Microsoft Entra ID是微软提供的基于云的身份和访问管理服务。Microsoft Entra ID是一个全面的解决方案,用于管理身份、执行访问策略以及在云和本地保护您的应用程序和数据。
目录
二、比较Microsoft Entra ID与Active Directory域服务(AD DS)
三、Microsoft Entra ID如何用作云应用程序的目录
一、查看 Microsoft Entra ID
AD DS是一种目录服务,提供存储目录数据的方法,如用户帐户和密码,并使这些数据可供网络用户、管理员和其他设备和服务使用。它在Windows Server上作为服务运行,称为域控制器。
Microsoft Entra ID是平台即服务(PaaS)的一部分,在云中作为微软管理的目录服务运行。它不是客户拥有和管理的核心基础设施的一部分,也不是基础设施即服务产品。虽然这意味着您对其实施的控制较少,但这也意味着您不必将资源用于其部署或维护。
使用Microsoft Entra ID,您还可以访问AD DS中原生不提供的一组功能,例如支持多因素身份验证、身份保护和自助服务密码重置。
您可以使用Microsoft Entra ID为组织和个人提供对基于云的资源的更安全的访问,通过以下方式:
默认情况下,当您使用Microsoft帐户创建新的Azure订阅时,订阅会自动包含一个名为Default Directory的新Microsoft Entra租户。
- 配置对应用程序的访问
- 将单点登录(SSO)配置为基于云的SaaS应用程序
- 管理用户和组
- 配置用户
- 实现组织之间的联合
- 提供身份管理解决方案
- 识别不规则的登录活动
- 配置多因素身份验证
- 将现有的本地Active Directory实现扩展到Microsoft Entra ID
- 为云和本地应用程序配置应用程序代理
- 为用户和设备配置条件访问
一些更高级的身份管理功能需要Microsoft Entra ID的付费版本,以基本层和高级层的形式提供。其中一些功能也会自动包含在作为Microsoft 365订阅的一部分生成的Microsoft Entra实例中。Microsoft Entra版本之间的差异将在本模块的后面讨论。
实现Microsoft Entra ID与在Azure中部署虚拟机、添加AD DS,然后为新林和域部署一些域控制器是不一样的。Microsoft Entra ID是一项不同的服务,更专注于为基于Web的应用程序提供身份管理服务,与AD DS不同,后者更专注于本地应用程序。
微软Entra租户
Microsoft Entra tenants
您可以将相同的Microsoft Entra租户与多个Azure订阅相关联。这允许您使用相同的用户、组和应用程序来管理多个Azure订阅的资源。
与AD DS不同,Microsoft Entra ID在设计上是多租户的,并专门实现以确保其单个目录实例之间的隔离。它是世界上最大的多租户目录,托管超过100万个目录服务实例,每周有数十亿个身份验证请求。在这种情况下,租户一词通常表示注册订阅微软基于云的服务(如Microsoft 365、Intune或Azure)的公司或组织,每个服务都使用Microsoft Entra ID。然而,从技术角度来看,租户一词代表单个Microsoft Entra实例。在Azure订阅中,您可以创建多个Microsoft Entra租户。如果您想在一个租户中测试Microsoft Entra功能而不影响其他租户,拥有多个Microsoft Entra租户可能会很方便。
在任何时候,Azure订阅必须与一个且只有一个Microsoft Entra租户相关联。此关联允许您(通过RBAC)向特定Microsoft Entra租户中存在的用户、组和应用程序授予Azure订阅中的资源权限。
每个Microsoft Entra租户都被分配了默认域名系统(DNS)域名,由一个唯一的前缀组成。该前缀来自您用于创建Azure订阅的Microsoft帐户名称,或在创建Microsoft Entra租户时明确提供,后跟onmicrosoft.com后缀。向同一Microsoft Entra租户添加至少一个自定义域名是可能和常见的。此名称使用相应公司或组织拥有的DNS域名空间。Microsoft Entra租户是用户、组和应用程序等Microsoft Entra对象的安全边界和容器。单个Microsoft Entra租户可以支持多个Azure订阅
微软Entra模式
Microsoft Entra模式包含的对象类型比AD DS少。最值得注意的是,它不包括计算机类的定义,尽
最低0.47元/天 解锁文章
扫一扫
20
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
