Funkcje zarządzania tożsamościami i dostępemIdentity and access management capabilities

W tym artykule wymieniono możliwości, które mogą pomóc w identyfikacji.This article lists capabilities that can help with identity.

Usługi tożsamości w chmurzeCloud identity services


MożliwośćCapability OpisDescription Zobacz więcejSee more
Azure Active DirectoryAzure Active Directory Ustanów pojedynczy katalog usługi Azure AD Enterprise na potrzeby zarządzania tożsamościami pracowników i zasobów przedsiębiorstwa w czasie pełnym.Establish a single Azure AD enterprise directory for managing identities of full-time employees and enterprise resources. Pojedyncze źródło autorytatywne zwiększa czytelność i spójność wszystkich ról w nim i zabezpieczeń oraz zmniejsza zagrożenie bezpieczeństwa przed błędami i niepowodzeniami automatyzacji, które wynikają z złożoności.A single authoritative source increases clarity and consistency for all roles in IT and Security and reduces security risk from human errors and automation failures resulting from complexity. Dokumentacja usługi Azure Active DirectoryAzure Active Directory documentation
Azure AD ConnectAzure AD Connect Zsynchronizuj usługę Azure AD z istniejącą autorytatywną Active Directory lokalnie przy użyciu programu Azure AD Connect.Synchronize Azure AD with your existing authoritative on premises Active Directory using Azure AD connect. Jest to również wymagane w przypadku migracji pakietu Office 365. jest to często wykonywane przed rozpoczęciem migracji platformy Azure i projektów programistycznych.This is also required for an Office 365 migration, so it is often already done before Azure migration and development projects begin. Co to jest tożsamość hybrydowa z Azure Active Directory?What is hybrid identity with Azure Active Directory?
Współpraca między firmami (B2B) w usłudze Azure ADAzure AD B2B collaboration Użyj funkcji współpracy w usłudze Azure AD Business-to-Business (B2B), aby hostować konta niebędące pracownikami, np. dostawców i partnerów.Use Azure AD business-to-business (B2B) collaboration to host non-employee accounts like vendors and partners. Zmniejsza to ryzyko przez przyznanie odpowiedniego poziomu dostępu do jednostek zewnętrznych zamiast pełnych uprawnień domyślnych przyznanych pracownikom w czasie pełnym.This reduces risk by granting the appropriate level of access to external entities instead of the full default permissions given to full-time employees. To najmniej uprzywilejowane podejście i jasne odróżnienie kont zewnętrznych od pracowników firmy ułatwia zapobieganie i wykrywanie ataków pochodzących z tych wektorów.This least privilege approach and clear clearly differentiation of external accounts from company staff makes it easier to prevent and detect attacks coming in from these vectors. Dokumentacja usługi Azure Active Directory B2BAzure Active Directory B2B documentation
Azure AD B2CAzure AD B2C Użyj Azure AD B2C dla kont konsumentów i obywateli.Use Azure AD B2C for consumer and citizen accounts. Azure AD B2C to usługa zarządzania tożsamościami, która umożliwia niestandardowe kontrolowanie sposobu, w jaki klienci logują się, logują się i zarządzają swoimi profilami w przypadku korzystania z systemu iOS, Android, .NET, pojedynczej strony (SPA) i innych aplikacji.Azure AD B2C is an identity management service that enables custom control of how your customers sign up, sign in, and manage their profiles when using your iOS, Android, .NET, single-page (SPA), and other applications. Dokumentacja usługi Azure Active Directory B2CAzure Active Directory B2C documentation

