Microsoft Entra/AD介绍_microsoft entra 和 azure active directory 域哪个早?-CSDN博客

名称变更与技术延续：Active Directory确实经历了演变，现在更名为Microsoft Entra ID，这是微软在身份与访问管理领域战略调整的一部分。但在实际应用中，许多企业仍保留着本地部署的Active Directory环境，尤其是那些对传统网络架构和本地资源管理有依赖的企业。密码哈希同步技术就是为了在这种新旧环境交替的情况下，实现本地Active Directory与基于云的Microsoft Entra ID之间的用户密码同步。
密码哈希同步的必要性：企业采用密码哈希同步主要有以下原因。在混合身份环境中，员工可能既需要访问本地资源（这些资源依赖本地Active Directory进行身份验证和授权），又需要访问基于云的服务（这些服务由Microsoft Entra ID管理）。通过密码哈希同步，员工可以使用相同的密码来访问这两类资源，大大提升了使用便利性。从管理角度看，管理员可以在一个地方（本地Active Directory）管理用户密码，密码更改会自动同步到Microsoft Entra ID，降低了管理成本。
密码哈希同步的工作原理：Active Directory以哈希值的形式存储用户密码，这是一种单向数学函数（哈希算法）的结果，无法还原为明文密码。密码哈希同步时，Microsoft Entra Connect Sync会从本地Active Directory实例中提取密码哈希，在同步到Microsoft Entra认证服务之前，会对其进行额外的安全处理。这个过程每2分钟运行一次，按用户逐个同步密码，且按时间顺序进行。首次启用该功能时，会对所有符合条件的用户密码进行初始同步。在同步过程中，本地Active Directory域控制器通过标准的MS - DRSR复制协议将密码哈希发送给密码哈希同步代理，同步代理对其进行一系列处理（如解密、格式转换、加盐、哈希计算等），最终将处理后的哈希值通过TLS传输到Microsoft Entra ID。用户登录Microsoft Entra ID时，输入的密码会经过相同的处理过程，如果生成的哈希值与存储在Microsoft Entra ID中的哈希值匹配，则验证通过。
密码策略与同步的影响：启用密码哈希同步会影响密码复杂度策略和密码过期策略。在密码复杂度方面，本地Active Directory实例中的密码复杂度策略会覆盖云环境中的策略，对于同步用户，可以使用本地Active Directory中的有效密码访问Microsoft Entra服务；而在云环境中直接创建的用户，仍遵循云环境的密码策略。在密码过期策略上，默认情况下，处于密码哈希同步范围内的用户，其云账户密码设置为永不过期。若要使这些用户遵循Microsoft Entra密码过期策略，可以启用CloudPasswordPolicyForPasswordSyncedUsersEnabled功能。
同步过程中的特殊情况处理：在同步临时密码和“下次登录时强制更改密码”方面，可通过在Microsoft Entra Connect服务器上运行命令Set - ADSyncAADCompanyFeature - ForcePasswordChangeOnLogOn $true来支持同步用户在Microsoft Entra ID中使用临时密码和强制更改密码功能，但该功能需要在租户启用自助密码重置（SSPR）和密码回写功能时使用。在账户过期方面，本地Active Directory中的accountExpires属性不会同步到Microsoft Entra ID，因此需要使用计划的PowerShell脚本来管理账户过期。管理员还可以在Microsoft Entra ID中手动重置密码，手动重置的密码会覆盖同步密码，而后续本地密码更改同步到云时，又会覆盖手动更新的密码。

