Beskriva Azure-katalogtjänster

  • 6 minuter

Microsoft Entra ID är en katalogtjänst som gör att du kan logga in och komma åt både Microsofts molnprogram och molnprogram som du utvecklar. Microsoft Entra-ID kan också hjälpa dig att underhålla din lokal Active Directory distribution.

För lokala miljöer tillhandahåller Active Directory som körs på Windows Server en identitets- och åtkomsthanteringstjänst som hanteras av din organisation. Microsoft Entra ID är Microsofts molnbaserade tjänst för identitets- och åtkomsthantering. Med Microsoft Entra-ID styr du identitetskontona, men Microsoft ser till att tjänsten är tillgänglig globalt. Om du har arbetat med Active Directory är Microsoft Entra-ID bekant för dig.

När du skyddar identiteter lokalt med Active Directory övervakar inte Microsoft inloggningsförsöken. När du ansluter Active Directory med Microsoft Entra-ID kan Microsoft skydda dig genom att identifiera misstänkta inloggningsförsök utan extra kostnad. Microsoft Entra-ID kan till exempel identifiera inloggningsförsök från oväntade platser eller okända enheter.

Vem använder Microsoft Entra-ID?

Microsoft Entra-ID är till för:

  • IT-administratörer. Administratörer kan använda Microsoft Entra-ID för att styra åtkomsten till program och resurser baserat på deras affärskrav.
  • Apputvecklare. Utvecklare kan använda Microsoft Entra-ID för att tillhandahålla en standardbaserad metod för att lägga till funktioner i program som de skapar, till exempel lägga till SSO-funktioner i en app eller göra det möjligt för en app att arbeta med en användares befintliga autentiseringsuppgifter.
  • Användare. Användare kan hantera sina identiteter och vidta underhållsåtgärder som självbetjäning av lösenordsåterställning.
  • Onlinetjänstprenumeranter. Microsoft 365-, Microsoft Office 365-, Azure- och Microsoft Dynamics CRM Online-prenumeranter använder redan Microsoft Entra-ID för att autentisera till sitt konto.

Vad gör Microsoft Entra-ID?

Microsoft Entra ID tillhandahåller tjänster som:

  • Autentisering: Detta omfattar verifiering av identitet för åtkomst till program och resurser. Det omfattar också att tillhandahålla funktioner, till exempel lösenordsåterställning via självbetjäning, multifaktorautentisering, en anpassad lista över förbjudna lösenord och smart utlåsning.
  • Enkel inloggning: Enkel inloggning (SSO) gör att du bara kan komma ihåg ett användarnamn och ett lösenord för att få åtkomst till flera program. En enskild identitet är kopplad till en användare, vilket gör säkerhetsmodellen enklare. När användare byter roll eller lämnar organisationen är åtkomständringarna knutna till själva identiteten, vilket gör det mycket enklare att ändra eller inaktivera konton.
  • Programhantering: Du kan hantera dina molnappar och lokala appar med hjälp av Microsoft Entra-ID. Funktioner som Programproxy, SaaS-appar, Mina appar-portalen och enkel inloggning ger en bättre användarupplevelse.
  • Enhetshantering: Tillsammans med konton för enskilda personer stöder Microsoft Entra-ID registrering av enheter. Registreringen gör att du kan hantera enheter via verktyg som Microsoft Intune. Det gör det också möjligt för enhetsbaserade principer för villkorsstyrd åtkomst att begränsa åtkomstförsök till endast de som kommer från kända enheter, oavsett vilket användarkonto som begärs.

Kan jag ansluta min lokala AD med Microsoft Entra-ID?

Om du hade en lokal miljö som kör Active Directory och en molndistribution med hjälp av Microsoft Entra-ID skulle du behöva underhålla två identitetsuppsättningar. Du kan dock ansluta Active Directory med Microsoft Entra-ID, vilket möjliggör en konsekvent identitetsupplevelse mellan molnet och lokalt.

En metod för att ansluta Microsoft Entra-ID till din lokala AD är att använda Microsoft Entra Anslut. Microsoft Entra Anslut synkroniserar användaridentiteter mellan lokal Active Directory och Microsoft Entra-ID. Microsoft Entra Anslut synkroniserar ändringar mellan båda identitetssystemen, så att du kan använda funktioner som enkel inloggning, multifaktorautentisering och lösenordsåterställning via självbetjäning i båda systemen.

Vad är Microsoft Entra Domain Services?

Microsoft Entra Domain Services är en tjänst som tillhandahåller hanterade domäntjänster som domänanslutning, grupprincip, LDAP (Lightweight Directory Access Protocol) och Kerberos/NTLM-autentisering. Precis som med Microsoft Entra-ID kan du använda katalogtjänster utan att behöva underhålla infrastrukturen som stöder den. Med Microsoft Entra Domain Services får du fördelen med domäntjänster utan att behöva distribuera, hantera och korrigera domänkontrollanter (DCs) i molnet.

Med en hanterad domän i Microsoft Entra Domain Services kan du köra äldre program i molnet som inte kan använda moderna autentiseringsmetoder, eller där du inte vill att katalogsökningar alltid ska gå tillbaka till en lokal AD DS-miljö. Du kan lyfta och flytta dessa äldre program från din lokala miljö till en hanterad domän, utan att behöva hantera AD DS-miljön i molnet.

Microsoft Entra Domain Services integreras med din befintliga Microsoft Entra-klientorganisation. Med den här integreringen kan användare logga in på tjänster och program som är anslutna till den hanterade domänen med sina befintliga autentiseringsuppgifter. Du kan också använda befintliga grupper och användarkonton för att skydda åtkomsten till resurser. De här funktionerna ger en smidigare lift-and-shift av lokala resurser till Azure.

Hur fungerar Microsoft Entra Domain Services?

När du skapar en hanterad domän för Microsoft Entra Domain Services definierar du ett unikt namnområde. Det här namnområdet är domännamnet. Två Windows Server-domänkontrollanter distribueras sedan till din valda Azure-region. Den här distributionen av domänkontrollanter kallas för en replikuppsättning.

Du behöver inte hantera, konfigurera eller uppdatera dessa domänkontrollanter. Azure-plattformen hanterar domänkontrollanterna som en del av den hanterade domänen, inklusive säkerhetskopior och kryptering i vila med hjälp av Azure Disk Encryption.

Synkroniseras informationen?

En hanterad domän har konfigurerats för att utföra en enkelriktad synkronisering från Microsoft Entra ID till Microsoft Entra Domain Services. Du kan skapa resurser direkt i den hanterade domänen, men de synkroniseras inte tillbaka till Microsoft Entra-ID. I en hybridmiljö med en lokal AD DS-miljö synkroniserar Microsoft Entra Anslut identitetsinformation med Microsoft Entra-ID, som sedan synkroniseras med den hanterade domänen.

Diagram of Microsoft Entra Connect Sync synchronizing information back to the Microsoft Entra tenant from on-premises AD.

Program, tjänster och virtuella datorer i Azure som ansluter till den hanterade domänen kan sedan använda vanliga Microsoft Entra Domain Services-funktioner som domänanslutning, grupprincip, LDAP och Kerberos/NTLM-autentisering.