Что такое каталог Azure AD?
Обновлено: 6 июля 2015 г.
Область применения: Azure, Office 365, Windows Intune
Примечание
В этом разделе представлено содержимое справки по сети для облачных служб, таких как Microsoft Intune и Office 365, которые используют Microsoft Azure Active Directory для служб удостоверений и каталогов.
В этом разделе рассматриваются важные понятия и задачи, связанные с управлением каталогами Azure AD. Он содержит следующие разделы:
Что такое клиент Azure AD?
Как получить каталог Azure AD
Привязка каталога Azure AD к новой подписке Azure
Создание каталога Azure AD путем подписки на службу в качестве организации
Управление каталогом по умолчанию, предоставленным Azure
Добавление нескольких каталогов Azure AD и управление ими
Удаление каталога Azure AD
- Условия для удаления каталога Azure AD
Что такое клиент Azure AD?
На физическом рабочем месте слово "клиент" можно определить как группу или компанию, занимающую здание. Например, вашей организации может принадлежать офис в здании. Это здание может находиться на одной улице с несколькими другими организациями. Ваша организация будет считаться арендатором (клиентом) этого здания. Здание — это актив вашей организации, где обеспечивается безопасность вашей работы. Оно также отделено от других компаний на той же улице. Это гарантирует, что ваша организация и ее активы изолированы от других организаций.
В облачной среде клиента можно определить как заказчика или организацию, которая владеет определенным экземпляром облачной службы и управляет им. В рамках платформы идентификации Microsoft Azure клиент — это просто выделенный экземпляр Azure Active Directory (Azure AD), который ваша организация получает и которым она владеет после регистрации в облачной службе Майкрософт, такой как Azure или Office 365.
Каждый каталог Azure AD отделен от других каталогов Azure AD. Как и офисное здание представляет безопасный актив только для вашей организации, каталог Azure AD также может безопасно использоваться только вашей организацией. Архитектура Azure AD изолирует сведения о клиентах и удостоверениях от других пользователей. Это означает, что пользователи и администраторы одного каталога Azure AD не могут случайно или злонамеренно получить доступ к данным в другом каталоге.
.png "Azure AD Tenant")
Как получить каталог Azure AD
Вы получите каталог Azure AD при подписке на облачную службу Майкрософт. При необходимости вы можете создавать дополнительные каталоги. Например, первый каталог можно сделать рабочим, а затем создать другой каталог для тестирования или промежуточного размещения.
Примечание
После регистрации в первой службе мы рекомендуем использовать одну учетную запись администратора, связанную с вашей организацией, при регистрации в других облачных службах Майкрософт. Дополнительные сведения об идентификаторах пользователей см. в разделе "Что такое идентификатор пользователя" и зачем мне это нужно?.
При первой регистрации в облачной службе Майкрософт, такой как Azure, Microsoft Office 365 или Microsoft Intune, вам будет предложено указать сведения о вашей организации и регистрации доменных имен в Интернете. Эта информация используется для создания экземпляра каталога Azure AD для вашей организации. Этот же каталог применяется для проверки подлинности попыток входа при подписке на несколько облачных служб Майкрософт.
Дополнительные службы полностью используют все существующие учетные записи пользователей, политики, параметры или локальную интеграцию каталогов, настроенную для повышения эффективности между локальной инфраструктурой удостоверений организации и Azure AD.
Например, если в начале вы зарегистрировали подписку на Microsoft Intune и выполнили действия, необходимые для дальнейшей интеграции локальной службы Active Directory с каталогом Azure AD, развернув службу синхронизации каталогов и серверы единого входа, вы можете зарегистрироваться в другой облачной службе Майкрософт, такой как Office 365, которая также будет использовать те же преимущества интеграции каталогов, что и Microsoft Intune.
Дополнительные сведения об интеграции локального каталога с Azure AD см. в статье Интеграция локальных удостоверений с Azure Active Directory.