密码哈希同步技术的作用不只是将AD迁移到Entra ID，还有提升用户体验、加强安全管理、支持混合工作模式等多方面用途：

助力AD迁移到Entra ID：在企业将本地Active Directory（AD）环境逐步迁移到基于云的Microsoft Entra ID的过程中，密码哈希同步技术扮演着关键角色。它确保了在迁移期间用户密码在两个系统间的一致性。比如，企业决定将部分业务从依赖本地AD的架构转移到以Entra ID为核心的云架构时，通过密码哈希同步，用户无需重新设置密码，就能顺利在新的云环境中使用原密码登录，大大降低了迁移成本和用户的学习成本，使得迁移过程更加平滑。
提升用户体验：即使企业并非进行全面的AD到Entra ID的迁移，只要存在本地AD与Entra ID共存的混合环境，密码哈希同步就能提升用户体验。在这种情况下，员工可能既需要访问本地AD管理的内部资源，如本地文件服务器、内部办公系统；又要使用Entra ID授权的云服务，像Microsoft 365等。通过密码哈希同步，员工使用同一套密码就能访问两类资源，无需记忆多套密码，提高了工作效率，也减少了因密码管理混乱导致的登录问题。
加强安全管理：从安全角度看，密码哈希同步也有重要意义。在混合环境中，统一的密码管理可以让企业更好地实施安全策略。例如，企业可以在Entra ID中设置统一的密码复杂度、有效期等策略，通过密码哈希同步，这些策略能间接应用到使用本地AD密码的场景中，提升整体安全性。当检测到用户密码存在安全风险时，企业可以在Entra ID中统一处理，同步的密码哈希确保了本地AD环境下的用户也能及时受到安全策略调整的保护。
支持混合工作模式：随着混合工作模式的普及，员工可能会在办公室使用连接本地AD网络的设备，也会在家或外出时通过云服务访问企业资源。密码哈希同步技术支持这种灵活的工作模式，无论员工在何种环境下，都可以使用熟悉的密码访问所需资源，企业也能基于Entra ID对用户访问进行统一的安全管控。

Active Directory并不都是私有化本地部署的，它有多种部署方式，具体如下：

本地部署：许多企业会在自己的数据中心或内部网络中私有化本地部署Active Directory。这种方式下，企业对服务器硬件、软件以及数据拥有完全的控制权，可以根据自身的安全需求、性能要求和业务规则来进行定制化配置。比如一些对数据安全性和隐私要求极高的金融机构、政府部门等，会选择在本地构建Active Directory环境，将用户身份信息、权限设置等数据存储在本地服务器上，通过内部网络进行身份验证和授权，确保数据不离开企业内部网络，从而最大程度地保障数据安全。
基于云的部署：微软提供了Azure Active Directory（现在已更名为Microsoft Entra ID）作为基于云的身份和访问管理解决方案，它也属于Active Directory技术体系的一部分。企业可以将Active Directory服务部署在微软的Azure云平台上，利用云的弹性、可扩展性和高可用性来管理用户身份和访问权限。这种方式适合那些希望减少本地IT基础设施投入、快速扩展业务、需要灵活应对业务变化的企业。例如，一些初创企业或互联网公司，可能没有足够的资源和技术团队来维护本地Active Directory服务器，就会选择将身份管理工作交给Azure Active Directory，通过云服务来实现用户的创建、身份验证、授权等功能。
混合部署：很多企业采用本地Active Directory与基于云的Microsoft Entra ID混合部署的方式。在这种模式下，企业既保留本地数据中心中对关键业务系统和资源进行身份验证和授权的本地Active Directory，又利用Microsoft Entra ID的云服务能力来管理一些面向互联网的应用和服务，或者满足远程办公、跨地域业务协作等需求。例如，企业的核心业务系统如ERP系统可能仍然依赖本地Active Directory进行身份验证和授权，以确保数据的安全性和稳定性；而企业的一些移动应用、云办公软件等则可以通过Microsoft Entra ID进行身份管理，实现更便捷的用户访问和更灵活的身份验证方式，如多因素认证等。

Active Directory（AD）并非主要为私有云部署，它也有适用于混合云、公有云的场景，微软将相关功能进行整合并更名为Microsoft Entra ID主要有以下原因：

