你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

标识和访问管理设计区域

标识和访问管理设计区域提供了最佳做法，可用于建立安全且完全合规的公有云体系结构的基础。

企业可以具有复杂而异质的技术格局，因此安全至关重要。 可靠的标识和访问管理构成了新式保护的基础，方法是在公有云中创建安全外围。 授权和访问控制可确保只有经过验证的设备经过身份验证的用户才能访问和管理应用程序和资源。 它确保适当的个人可以在正确的时间访问正确的资源，并出于正确的原因。 它还提供可靠的审核日志记录以及用户或工作负荷标识操作的不可否认性。 应提供一致的 企业访问控制，包括用户访问、控制和管理平面、外部访问和特权访问，以提高工作效率并降低未经授权的特权升级或数据外泄的风险。

Azure 提供了一套全面的服务、工具和参考体系结构，可帮助组织创建高度安全且操作高效的环境。 有多种选项可用于在云环境中管理标识。 每个选项因成本和复杂性而异。 根据需要将其与现有本地标识基础结构集成多少来确定基于云的标识服务。 有关详细信息，请参阅 标识决策指南。

Azure 登陆区域中的标识和访问管理

标识和访问管理是平台和应用程序登陆区域中的核心考虑因素。 在订阅民主化的设计原则下，应用程序所有者应能够自主权地管理自己的应用程序和资源，只需平台团队进行最少的干预。 登陆区域是一个安全边界，标识和访问管理提供了一种方法来控制一个登陆区域与另一个登陆区域的分离，以及网络和 Azure Policy 等组件。 应用可靠的标识和访问管理设计，以帮助实现应用程序登陆区域隔离。

平台团队负责标识和访问管理的基础，包括部署和管理集中式目录服务，如 Microsoft Entra ID、Microsoft Entra 域服务和Active Directory 域服务（AD DS）。 访问应用程序的应用程序登陆区域管理员和用户访问这些服务。

应用程序团队负责应用程序的标识和访问管理，包括保护用户对应用程序的访问权限，以及应用程序组件（例如Azure SQL 数据库、虚拟机和Azure 存储）。 在实现良好的登陆区域体系结构中，应用程序团队可以毫不费力地使用平台团队提供的服务。

标识和访问管理的许多基本概念在平台和应用程序登陆区域中都是相同的，例如基于角色的访问控制（RBAC）和最小特权原则。

设计领域回顾

函数： 标识和访问管理需要支持以下一个或多个函数。 执行这些函数的角色可以帮助做出和实施决策。

• 云平台函数
• 卓越功能云中心
• 云安全团队功能

范围： 此设计区域的目标是帮助你评估标识和访问基础的选项。 设计标识策略时，应执行以下任务：

• 对用户和工作负荷标识进行身份验证。
• 分配对资源的访问权限。
• 确定职责分离的核心要求。
• 将混合标识与 Microsoft Entra ID 同步。

范围不足： 标识和访问管理构成了适当的访问控制的基础，但它不包括更高级方面，例如：

• 零信任模型。
• 提升权限的操作管理。
• 自动护栏以防止常见标识和访问错误。

安全性和治理的符合性设计领域涉及范围外的各个方面。 有关标识和访问管理的综合建议，请参阅 Azure 标识管理和访问控制安全最佳做法。

设计领域概述

标识提供了大部分安全保证的基础。 它在云服务中基于标识身份验证和授权控制授予访问权限。 访问控制可保护数据和资源，并帮助确定应允许哪些请求。

标识和访问管理有助于保护公有云环境的内部和外部边界。 它是所有完全兼容的安全公有云体系结构的基础。

以下文章介绍了云环境中标识和访问管理的设计注意事项和建议：

• 使用 Active Directory 和 Microsoft Entra ID 的混合标识
• 登陆区域标识和访问管理
• 应用程序标识和访问管理

有关使用已建立的模式和做法在 Azure 上设计解决方案的指南，请参阅 标识体系结构设计。

提示

如果有多个 Microsoft Entra ID 租户，请参阅 Azure 登陆区域和多个 Microsoft Entra 租户。

后续步骤

使用 Active Directory 和 Microsoft Entra ID 的混合标识