Możliwości zabezpieczeń tożsamościIdentity security capabilities


MożliwośćCapability OpisDescription Więcej informacjiMore information
Azure Multi-Factor Authentication (MFA)Azure Multi-Factor Authentication (MFA) Uwierzytelnianie wieloskładnikowe zapewnia dodatkowe zabezpieczenia, wymagając drugiej formy uwierzytelniania.MFA provides additional security by requiring a second form of authentication. Jak działa uwierzytelnianie wieloskładnikoweHow MFA works
Uwierzytelnianie bez hasłaPasswordless authentication Usługa Azure AD obsługuje kilka metod uwierzytelniania bez hasła, w tym funkcji Windows Hello dla firm, Microsoft Authenticator App i kluczy zabezpieczeń FIDO2.Azure AD supports several methods of passwordless authentication, including Windows Hello for Business, Microsoft Authenticator app, and FIDO2 security keys. Metody uwierzytelniania bez hasła są wygodne, ponieważ hasło jest usuwane i zastępowane przez użytkownika, a także coś lub czegoś znanego.Passwordless authentication methods are convenient because the password is removed and replaced with something you have, plus something you are or something you know. Opcje uwierzytelniania bezhasło dla Azure Active DirectoryPasswordless authentication options for Azure Active Directory
Dostęp warunkowyConditional Access W przypadku dostępu warunkowego usługa Azure AD szacuje warunki logowania użytkownika i korzysta z zasad dostępu warunkowego, które tworzysz, aby zezwolić na dostęp.With Conditional Access, Azure AD evaluates the conditions of the user login and uses conditional access policies you create to allow access. Można na przykład utworzyć zasady dostępu warunkowego, aby wymagać zgodności urządzenia w celu uzyskania dostępu do poufnych danych.For example, you can create a Conditional Access policy to require device compliance for access to sensitive data. Znacznie zmniejsza to ryzyko, że osoba z skradzioną tożsamością może uzyskać dostęp do poufnych danych.This greatly reduces the risk that a person with a stolen identity can access your sensitive data. Chroni ona również poufne dane na urządzeniach, ponieważ urządzenia muszą spełniać określone wymagania dotyczące kondycji i zabezpieczeń.It also protects sensitive data on the devices, because the devices must meet specific requirements for health and security. Dokumentacja dostępu warunkowegoConditional Access documentation

Typowe zasady dostępu warunkowegoCommon Conditional Access policies

Zalecana konfiguracja i dostęp do urządzeńRecommended identity and device access configurations
Samoobsługowe resetowanie hasła w usłudze Azure AD (SSPR)Azure AD self-service password reset (SSPR) SSPR umożliwia użytkownikom bezpieczne resetowanie haseł i bez interwencji działu pomocy technicznej, zapewniając weryfikację wielu metod uwierzytelniania, które administrator może kontrolować.SSPR allows your users to reset their passwords securely and without helpdesk intervention, by providing verification of multiple authentication methods that the administrator can control. Jak to działa: Samoobsługowe resetowania hasła usługi Azure ADHow it works: Azure AD self-service password reset
Azure Active Directory Identity ProtectionAzure Active Directory Identity Protection Azure AD Identity Protection pozwala wykryć potencjalne luki w zabezpieczeniach, które mają wpływ na tożsamości organizacji i skonfigurować automatyczne zasady korygowania na niski, średni i wysokie ryzyko związane z logowaniem i ryzykiem użytkownika.Azure AD Identity Protection enables you to detect potential vulnerabilities affecting your organization's identities and configure automated remediation policy to low, medium, and high sign-in risk and user risk. Co to jest usługa Azure Active Directory Identity Protection?What is Azure Active Directory Identity Protection?
Ochrona hasłem w usłudze Azure AD dla systemu Windows Server Active DirectoryAzure AD password protection for Windows Server Active Directory Ochrona lokalnych kont Active Directory za pomocą ochrony hasłem usługi Azure AD.Protect on-premises Active Directory accounts with Azure AD password protection. Jest to takie samo sprawdzenie, jak usługa Azure AD dla zmian opartych na chmurze.This does the same checks on-premises as Azure AD does for cloud-based changes. Te testy są wykonywane podczas zmiany hasła i scenariuszy resetowania hasła.These checks are performed during password changes and password reset scenarios. Enforce Azure AD password protection for Windows Server Active Directory (Wymuszanie ochrony hasłem usługi Azure AD dla usługi Active Directory systemu Windows Server)Enforce Azure AD password protection for Windows Server Active Directory

Dodatkowe funkcje zabezpieczeń tożsamości dla administratorówAdditional identity security capabilities for administrators


MożliwośćCapability OpisDescription Więcej informacjiMore information
Azure AD Privileged Identity ManagementAzure AD Privileged Identity Management Privileged Identity Management zapewnia aktywację roli opartej na czasie i zatwierdzania, aby ograniczyć ryzyko nadmiernego, niepotrzebnego lub nieużywanego dostępu do zasobów, które Cię interesują.Privileged Identity Management provides time-based and approval-based role activation to mitigate the risks of excessive, unnecessary, or misused access permissions on resources that you care about. Co to jest usługa Azure AD Privileged Identity Management?What is Azure AD Privileged Identity Management?
Tożsamości zarządzaneManaged Identities Możesz ograniczyć użycie haseł przez aplikacje korzystające z tożsamości zarządzanych, aby udzielić dostępu do zasobów na platformie AzureYou can reduce use of passwords by applications using Managed Identities to grant access to resources in Azure Jakie są zarządzane tożsamości dla zasobów platformy Azure?What are managed identities for Azure resources?

Następne krokiNext steps

Aby uzyskać dodatkowe wskazówki dotyczące zabezpieczeń firmy Microsoft, zobacz dokumentację zabezpieczeń firmy Microsoft.For additional security guidance from Microsoft, see Microsoft security documentation.