Microsoft Entra 基础知识

Microsoft Entra ID 为 Azure 资源和信任应用程序提供标识和访问边界。 大多数环境分离要求可以通过单个 Microsoft Entra 租户中的委派管理来满足。 此配置可减少系统的管理开销。 但某些特定情况,例如资源和标识的完全隔离,就需要多个租户。

必须根据需求确定环境分离体系结构。 需要注意的方面:

  • 资源分离。 如果资源可以更改用户对象等 Directory 对象,并且更改会干扰其他资源,可能需要在多租户体系结构中隔离资源。

  • 配置分离。 租户范围的配置会影响所有资源。 某些租户范围的配置的影响可以通过条件访问策略和其他方法来确定。 如果需要不同的租户配置,而这些配置无法使用条件访问策略确定范围,可能需要多租户体系结构。

  • 管理分离。 可以在单个租户中委托管理组、订阅、资源组、资源和某些策略的管理。 全局管理员始终有权访问租户内的所有内容。 如需确保环境不与另一个环境共享管理员,就需要多租户体系结构。

为了保持安全,必须在所有租户之间一致遵循标识预配、身份验证管理、标识治理、生命周期管理和操作的最佳做法。

术语

此术语列表通常与 Microsoft Entra ID 相关联并且与此内容相关:

Microsoft Entra 租户。 组织在注册 Azure 云服务订阅时自动创建的专用且受信任的 Microsoft Entra ID 实例。 订阅示例包括 Azure、Microsoft Intune 或 Microsoft 365。 Microsoft Entra 租户通常代表单个组织或安全边界。 Microsoft Entra 租户包括用户、组、设备和应用程序,用于针对租户资源执行标识和访问管理 (IAM)。

环境。 在此内容的上下文中,环境是与一个或多个 Microsoft Entra 原则相关联的 Azure 订阅、Azure 资源和应用程序的集合。 Microsoft Entra 租户提供标识控制平面来管理对这些资源的访问。

生产环境。 在此内容的上下文中,生产环境是具有与最终用户直接交互的基础结构和服务的实时环境。 例如,面向企业或客户的环境。

非生产环境。 在此内容的上下文中,非生产环境是指用于以下场景的环境:

  • 开发

  • 测试

  • 实验室用途

非生产环境通常称为沙盒环境。

标识。 标识是一种 Directory 对象,可通过身份验证和授权来访问资源。 标识对象分为人类标识和非人类标识。 非人类实体包括:

  • 应用程序对象

  • 工作负载标识(以前称为服务原则)

  • 托管标识

  • 设备

人类标识是通常代表组织中人员的用户对象。 这些标识要么直接在 Microsoft Entra ID 中创建和管理,要么从本地 Active Directory 同步到给定组织的 Microsoft Entra ID。 这些类型的标识称为本地标识。 还可以使用 Microsoft Entra B2B 协作,从合作伙伴组织或社交标识提供者中邀请用户对象。 在此内容中,我们将这些类型的标识称为外部标识。

非人类标识包括与人类无关的任何标识。 此类型标识是一种对象,例如需要标识才能运行的应用程序。 在此内容中,我们将此类标识称为工作负载标识。 用于描述此类标识的各种术语包括应用程序对象和服务主体。

  • 应用程序对象。 Microsoft Entra 应用程序由其应用程序对象定义。 该对象位于应用程序注册的 Microsoft Entra 租户中。 该租户称为应用程序的“主”租户。

    • 创建单租户应用程序,仅用于授权来自“主”租户的标识。

    • 多租户应用程序支持来自任何 Microsoft Entra 租户的标识进行身份验证。

  • 服务主体对象。 尽管存在例外情况,但可将应用程序对象视为应用程序的定义。 可将服务主体对象视为应用程序的实例。 服务主体通常引用应用程序对象,一个应用程序对象由不同目录中的多个服务主体引用。

服务主体对象还是可以独立于人为干预而执行任务的目录标识。 服务主体为 Microsoft Entra 租户中的用户或应用程序定义访问策略和权限。 此机制可实现核心功能,如在登录时对用户或应用程序进行身份验证,在访问资源时进行授权。

Microsoft Entra ID 支持应用程序和服务主体对象使用密码(也称为应用程序机密)或证书进行身份验证。 不建议对服务主体使用密码,建议尽可能使用证书

  • Azure 资源的托管标识 托管标识是 Microsoft Entra ID 中的特殊服务主体。 此类型服务主体可用于针对支持 Microsoft Entra 身份验证的服务进行身份验证,而无需在代码中存储凭据或处理机密管理。 有关详细信息,请参阅什么是 Azure 资源的托管标识?

