Идентификатор Microsoft Entra — это комплексное решение как услуга (IDaaS), которое охватывает все аспекты идентификации, управления доступом и безопасности.
Дополнительные сведения см. в разделе "Что такое идентификатор Microsoft Entra?".
Доступ к Azure и идентификатору Microsoft Entra
Почему при попытке получить доступ к Центру администрирования Microsoft Entra или портал Azure не найдено подписок?
Чтобы получить доступ к Центру администрирования Microsoft Entra или портал Azure, каждому пользователю требуются разрешения с подпиской. Если у вас нет платной подписки Microsoft 365 или Microsoft Entra, необходимо активировать бесплатную учетную запись Azure или платную подписку.
Дополнительные сведения см. в разделе:
Что такое связь между идентификатором Microsoft Entra, Microsoft 365 и Azure?
Идентификатор Microsoft Entra предоставляет общие возможности идентификации и доступа ко всем веб-службам. Независимо от того, используете ли вы Microsoft 365, Microsoft Azure, Intune или другие, вы уже используете идентификатор Microsoft Entra, чтобы включить управление входом и доступом для всех этих служб.
Все пользователи, настроенные для использования веб-служб, определяются как учетные записи пользователей в одном или нескольких экземплярах Microsoft Entra. Эти учетные записи можно настроить для бесплатных возможностей Microsoft Entra, таких как доступ к облачным приложениям.
Платные службы Microsoft Entra, такие как Enterprise Mobility + Security, дополняют другие веб-службы, такие как Microsoft 365 и Microsoft Azure с комплексными решениями по управлению и безопасности корпоративного масштаба.
Чем владелец отличается от глобального администратора?
По умолчанию роль владельца назначается пользователю, зарегистрировавшему подписку Azure. Владелец может использовать учетную запись Майкрософт либо рабочую или учебную учетную запись из каталога, с которым связана подписка Azure. Эта роль авторизована управлять службами на портале Azure.
Если другим пользователям нужно войти в систему и получить доступ к службам с помощью той же подписки, вы можете назначить им соответствующие встроенные роли. Дополнительные сведения см. в разделе Назначение ролей Azure с помощью портала Azure.
По умолчанию роль глобального администратора каталога назначается пользователю, зарегистрировавшему подписку Azure. Глобальный Администратор istrator имеет доступ ко всем функциям каталога Microsoft Entra. Идентификатор Microsoft Entra имеет другой набор ролей администратора для управления функциями каталога и удостоверений. Эти администраторы будут иметь доступ к различным возможностям на портале Azure. Роль администраторов определяет их возможности, например создание или изменение пользователей, назначение административных ролей другим пользователям, сброс паролей пользователей, управление лицензиями пользователей или управление доменами. Дополнительные сведения об администраторах каталогов Microsoft Entra и их ролях см. в разделе "Назначение ролей администратора" в идентификаторе Microsoft Entra ID и назначении ролей администратора в идентификаторе Microsoft Entra.
Кроме того, платные службы Microsoft Entra, такие как Enterprise Mobility + Security, дополняют другие веб-службы, такие как Microsoft 365 и Microsoft Azure, с комплексными решениями по управлению и безопасности корпоративного масштаба.
Существует ли отчет, показывающий, когда срок действия моих пользовательских лицензий Microsoft Entra истекает?
Нет. В настоящее время недоступно.
Как разрешить URL-адреса Центра администрирования Microsoft Entra на брандмауэре или прокси-сервере?
Чтобы оптимизировать подключение между сетью и Центром администрирования Microsoft Entra и ее службами, вам может потребоваться добавить в список разрешений определенные URL-адреса Центра администрирования Microsoft Entra. Это позволяет повысить производительность и подключение между локальной или широкой сетью. Администраторы сети часто развертывают прокси-серверы, брандмауэры или другие устройства, которые могут помочь обеспечить безопасность и предоставить контроль над доступом пользователей к Интернету. Правила, предназначенные для защиты пользователей, иногда могут блокировать или замедлять бизнес-трафик, связанный с бизнесом. Этот трафик включает обмен данными между вами и Центром администрирования Microsoft Entra по URL-адресам, перечисленным здесь.
- *.entra.microsoft.com
- *.entra.microsoft.us
- *.entra.microsoft.scloud
- *.entra.microsoft.eaglex.ic.gov
- *.entra.microsoftonline.cn
Начало работы с гибридным идентификатором Microsoft Entra
Каким образом можно выйти из клиента, если я добавлен в качестве участника совместной работы?
