Výběr modelu integrace Microsoft Entra
Microsoft Entra ID není AD DS v cloudu; je to zcela nová adresářová služba navržená pro cloudové a webové aplikace, které sdílí některé funkce se službou AD DS. IT tým společnosti Contoso může implementovat ID Microsoft Entra a synchronizovat místní identity s cloudem. Tyto kroky umožní zaměstnancům společnosti Contoso používat jednotné přihlašování pro přístup k místním prostředkům i k souvisejícím prostředkům ve svém tenantovi Azure.
IT tým může pomocí Microsoft Entra ID zvýšit produktivitu zaměstnanců, zjednodušit IT procesy a zlepšit zabezpečení pro přijímání různých cloudových služeb. Zaměstnanci společnosti Contoso mají přístup k online aplikacím pomocí jednoho uživatelského účtu. Společnost Contoso může také provádět centrální správu uživatelů pomocí známých rutin prostředí Windows PowerShell. Je také vhodné poznamenat, že protože ID Microsoft Entra je vysoce škálovatelné a vysoce dostupné podle návrhu, IT tým nebude muset udržovat související infrastrukturu nebo se starat o zotavení po havárii.
Jako součást Azure může Microsoft Entra ID podporovat vícefaktorové ověřování jako součást celkové strategie přístupu pro cloudové služby, čímž poskytuje další vrstvu zabezpečení. Řízení přístupu na základě role (RBAC), samoobslužné heslo, správa skupin a registrace zařízení poskytují řešení pro správu identit připravená pro podniky. Microsoft Entra ID také poskytuje rozšířenou ochranu identit kromě rozšířeného vytváření sestav a upozorňování, které vám můžou pomoct efektivněji rozpoznat hrozby.
Přehled ID Microsoft Entra
Microsoft Entra ID je součástí nabídky PaaS (platforma jako služba) a funguje jako adresářová služba spravovaná Microsoftem v cloudu. Nejedná se o součást základní infrastruktury, kterou vlastní a spravuje zákazníci, ani se nejedná o nabídku IaaS. I když to znamená, že máte menší kontrolu nad jeho implementací, znamená to také, že nemusíte vyhradit prostředky na jeho nasazení nebo údržbu.
S Id Microsoft Entra máte také přístup k sadě funkcí, které nejsou nativně dostupné ve službě AD DS, jako je podpora vícefaktorového ověřování, ochrany identit a samoobslužného resetování hesla. Microsoft Entra ID můžete použít k zajištění bezpečnějšího přístupu ke cloudovým prostředkům pro organizace a jednotlivce:
- Konfigurace přístupu k aplikacím
- Konfigurace jednotného přihlašování ke cloudovým aplikacím SaaS
- Správa uživatelů a skupin
- Zřizování uživatelů
- Povolení federace mezi organizacemi
- Poskytování řešení správy identit
- Identifikace nepravidelné přihlašovací aktivity
- Konfigurace vícefaktorového ověřování
- Rozšíření existujících implementací místní Active Directory na ID Microsoft Entra.
- Konfigurace proxy aplikací pro cloudové a místní aplikace
- Konfigurace podmíněného přístupu pro uživatele a zařízení
Tenanti Microsoft Entra
Na rozdíl od místní služby AD DS je Microsoft Entra ID víceklientských návrhů a implementuje se speciálně pro zajištění izolace mezi jeho jednotlivými instancemi adresáře. Jedná se o největší světový víceklientský adresář, který hostuje více než milion instancí adresářových služeb s miliardami žádostí o ověření za týden. Termín tenant v tomto kontextu obvykle představuje společnost nebo organizaci, která si zaregistrovala předplatné cloudové služby Microsoftu, jako je Microsoft 365, Microsoft Intune nebo Azure. Každá z nich používá Microsoft Entra ID.
Z technického hlediska však tenant termínu představuje jednotlivou instanci Microsoft Entra. V rámci předplatného Azure můžete vytvořit více tenantů Microsoft Entra. Pokud chcete otestovat funkce Microsoft Entra v jednom tenantovi, aniž by to mělo vliv na ostatní, může být vhodné mít více tenantů Microsoft Entra.
Poznámka:
V každém okamžiku musí být předplatné Azure přidružené k jednomu a pouze jednomu tenantovi Microsoft Entra. Stejného tenanta Microsoft Entra ale můžete přidružit k několika předplatným Azure.
Každému tenantovi Microsoft Entra je přiřazen výchozí název domény DNS, který se skládá z jedinečné předpony. Předpona je odvozena od názvu účtu Microsoft, který používáte k vytvoření předplatného Azure, nebo explicitně při vytváření tenanta Microsoft Entra a za ním následuje onmicrosoft.com přípona. Přidání aspoň jednoho vlastního názvu domény do stejného tenanta Microsoft Entra je možné a běžné. Tento název využívá obor názvů domény DNS, který vlastní odpovídající společnost nebo organizace; například Contoso.com. Tenant Microsoft Entra slouží jako hranice zabezpečení a kontejner pro objekty Microsoft Entra, jako jsou uživatelé, skupiny a aplikace.