产品演进与战略调整

适应新的技术趋势：随着云计算、移动办公、多平台应用等技术趋势的发展，企业的身份管理需求变得更加复杂和多样化。传统的Active Directory在功能和架构上逐渐难以完全满足这些新需求。例如，在混合云环境下，企业需要更便捷地实现本地和云端身份的统一管理，以及对各种移动设备和云应用的身份验证和授权支持。Microsoft Entra ID的推出是为了更好地适应这些技术趋势，提供更全面、灵活的身份管理解决方案。
战略聚焦与品牌整合：微软在身份与访问管理领域有多个产品和服务，为了更好地整合资源，打造统一的品牌形象和战略体系，将相关功能进行了整合和升级，以Microsoft Entra品牌来统一呈现身份管理相关的产品和服务。这样可以使企业客户更清晰地理解和使用微软的身份管理解决方案，也有利于微软在市场上更好地竞争和推广。

功能增强与拓展

强化云身份功能：Active Directory虽然也能在一定程度上支持混合云场景，但Microsoft Entra ID在云身份管理方面进行了大量的功能增强和优化。比如，它提供了更强大的多租户支持，使企业能够更轻松地管理多个业务部门或合作伙伴的身份信息；同时，在与Azure等云服务的集成上更加紧密和深入，能够为云应用提供更精细的访问控制和安全策略。
增加新的身份管理能力：Microsoft Entra ID引入了一些新的身份管理能力，如对工作负载身份的更好支持，包括应用程序、服务和容器等的身份验证和授权。这是随着微服务架构、容器化技术等的发展而产生的新需求，Active Directory原来的功能在这方面相对薄弱。通过Microsoft Entra ID，企业可以更有效地保护和管理这些新型工作负载的身份，确保云原生应用和服务的安全运行。

安全与合规需求

提升安全防护能力：网络安全威胁日益复杂和多样化，企业对身份安全的要求越来越高。Microsoft Entra ID在安全方面进行了诸多升级，如引入了高级威胁防护功能，能够利用微软的全球安全情报和机器学习技术，实时检测和防范身份相关的安全威胁，如身份盗窃、恶意登录等。相比之下，传统的Active Directory在应对一些新型安全威胁时可能存在一定的局限性。
满足合规要求：不同行业和地区（GDPR）对数据安全和隐私的合规要求不断提高，Microsoft Entra ID在设计和功能上更好地满足了这些合规需求。它提供了更完善的审计和报告功能，帮助企业满足各种法规和标准对身份管理的要求，如GDPR等。这使得企业在使用Microsoft Entra ID时能够更轻松地应对合规挑战，降低法律风险。

Microsoft Entra ID可以有以下不同的云部署模式：

公有云部署
- 概述：Microsoft Entra ID在公有云场景下，是基于微软Azure公有云平台提供的身份和访问管理服务。微软在全球各地的数据中心维护和管理相关的基础设施和服务，用户可以通过互联网直接订阅和使用该服务。
- 特点：具有高度的可扩展性和灵活性，企业可以根据自身业务需求快速扩展或缩减使用的资源和功能。例如，新成立的互联网公司业务增长迅速，用户数量不断增加，通过公有云部署的Microsoft Entra ID，能轻松应对用户规模的变化，按需增加或减少资源，同时享受微软提供的高可用性和安全保障。
混合云部署
- 概述：这种模式下，企业会将Microsoft Entra ID与本地的Active Directory等身份系统相结合。一部分身份管理功能在本地数据中心的Active Directory中实现，另一部分则借助云端的Microsoft Entra ID来完成。
  - 特点：能让企业在享受云服务带来的便利和创新功能的同时，充分利用已有的本地身份基础设施投资。比如一些传统企业已经在本地部署了完善的Active Directory系统来管理内部员工身份和权限，当企业开始拓展云业务，如使用Microsoft 365等云服务时，通过混合云部署的Microsoft Entra ID，可以将本地Active Directory与云端服务进行无缝集成，员工既能使用本地身份访问本地资源，又能通过Microsoft Entra ID访问云资源，实现身份管理的统一和便捷。
私有云部署
- 概述：虽然Microsoft Entra ID主要是作为公有云服务提供，但在某些特定情况下，对于有高度数据隐私和安全要求的企业，微软也提供了在私有云环境中部署类似功能的解决方案，通常是通过Azure Stack等技术，让企业可以在自己的数据中心构建和运行类似于Microsoft Entra ID的身份管理服务。
- 特点：企业可以完全掌控身份管理系统的运行环境，确保数据严格在企业内部的安全边界内处理。比如一些军工企业、大型金融机构等，对数据的保密性和合规性有极其严格的要求，通过在私有云内部署类似Microsoft Entra ID的解决方案，能够在满足自身安全和合规需求的前提下，利用Microsoft Entra ID的一些先进身份管理功能。

