Что такое Azure Active DirectoryWhat is Azure Active Directory?

Azure Active Directory (Azure AD) — это облачная служба управления удостоверениями и доступом от корпорации Майкрософт. Она помогает вашим сотрудникам входить в систему и обращаться к ресурсам таких категорий:Azure Active Directory (Azure AD) is Microsoft’s cloud-based identity and access management service, which helps your employees sign in and access resources in:

  • внешние ресурсы, такие как Microsoft 365, портал Azure и тысячи других приложений SaaS;External resources, such as Microsoft 365, the Azure portal, and thousands of other SaaS applications.

  • во внутренних ресурсах, таких как приложения в корпоративной сети и интрасети, а также в любых облачных приложениях, разработанных вашей организацией.Internal resources, such as apps on your corporate network and intranet, along with any cloud apps developed by your own organization. Дополнительные сведения о создании клиента для организации см. в разделе Краткое руководство. Создание клиента в Azure Active Directory.For more information about creating a tenant for your organization, see Quickstart: Create a new tenant in Azure Active Directory.

Сведения о различиях между Azure AD и доменными службами Active Directory см. в разделе Сравнение Active Directory с Azure Active Directory.To learn the difference between Azure AD and Active Directory Domain Services, see Compare Active Directory to Azure Active Directory. Лучше понять базовые службы идентификации в Azure, Azure AD и Microsoft 365 можно с помощью различных постеров о Microsoft Cloud для корпоративных архитекторов.You can also use the various Microsoft Cloud for Enterprise Architects Series posters to better understand the core identity services in Azure, Azure AD, and Microsoft 365.

Кто использует Azure ADWho uses Azure AD?

Azure AD могут использовать:Azure AD is intended for:

  • ИТ-администраторы.IT admins. С помощью Azure AD ИТ-администратор может управлять доступом к приложениям и их ресурсам в соответствии с бизнес-требованиями.As an IT admin, you can use Azure AD to control access to your apps and your app resources, based on your business requirements. Например, вы можете использовать Azure AD, чтобы требовать прохождение многофакторной проверки подлинности при доступе к ресурсам организации.For example, you can use Azure AD to require multi-factor authentication when accessing important organizational resources. Кроме того, с помощью Azure AD можно автоматизировать подготовку пользователей между существующим экземпляром Windows Server AD и облачными приложениями, включая Microsoft 365.Additionally, you can use Azure AD to automate user provisioning between your existing Windows Server AD and your cloud apps, including Microsoft 365. Наконец, Azure AD предоставляет эффективные инструменты для автоматической защиты учетных данных и удостоверений пользователей и соответствия требованиям системы управления.Finally, Azure AD gives you powerful tools to automatically help protect user identities and credentials and to meet your access governance requirements. Чтобы приступить к работе, зарегистрируйтесь для получения бесплатной 30-дневной пробной версии Azure Active Directory Premium.To get started, sign up for a free 30-day Azure Active Directory Premium trial.

  • Разработчики приложений.App developers. Разработчики приложений могут использовать Azure AD как соответствующее стандартам средство для включения единого входа в приложении, обеспечивая возможность работы с существующими учетными данными пользователя.As an app developer, you can use Azure AD as a standards-based approach for adding single sign-on (SSO) to your app, allowing it to work with a user's pre-existing credentials. Azure AD также предоставляет интерфейсы API, с помощью которых можно разработать персонализированные интерфейсы приложений, используя существующие данные организации.Azure AD also provides APIs that can help you build personalized app experiences using existing organizational data. Чтобы приступить к работе, зарегистрируйтесь для получения бесплатной 30-дневной пробной версии Azure Active Directory Premium.To get started, sign up for a free 30-day Azure Active Directory Premium trial. Дополнительные сведения см. в статье Платформа удостоверений Майкрософт (Azure Active Directory для разработчиков).For more information, you can also see Azure Active Directory for developers.