Привязка каталога Azure AD к новой подписке Azure
Новую подписку Azure можно связать с тем же каталогом, который выполняет проверку подлинности входа для имеющейся подписки Office 365 или Microsoft Intune. Войдите на портал управления Azure с помощью рабочей или учебной учетной записи. Портал управления Azure возвращает сообщение о том, что подписки для данной учетной записи найти не удалось. Щелкните Подписка на Azure, и ваш каталог будет доступен для администрирования на портале управления Azure. Дополнительные сведения см. в разделе Управление каталогом для подписки Office 365 в Azure.
.png "Associate Account 2")
Видео с ответами на распространенные вопросы об использовании Azure AD см. в записи блога Azure Active Directory - Common Sign-up, sign-in and usage questions (Azure Active Directory — распространенные вопросы о регистрации, входе и использовании).
Создание каталога Azure AD путем подписки на службу в качестве организации
Если у вас еще нет подписки на облачную службу Майкрософт, используйте одну из приведенных ниже ссылок для регистрации. При регистрации в первой службе каталог Azure AD будет создан автоматически.
Azure - Зарегистрируйтесь сейчас.
Office 365 — зарегистрируйтесь сейчас.
- Microsoft Intune Назначить сейчас.
Управление каталогом по умолчанию, предоставленным Azure
В настоящее время каталог создается автоматически при регистрации в Azure, а ваша подписка связывается с этим каталогом. Но если вы изначально зарегистрировались в Azure до октября 2013 г., каталог не был создан автоматически. В этом случае служба Azure могла дополнить вашу учетную запись, настроив для нее каталог по умолчанию. Затем подписка была связана с этим каталогом по умолчанию.
Этот процесс проводился в октябре 2013 г. как часть общего улучшения модели безопасности Azure. Он позволяет предоставлять организационные возможности удостоверений всем пользователям Azure и гарантирует, что все ресурсы Azure доступны в контексте пользователя в каталоге. Использовать Azure без каталога нельзя. Для этого любому пользователю, который был зарегистрирован до 7 июля 2013 г., но не получил каталог, пришлось его создать. Если вы ранее создавали каталог, ваша подписка связана с ним.
Каталог Azure AD — это бесплатные ресурс. Существует дополнительный уровень Azure Active Directory Premium, который лицензируется отдельно и предоставляет дополнительные функции, такие как фирменная символика компании и самостоятельный сброс пароля.
Для изменения отображаемого имени своего каталога щелкните каталог на портале управления, а затемНастройка. Как описано далее в этой статье, вы можете добавить новый каталог или удалить ненужный каталог. Чтобы связать подписку с другим каталогом, щелкните Параметры>Subscriptions>Edit Directory. Вы также можете создать настраиваемый домен, используя DNS-имя, которое вы зарегистрировали, вместо используемого по умолчанию домена *.onmicrosoft.com. Этот вариант может быть предпочтительнее для некоторых служб, таких как SharePoint Online.
Дополнительные сведения об управлении каталогом см. в разделе "Администрирование каталога Azure AD".
Добавление нескольких каталогов Azure AD и управление ими
Вы можете добавить каталог Azure AD на портале управления Azure. Выберите расширение Active Directory слева и щелкните Добавить.
Вы можете управлять каждым каталогом как полностью независимым ресурсом: каждый каталог полнофункционален и логически не зависит от других каталогов, которыми вы управляете. При этом между ними нет связей вида "родитель-потомок". Такая независимость каталогов подразумевает и независимость ресурсов, административную независимость и независимость синхронизации.
Независимость ресурсов. Если создать или удалить ресурс в одном каталоге, это не повлияет на какой-либо ресурс в другом каталоге, за исключением внешних пользователей, что описано ниже. Если вы используете настраиваемый домен contoso.com с одним каталогом, его невозможно использовать с любым другим каталогом.
