组织应用程序的功能。
条件访问。 Microsoft Entra条件访问策略是访问Microsoft Entra资源时将用户和设备上下文引入授权流的工具。 组织应探索对条件访问策略的使用,以便允许、拒绝或增强基于用户、风险、设备和网络上下文的身份验证。 有关详细信息,请参阅 Microsoft Entra 条件访问文档。
管理
身份管理。 Microsoft Entra ID提供了用于管理用户、组和设备标识生命周期的工具。 Microsoft Entra Connect使组织能够将当前本地标识管理解决方案扩展到云。 Microsoft Entra Connect 管理Microsoft Entra ID中对这些标识的预配、取消预配和更新。
Microsoft Entra ID还提供门户和Microsoft Graph API,使组织能够管理标识或将Microsoft Entra标识管理集成到现有工作流或自动化中。 若要了解有关Microsoft Graph的详细信息,请参阅 使用 Microsoft Graph API。
设备管理。 Microsoft Entra ID用于管理生命周期,并与云和本地设备管理基础结构集成。 它还用于定义策略来控制从云或本地设备对问组织数据的访问。 Microsoft Entra ID提供目录中设备的生命周期服务和用于启用身份验证的凭据预配。 它还管理系统中设备的键属性,即信任级别。 在设计资源访问策略时,此细节很重要。 有关详细信息,请参阅 Microsoft Entra Device Management 文档。
配置管理。 Microsoft Entra ID具有需要配置和管理的服务元素,以确保服务配置为组织的要求。 这些元素包括域管理、SSO 配置和应用程序管理等。 Microsoft Entra ID提供门户和Microsoft Graph API,使组织能够管理这些元素或集成到现有流程中。 若要了解有关Microsoft Graph的详细信息,请参阅 使用 Microsoft Graph API。
调控
标识生命周期。 Microsoft Entra ID提供在目录中创建、检索、删除和更新标识的功能,包括外部标识。
报告和分析。 标识治理的一个重要方面是用户操作的可见性。 Microsoft Entra ID提供有关环境的安全性和使用模式的见解。 这些见解包括以下方面的详细信息:
用户访问的内容
用户从何处对其进行访问
用户使用的设备
用于访问的应用程序
Microsoft Entra ID还提供有关在Microsoft Entra ID中执行的操作的信息,并报告安全风险。 有关详细信息,请参阅 Microsoft Entra 报表和监控。
审核。 审核通过日志为Microsoft Entra ID内特定功能完成的所有更改提供可跟踪性。 审核日志中找到的活动示例包括对Microsoft Entra ID内任何资源的更改,例如添加或删除用户、应用、组、角色和策略。 Microsoft Entra ID中的报告使你能够审核登录活动、有风险的登录和标记为有风险的用户。 有关详细信息,请参阅 Azure 门户中的 Audit 活动报告。
权限认证。 访问认证是证明用户有权在某个时间点访问资源的过程。 Microsoft Entra访问评审会持续审查组或应用程序的成员资格,并提供深入了解以确定是否需要访问或应被移除。 该认证使组织能够有效地管理组成员资格、对企业应用程序的访问和角色分配,从而确保只有适当的人才能继续访问。 有关详细信息,请参阅 Microsoft Entra 访问审查是什么?
特权访问。 Microsoft Entra Privileged Identity Management(PIM)提供基于时间的和基于审批的角色激活,以降低对Azure资源过度、不必要的或滥用访问权限的风险。 它用于通过缩短特权的暴露时间并通过报告和警报增加对其使用情况的可见性来保护特权帐户。
自助服务管理
凭据注册。 Microsoft Entra ID提供功能来管理用户标识生命周期和自助服务功能的各个方面,以减少组织的支持人员工作负荷。
组管理。 Microsoft Entra ID提供的功能使用户能够请求加入某个组以访问资源。 使用Microsoft Entra ID创建可用于保护资源或协作的组。 因此,组织可以利用事先准备就绪的适当控制措施来控制这些功能。
使用者标识和访问管理 (IAM)
Azure AD B2C。 Azure AD B2C 是Microsoft的旧解决方案,用于客户标识和访问管理。 自 2025 年 5 月 1 日起,Azure AD B2C 将不再可供新客户购买。 若要了解详细信息,请参阅常见问题解答中的 Azure AD B2C 是否仍可购买?。
Microsoft Entra External ID是我们下一代产品,结合了强大的解决方案,可与组织外部人员协作。 借助外部 ID 功能,可以允许外部标识安全地访问应用和资源。 无论你是与外部合作伙伴、消费者还是业务客户合作,用户都可以自带标识,从公司帐户到社交标识提供者不等。 有关详细信息,请参阅 Microsoft Entra External ID 介绍。
后续步骤
多租户环境下的资源隔离