Сведения о том, как оставить клиентов, в которых вы добавили в качестве участника совместной работы, документируются в разделе "Оставьте организацию как внешний пользователь"
Как подключить локальный каталог к идентификатору Microsoft Entra?
Локальный каталог можно подключить к идентификатору Microsoft Entra с помощью Microsoft Entra Подключение.
Дополнительные сведения см. в разделе "Интеграция локальных удостоверений с идентификатором Microsoft Entra".
Как настроить единый вход между локальным каталогом и облачными приложениями?
Вам нужно настроить единый вход (SSO) между локальным каталогом и идентификатором Microsoft Entra. Если вы обращаетесь к облачным приложениям с помощью идентификатора Microsoft Entra, служба автоматически управляет пользователями для правильной проверки подлинности с помощью локальных учетных данных.
Реализация единого входа из локальной среды может быть легко достигнута с помощью таких решений федерации, как службы федерации Active Directory (AD FS) (AD FS) или путем настройки синхронизации хэша паролей. Вы можете легко развернуть оба варианта с помощью мастера настройки Microsoft Entra Подключение.
Дополнительные сведения см. в разделе "Интеграция локальных удостоверений с идентификатором Microsoft Entra".
Предоставляет ли идентификатор Microsoft Entra портал самообслуживания для пользователей в моей организации?
Да, идентификатор Microsoft Entra предоставляет идентификатор Microsoft Entra id Панель доступа для самостоятельного доступа пользователей и приложений. Если вы являетесь клиентом Microsoft 365, многие из этих возможностей вы найдете на портале Office 365.
Дополнительные сведения см. в статье Общие сведения о панели доступа.
Помогает ли идентификатор Microsoft Entra управлять локальной инфраструктурой?
Да. Выпуск Microsoft Entra ID P1 или P2 предоставляет microsoft Entra Подключение Health. Microsoft Entra Подключение Health помогает отслеживать и получать аналитические сведения о локальной инфраструктуре удостоверений и службах синхронизации.
Дополнительные сведения см. в статье Мониторинг локальной инфраструктуры идентификации и служб синхронизации в облаке.
Управление паролями
Можно ли использовать обратную запись паролей Microsoft Entra без синхронизации паролей? (В этом сценарии можно использовать самостоятельный сброс пароля Microsoft Entra (SSPR) с обратной записью паролей и не хранить пароли в облаке?)
Для включения обратной записи не требуется синхронизировать пароли Active Directory с идентификатором Microsoft Entra. В федеративной среде единый вход (SSO) Microsoft Entra использует локальный каталог для проверки подлинности пользователя. Этот сценарий не требует отслеживания локального пароля в идентификаторе Microsoft Entra.
Сколько времени длится обратная запись пароля в локальную среду Active Directory?
Обратная запись пароля выполняется в режиме реального времени.
Дополнительные сведения см. в статье Приступая к работе с компонентами управления паролями.
Можно ли использовать обратную запись паролей, которые управляются администратором?
Да. Если вы включили обратную запись паролей, операции, которые администратор выполняет с паролем, записываются обратно в локальную среду.
Ответы на другие вопросы, связанные с паролями, см. в статье Вопросы и ответы об управлении паролями.
Что делать, если я не могу вспомнить существующий пароль Microsoft 365 / Microsoft Entra при попытке изменить пароль?
В такой ситуации есть два варианта действий. Используйте самостоятельный сброс пароля, если он доступен. Функционирование самостоятельного сброса пароля зависит от настройки этой функции. Дополнительные сведения см. в разделе о принципах работы портала для сброса паролей.
Для пользователей Microsoft 365 администраторы могут сбрасывать пароли, используя шаги, описанные в статье Для администраторов: сброс паролей пользователей.
Для учетных записей Microsoft Entra администраторы могут сбрасывать пароли, используя одно из следующих действий:
Безопасность
Блокируются ли учетные записи после определенного числа неудачных попыток или используется более сложная стратегия?
Мы используем более сложную стратегию для блокировки учетных записей. Она основана на IP-адресе запроса и введенном пароле. Если есть вероятность того, что это атака, длительность блокировки увеличивается.
Некоторые (распространенные) пароли отклоняются с сообщениями "этот пароль использовался слишком много раз", относится ли это к паролям, используемым в текущем active directory?
