Описание служб каталогов Azure

  • 6 мин

Идентификатор Microsoft Entra — это служба каталогов, которая позволяет выполнять вход и получать доступ как к облачным приложениям Майкрософт, так и к облачным приложениям, которые вы разрабатываете. Идентификатор Microsoft Entra также может помочь вам поддерживать развертывание локальная служба Active Directory.

В локальных средах Active Directory на Windows Server предоставляет службу управления удостоверениями и доступом, которую администрирует ваша организация. Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом Майкрософт. С помощью идентификатора Microsoft Entra вы управляете учетными записями удостоверений, но корпорация Майкрософт гарантирует, что служба доступна глобально. Если вы работали с Active Directory, идентификатор Microsoft Entra будет знаком вам.

Когда вы обеспечиваете безопасность удостоверений локально с помощью Active Directory, корпорация Майкрософт не отслеживает попытки входа. При подключении Active Directory с идентификатором Microsoft Entra корпорация Майкрософт может помочь защитить вас, обнаруживая подозрительные попытки входа без дополнительных затрат. Например, идентификатор Microsoft Entra может обнаруживать попытки входа из непредвиденных расположений или неизвестных устройств.

Кто использует идентификатор Microsoft Entra?

Идентификатор Microsoft Entra предназначен для следующих вариантов:

  • ИТ-администраторы. Администратор istrator может использовать идентификатор Microsoft Entra для управления доступом к приложениям и ресурсам на основе их бизнес-требований.
  • Разработчики приложений. Разработчики могут использовать идентификатор Microsoft Entra, чтобы обеспечить стандартный подход к добавлению функциональных возможностей в создаваемые приложения, например добавление функций единого входа в приложение или включение приложения для работы с существующими учетными данными пользователя.
  • Пользователи. Пользователи могут управлять своими удостоверениями и выполнять такие действия по обслуживанию, как самостоятельный сброс пароля.
  • Подписчики онлайн-служб. Подписчики Microsoft 365, Microsoft Office 365, Azure и Microsoft Dynamics CRM Online уже используют идентификатор Microsoft Entra для проверки подлинности в своей учетной записи.

Что делает идентификатор Microsoft Entra?

Идентификатор Microsoft Entra предоставляет такие службы, как:

  • Проверка подлинности. Сюда входят проверки удостоверения для доступа к приложениям и ресурсам. Она также включает в себя предоставление таких функциональных возможностей, как самостоятельный сброс пароля, многофакторная проверка подлинности, пользовательский список запрещенных паролей и службы смарт-блокировки.
  • Единый вход. Единый вход позволяет вам запоминать только одно имя пользователя и пароль для доступа к нескольким приложениям. Единое удостоверение привязывается к пользователю, что упрощает модель безопасности. Когда пользователь переходит на другую должность или увольняется из организации, изменения прав доступа производятся только в этом удостоверении, благодаря чему значительно сокращаются усилия, затрачиваемые на изменение или отключение учетных записей.
  • Управление приложениями. Вы можете управлять облачными и локальными приложениями с помощью идентификатора Microsoft Entra. Такие возможности, как Application Proxy, приложения SaaS, портал "Мои приложения" и единый вход, повышают удобство работы пользователей.
  • Управление устройствами. Наряду с учетными записями для отдельных пользователей идентификатор Microsoft Entra поддерживает регистрацию устройств. Регистрация позволяет управлять устройствами с помощью таких средств, как Microsoft Intune. Это также позволяет политикам условного доступа на основе устройств разрешать попытки доступа только от известных устройств независимо от учетной записи пользователя, запрашивающего доступ.

Можно ли подключить локальную службу AD с идентификатором Microsoft Entra?

Если у вас есть локальная среда с Active Directory и облачное развертывание с помощью идентификатора Microsoft Entra, вам потребуется сохранить два набора удостоверений. Однако вы можете подключить Active Directory к идентификатору Microsoft Entra, обеспечивая согласованный интерфейс идентификации между облаком и локальной средой.

Одним из способов подключения идентификатора Microsoft Entra с локальной ad является использование Microsoft Entra Подключение. Microsoft Entra Подключение синхронизирует удостоверения пользователей между локальная служба Active Directory и идентификатором Microsoft Entra. Microsoft Entra Подключение синхронизирует изменения между обеими системами удостоверений, поэтому вы можете использовать такие функции, как единый вход, многофакторная проверка подлинности и самостоятельный сброс пароля в обеих системах.

Что такое доменные службы Microsoft Entra?

Доменные службы Microsoft Entra — это служба, которая предоставляет управляемые доменные службы, такие как присоединение к домену, групповая политика, протокол LDAP и проверка подлинности Kerberos/NTLM. Как и идентификатор Microsoft Entra, вы можете использовать службы каталогов без необходимости поддерживать инфраструктуру, поддерживающую ее, с помощью доменных служб Microsoft Entra, вы получаете преимущество доменных служб без необходимости развертывать, управлять и исправлениями контроллеров домена (DCS) в облаке.

Управляемый домен доменных служб Microsoft Entra позволяет запускать устаревшие приложения в облаке, которые не могут использовать современные методы проверки подлинности или где вы не хотите, чтобы поиски каталогов всегда возвращались в локальную среду AD DS. Эти устаревшие приложения можно перенести из локальной среды в управляемый домен, чтобы избавиться от необходимости управлять средой AD DS в облаке.

Доменные службы Microsoft Entra интегрируются с существующим клиентом Microsoft Entra. Такая интеграция позволяет пользователям входить в службы и приложения, подключенные к управляемому домену, используя существующие учетные данные. Для безопасного доступа к ресурсам можно также использовать существующие группы и учетные записи пользователей. Эти функции обеспечивают более гладкий перенос lift-and-shift локальных ресурсов в Azure.

Как работают доменные службы Microsoft Entra?

При создании управляемого домена доменных служб Microsoft Entra определяется уникальное пространство имен. Это пространство имен представляет собой доменное имя. Затем в выбранном регионе Azure развертываются два контроллера домена Windows Server. Такое развертывание контроллеров домена называется набором реплик.

Вам не нужно управлять этими контроллерами домена, а также настраивать или обновлять их. Платформа Azure работает с контроллерами домена как с компонентом управляемого домена, в том числе выполняет резервное копирование и шифрование хранимых данных с помощью Шифрования дисков Azure.

Синхронизируется ли информация?

Управляемый домен настроен для односторонней синхронизации с идентификатором Microsoft Entra и доменными службами Microsoft Entra. Вы можете создавать ресурсы непосредственно в управляемом домене, но они не синхронизируются с идентификатором Microsoft Entra. В гибридной среде с локальной средой AD DS Microsoft Entra Подключение синхронизирует сведения об удостоверениях с идентификатором Microsoft Entra, который затем синхронизируется с управляемым доменом.

Diagram of Microsoft Entra Connect Sync synchronizing information back to the Microsoft Entra tenant from on-premises AD.

Приложения, службы и виртуальные машины в Azure, которые подключаются к управляемому домену, могут использовать общие функции доменных служб Microsoft Entra, такие как присоединение к домену, групповая политика, LDAP и проверка подлинности Kerberos/NTLM.