了解 Azure Active Directory 中的功能
Azure Active Directory (Azure AD) 是 Microsoft 365 基于云的标识和访问管理服务,它是 Microsoft Entra 的一部分。
可以根据业务要求使用Azure AD来控制对应用和应用资源的访问。 例如,在访问重要组织资源时,可以使用Azure AD要求进行多重身份验证。 此外,还可以使用Azure AD在现有Windows Server AD和云应用(包括Microsoft 365)之间自动进行用户预配。 最后,Azure AD提供了强大的工具,可自动帮助保护用户标识和凭据,并满足访问管理要求。
Azure AD中的功能
| 类别 | 说明 |
|---|---|
| 应用管理 | 使用应用程序代理、单一登录、我的应用门户(也称为访问面板)和软件即服务 (SaaS) 应用管理云和本地应用。 |
| 身份验证 | 管理Azure Active Directory自助式密码重置、多重身份验证、自定义禁止密码列表和智能锁定。 |
| 面向开发人员的Azure Active Directory | 生成用于登录所有 Microsoft 标识的应用,获取用于调用Microsoft Graph、其他 Microsoft API 或自定义 API 的令牌。 |
| 企业到企业 (B2B) | 管理来宾和外部合作伙伴,同时保持对自己的公司数据的控制。 |
| 企业到客户 (B2C) | 自定义并控制用户在使用应用时如何注册、登录和管理其配置文件。 |
| 条件访问 | 管理对云应用的访问权限。 |
| 设备管理 | 管理云或本地设备访问公司数据的方式。 |
| 域服务 | 在不使用域控制器的情况下将 Azure 虚拟机加入域。 |
| 企业用户 | 使用组和管理员角色管理许可证分配、访问应用以及设置代理。 |
| 混合标识 | 使用 Azure Active Directory Connect 和 Connect Health 提供单个用户标识,以便对所有资源进行身份验证和授权,而不考虑位置(云或本地)。 |
| 身份管理 | 通过员工、业务合作伙伴、供应商、服务和应用访问控制来管理组织的标识。 还可以执行访问评审。 |
| 标识保护 | 检测影响组织标识的潜在漏洞,配置策略以响应可疑操作,然后采取适当的措施来解决这些问题。 |
| Azure 资源的托管标识 | 在 Azure AD 中为 Azure 服务提供自动托管标识,该标识可以对任何Azure AD支持的身份验证服务(包括Key Vault)进行身份验证。 |
| 特权标识管理 (PIM) | 管理、控制和监视组织内的访问权限。 此功能包括访问 Azure AD 和 Azure 中的资源以及其他 Microsoft Online Services,如 Microsoft 365 和 Intune。 |
| 报告和监视 | 深入了解环境中的安全性和使用模式。 |
Azure Active Directory和Microsoft 365中的外部协作
Microsoft Teams、SharePoint 和 OneDrive 是与外部用户协作和共享内容的三种最常用的方法。
Azure Active Directory (Azure AD) 企业到企业 (B2B) 协作是外部标识中的一项功能,可用于邀请来宾与组织进行协作。 通过 B2B 协作,可以安全地与来自任何其他组织的来宾共享Microsoft 365应用程序和服务,同时保持对你自己的公司数据的控制。
借助 Azure AD B2B,合作伙伴可以使用自己的标识管理解决方案,因此你的组织不会产生任何外部管理开销。 来宾使用自己的工作、学校或社交标识登录到应用和服务。
合作伙伴使用自己的标识和凭据;不需要Azure AD。
无需管理外部帐户或密码。
无需同步帐户或管理帐户生命周期。
Azure AD 权利管理
组织中的员工需要访问各种组、应用程序和网站才能执行其工作。 随着需求的变化,管理此访问权限会很有挑战性。 企业组织通常在管理员工对资源的访问权限时遇到挑战,例如:
用户可能不知道自己应该拥有什么访问权限,即使他们拥有访问权限,他们也可能很难找到合适的人员来批准其访问权限
一旦用户找到并接收对资源的访问权限,他们保留访问权限的时间可能会超过业务目的所需的时间
对于需要从另一个组织(例如来自供应链组织或其他业务合作伙伴的外部用户)进行访问的用户,这些问题会变得更加复杂。 例如,你可能不知道其他组织中的谁需要访问组织的资源,而他们不知道组织正在使用的应用程序、组或站点。
Azure Active Directory (Azure AD) 权利管理是一项 身份管理功能,通过自动执行访问请求工作流、访问分配、评审和过期,使组织能够大规模管理标识和访问生命周期。 Azure AD 权利管理可帮助你更高效地管理内部用户以及组织外部需要访问这些资源的用户对组、应用程序和 SharePoint 网站的访问。
通过权利管理,你可以将访问管理委托给这些非管理员,因为他们知道哪些用户需要访问权限、访问时长以及需要哪些资源。 委派给非管理员可确保让适当的人员管理其部门的访问权限。
访问包
权利管理引入了 Azure AD 访问包的概念。 访问包是具有用户在项目上工作或执行任务所需的访问权限的所有资源的捆绑包。 访问包用于管理内部员工和组织外部用户的访问权限。 可以使用权利管理来管理用户对以下资源的访问权限:
- Azure AD 安全组的成员身份。
- Microsoft 365 组和 Teams 的成员身份。
- 分配给 Azure AD 企业应用程序的内容,包括支持联合/单一登录和/或预配的 SaaS 应用程序和自定义集成应用程序。
- SharePoint 网站的成员身份。
还可以控制对依赖于 Azure AD 安全组或 Microsoft 365 组的其他资源的访问。 例如,可以提供:
- Microsoft 365 许可证,方法是在访问包中使用 Azure AD 安全组并为该组配置基于组的许可。
- 管理 Azure 资源的访问权限,方法是在访问包中使用 Azure AD 安全组并为该组创建 Azure 角色分配。
- 管理 Azure AD 角色的访问权限,方法是使用可分配给访问包中 Azure AD 角色的组并将 Azure AD 角色分配给该组。
