Что такое идентификатор Microsoft Entra?

Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом, которая позволяет сотрудникам получать доступ к внешним ресурсам. Примерами ресурсов являются Microsoft 365, портал Azure и тысячи других приложений SaaS.

Идентификатор Microsoft Entra также помогает им получать доступ к внутренним ресурсам, таким как приложения в корпоративной интрасети, и любым облачным приложениям, разработанным для вашей организации. Сведения о создании клиента см. в кратком руководстве по созданию нового клиента в идентификаторе Microsoft Entra.

Сведения о различиях между Идентификатором Active Directory и Microsoft Entra см. в статье "Сравнение Active Directory с идентификатором Microsoft Entra". Вы также можете обратиться к плакатам Microsoft Cloud для корпоративных архитекторов , чтобы лучше понять основные службы удостоверений в Azure, такие как идентификатор Microsoft Entra и Microsoft-365.

Кто использует идентификатор Microsoft Entra?

Идентификатор Microsoft Entra предоставляет различные преимущества для членов вашей организации на основе их роли:

  • ИТ-администраторы используют идентификатор Microsoft Entra для управления доступом к приложениям и ресурсам приложений на основе бизнес-требований. Например, в качестве ИТ-администратора можно использовать идентификатор Microsoft Entra, чтобы требовать многофакторную проверку подлинности при доступе к важным ресурсам организации. Вы также можете использовать идентификатор Microsoft Entra для автоматизации подготовки пользователей между существующими приложениями Windows Server AD и облачными приложениями, включая Microsoft 365. Наконец, идентификатор Microsoft Entra предоставляет мощные средства для автоматической защиты удостоверений пользователей и учетных данных и соответствия требованиям к управлению доступом. Чтобы приступить к работе, зарегистрируйте бесплатную 30-дневную пробную версию Microsoft Entra ID P1 или P2.

  • Разработчики приложений могут использовать идентификатор Microsoft Entra в качестве поставщика проверки подлинности на основе стандартов, который помогает им добавлять единый вход в приложения, которые работают с существующими учетными данными пользователя. Разработчики также могут использовать API Microsoft Entra для создания персонализированных интерфейсов с помощью данных организации. Чтобы приступить к работе, зарегистрируйте бесплатную 30-дневную пробную версию Microsoft Entra ID P1 или P2. Дополнительные сведения см. также в идентификаторе Microsoft Entra для разработчиков.

  • Подписчики Microsoft 365, Office 365, Azure или Dynamics CRM Online уже используют идентификатор Microsoft Entra, так как каждый клиент Microsoft 365, Office 365, Azure и Dynamics CRM Online автоматически является клиентом Microsoft Entra. Вы можете немедленно начать управление доступом к интегрированным облачным приложениям.

Что такое лицензии на идентификатор Microsoft Entra ID?

Бизнес-службы Microsoft Online, такие как Microsoft 365 или Microsoft Azure, используют идентификатор Microsoft Entra для действий входа и для защиты удостоверений. Если вы подписаны на любую службу Microsoft Online для бизнеса, вы автоматически получите доступ к идентификатору Microsoft Entra ID Free.

Чтобы улучшить реализацию Microsoft Entra, вы также можете добавить платные функции, обновив лицензии Microsoft Entra ID P1 или Premium P2. Платные лицензии Microsoft Entra основаны на существующем бесплатном каталоге. Лицензии предоставляют самообслуживание, улучшенный мониторинг, отчеты о безопасности и безопасный доступ для мобильных пользователей.

Примечание.

Сведения о ценах этих лицензий см. в разделе о ценах Microsoft Entra.

Дополнительные сведения о ценах на Microsoft Entra см. на форуме Microsoft Entra.

  • Бесплатный идентификатор Microsoft Entra. Предоставляет управление пользователями и группами, синхронизацию локальной службы каталогов, базовые отчеты, возможность самостоятельного изменения паролей для пользователей облака, единый вход в Azure, Microsoft 365 и многие другие популярные приложения SaaS.

  • Идентификатор Microsoft Entra P1. В дополнение к возможностям в рамках предложения уровня "Бесплатный", P1 обеспечивает пользователям гибридный доступ к локальным и облачным ресурсам. Он также поддерживает расширенные функции администрирования, такие как динамические группы, самостоятельное управление группами, Microsoft Identity Manager и возможности обратной записи в облаке, которые позволяют самостоятельно сбрасывать пароль для локальных пользователей.

