Что такое Azure Active Directory

Azure Active Directory (Azure AD) — это облачная служба управления удостоверениями и доступом от корпорации Майкрософт. Она помогает вашим сотрудникам входить в систему и обращаться к ресурсам таких категорий:

  • внешние ресурсы, такие как Microsoft 365, портал Azure и тысячи других приложений SaaS;

  • во внутренних ресурсах, таких как приложения в корпоративной сети и интрасети, а также в любых облачных приложениях, разработанных вашей организацией. Дополнительные сведения о создании клиента для организации см. в разделе Краткое руководство. Создание клиента в Azure Active Directory.

Сведения о различиях между Azure AD и доменными службами Active Directory см. в разделе Сравнение Active Directory с Azure Active Directory. Лучше понять базовые службы идентификации в Azure, Azure AD и Microsoft 365 можно с помощью различных постеров о Microsoft Cloud для корпоративных архитекторов.

Кто использует Azure AD

Azure AD могут использовать:

  • ИТ-администраторы. С помощью Azure AD ИТ-администратор может управлять доступом к приложениям и их ресурсам в соответствии с бизнес-требованиями. Например, вы можете использовать Azure AD, чтобы требовать прохождение многофакторной проверки подлинности при доступе к ресурсам организации. Кроме того, с помощью Azure AD можно автоматизировать подготовку пользователей между существующим экземпляром Windows Server AD и облачными приложениями, включая Microsoft 365. Наконец, Azure AD предоставляет эффективные инструменты для автоматической защиты учетных данных и удостоверений пользователей и соответствия требованиям системы управления. Чтобы приступить к работе, зарегистрируйтесь для получения бесплатной 30-дневной пробной версии Azure Active Directory Premium.

  • Разработчики приложений. Разработчики приложений могут использовать Azure AD как соответствующее стандартам средство для включения единого входа в приложении, обеспечивая возможность работы с существующими учетными данными пользователя. Azure AD также предоставляет интерфейсы API, с помощью которых можно разработать персонализированные интерфейсы приложений, используя существующие данные организации. Чтобы приступить к работе, зарегистрируйтесь для получения бесплатной 30-дневной пробной версии Azure Active Directory Premium. Дополнительные сведения см. в статье Платформа удостоверений Майкрософт (Azure Active Directory для разработчиков).

  • Подписчики Microsoft 365, Office 365, Azure или Dynamics CRM Online. Как подписчик вы уже используете Azure AD. Каждый клиент Microsoft 365, Office 365, Azure и Dynamics CRM Online автоматически также является клиентом Azure AD. Кроме того, вы можете сразу начать управлять доступом к интегрированным облачным приложениям.

Что такое лицензии Azure AD?

В бизнес-службах Microsoft Online, например Microsoft 365 или Microsoft Azure, для входа в систему и защиты идентификации используется Azure AD. Если вы подписаны на любую из бизнес-служб Microsoft Online, то вы автоматически получите Azure AD с доступом ко всем бесплатным возможностям.

Чтобы улучшить реализацию Azure AD, можно также добавить платные возможности или воспользоваться обновлением до лицензий Azure Active Directory Premium P1 или Premium P2. Платные лицензии Azure Active Directory создаются на основе существующего бесплатного каталога, предоставляя самообслуживание, улучшенный мониторинг, отчеты о безопасности и безопасный доступ для мобильных пользователей.

Примечание

Сведения о ценах для различных лицензий см. на странице цен на Azure Active Directory.

В настоящий момент выпуски Azure Active Directory Premium P1 и Azure Active Directory Premium P2 не поддерживаются в Китае. Дополнительные сведения о ценах на Azure AD можно узнать на форуме по Azure Active Directory.

  • Azure Active Directory Free. Предоставляет управление пользователями и группами, синхронизацию локальной службы каталогов, базовые отчеты, возможность самостоятельного изменения паролей для пользователей облака, единый вход в Azure, Microsoft 365 и многие другие популярные приложения SaaS.

  • Azure Active Directory Premium P1. В дополнение к возможностям в рамках предложения уровня "Бесплатный", P1 обеспечивает пользователям гибридный доступ к локальным и облачным ресурсам. Он также поддерживает расширенные функции администрирования, такие как динамические группы, самостоятельное управление группами, Microsoft Identity Manager (средство для управления локальными удостоверениями и управления доступом) и возможности обратной записи в облаке, которые позволяют самостоятельно сбрасывать пароль для локальных пользователей.

