标识技术简介

已完成

Azure Active Directory (Azure AD) 是 Microsoft 为云开发的下一代标识和访问管理解决方案。 Microsoft 在 Windows 2000 中引入了 Active Directory 域服务,为组织提供使用每个用户的单个标识管理多个本地基础结构组件和系统的能力。 Azure AD 通过为组织提供标识即服务 (IDaaS),将此方法提升至新级别。 Azure AD 帮助员工登录和访问:

  • 外部资源,如 Microsoft Office 365、Azure 门户和其他数以千计的 SaaS 应用程序。
  • 内部资源,如公司网络和 Intranet 上的应用,以及由贵组织开发的任何云应用。

从一个中央位置管理所有应用

大多数 IT 管理员都熟悉 Active Directory 域服务概念。 下表概述了 Active Directory 概念和 Azure AD 之间的异同之处。

概念 Active Directory Azure Active Directory
用户
管理员管理 组织将组合使用 Active Directory 中的域、组织单元和组来委派管理权限,以管理它控制的目录和资源。 Azure AD 通过其基于角色的访问控制 (RBAC) 系统提供内置角色,对创建自定义角色以委托对其控制的标识系统、应用和资源的特权访问提供了有限支持。 通过使用 Privileged Identity Management (PIM) 可增强角色管理,以提供对特权角色的实时、受时间限制或基于工作流的访问权限。
凭据管理 Active Directory 中的凭据基于密码、证书身份验证和智能卡身份验证。 密码使用基于密码长度、到期和复杂度的密码策略进行管理。 Azure AD 对云和本地使用智能密码保护。 保护包括智能锁定和阻止常见和自定义密码短语和替换。 Azure AD 通过多重身份验证和无密码技术(如 FIDO2)显著提高了安全性。 Azure AD 通过向用户提供自助式密码重置系统来降低支持成本。
应用
基础结构应用 Active Directory 构成了许多基础结构本地组件的基础,例如 DNS、DHCP、IPSec、WiFi、NPS 和 VPN 访问。 在新的云世界中,Azure AD 是用于访问应用的新控制平面,而不是依赖于网络控制。 用户进行身份验证时,条件访问 (CA) 将控制哪些用户有权在所需条件下访问哪些应用。
SaaS 应用 Active Directory 不支持本机 SaaS 应用,并且需要联合系统,例如 Active Directory 联合身份验证服务 (AD FS)。 可集成支持 OAuth2、SAML 和 WS-* 身份验证的 SaaS 应用,以便将 Azure AD 用于身份验证。
设备
移动 在无第三方解决方案时,Active Directory 本身不支持移动设备。 Microsoft 的移动设备管理解决方案 (Microsoft Intune) 与 Azure AD 集成。 Microsoft Intune 向标识系统提供在身份验证过程中评估的设备状态信息。
Windows 桌面 Active Directory 提供域加入 Windows 设备的功能,可通过组策略、System Center Configuration Manager 或其他第三方解决方案对其进行管理。 Windows 设备可以加入 Azure AD。 在身份验证过程中,条件访问可以检查设备是否已加入 Azure AD。 Windows 设备也可使用 Microsoft Intune 进行管理。 在这种情况下,条件访问将首先先考虑设备是否合规(例如,最新安全修补程序和病毒签名),然后才能允许访问应用。

借助 Microsoft 的访问和信息保护解决方案,可部署并配置对整个本地环境和云应用程序中的公司资源的访问。 你可以在保护企业信息时执行此操作。 以下是由最新标识和访问技术提供的方案:

  • 从任何设备上的任何位置安全访问公司资源
  • 从任何设备连接到工作区,以便跨公司应用程序进行 SSO 和无缝第二因素身份验证
  • 使用适用于敏感应用程序的附加多重身份验证管理风险
  • 使用条件访问控制管理风险
  • 在自定义端口上针对基于证书密钥的续订配置证书注册 Web 服务