  • Подписчики Microsoft 365, Office 365, Azure или Dynamics CRM Online.Microsoft 365, Office 365, Azure, or Dynamics CRM Online subscribers. Как подписчик вы уже используете Azure AD.As a subscriber, you're already using Azure AD. Каждый клиент Microsoft 365, Office 365, Azure и Dynamics CRM Online автоматически также является клиентом Azure AD.Each Microsoft 365, Office 365, Azure, and Dynamics CRM Online tenant is automatically an Azure AD tenant. Кроме того, вы можете сразу начать управлять доступом к интегрированным облачным приложениям.You can immediately start to manage access to your integrated cloud apps.

Что такое лицензии Azure AD?What are the Azure AD licenses?

В бизнес-службах Microsoft Online, например Microsoft 365 или Microsoft Azure, для входа в систему и защиты идентификации используется Azure AD.Microsoft Online business services, such as Microsoft 365 or Microsoft Azure, require Azure AD for sign-in and to help with identity protection. Если вы подписаны на любую из бизнес-служб Microsoft Online, то вы автоматически получите Azure AD с доступом ко всем бесплатным возможностям.If you subscribe to any Microsoft Online business service, you automatically get Azure AD with access to all the free features.

Чтобы улучшить реализацию Azure AD, можно также добавить платные возможности или воспользоваться обновлением до лицензий Azure Active Directory Premium P1 или Premium P2.To enhance your Azure AD implementation, you can also add paid capabilities by upgrading to Azure Active Directory Premium P1 or Premium P2 licenses. Платные лицензии Azure Active Directory создаются на основе существующего бесплатного каталога, предоставляя самообслуживание, улучшенный мониторинг, отчеты о безопасности и безопасный доступ для мобильных пользователей.Azure AD paid licenses are built on top of your existing free directory, providing self-service, enhanced monitoring, security reporting, and secure access for your mobile users.

Примечание

Сведения о ценах для различных лицензий см. на странице цен на Azure Active Directory.For the pricing options of these licenses, see Azure Active Directory Pricing.

В настоящий момент выпуски Azure Active Directory Premium P1 и Azure Active Directory Premium P2 не поддерживаются в Китае.Azure Active Directory Premium P1 and Premium P2 are not currently supported in China. Дополнительные сведения о ценах на Azure AD можно узнать на форуме по Azure Active Directory.For more information about Azure AD pricing, contact the Azure Active Directory Forum.

  • Azure Active Directory Free.Azure Active Directory Free. Предоставляет управление пользователями и группами, синхронизацию локальной службы каталогов, базовые отчеты, возможность самостоятельного изменения паролей для пользователей облака, единый вход в Azure, Microsoft 365 и многие другие популярные приложения SaaS.Provides user and group management, on-premises directory synchronization, basic reports, self-service password change for cloud users, and single sign-on across Azure, Microsoft 365, and many popular SaaS apps.

  • Azure Active Directory Premium P1.Azure Active Directory Premium P1. В дополнение к возможностям в рамках предложения уровня "Бесплатный", P1 обеспечивает пользователям гибридный доступ к локальным и облачным ресурсам.In addition to the Free features, P1 also lets your hybrid users access both on-premises and cloud resources. Он также поддерживает расширенные функции администрирования, такие как динамические группы, самостоятельное управление группами, Microsoft Identity Manager (средство для управления локальными удостоверениями и управления доступом) и возможности обратной записи в облаке, которые позволяют самостоятельно сбрасывать пароль для локальных пользователей.It also supports advanced administration, such as dynamic groups, self-service group management, Microsoft Identity Manager (an on-premises identity and access management suite) and cloud write-back capabilities, which allow self-service password reset for your on-premises users.