  • Azure Active Directory Premium P2. В дополнение к возможностям в рамках предложений уровня "Бесплатный" и P1, P2 также обеспечивает Защиту идентификации Azure Active Directory, которая предоставляет условный доступ к приложениям и критически важным данным компании на основе рисков, и привилегированное управление идентификацией, позволяющее выявлять, ограничивать и отслеживать администраторов и их доступ к ресурсам, а также предоставить JIT-доступ, когда это необходимо.

  • Лицензии на использование функций с оплатой по мере использования. Вы также можете получить лицензии на дополнительные функции, такие как Azure Active Directory B2C. B2C помогает предоставлять решения для управления идентификацией и доступом для клиентских приложений. Дополнительные сведения см. в статье об Azure Active Directory B2C.

Дополнительные сведения о связывании подписки Azure с Azure AD см. в статье Привязка или добавление подписки Azure в Azure Active Directory, а сведения о присвоении лицензий пользователям — в статье Практическое руководство по назначению или удалению лицензий Azure Active Directory.

Какие функции поддерживает Azure AD?

После выбора лицензии Azure AD вы получите доступ ко всем (или некоторым) следующим функциям для своей организации.

Категория Описание
Управление приложениями Управление облачными и локальными приложениями с помощью Application Proxy, единого входа, портала "Мои приложения" (также называемого панелью доступа) и приложений SaaS. Дополнительные сведения см. в статье об обеспечении безопасного удаленного доступа к локальным приложениям и документации по управлению приложениями.
Аутентификация Администрирование самостоятельного сброса пароля, многофакторной проверки подлинности, настраиваемого списка запрещенных паролей и смарт-блокировки в Azure Active Directory. Чтобы узнать больше, ознакомьтесь с документацией по аутентификации Azure AD.
Azure Active Directory для разработчиков Создание приложений, которые разрешают вход со всеми удостоверениями Майкрософт, получение маркеров для вызова Microsoft Graph, других API Майкрософт или настраиваемых API. Дополнительные сведения см. в статье Платформа удостоверений Майкрософт (Azure Active Directory для разработчиков).
Категория "бизнес — бизнес" (B2B) Управление гостевыми пользователями и внешними партнерами и сохранение контроля над корпоративными данными. Дополнительные сведения см. в документации по Azure Active Directory B2B.
Категория "бизнес — потребитель" (B2C) Настройка и контроль регистрации и входа пользователей, а также управление их профилями, когда они используют ваши приложения. Дополнительные сведения см. в статье об Azure Active Directory B2C.
Условный доступ Управление доступом к облачным приложениям. Дополнительные сведения см. в документации по условному доступу в Azure AD.
Управление устройствами Управление тем, как облачные и локальные устройства получают доступ к корпоративным данным. Дополнительные сведения см. в статье Документация по управлению устройствами в Azure AD.
Доменные службы Присоединение виртуальных машин Azure к домену без использования контроллеров домена. Дополнительные сведения см. на странице Документация по доменным службам Azure AD.
Пользователи Enterprise Управление назначением лицензий, доступом к приложениям и настройка делегатов с использованием групп и ролей администратора. Дополнительные сведения см. в документации по управлению Azure Active Directory.
Гибридное удостоверение Использование Azure Active Directory Connect и Connect Health для предоставления одного идентификатора пользователя для аутентификации и авторизации во всех ресурсах, независимо от расположения (локально или в облаке). Дополнительные сведения см. в статье Документация по гибридной идентификации.
Identity Governance Управление идентификацией для приложений организации с задействованием сотрудников, бизнес-партнеров, поставщиков, служб и элементов управления доступом к приложениям. Вы также можете выполнять проверки доступа. Дополнительные сведения см. в документации по системе управления идентификацией Azure AD и проверке доступа Azure AD.
Защита идентификации Определение потенциальных уязвимостей, влияющих на удостоверения организации, настройка политик для ответа на подозрительную активность и выполнение соответствующих действий для ее устранения. Дополнительные сведения см. в статье Защита идентификации Azure Active Directory.
Управляемые удостоверения для ресурсов Azure Предоставление службам Azure автоматически управляемого удостоверения в Azure AD, с помощью которого можно пройти аутентификацию в любой поддерживаемой службе Azure AD, в том числе Key Vault. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure.
Управление привилегированными пользователями (PIM) Управление, контроль и мониторинг доступа в организации. Эта возможность включает доступ к ресурсам в Azure AD и Azure, а также к остальным веб-службам Майкрософт, таким как Microsoft 365 или Intune. Дополнительные сведения см. в статье об Azure Active Directory Privileged Identity Management.
Отчеты и мониторинг Получение ценных сведений о безопасности и особенностях использования ресурсов в вашей среде. Дополнительные сведения см. в статье Создание отчетов и мониторинг в Azure Active Directory.