1.什么是 Microsoft Entra？

Microsoft Entra 是一系列标识和网络访问产品。它使组织能够实施 Zero Trust 安全策略并创建一个信任结构，以验证身份、验证访问条件、检查权限、加密连接通道并监控泄露。

Zero Trust即零信任，是一种网络安全策略，核心就是“永不信任，始终验证” 。它颠覆了以往认为企业防火墙内的一切都是安全的传统观念。就算请求来自企业内部网络，也会像来自不受控制的外部网络一样，仔细检查每个访问请求。

零信任的核心原则
1. 明确验证：每次访问都要基于所有能获取的数据进行身份验证和授权。比如员工用公司电脑访问内部系统，除了验证账号密码，还可能会检查设备状态、访问地点等信息。（多因子验证每次访问请求）
2. 最小权限访问：只给用户在特定时间内完成工作所需的最少权限。就像财务人员处理月度报表时，只在处理期间有相关文件的读写权限，之后权限自动收回。（限定权限范围和授权时间）
3. 假定存在入侵：要随时假设网络已经被入侵，采取措施缩小攻击影响范围，检查数据加密情况，利用数据分析来发现威胁和加强防御。比如把企业网络划分成多个小区域，不同区域间访问严格控制，某个区域被攻击也不会波及其他区域。（资源隔离）
零信任的优势和应用场景：零信任特别适合现代复杂的办公环境，比如员工经常远程办公的情况。它能保护用户账户、设备、应用程序和数据，不管这些资源在哪里。不同规模和行业的组织都能应用零信任，不过具体实施方式会因组织需求、现有技术和安全水平有所不同。
相关的支持和资源：美国政府发布的行政命令推动了零信任在联邦机构的应用，微软等公司也提供了很多指导和工具。例如有不同的文档集，适合不同角色的人，像安全架构师、IT团队、项目经理等，帮助大家评估零信任实施的准备情况、跟踪进度、进行具体的部署等。此外，还有推荐的培训课程，帮助大家学习零信任知识和最佳实践框架。

建立 Zero Trust 访问控制

Microsoft 输入 ID

Microsoft Entra ID 是 Microsoft Entra 的基础产品。它提供必要的身份、身份验证、策略和保护，以保护员工、设备以及企业应用程序和资源。

Microsoft Entra ID是微软提供的一项基于云的身份和访问管理服务，就像是公司的 “数字门禁系统”，员工用它来访问各种资源，这些资源既包括像Microsoft 365、Azure门户这样的外部资源，也有公司内部网络上的应用程序以及专为公司开发的云应用。