  • Azure Active Directory Premium P2.Azure Active Directory Premium P2. В дополнение к возможностям в рамках предложений уровня "Бесплатный" и P1, P2 также обеспечивает Защиту идентификации Azure Active Directory, которая предоставляет условный доступ к приложениям и критически важным данным компании на основе рисков, и привилегированное управление идентификацией, позволяющее выявлять, ограничивать и отслеживать администраторов и их доступ к ресурсам, а также предоставить JIT-доступ, когда это необходимо.In addition to the Free and P1 features, P2 also offers Azure Active Directory Identity Protection to help provide risk-based Conditional Access to your apps and critical company data and Privileged Identity Management to help discover, restrict, and monitor administrators and their access to resources and to provide just-in-time access when needed.

  • Лицензии на использование функций с оплатой по мере использования."Pay as you go" feature licenses. Вы также можете получить лицензии на дополнительные функции, такие как Azure Active Directory B2C.You can also get additional feature licenses, such as Azure Active Directory Business-to-Customer (B2C). B2C помогает предоставлять решения для управления идентификацией и доступом для клиентских приложений.B2C can help you provide identity and access management solutions for your customer-facing apps. Дополнительные сведения см. в статье об Azure Active Directory B2C.For more information, see Azure Active Directory B2C documentation.

Дополнительные сведения о связывании подписки Azure с Azure AD см. в статье Привязка или добавление подписки Azure в Azure Active Directory, а сведения о присвоении лицензий пользователям — в статье Практическое руководство по назначению или удалению лицензий Azure Active Directory.For more information about associating an Azure subscription to Azure AD, see Associate or add an Azure subscription to Azure Active Directory and for more information about assigning licenses to your users, see How to: Assign or remove Azure Active Directory licenses.

Какие функции поддерживает Azure AD?Which features work in Azure AD?

После выбора лицензии Azure AD вы получите доступ ко всем (или некоторым) следующим функциям для своей организации.After you choose your Azure AD license, you'll get access to some or all of the following features for your organization:

КатегорияCategory ОписаниеDescription
Управление приложениямиApplication management Управление облачными и локальными приложениями с помощью Application Proxy, единого входа, портала "Мои приложения" (также называемого панелью доступа) и приложений SaaS.Manage your cloud and on-premises apps using Application Proxy, single sign-on, the My Apps portal (also known as the Access panel), and Software as a Service (SaaS) apps. Дополнительные сведения см. в статье об обеспечении безопасного удаленного доступа к локальным приложениям и документации по управлению приложениями.For more information, see How to provide secure remote access to on-premises applications and Application Management documentation.
АутентификацияAuthentication Администрирование самостоятельного сброса пароля, многофакторной проверки подлинности, настраиваемого списка запрещенных паролей и смарт-блокировки в Azure Active Directory.Manage Azure Active Directory self-service password reset, Multi-Factor Authentication, custom banned password list, and smart lockout. Чтобы узнать больше, ознакомьтесь с документацией по аутентификации Azure AD.For more information, see Azure AD Authentication documentation.
Azure Active Directory для разработчиковAzure Active Directory for developers Создание приложений, которые разрешают вход со всеми удостоверениями Майкрософт, получение маркеров для вызова Microsoft Graph, других API Майкрософт или настраиваемых API.Build apps that sign in all Microsoft identities, get tokens to call Microsoft Graph, other Microsoft APIs, or custom APIs. Дополнительные сведения см. в статье Платформа удостоверений Майкрософт (Azure Active Directory для разработчиков).For more information, see Microsoft identity platform (Azure Active Directory for developers).
Категория "бизнес — бизнес" (B2B)Business-to-Business (B2B) Управление гостевыми пользователями и внешними партнерами и сохранение контроля над корпоративными данными.Manage your guest users and external partners, while maintaining control over your own corporate data. Дополнительные сведения см. в документации по Azure Active Directory B2B.For more information, see Azure Active Directory B2B documentation.
Категория "бизнес — потребитель" (B2C)Business-to-Customer (B2C) Настройка и контроль регистрации и входа пользователей, а также управление их профилями, когда они используют ваши приложения.Customize and control how users sign up, sign in, and manage their profiles when using your apps. Дополнительные сведения см. в статье об Azure Active Directory B2C.For more information, see Azure Active Directory B2C documentation.
Условный доступConditional Access Управление доступом к облачным приложениям.Manage access to your cloud apps. Дополнительные сведения см. в документации по условному доступу в Azure AD.For more information, see Azure AD Conditional Access documentation.
Управление устройствамиDevice Management Управление тем, как облачные и локальные устройства получают доступ к корпоративным данным.Manage how your cloud or on-premises devices access your corporate data. Дополнительные сведения см. в статье Документация по управлению устройствами в Azure AD.For more information, see Azure AD Device Management documentation.
Доменные службыDomain services Присоединение виртуальных машин Azure к домену без использования контроллеров домена.Join Azure virtual machines to a domain without using domain controllers. Дополнительные сведения см. на странице Документация по доменным службам Azure AD.For more information, see Azure AD Domain Services documentation.
Пользователи EnterpriseEnterprise users Управление назначением лицензий, доступом к приложениям и настройка делегатов с использованием групп и ролей администратора.Manage license assignment, access to apps, and set up delegates using groups and administrator roles. Дополнительные сведения см. в документации по управлению Azure Active Directory.For more information, see Azure Active Directory user management documentation.
Гибридное удостоверениеHybrid identity Использование Azure Active Directory Connect и Connect Health для предоставления одного идентификатора пользователя для аутентификации и авторизации во всех ресурсах, независимо от расположения (локально или в облаке).Use Azure Active Directory Connect and Connect Health to provide a single user identity for authentication and authorization to all resources, regardless of location (cloud or on-premises). Дополнительные сведения см. в статье Документация по гибридной идентификации.For more information, see Hybrid identity documentation.
Identity GovernanceIdentity governance Управление идентификацией для приложений организации с задействованием сотрудников, бизнес-партнеров, поставщиков, служб и элементов управления доступом к приложениям.Manage your organization's identity through employee, business partner, vendor, service, and app access controls. Вы также можете выполнять проверки доступа.You can also perform access reviews. Дополнительные сведения см. в документации по системе управления идентификацией Azure AD и проверке доступа Azure AD.For more information, see Azure AD identity governance documentation and Azure AD access reviews.
Защита идентификацииIdentity protection Определение потенциальных уязвимостей, влияющих на удостоверения организации, настройка политик для ответа на подозрительную активность и выполнение соответствующих действий для ее устранения.Detect potential vulnerabilities affecting your organization's identities, configure policies to respond to suspicious actions, and then take appropriate action to resolve them. Дополнительные сведения см. в статье Защита идентификации Azure Active Directory.For more information, see Azure AD Identity Protection.
Управляемые удостоверения для ресурсов AzureManaged identities for Azure resources Предоставление службам Azure автоматически управляемого удостоверения в Azure AD, с помощью которого можно пройти аутентификацию в любой поддерживаемой службе Azure AD, в том числе Key Vault.Provides your Azure services with an automatically managed identity in Azure AD that can authenticate any Azure AD-supported authentication service, including Key Vault. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure.For more information, see What is managed identities for Azure resources?.
Управление привилегированными пользователями (PIM)Privileged identity management (PIM) Управление, контроль и мониторинг доступа в организации.Manage, control, and monitor access within your organization. Эта возможность включает доступ к ресурсам в Azure AD и Azure, а также к остальным веб-службам Майкрософт, таким как Microsoft 365 или Intune.This feature includes access to resources in Azure AD and Azure, and other Microsoft Online Services, like Microsoft 365 or Intune. Дополнительные сведения см. в статье об Azure Active Directory Privileged Identity Management.For more information, see Azure AD Privileged Identity Management.
Отчеты и мониторингReports and monitoring Получение ценных сведений о безопасности и особенностях использования ресурсов в вашей среде.Gain insights into the security and usage patterns in your environment. Дополнительные сведения см. в статье Создание отчетов и мониторинг в Azure Active Directory.For more information, see Azure Active Directory reports and monitoring.