Терминология

Чтобы лучше понять Azure AD и сопутствующую документацию, мы рекомендуем изучить приведенные ниже термины.

Термин или понятие Описание
Идентификация То, что может пройти аутентификацию. Удостоверением может быть пользователь с именем пользователя и паролем. Удостоверения также включают в себя приложения и другие серверы, которые могут потребовать аутентификацию с помощью секретных ключей или сертификатов.
Учетная запись Удостоверение, с которым связаны данные. У вас не может быть учетной записи без удостоверения.
Учетная запись Azure AD Удостоверение, созданное с помощью Azure AD или другой облачной службы Майкрософт, например Microsoft 365. Удостоверения хранятся в каталоге Azure AD и доступны для подписок на облачные службы организации. Эту учетную запись также иногда называют рабочей или учебной учетной записью.
Администратор учетной записи Это классическая роль администратора подписки, по сути, является владельцем выставления счетов подписки. Эта роль позволяет управлять всеми подписками в учетной записи. Дополнительные сведения см. в статье Роли классического администратора подписки, роли Azure и роли администратора Azure AD.
Администратор служб Классическая роль администратора подписки позволяет управлять всеми ресурсами Azure, а также доступом к ним. Эта роль имеет эквивалентные права доступа для пользователя, которому назначена роль владельца в области действия подписки. Дополнительные сведения см. в статье Роли классического администратора подписки, роли Azure и роли администратора Azure AD.
Владелец Эта роль позволяет управлять всеми ресурсами Azure, а также доступом к ним. Эта роль создана на основе новой системы авторизации под названием "управление доступом на основе ролей Azure" (Azure RBAC), которая обеспечивает точное управление доступом к ресурсам Azure. Дополнительные сведения см. в статье Роли классического администратора подписки, роли Azure и роли администратора Azure AD.
Глобальный администратор Azure AD Эта роль администратора будет автоматически назначена тому, кто создал клиент Azure AD. Глобальные администраторы могут выполнять все административные функции для Azure AD и любых служб, которые включены в федерацию с Azure AD, например Exchange Online, SharePoint Online и Skype для бизнеса Online. У вас может быть несколько глобальных администраторов. Только они могут присваивать роли администратора (включая назначение других глобальных администраторов) пользователям. Дополнительные сведения о различных ролях администраторов см. в статье Разрешения роли администратора в Azure Active Directory.
Подписка Azure. Используется для платы за облачные службы Azure. У вас может быть множество подписок, связанных с кредитной картой.
Клиент Azure Выделенный доверенный экземпляр Azure AD, который автоматически создается, когда организация оформляет подписку на облачные службы Майкрософт, такие как Microsoft Azure, Microsoft Intune или Microsoft 365. Клиент Azure представляет одну организацию.
Однотенантное приложение Клиенты Azure, которые получают доступ к другим службам в выделенной среде, считаются однотенантными.
Поддержка нескольких клиентов Клиенты Azure, которые обращаются к службам в общей среде в нескольких организациях, считаются мультитенантными.
Каталог Azure AD Каждый клиент Azure имеет выделенный доверенный каталог Azure AD. Каталог Azure AD включает приложения, группы и пользователей клиента и используется для выполнения функций управления идентификацией и доступом для ресурсов клиента.
Личный домен Каждый новый каталог Azure AD получает исходное доменное имя в формате "имя_домена.onmicrosoft.com". В дополнение к исходному имени, в список можно также добавить доменные имена организации, которые вы используете для ведения бизнеса, а пользователи — для доступа к ресурсам вашей организации. Добавив имена личных доменов, вы сможете создать привычные для пользователей имена пользователей, например alain@contoso.com.
Учетная запись Майкрософт (также называемая MSA) Личные учетные записи, которые предоставляют доступ к ориентированным на потребителя продуктам Microsoft и облачным службам, таким как Outlook, OneDrive, Xbox LIVE или Microsoft 365. Ваша учетная запись Майкрософт создается и хранится в системе учетных записей удостоверений потребителей под управлением корпорации Майкрософт.

Дальнейшие действия