不同用户的使用方式
1. IT管理员：可以按照公司的业务需求，用它来控制员工对应用和资源的访问。比如要求员工在访问重要资源时进行多因素身份验证，还能实现用户账号在本地Windows Server AD和云应用（如Microsoft 365）之间的自动配置。另外，它也提供了很多工具来保护用户身份和凭据，满足公司的访问管理要求。
2. 应用开发者：能把它当作标准的身份验证提供者，给应用添加单点登录功能，这样用户用已有的账号信息就能登录。开发者还能利用Microsoft Entra的API，基于公司的数据打造个性化的体验。
3. Microsoft 365等服务的订阅者：已经在使用Microsoft Entra ID了，因为只要订阅了Microsoft 365、Office 365、Azure或者Dynamics CRM Online，相应的租户就自动成为了Microsoft Entra租户，可以直接管理对集成云应用的访问。
许可证类型
1. 免费版（Microsoft Entra ID Free）：提供基础功能，像用户和组的管理、本地目录同步、基本报告功能、云用户自助修改密码，以及在Azure、Microsoft 365和很多流行的SaaS应用中实现单点登录SSO。
2. P1版（Microsoft Entra ID P1）：在免费版基础上进行了升级，支持混合用户访问本地和云资源，还有高级管理功能，比如动态成员组、自助组管理、Microsoft Identity Manager，还能让本地用户自助重置密码。
3. P2版（Microsoft Entra ID P2）：功能更强大，除了包含免费版和P1版的功能外，还增加了Microsoft Entra ID Protection，它能根据风险来设置访问条件，保护公司重要数据；还有Privileged Identity Management，可以管理、限制和监控管理员对资源的访问，并且在需要时提供即时访问权限。
主要功能：涵盖了很多方面，比如应用管理（管理云应用和本地应用的访问）、身份验证（管理密码重置、多因素认证等）、支持开发者构建应用、管理与外部伙伴的合作（B2B和B2C场景）、控制对云应用的访问（条件访问）、管理设备访问公司数据、处理混合身份（让用户用同一身份访问不同位置的资源）等。

类比

可以把Microsoft Entra ID类比成一个大型综合商场的管理系统，以下是具体的对应关系：

身份管理就像顾客信息登记
- 在商场里，每个人都有自己的身份，比如顾客、员工、供应商等。Microsoft Entra ID就像商场的顾客信息登记系统，会记录每个用户的身份信息，比如员工有员工号、姓名、职位等，顾客有会员卡号、姓名、联系方式等。这样商场就能清楚知道谁是谁，方便提供相应的服务和管理。
身份验证如同进入商场的门禁
- 当员工或顾客要进入商场时，需要通过门禁系统验证身份。员工可能需要刷卡或者输入密码，顾客如果是会员可能需要刷会员卡或者输入手机号验证码等。这就像Microsoft Entra ID的身份验证功能，只有通过验证的用户才能进入相应的区域，访问相应的资源。比如普通顾客只能进入商场的购物区域，而员工可以进入办公区域等特定场所。
访问权限类似不同区域的准入许可
- 商场里不同区域有不同的准入规定。普通顾客可以在购物区自由活动，但不能进入员工休息室、仓库等区域。而仓库管理员有进入仓库的权限，却不一定能进入财务办公室。Microsoft Entra ID就负责管理这些访问权限，像给员工分配可以访问哪些应用程序、文件或系统功能，就如同给商场里的不同人员分配可以进入哪些区域的权限一样，确保每个人只能访问他们工作或业务需要的资源。
多因素身份验证好比双重保险门锁
- 有些重要的地方，比如商场的财务室，可能会使用双重保险门锁，需要用钥匙和密码才能打开。Microsoft Entra ID的多因素身份验证就类似这种机制，除了用户名和密码外，可能还需要用户使用手机验证码、指纹识别或智能卡等方式进行额外的验证，增加安全性，防止他人轻易盗用身份进入系统。
应用管理好像商场的店铺管理
- 商场要管理里面的各种店铺，包括店铺的开业、停业、调整位置等。Microsoft Entra ID的应用管理功能就类似商场对店铺的管理，它可以管理各种应用程序，比如添加新的应用供员工或用户使用，停用不再需要的应用，或者调整用户对不同应用的访问权限，确保应用的使用安全、有序。