Charakteristiky ID Microsoft Entra
I když id Microsoft Entra má mnoho podobností se službou AD DS, existuje také mnoho rozdílů. Je důležité si uvědomit, že použití Microsoft Entra ID není stejné jako nasazení řadiče domény AD DS na virtuální počítač Azure a jeho následné přidání do místní domény.
Při porovnávání MICROSOFT Entra ID se službou AD DS je důležité si uvědomit charakteristiky Microsoft Entra, které se liší od služby AD DS:
- Microsoft Entra ID je primárně řešení identit a je určené pro internetové aplikace pomocí komunikace HTTP (port 80) a HTTPS (port 443).
- Microsoft Entra ID je adresářová služba s více tenanty.
- Uživatelé a skupiny Microsoft Entra se vytvářejí v ploché struktuře a neexistují žádné organizační jednotky (OU) ani objekty zásad skupiny (GPO).
- Pomocí protokolu LDAP nelze dotazovat Microsoft Entra ID; Místo toho Microsoft Entra ID používá rozhraní REST API přes HTTP a HTTPS.
- Microsoft Entra ID nepoužívá ověřování Kerberos; místo toho k ověřování používá protokoly HTTP a HTTPS, jako je SAML (Security Assertion Markup Language), Federace webových služeb (WS-Federation) a Open Připojení ID. K autorizaci také používá Open Authorization (OAuth).
- ID Microsoft Entra zahrnuje federační služby a mnoho služeb třetích stran je federované s Microsoft Entra ID a důvěřuje jim.
Možnosti integrace Microsoft Entra
Malé organizace, které nemají místní adresář, jako je služba AD DS, můžou plně spoléhat na ID Microsoft Entra jako ověřovací a autorizační službu. Počet těchto organizací je ale stále poměrně malý, takže většina společností hledá způsob, jak integrovat místní službu AD DS s Microsoft Entra ID. Microsoft nabízí správu identit a přístupu v cloudovém měřítku prostřednictvím Microsoft Entra ID, které nabízí několik možností integrace služby AD DS s Azure. Tyto možnosti jsou popsány v následující tabulce.
| Možnosti | Popis |
|---|---|
| Rozšíření místní služby AD DS do Azure | Díky této možnosti hostujete virtuální počítače v Azure, které pak zvýšíte na řadiče domény ve vaší místní službě AD DS. |
| Synchronizace místní služby AD DS s Microsoft Entra ID | Synchronizace adresářů šíří uživatele, skupinu a kontaktní informace do Microsoft Entra ID a udržuje tyto informace synchronizované. V tomto scénáři budou uživatelé používat různá hesla pro přístup ke cloudovým a místním prostředkům a procesy ověřování jsou oddělené. |
| Synchronizace služby AD DS s ID Microsoft Entra pomocí synchronizace hodnot hash hesel | V tomto přístupu místní služba AD DS synchronizuje objekty s ID Microsoft Entra, ale také odesílá hodnoty hash hesel pro uživatelské objekty do Microsoft Entra ID. Díky této možnosti mají uživatelé přístup k aplikacím a prostředkům pracujícím s Microsoft Entra ID tím, že poskytnou stejné heslo jako jejich aktuální místní přihlášení. Pro koncové uživatele tento přístup poskytuje stejné přihlašovací prostředí. |
| Implementace jednotného přihlašování mezi místní službou AD DS a Microsoft Entra ID | Tato možnost podporuje největší škálu integračních funkcí a umožňuje uživateli přihlásit se k Azure po ověření prostřednictvím místní služby AD DS. Technologie, která tuto funkci poskytuje, se nazývá federace, kterou můžete implementovat pomocí Active Directory Federation Services (AD FS) (AD FS). Služba AD FS spoléhá na sadu federačních serverů a proxy serverů, které mají podobu služby role serveru webové proxy aplikací. Jako alternativu k nasazení služby AD FS můžete také použít předávací ověřovací technologii, která poskytuje téměř stejné výsledky jako služba AD FS. Nepoužívá ale webovou proxy aplikací a vyžaduje méně složitou infrastrukturu než AD FS. |
Adresář Microsoft Entra není rozšířením místního adresáře. Je spíše jeho kopií, která obsahuje stejné objekty a identity. Změny provedené v těchto položkách v místním prostředí se zkopírují do ID Microsoft Entra, ale změny provedené v ID Microsoft Entra se nereplikují zpět do místní domény.
Tip
Můžete také použít ID Microsoft Entra bez použití místního adresáře. V tomto případě microsoft Entra ID funguje jako primární zdroj všech informací o identitě, nikoli jako obsahující data replikovaná z místního adresáře.