Это относится к паролям, которые распространены во всем мире. Например, это все вариации слова Password и цифр 123456.
Будет ли блокироваться запрос на вход в клиент B2C из сомнительных источников (ботнеты, конечная точка tor) или для этого требуется клиент выпуска Basic или Premium?
У нас есть шлюз, который отфильтровывает запросы и предоставляет некоторую защиту от ботнетов и применяется для всех клиентов B2C.
Доступ к приложениям
Где можно найти список приложений, которые предварительно интегрированы с идентификатором Microsoft Entra и их возможностями?
Идентификатор Microsoft Entra ID имеет более 2600 предварительно интегрированных приложений от Майкрософт, поставщиков служб приложений и партнеров. Все предварительно интегрированные приложения поддерживают единый вход. Единый вход позволяет использовать учетные данные организации для доступа к приложениям. Некоторые приложения также поддерживают автоматическую подготовку и отмену подготовки.
Полный список предварительно интегрированных приложений см. в магазине Active Directory Marketplace.
Что делать, если приложение, которое мне нужно, не находится в Microsoft Entra Marketplace?
С помощью Идентификатора Microsoft Entra ID P1 или P2 можно добавить и настроить любое нужное приложение. В зависимости от возможностей вашего приложения и своих предпочтений вы можете настроить единый вход и автоматическую подготовку.
Дополнительные сведения см. в разделе:
Как пользователи войдите в приложения с помощью идентификатора Microsoft Entra?
Идентификатор Microsoft Entra предоставляет несколько способов просмотра и доступа пользователей к приложениям, например:
- Панель доступа Microsoft Entra
- средство запуска приложений Microsoft 365;
- прямой вход в федеративные приложения;
- прямые ссылки на федеративные приложения, приложения на основе пароля или существующие приложения;
Дополнительные сведения см. в статье о развертывании приложений для конечных пользователей в Azure AD.
Каковы различные способы, которыми идентификатор Microsoft Entra позволяет выполнять проверку подлинности и единый вход в приложения?
Идентификатор Microsoft Entra поддерживает множество стандартных протоколов для проверки подлинности и авторизации, таких как SAML 2.0, OpenID Подключение, OAuth 2.0 и WS-Federation. Идентификатор Microsoft Entra также поддерживает хранилище паролей и возможности автоматического входа в приложения, поддерживающие проверку подлинности на основе форм.
Дополнительные сведения см. в разделе:
Можно ли добавить приложения, которые я использую в локальной среде?
Прокси приложения Microsoft Entra обеспечивает простой и безопасный доступ к локальным веб-приложениям, которые вы выбираете. Вы можете получить доступ к этим приложениям таким же образом, как и к приложениям SaaS в Идентификаторе Microsoft Entra. Нет необходимости использовать VPN или изменять инфраструктуру сети.
Дополнительные сведения см. в статье Как обеспечить безопасный удаленный доступ к локальным приложениям.
Как установить обязательное выполнение многофакторной идентификации для пользователей, обращающихся к конкретному приложению?
С помощью условного доступа Microsoft Entra можно назначить уникальную политику доступа для каждого приложения. В политике вы можете настроить обязательное выполнение многофакторной идентификации для всех пользователей или только для пользователей, не подключенных к локальной сети.
Дополнительные сведения см. в разделе "Защита доступа к Microsoft 365" и другим приложениям, подключенным к идентификатору Microsoft Entra.
Что такое автоматическая подготовка пользователей для приложений SaaS?
Используйте идентификатор Microsoft Entra для автоматизации создания, обслуживания и удаления удостоверений пользователей во многих популярных облачных приложениях SaaS.
Дополнительные сведения см. в статье Автоматизация подготовки пользователей и отмена подготовки приложений SaaS с помощью идентификатора Microsoft Entra.
Можно ли настроить безопасное подключение LDAP с помощью идентификатора Microsoft Entra?
Нет. Идентификатор Microsoft Entra не поддерживает протокол LDAP или безопасный протокол LDAP. Однако можно включить экземпляр доменных служб Microsoft Entra в клиенте Microsoft Entra с правильно настроенными группами безопасности сети через сеть Azure для обеспечения подключения LDAP. Дополнительные сведения см. в разделе "Настройка защищенного LDAP" для управляемого домена доменных служб Microsoft Entra