我们继续用前面商场的例子来类比Microsoft Entra ID不同版本的功能差异，这样会更通俗易懂：

免费版（Microsoft Entra ID Free）：就好比商场提供的基础会员服务和基础员工管理模式。
1. 用户和组的管理：商场会对普通会员和员工进行分类管理，记录会员的基本信息（如姓名、电话），员工的部门、职位等，就像免费版可以管理用户和组，知道谁是员工、谁是用户，分别属于哪个团队或部门。
2. 本地目录同步：想象商场有一个本地的会员和员工信息记录本，免费版能把这个记录本上的信息和商场的电子系统同步起来，确保信息一致，就像把本地目录和云端的系统进行同步。
3. 基本报告功能：商场会统计一些基本数据，比如每天的会员消费情况、员工出勤记录等，免费版的基本报告功能类似，能提供一些基础的用户和访问相关的数据统计。
4. 云用户自助修改密码：就像商场的会员可以在商场的自助终端或者网站上自己修改登录密码，云用户也能在免费版中自助修改自己的密码。
5. 在 Azure、Microsoft 365 和很多流行的 SaaS 应用中实现单点登录：假如商场里有多个不同的服务区域，比如线上商城、会员积分兑换系统等，会员只要登录一次，就能访问这些相关的服务区域，无需多次登录。在免费版中，用户也可以通过一次登录，访问 Azure、Microsoft 365 等相关的应用。

P1 版（Microsoft Entra ID P1）：这相当于商场的高级会员服务和更高级的员工管理模式，在基础服务上进行了升级。
1. 支持混合用户访问本地和云资源：在商场里，有些员工可能既需要在商场的本地办公区域工作（比如处理库存的员工），又要使用商场的线上系统（比如查询供应商信息），P1 版就支持这种混合访问的需求，让员工能更灵活地访问不同位置的资源。
2. 动态成员组、自助组管理：比如商场的促销活动团队，成员可能会根据不同的促销活动而变化，P1 版的动态成员组功能就可以根据设定的规则自动调整团队成员；自助组管理则像员工可以自己申请加入某个特定的项目组（比如节日促销项目组），并进行一定的管理操作。
3. Microsoft Identity Manager：可以理解为商场有一个更智能的员工身份管理系统，能更高效地管理员工的身份信息、权限变更等，确保员工的身份和权限管理更加规范。
4. 本地用户自助重置密码：除了云用户，商场本地办公的员工（比如在办公室工作的行政人员）也能自己重置密码，就像 P1 版让本地用户也能自助重置密码，更加方便。

P2 版（Microsoft Entra ID P2）：这就像是商场的 VIP 会员服务和顶级的安全管理模式，功能更加强大。
1. Microsoft Entra ID Protection：商场里有一些重要的区域（比如存放贵重商品的仓库）和重要的数据（比如财务数据、高端会员的隐私信息），P2 版的 Entra ID Protection 就像给这些重要区域和数据设置了高级的安全保护机制。它能根据风险情况（比如某个账号突然在异常地点登录）来设置访问条件，比如要求进行额外的身份验证，确保重要数据的安全。
2. Privileged Identity Management：商场里有一些关键岗位的人员（比如商场经理、财务主管等），他们对重要资源（如财务室、总经理办公室）有特殊的访问权限。P2 版的 Privileged Identity Management 就可以管理、限制和监控这些关键人员对重要资源的访问，比如规定经理只有在特定时间、特定情况下才能进入财务室，并且在需要时（比如处理紧急财务问题）可以即时赋予访问权限，同时记录所有的访问操作，便于监控和审计。

Microsoft Entra 域服务

Microsoft Entra 域服务提供托管域服务，例如组策略、轻量级目录访问协议（LDAP）和 Kerberos/NTLM 身份验证。它使组织能够在云中运行无法使用现代身份验证方法的旧式应用程序。