ТерминологияTerminology

Чтобы лучше понять Azure AD и сопутствующую документацию, мы рекомендуем изучить приведенные ниже термины.To better understand Azure AD and its documentation, we recommend reviewing the following terms.

Термин или понятиеTerm or concept ОписаниеDescription
ИдентификацияIdentity То, что может пройти аутентификацию.A thing that can get authenticated. Удостоверением может быть пользователь с именем пользователя и паролем.An identity can be a user with a username and password. Удостоверения также включают в себя приложения и другие серверы, которые могут потребовать аутентификацию с помощью секретных ключей или сертификатов.Identities also include applications or other servers that might require authentication through secret keys or certificates.
Учетная записьAccount Удостоверение, с которым связаны данные.An identity that has data associated with it. У вас не может быть учетной записи без удостоверения.You cannot have an account without an identity.
Учетная запись Azure ADAzure AD account Удостоверение, созданное с помощью Azure AD или другой облачной службы Майкрософт, например Microsoft 365.An identity created through Azure AD or another Microsoft cloud service, such as Microsoft 365. Удостоверения хранятся в каталоге Azure AD и доступны для подписок на облачные службы организации.Identities are stored in Azure AD and accessible to your organization's cloud service subscriptions. Эту учетную запись также иногда называют рабочей или учебной учетной записью.This account is also sometimes called a Work or school account.
Администратор учетной записиAccount Administrator Это классическая роль администратора подписки, по сути, является владельцем выставления счетов подписки.This classic subscription administrator role is conceptually the billing owner of a subscription. У этой роли есть доступ к Центру управления учетной записью Azure. Она позволяет вам управлять всеми подписками в учетной записи.This role has access to the Azure Account Center and enables you to manage all subscriptions in an account. Дополнительные сведения см. в статье Роли классического администратора подписки, роли Azure и роли администратора Azure AD.For more information, see Classic subscription administrator roles, Azure roles, and Azure AD administrator roles.
Администратор службService Administrator Классическая роль администратора подписки позволяет управлять всеми ресурсами Azure, а также доступом к ним.This classic subscription administrator role enables you to manage all Azure resources, including access. Эта роль имеет эквивалентные права доступа для пользователя, которому назначена роль владельца в области действия подписки.This role has the equivalent access of a user who is assigned the Owner role at the subscription scope. Дополнительные сведения см. в статье Роли классического администратора подписки, роли Azure и роли администратора Azure AD.For more information, see Classic subscription administrator roles, Azure roles, and Azure AD administrator roles.
ВладелецOwner Эта роль позволяет управлять всеми ресурсами Azure, а также доступом к ним.This role helps you manage all Azure resources, including access. Эта роль создана на основе новой системы авторизации под названием "управление доступом на основе ролей Azure" (RBAC Azure), которая обеспечивает точное управление доступом к ресурсам Azure.This role is built on a newer authorization system called Azure role-base access control (Azure RBAC) that provides fine-grained access management to Azure resources. Дополнительные сведения см. в статье Роли классического администратора подписки, роли Azure и роли администратора Azure AD.For more information, see Classic subscription administrator roles, Azure roles, and Azure AD administrator roles.