  • 设备标识:设备标识验证身份验证流中的设备是否已经历相关流程,该流程证明设备合法且能满足技术需求。 设备成功完成此流程后,相关标识可用于进一步控制对组织资源的访问。 使用 Microsoft Entra ID,设备可以使用证书进行身份验证。

某些旧场景需要在非人类场景中使用人类标识。 例如,在脚本或批处理作业等本地应用程序中使用的服务帐户需要访问 Microsoft Entra ID 时。 不建议使用此模式,建议使用证书。 但是,如果使用带有密码的人工身份进行身份验证,请使用 Microsoft Entra 多重身份验证来保护 Microsoft Entra 账户。

混合标识。 混合标识是跨本地和云环境的标识。 混合标识提供了使用同一标识即可访问本地和云资源这一优势。 在这种情况下,授权源通常是本地目录,并且围绕预配、取消预配和资源分配的标识生命周期也由本地驱动。 有关详细信息,请参阅混合标识文档

Directory 对象。 Microsoft Entra 租户包含以下常见对象:

  • 用户对象表示当前不支持服务主体的服务的人类标识和非人类标识。 用户对象包含具有用户相关所需信息的属性,包括个人详细信息、组成员资格、设备和分配给用户的角色。

  • 设备对象表示与 Microsoft Entra 租户关联的设备。 设备对象包含具有设备相关所需信息的属性。 这些对象包括操作系统、关联用户、符合性状态以及与 Microsoft Entra 租户关联的性质。 根据交互的性质和设备的信任级别,此关联可以采取多种形式。

    • 混合域加入。 归组织所有并加入本地 Active Directory 和 Microsoft Entra ID 的设备。 通常是由组织购买和托管并由 System Center Configuration Manager 托管的设备。

    • Microsoft Entra 域加入。 归组织所有并加入组织 Microsoft Entra 租户的设备。 通常是由加入 Microsoft Entra ID 并由 Microsoft Intune 等服务托管的组织购买和托管的设备。

    • 已注册 Microsoft Entra。 不归组织所有的设备,例如用于访问公司资源的个人设备。 组织可能需要通过移动设备管理 (MDM) 注册设备,或通过移动应用管理 (MAM) 强制执行,无需注册即可访问资源。 此功能可由 Microsoft Intune 等服务提供。

  • 组对象包含用于分配资源访问、应用控件或配置的对象。 组对象包含的属性具有关于组的所需信息,包括名称、描述、组成员、组所有者和组类型。 Microsoft Entra ID 中的组根据组织的要求采用多个表单。 可以使用 Microsoft Entra ID 满足这些要求,或从本地 Active Directory 域服务 (AD DS) 同步来满足这些要求。

    • 分配的组。 在分配的组中,可以手动将用户添加到组或从组中移除用户,也可从本地 AD DS 同步用户或在自动化脚本工作流中更新用户。 可从本地 AD DS 同步分配的组,也可将其保留在 Microsoft Entra ID 中。

    • 动态成员资格组。 在基于属性的动态成员资格组中,会根据定义的属性将用户自动分配给组。 这种情况下,可根据用户对象中保存的数据动态更新组成员资格。 动态成员资格组只能保留在 Microsoft Entra ID 中。

Microsoft 帐户 (MSA)。 可以使用 Microsoft 帐户 (MSA) 创建 Azure 订阅和租户。 Microsoft 帐户是个人帐户(对立于组织帐户),通常供开发人员使用,用于试用场景。 使用时,个人帐户始终是 Microsoft Entra 租户中的来宾。

Microsoft Entra 功能区域

这些是 Microsoft Entra ID 提供的与隔离环境相关的功能区域。 若要详细了解 Microsoft Entra ID 的功能,请参阅什么是Microsoft Entra ID?

身份验证

身份验证。 Microsoft Entra ID 支持符合开放标准(如 Open ID Connect、OAuth 和 SAML)的身份验证协议。 Microsoft Entra ID 还支持组织联合现有的本地标识提供者,例如 Active Directory 联合身份验证服务 (AD FS),以验证对 Microsoft Entra 集成应用程序的访问。

Microsoft Entra ID 提供行业领先的强身份验证选项,组织可以使用这些选项来保护对资源的访问。 Microsoft Entra 多重身份验证、设备身份验证和无密码功能使组织能够部署适合其员工需求的强身份验证选项。

授权

资源访问分配。 Microsoft Entra ID 提供和保护对资源的访问。 可以通过两种方式在 Microsoft Entra ID 中分配对资源的访问权限:

  • 用户分配:直接为用户分配对资源的访问权限,并为用户分配适当的角色或权限。

  • 组分配:为包含一位或多位用户的组分配对资源的访问权限,并为该组分配适当的角色或权限

应用程序访问策略。 Microsoft Entra ID 提供了进一步控制和保护对组织应用程序访问的功能。

条件访问。 Microsoft Entra 条件访问策略是在访问 Microsoft Entra 资源时将用户和设备上下文引入授权流的工具。 组织应探索对条件访问策略的使用,以便允许、拒绝或增强基于用户、风险、设备和网络上下文的身份验证。 有关详细信息,请参阅 Microsoft Entra 条件访问文档

管理

标识管理。 Microsoft Entra ID 提供工具来管理用户、组和设备标识的生命周期。 Microsoft Entra Connect 使组织能够将当前的本地标识管理解决方案扩展到云。 Microsoft Entra Connect 在 Microsoft Entra ID 中管理这些标识的预配、取消预配和更新。

Microsoft Entra ID 还提供门户和 Microsoft Graph API,以便组织能够管理标识或将 Microsoft Entra 标识管理集成到现有工作流或自动化中。 若要详细了解 Microsoft Graph,请参阅使用 Microsoft Graph API

设备管理。 Microsoft Entra ID 用于管理生命周期以及与云和本地设备管理基础结构的集成。 它还用于定义策略来控制从云或本地设备对问组织数据的访问。 Microsoft Entra ID 提供目录中设备的生命周期服务和凭据预配来启用身份验证。 它还管理系统中设备的键属性,即信任级别。 在设计资源访问策略时,此细节很重要。 有关详细信息,请参阅 Microsoft Entra 设备管理文档

配置管理。 Microsoft Entra ID 具有需要配置和管理的服务元素,可用于确保根据组织的要求配置服务。 这些元素包括域管理、SSO 配置和应用程序管理等。 Microsoft Entra ID 提供门户和 Microsoft Graph API,让组织能够管理这些元素或集成到现有流程中。 若要详细了解 Microsoft Graph,请参阅使用 Microsoft Graph API

调控

标识生命周期。 Microsoft Entra ID 提供在目录中创建、检索、删除和更新标识(包括外部标识)的功能。

报告和分析。 标识治理的一个重要方面是用户操作的可见性。 Microsoft Entra ID 提供有关环境安全和使用情况模式的见解。 这些见解包括以下方面的详细信息:

  • 用户访问的内容

  • 用户从何处对其进行访问

  • 用户使用的设备

  • 用于访问的应用程序

Microsoft Entra ID 还提供有关在 Microsoft Entra ID 中执行的操作的信息,以及有关安全风险的报告。 有关详细信息,请参阅 Microsoft Entra 报告和监视

审核。 审核通过日志为 Microsoft Entra ID 中特定功能所做的所有更改提供可跟踪性。 在审核日志中发现的活动示例包括对 Microsoft Entra ID 中的任何资源所做的更改,例如添加或删除用户、应用、组、角色和策略。 Microsoft Entra ID 中的报告使你能够审核登录活动、风险登录以及标记为有风险的用户。 有关详细信息,请参阅 Azure 门户中的审核活动报告

访问认证。 访问认证是证明用户有权在某个时间点访问资源的过程。 Microsoft Entra 访问评审持续评审组或应用程序的成员资格,并提供见解来确定是否需要或应该删除访问。 该认证使组织能够有效地管理组成员资格、对企业应用程序的访问和角色分配,从而确保只有适当的人才能继续访问。 有关详细信息,请参阅什么是 Microsoft Entra 访问评审?

特权访问。 Microsoft Entra Privileged Identity Management (PIM) 提供基于时间且基于审批的角色激活,用于缓解 Azure 资源上出现的访问权限过度、不必要或滥用的风险。 它用于通过缩短特权的暴露时间并通过报告和警报增加对其使用情况的可见性来保护特权帐户。

自助服务管理

凭据注册。 Microsoft Entra ID 提供管理用户标识生命周期各个方面的功能和自助服务功能,可用于减少组织帮助台的工作负载。

组管理。 利用 Microsoft Entra ID 提供的功能,用户能够请求组中的成员资格来访问资源。 使用 Microsoft Entra ID 创建可用于保护资源或协作的组。 因此,组织可以利用事先准备就绪的适当控制措施来控制这些功能。

使用者标识和访问管理 (IAM)

Azure AD B2C。 Azure AD B2C 是一项可在 Azure 订阅中启用的服务,可用于为组织中面向客户的应用程序的使用者提供标识。 该服务是一个单独的标识服务,因此,这些用户通常不会出现在组织的 Microsoft Entra 租户中。 Azure AD B2C 由与 Azure 订阅关联的租户中的管理员托管。

后续步骤