例如，其服务需要访问 Kerberos 身份验证的组织可以创建一个托管域，其中核心服务组件由 Microsoft 作为托管域体验进行部署和维护。

把公司的网络环境想象成一个小区，Microsoft Entra域服务就像是小区里的物业管理服务中心，为小区（公司网络）提供各种便利和管理。

管理服务类比
1. 组策略：组策略就像是小区的规章制度。比如小区规定晚上10点后禁止大声喧哗，这就类似于组策略中规定某些员工在特定时间段内不能访问特定的网络资源。小区通过这些规章制度来管理居民的行为，组策略则帮助公司管理员工对网络资源的访问和使用方式。
2. 轻量级目录访问协议（LDAP）：LDAP就像是小区的居民信息登记册。居民信息登记册记录了小区居民的各种信息，如姓名、住址、联系方式等。LDAP则记录了公司网络中用户、设备、资源等的相关信息，方便进行查找和管理。当有新员工加入公司（新居民入住小区）时，就可以在LDAP中登记相关信息，以便其他系统能够快速找到并识别这个新成员。
3. Kerberos/NTLM身份验证：这就好比是小区的门禁系统。只有拥有正确门禁卡（合法的身份凭证）的居民才能进入小区，Kerberos/NTLM身份验证也是如此，只有通过身份验证的用户才能访问公司的网络资源。比如员工在登录公司的电脑系统或者访问共享文件时，就需要通过这种身份验证，确保只有授权的人员能够访问相应资源。
运行旧式应用程序类比：有些公司的旧式应用程序就像是小区里一些老旧的设施，比如只能用传统钥匙开门的旧信箱（不能使用现代身份验证方法的应用程序）。物业管理服务中心（Microsoft Entra域服务）可以帮助这些老旧设施继续在新环境（云中）正常运作。即使这些设施不能适应新的门禁系统（现代身份验证方法），物业管理服务中心也能提供一种方式，让居民（员工）仍然可以使用这些老旧设施（运行旧式应用程序）。
托管域体验类比：对于需要访问Kerberos身份验证的组织（就像小区里某些特定区域，比如小区的物业办公室，只有特定人员能进入，需要特殊的门禁权限），创建一个托管域就像是为这个特定区域单独设置了一个管理系统。Microsoft作为托管域体验进行部署和维护，就好比是物业专门安排了专人来管理这个特定区域的门禁、登记等事务，让这个特定区域的管理更加便捷和安全，组织无需自己去操心这些复杂的管理工作。

员工安全访问

Microsoft Entra Private Access

Microsoft Entra Private Access 保护对所有私有应用程序和资源的访问，包括公司网络和多云环境。它使远程用户能够从任何设备和网络连接到内部资源，而无需虚拟专用网络（VPN）。

例如，员工可以在家甚至咖啡馆工作时安全地访问公司网络打印机。

通俗解释

用途：Microsoft Entra Private Access是微软推出的一项保障企业内部资源访问安全的服务。现在很多人不在公司办公室办公，可能在家、在咖啡馆等地方工作，这时候想要访问公司内部的一些资源，像公司专用的软件、数据库、内部网络里的文件等，如果没有安全措施，信息很容易泄露。Microsoft Entra Private Access就是专门解决这个问题的，不管员工是在公司，还是在外面远程办公，都能安全地访问公司这些私有的资源。
与传统方式的区别：以前远程访问公司内部资源，经常会用到VPN（虚拟专用网络）。但VPN使用起来可能不太方便，设置比较复杂，而且安全性也有一定的局限性。Microsoft Entra Private Access就不一样了，它不需要员工再去连接VPN，就能直接访问公司的私有资源。比如员工在家想使用公司内部的某个软件，以前要先连VPN，现在用Microsoft Entra Private Access，直接就能打开使用，就像在公司办公室里一样方便。
安全特性：它还能