什么是 Azure Active Directory?

Azure Active Directory (Azure AD) is Microsoft’s cloud-based identity and access management service, which helps your employees sign in and access resources in Azure:

若要了解 Azure AD 和 Active Directory 域服务之间的差异,请参阅比较 Active Directory 与 Azure Active Directory。 还可以通过各种面向企业架构师的 Microsoft 云系列海报更好地了解 Azure、Azure AD 和 Microsoft 365 中的核心标识服务。

谁在使用 Azure AD?

Azure AD 适用于:

  • IT 管理员。 作为 IT 管理员,你可以使用 Azure AD 根据业务要求控制用户对你的应用和应用资源的访问。 例如,可以使用 Azure AD 要求用户在访问重要的组织资源时进行多重身份验证。 另外,还可以使用 Azure AD 在现有 Windows Server AD 和云应用(包括 Microsoft 365)之间自动完成用户预配。 最终可以利用 Azure AD 提供的强大工具自动保护用户标识和凭据,实现访问管理要求。 若要开始使用,请注册 Azure Active Directory Premium 试用版

  • 应用开发人员。 作为应用开发人员,你可以使用 Azure AD 作为一种基于标准的方法,将单一登录 (SSO) 添加到应用中,从而允许它使用用户预先存在的凭据。 另外还可以通过 Azure AD 提供的 API 来构建个性化应用体验,充分使用现有的组织数据。 若要开始使用,请注册 Azure Active Directory Premium 试用版。 有关详细信息,还可以参阅针对开发人员的 Azure Active Directory

  • Microsoft 365、Office 365、Azure 或 Dynamics CRM Online 订阅者。 作为订阅者,你已在使用 Azure AD。 每个 Microsoft 365、Office 365、Azure 和 Dynamics CRM Online 租户都会自动成为 Azure AD 租户。 你可以立即开始管理用户对集成云应用的访问。

什么是 Azure AD 许可证?

Microsoft Online 业务服务(例如 Microsoft 365 或 Azure)要求通过 Azure AD 来完成登录操作。 如果订阅任何 Microsoft Online 业务服务,则会自动获得 Azure AD 并且能够访问所有免费功能。

为了增强 Azure AD 实现,还可以通过升级到 Azure Active Directory Premium P1 或 Premium P2 许可证添加付费功能。 Azure AD 付费许可证建立在现有免费目录基础之上,提供自助服务、增强型监视、安全报告和移动用户安全访问。

备注

有关这些许可证的定价选项,请参阅 Azure Active Directory 定价

  • Azure Active Directory Free。 在 Azure 和 Microsoft 365 上提供用户和组管理、本地目录同步、基本报告、云用户的自助密码更改以及单一登录。

  • Azure Active Directory Premium P1。 除了免费版功能,P1 还允许混合用户访问本地资源和云资源。 它还支持高级管理,例如动态组、自助服务组管理、Microsoft Identity Manager(一个本地标识与访问管理套件),以及允许本地用户进行自助密码重置的云写回功能。

  • Azure Active Directory Premium P2。 除了免费版和 P1 版功能,P2 还提供 Privileged Identity Management,以便发现、限制和监视管理员及其对资源的访问,并在需要时提供实时访问。

  • “即用即付”功能许可证。 也可获取其他功能许可证,例如 Azure Active Directory 企业对客户 (B2C) 许可证。 可以通过 B2C 为面向客户的应用提供标识和访问管理解决方案。 有关详细信息,请参阅 Azure Active Directory B2C 文档

有关将 Azure 订阅关联到 Azure AD 的详细信息,请参阅将 Azure 订阅关联或添加到 Azure Active Directory;有关为用户分配许可证的详细信息,请参阅如何:分配或删除 Azure Active Directory 许可证

术语

为了更好地理解 Azure AD 及其文档,我们建议查看以下术语。

术语或概念 说明
标识 可以获得身份验证的东西。 标识可以是具有用户名和密码的用户。 标识还包括可能需要通过密钥或证书进行身份验证的应用程序或其他服务器。
帐户 具有与之关联的数据的标识。 你不能拥有没有标识的帐户。
Azure AD 帐户 通过 Azure AD 或其他 Azure 云服务(例如 Microsoft 365)创建的标识。 标识存储在 Azure AD 中,可供组织的云服务订阅访问。 此帐户有时也称为工作或学校帐户。
帐户管理员 从概念上讲,此经典订阅管理员角色是订阅的账单所有者。 此角色使你能够管理帐户中的所有订阅。 有关详细信息,请参阅经典订阅管理员角色、Azure 角色和 Azure AD 管理员角色
服务管理员 此经典订阅管理员角色用于管理所有 Azure 资源,包括访问权限。 此角色拥有在订阅范围内分配有“所有者”角色的用户的等效访问权限。 有关详细信息,请参阅经典订阅管理员角色、Azure 角色和 Azure AD 管理员角色
所有者 此角色有助于管理所有 Azure 资源,包括访问权限。 此角色在称为 Azure 基于角色的访问控制 (Azure RBAC) 的较新授权系统上构建,该系统可提供对 Azure 资源的精细访问管理。 有关详细信息,请参阅经典订阅管理员角色、Azure 角色和 Azure AD 管理员角色
Azure AD 全局管理员 此管理员角色自动分配给创建 Azure AD 租户的人员。 全局管理员可以执行 Azure AD 以及与 Azure AD 联合的任意服务(例如 Exchange Online、SharePoint Online 和 Skype for Business Online)的所有管理功能。 可以有多个全局管理员,但只有全局管理员才能向用户分配管理员角色(包括分配其他全局管理员)。 有关各种管理员角色的详细信息,请参阅 Azure Active Directory 中的管理员角色权限
Azure 订阅 用于为 Azure 云服务付费。 可以有多个订阅,这些订阅与一张信用卡关联。
Azure 租户 组织在注册 Azure、Microsoft Intune 或 Microsoft 365 等 Azure 云服务订阅时自动创建的专用且受信任的 Azure AD 实例。 一个 Azure 租户表示一个组织。
单租户 可以将访问专用环境中的其他服务的 Azure 租户视为单租户。
多租户 可以将访问共享环境中的其他服务的 Azure 租户(跨多个组织)视为多租户。
Azure AD 目录 每个 Azure 租户都有一个专用且受信任的 Azure AD 目录。 Azure AD 目录包括租户的用户、组和应用,用于针对租户资源执行标识和访问管理功能。
自定义域 每个新的 Azure AD 目录都附带了一个初始域名 domainname.partner.onmschina.cn。 除了该初始名称,还可以向列表添加组织的域名,其中包括用来开展业务的名称以及用户用来访问组织资源的名称。 添加自定义域名有助于创建用户所熟悉的用户名,例如 alain@contoso.com。

后续步骤