Microsoft Entra ID是微软提供的基于云的身份和访问管理服务。Microsoft Entra ID是一个全面的解决方案,用于管理身份、执行访问策略以及在云和本地保护您的应用程序和数据。
目录
一、查看 Microsoft Entra ID
微软Entra租户
微软Entra模式
二、比较Microsoft Entra ID与Active Directory域服务(AD DS)
AD DS的特征
Microsoft Entra ID的特点
三、Microsoft Entra ID如何用作云应用程序的目录
四、比较Microsoft Entra ID P1和P2
五、Microsoft Entra域服务
结尾:
一、查看 Microsoft Entra ID
AD DS是一种目录服务,提供存储目录数据的方法,如用户帐户和密码,并使这些数据可供网络用户、管理员和其他设备和服务使用。它在Windows Server上作为服务运行,称为域控制器。
Microsoft Entra ID是平台即服务(PaaS)的一部分,在云中作为微软管理的目录服务运行。它不是客户拥有和管理的核心基础设施的一部分,也不是基础设施即服务产品。虽然这意味着您对其实施的控制较少,但这也意味着您不必将资源用于其部署或维护。
使用Microsoft Entra ID,您还可以访问AD DS中原生不提供的一组功能,例如支持多因素身份验证、身份保护和自助服务密码重置。
您可以使用Microsoft Entra ID为组织和个人提供对基于云的资源的更安全的访问,通过以下方式:
默认情况下,当您使用Microsoft帐户创建新的Azure订阅时,订阅会自动包含一个名为Default Directory的新Microsoft Entra租户。
- 配置对应用程序的访问
- 将单点登录(SSO)配置为基于云的SaaS应用程序
- 管理用户和组
- 配置用户
- 实现组织之间的联合
- 提供身份管理解决方案
- 识别不规则的登录活动
- 配置多因素身份验证
- 将现有的本地Active Directory实现扩展到Microsoft Entra ID
- 为云和本地应用程序配置应用程序代理
- 为用户和设备配置条件访问
一些更高级的身份管理功能需要Microsoft Entra ID的付费版本,以基本层和高级层的形式提供。其中一些功能也会自动包含在作为Microsoft 365订阅的一部分生成的Microsoft Entra实例中。Microsoft Entra版本之间的差异将在本模块的后面讨论。
实现Microsoft Entra ID与在Azure中部署虚拟机、添加AD DS,然后为新林和域部署一些域控制器是不一样的。Microsoft Entra ID是一项不同的服务,更专注于为基于Web的应用程序提供身份管理服务,与AD DS不同,后者更专注于本地应用程序。
微软Entra租户
Microsoft Entra tenants
您可以将相同的Microsoft Entra租户与多个Azure订阅相关联。这允许您使用相同的用户、组和应用程序来管理多个Azure订阅的资源。
与AD DS不同,Microsoft Entra ID在设计上是多租户的,并专门实现以确保其单个目录实例之间的隔离。它是世界上最大的多租户目录,托管超过100万个目录服务实例,每周有数十亿个身份验证请求。在这种情况下,租户一词通常表示注册订阅微软基于云的服务(如Microsoft 365、Intune或Azure)的公司或组织,每个服务都使用Microsoft Entra ID。然而,从技术角度来看,租户一词代表单个Microsoft Entra实例。在Azure订阅中,您可以创建多个Microsoft Entra租户。如果您想在一个租户中测试Microsoft Entra功能而不影响其他租户,拥有多个Microsoft Entra租户可能会很方便。
在任何时候,Azure订阅必须与一个且只有一个Microsoft Entra租户相关联。此关联允许您(通过RBAC)向特定Microsoft Entra租户中存在的用户、组和应用程序授予Azure订阅中的资源权限。
每个Microsoft Entra租户都被分配了默认域名系统(DNS)域名,由一个唯一的前缀组成。该前缀来自您用于创建Azure订阅的Microsoft帐户名称,或在创建Microsoft Entra租户时明确提供,后跟onmicrosoft.com后缀。向同一Microsoft Entra租户添加至少一个自定义域名是可能和常见的。此名称使用相应公司或组织拥有的DNS域名空间。Microsoft Entra租户是用户、组和应用程序等Microsoft Entra对象的安全边界和容器。单个Microsoft Entra租户可以支持多个Azure订阅
微软Entra模式
Microsoft Entra模式包含的对象类型比AD DS少。最值得注意的是,它不包括计算机类的定义,尽