Глобальный администратор Azure ADAzure AD Global administrator Эта роль администратора будет автоматически назначена тому, кто создал клиент Azure AD.This administrator role is automatically assigned to whomever created the Azure AD tenant. Глобальные администраторы могут выполнять все административные функции для Azure AD и любых служб, которые включены в федерацию с Azure AD, например Exchange Online, SharePoint Online и Skype для бизнеса Online.Global administrators can do all of the administrative functions for Azure AD and any services that federate to Azure AD, such as Exchange Online, SharePoint Online, and Skype for Business Online. У вас может быть несколько глобальных администраторов. Только они могут присваивать роли администратора (включая назначение других глобальных администраторов) пользователям.You can have multiple Global administrators, but only Global administrators can assign administrator roles (including assigning other Global administrators) to users. Обратите внимание, что эта роль администратора называется глобальным администратором на портале Azure и администратором компании в API Microsoft Graph и Azure AD PowerShell. Дополнительные сведения о различных ролях администратора см. в разделе Разрешения роли администратора в Azure Active Directory.Note that this administrator role is called Global administrator in the Azure portal, but it's called Company administrator in the Microsoft Graph API and Azure AD PowerShell.For more information about the various administrator roles, see Administrator role permissions in Azure Active Directory.
Подписка Azure.Azure subscription Используется для платы за облачные службы Azure.Used to pay for Azure cloud services. У вас может быть множество подписок, связанных с кредитной картой.You can have many subscriptions and they're linked to a credit card.
Клиент AzureAzure tenant Выделенный доверенный экземпляр Azure AD, который автоматически создается, когда организация оформляет подписку на облачные службы Майкрософт, такие как Microsoft Azure, Microsoft Intune или Microsoft 365.A dedicated and trusted instance of Azure AD that's automatically created when your organization signs up for a Microsoft cloud service subscription, such as Microsoft Azure, Microsoft Intune, or Microsoft 365. Клиент Azure представляет одну организацию.An Azure tenant represents a single organization.
Однотенантное приложениеSingle tenant Клиенты Azure, которые получают доступ к другим службам в выделенной среде, считаются однотенантными.Azure tenants that access other services in a dedicated environment are considered single tenant.
Поддержка нескольких клиентовMulti-tenant Клиенты Azure, которые обращаются к службам в общей среде в нескольких организациях, считаются мультитенантными.Azure tenants that access other services in a shared environment, across multiple organizations, are considered multi-tenant.
Каталог Azure ADAzure AD directory Каждый клиент Azure имеет выделенный доверенный каталог Azure AD.Each Azure tenant has a dedicated and trusted Azure AD directory. Каталог Azure AD включает приложения, группы и пользователей клиента и используется для выполнения функций управления идентификацией и доступом для ресурсов клиента.The Azure AD directory includes the tenant's users, groups, and apps and is used to perform identity and access management functions for tenant resources.
Личный доменCustom domain Каждый новый каталог Azure AD получает исходное доменное имя в формате "имя_домена.onmicrosoft.com".Every new Azure AD directory comes with an initial domain name, domainname.onmicrosoft.com. В дополнение к исходному имени, в список можно также добавить доменные имена организации, которые вы используете для ведения бизнеса, а пользователи — для доступа к ресурсам вашей организации.In addition to that initial name, you can also add your organization's domain names, which include the names you use to do business and your users use to access your organization's resources, to the list. Добавив имена личных доменов, вы сможете создать привычные для пользователей имена пользователей, например alain@contoso.com.Adding custom domain names helps you to create user names that are familiar to your users, such as alain@contoso.com.
Учетная запись Майкрософт (также называемая MSA)Microsoft account (also called, MSA) Личные учетные записи, которые предоставляют доступ к ориентированным на потребителя продуктам Microsoft и облачным службам, таким как Outlook, OneDrive, Xbox LIVE или Microsoft 365.Personal accounts that provide access to your consumer-oriented Microsoft products and cloud services, such as Outlook, OneDrive, Xbox LIVE, or Microsoft 365. Ваша учетная запись Майкрософт создается и хранится в системе учетных записей удостоверений потребителей под управлением корпорации Майкрософт.Your Microsoft account is created and stored in the Microsoft consumer identity account system that's run by Microsoft.

Дальнейшие действияNext steps