  • Идентификатор Microsoft Entra P2. Помимо функций Бесплатной и P1, P2 также предлагает Защита идентификации Microsoft Entra для предоставления условного доступа на основе рисков для приложений и критически важных корпоративных данных и управление привилегированными пользователями чтобы помочь обнаруживать, ограничивать и отслеживать администраторов и их доступ к ресурсам и предоставлять jit-доступ по мере необходимости.

  • Лицензии на использование функций с оплатой по мере использования. Вы также можете получить лицензии для таких функций, как Microsoft Entra Business-to-Customer (B2C). B2C помогает предоставлять решения для управления идентификацией и доступом для клиентских приложений. Дополнительные сведения см. в статье об Azure Active Directory B2C.

Дополнительные сведения о связывании подписки Azure с идентификатором Microsoft Entra см. в статье "Связывание или добавление подписки Azure" в идентификатор Microsoft Entra. Дополнительные сведения о назначении лицензий пользователям см. в статье "Практическое руководство. Назначение или удаление лицензий идентификатора Microsoft Entra ID".

Какие функции работают в идентификаторе Microsoft Entra?

Выбрав лицензию на идентификатор Microsoft Entra, вы получите доступ к некоторым или всем следующим функциям:

Категория Description
Управление приложениями Управление облачными и локальными приложениями с помощью Application Proxy, единого входа, портала "Мои приложения" и приложений модели "программное обеспечение как услуга" (SaaS). Дополнительные сведения см. в статье об обеспечении безопасного удаленного доступа к локальным приложениям и документации по управлению приложениями.
Проверка подлинности Управление самостоятельным сбросом пароля Microsoft Entra, многофакторной идентификацией, настраиваемым списком запрещенных паролей и смарт-блокировкой. Дополнительные сведения см . в документации по проверке подлинности Microsoft Entra.
Идентификатор Microsoft Entra для разработчиков Создание приложений, которые разрешают вход со всеми удостоверениями Майкрософт, получение маркеров для вызова Microsoft Graph, других API Майкрософт или настраиваемых API. Дополнительные сведения см. в разделе платформа удостоверений Майкрософт (Идентификатор Microsoft Entra для разработчиков).
Категория "бизнес — бизнес" (B2B) Управление гостевыми пользователями и внешними партнерами и сохранение контроля над корпоративными данными. Дополнительные сведения см . в документации по Microsoft Entra B2B.
Категория "бизнес — потребитель" (B2C) Настройка и контроль регистрации и входа пользователей, а также управление их профилями, когда они используют ваши приложения. Дополнительные сведения см. в статье об Azure Active Directory B2C.
Условный доступ Управление доступом к облачным приложениям. Дополнительные сведения см . в документации по условному доступу Microsoft Entra.
Управление устройствами Управление тем, как облачные и локальные устройства получают доступ к корпоративным данным. Дополнительные сведения см. в документации по Microsoft Entra Управление устройствами.
Доменные службы Присоединение виртуальных машин Azure к домену без использования контроллеров домена. Дополнительные сведения см . в документации по доменным службам Microsoft Entra.
Корпоративные пользователи Управление назначениями лицензий, доступ к приложениям и настройка делегатов с использованием групп и ролей администратора. Дополнительные сведения см . в документации по управлению пользователями Microsoft Entra.
Интеграция локальных каталогов с Azure Active Directory Используйте Microsoft Entra Подключение и Подключение Health для предоставления единого удостоверения пользователя для проверки подлинности и авторизации для всех ресурсов независимо от расположения (облака или локальной среды). Дополнительные сведения см. в статье Документация по гибридной идентификации.
Система управления удостоверениями Управление идентификацией для приложений организации с задействованием сотрудников, бизнес-партнеров, поставщиков, служб и элементов управления доступом к приложениям. Вы также можете выполнять проверки доступа. Дополнительные сведения см. в Управление идентификацией Microsoft Entra документации и проверках доступа Microsoft Entra.
Защита идентификации Определение потенциальных уязвимостей, влияющих на удостоверения организации, настройка политик для ответа на подозрительную активность и выполнение соответствующих действий для ее устранения. Дополнительные сведения см. в Защита идентификации Microsoft Entra.
Управляемые удостоверения для ресурсов Azure Предоставьте службы Azure автоматически управляемым удостоверением в идентификаторе Microsoft Entra, который может пройти проверку подлинности любой поддерживаемой службой проверки подлинности Microsoft Entra ID, включая Key Vault. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure.
Управление привилегированными пользователями (PIM) Управление, контроль и мониторинг доступа в организации. Эта функция включает доступ к ресурсам в идентификаторе Microsoft Entra и Azure, а также других веб-службах Майкрософт, таких как Microsoft 365 или Intune. Дополнительные сведения см. в управление привилегированными пользователями Microsoft Entra.
Мониторинг и работоспособность Получение ценных сведений о безопасности и особенностях использования ресурсов в вашей среде. Дополнительные сведения см. в разделе мониторинга и работоспособности Microsoft Entra.
Удостоверения рабочих нагрузок Предоставьте удостоверение рабочей нагрузке программного обеспечения (например, приложению, службе, скрипту или контейнеру) для проверки подлинности и доступа к другим службам и ресурсам. Дополнительные сведения см. в разделах часто задаваемых вопросов о удостоверениях рабочей нагрузки.