Административная независимость. Если пользователь без прав администратора каталога Contoso создает каталог теста Test, то:
По умолчанию пользователь, создающий новый каталог, добавляется в него в качестве внешнего пользователя, и ему назначается роль глобального администратора этого каталога.
У администраторов каталога Contoso нет прямых прав администратора для каталога Test, пока администратор Test явно не предоставит им эти привилегии. Администраторы Contoso могут контролировать доступ к каталогу Test, управляя учетной записью пользователя, создавшего каталог Test.
Если изменить (добавить или удалить) роль администратора для пользователя в одном каталоге, это изменение не повлияет на какую-либо роль администратора пользователя в другом каталоге.
Независимость синхронизации. Вы можете настроить каждый каталог Azure AD независимо, чтобы синхронизировать данные из одного из следующих экземпляров:
Средство синхронизации каталогов синхронизирует данные с одним лесом AD.
соединитель Azure Active Directory для Forefront Identity Manager для синхронизации данных с одним или несколькими локальными лесами и другими источниками данных.
Также обратите внимание, что в отличие от других ресурсов Azure каталоги не являются дочерними ресурсами подписки Azure. Таким образом, если вы отменяете свою подписку на Azure или соглашаетесь с истечением срока ее действия, вы по-прежнему сможете получать доступ к данным в своем каталоге с помощью Azure PowerShell, Azure Graph API или других интерфейсов, например, центра администрирования Office 365. Можно также связать другую подписку с каталогом.
Удаление каталога Azure AD
Глобальный администратор может удалить каталог Azure AD на портале управления Azure. При удалении каталога также удаляются все ресурсы в нем, поэтому перед удалением следует убедиться, что каталог вам не требуется.
Примечание
Если пользователь вошел в рабочую или школьную учетную запись, он или она не должны пытаться удалить свой домашний каталог. Например, если пользователь входит как joe@contoso.onmicrosoft.com, он не может удалить каталог с доменом по умолчанию contoso.onmicrosoft.com.
Условия для удаления каталога Azure AD
Для удаления каталога в Azure AD необходимо выполнение определенных условий. Это уменьшает риск того, что удаление может оказать отрицательное влияние на пользователей или приложения, например на возможность пользователей входить в Office 365 или получать доступ к ресурсам в Azure. Например, если каталог для подписки был случайно удален, пользователи не смогут получить доступ к ресурсам Azure для этой подписки.
Проверяются следующие условия.
Единственный пользователь в каталоге — это глобальный администратор, который удаляет каталог. Всех других пользователей следует удалить перед удалением каталога. Если пользователи синхронизируются из локальной среды, синхронизацию необходимо отключить, а пользователей нужно удалить из облачного каталога с помощью портала управления или модуля Azure для Windows PowerShell. Необязательно удалять группы или контакты, такие как контакты, добавленные из Центра администрирования Office 365.
В каталоге не должно быть ни одного приложения. Все приложения должны быть удалены перед удалением каталога.
С каталогом не должны быть связаны подписки на любые службы Microsoft Online Services, такие как Microsoft Azure, Office 365 или Azure AD Premium. Например, если каталог по умолчанию создан в Azure, его невозможно удалить, если ваша подписка Azure по-прежнему использует его для проверки подлинности. Точно так же нельзя удалить каталог, если у другого пользователя есть связанная с ним подписка. Чтобы связать подписку с другим каталогом, войдите на портал управления Azure и щелкните элемент Параметры в левой области навигации. После этого выберите Подписки и Изменить каталог. Дополнительные сведения о подписках Azure см. в статье Связь между подписками Azure и службой Azure Active Directory.
Примечание
Если подписка отменена и вы хотите удалить каталог, выполните вход с использованием другой подписки и добавьте глобального администратора каталога в качестве соадминистратора подписки. Затем выйдите и войдите снова с использованием учетной записи соадминистратора подписки. После этого каталог можно удалить, если выполнены все остальные условия.
С каталогом не могут быть связаны поставщики Многофакторной идентификации.