Терминология

Чтобы лучше понять идентификатор Microsoft Entra и ее документацию, рекомендуется ознакомиться со следующими условиями.

Термин или понятие Description
Идентификация То, что может пройти аутентификацию. Удостоверение может указывать пользователя, имеющего имя и пароль. К удостоверениям также относятся приложения или другие серверы, для которых может потребоваться проверка подлинности с помощью секретных ключей или сертификатов.
Организация Удостоверение, с которым связаны данные. У вас не может быть учетной записи без удостоверения.
Учетная запись Microsoft Entra Удостоверение, созданное с помощью идентификатора Microsoft Entra или другой облачной службы Майкрософт, например Microsoft 365. Удостоверения хранятся в идентификаторе Microsoft Entra и доступны для подписок облачной службы вашей организации. Эта учетная запись также иногда называется рабочей или учебной учетной записью.
Администратор учетной записи Это классическая роль администратора подписки, по сути, является владельцем выставления счетов подписки. Эта роль позволяет управлять всеми подписками в учетной записи. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки.
Администратор служб Классическая роль администратора подписки позволяет управлять всеми ресурсами Azure, а также доступом к ним. Эта роль имеет эквивалентные права доступа для пользователя, которому назначена роль владельца в области действия подписки. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки.
Ответственное лицо Эта роль позволяет управлять всеми ресурсами Azure, а также доступом к ним. Эта роль создана на основе новой системы авторизации под названием "управление доступом на основе ролей Azure" (Azure RBAC), которая обеспечивает точное управление доступом к ресурсам Azure. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки.
Microsoft Entra Global Администратор istrator Эта роль администратора автоматически назначается тому, кто создал клиент Microsoft Entra. Вы можете иметь несколько глобальных Администратор istrator, но только глобальные Администратор istrator могут назначать роли администратора (включая назначение другим глобальным Администратор istrator) пользователям. Дополнительные сведения о различных ролях администратора см. в разделе Администратор установка разрешений роли в идентификаторе Microsoft Entra.
Подписка Azure. Используется для платы за облачные службы Azure. У вас может быть множество подписок, связанных с кредитной картой.
Клиент Azure Выделенный и доверенный экземпляр идентификатора Microsoft Entra. Клиент создается автоматически при оформлении организацией подписки на облачные службы Майкрософт. К таким подпискам относятся Microsoft Azure, Microsoft Intune или Microsoft 365. Клиент Azure представляет одну организацию.
Однотенантное приложение Клиенты Azure, которые получают доступ к другим службам в выделенной среде, считаются однотенантными.
Несколько клиентов Клиенты Azure, которые обращаются к службам в общей среде в нескольких организациях, считаются мультитенантными.
Каталог Microsoft Entra Каждый клиент Azure имеет выделенный и доверенный каталог Microsoft Entra. Каталог Microsoft Entra включает пользователей, групп и приложений клиента и используется для выполнения функций управления удостоверениями и доступом для ресурсов клиента.
Личный домен Каждый новый каталог Microsoft Entra поставляется с начальным доменным именем, например domainname.onmicrosoft.com. Кроме этого имени, можно также добавить доменные имена организации. Доменные имена организации включают в себя имена, которые вы используете для ведения бизнеса, а пользователи — для доступа к ресурсам вашей организации. Добавив имена личных доменов, вы сможете создать привычные для пользователей имена, например alain@contoso.com.
Учетная запись Майкрософт (также называемая MSA) Личные учетные записи, которые предоставляют доступ к ориентированным на потребителя продуктам и облачным службам Майкрософт. К этим продуктам и службам относятся Outlook, OneDrive, Xbox LIVE или Microsoft 365. Ваша учетная запись Майкрософт создается и хранится в системе учетных записей удостоверений потребителей под управлением корпорации Майкрософт.

Следующие шаги