Что такое Azure Active Directory
Azure Active Directory (Azure AD) — это облачная служба управления удостоверениями и доступом от корпорации Майкрософт. Она помогает вашим сотрудникам входить в систему и обращаться к ресурсам таких категорий:
внешние ресурсы, такие как Microsoft 365, портал Azure и тысячи других приложений SaaS;
во внутренних ресурсах, таких как приложения в корпоративной сети и интрасети, а также в любых облачных приложениях, разработанных вашей организацией. Дополнительные сведения о создании клиента для организации см. в разделе Краткое руководство. Создание клиента в Azure Active Directory.
Сведения о различиях между Azure AD и доменными службами Active Directory см. в разделе Сравнение Active Directory с Azure Active Directory. Лучше понять базовые службы идентификации в Azure, Azure AD и Microsoft 365 можно с помощью различных постеров о Microsoft Cloud для корпоративных архитекторов.
Кто использует Azure AD
Azure AD могут использовать:
ИТ-администраторы. С помощью Azure AD ИТ-администратор может управлять доступом к приложениям и их ресурсам в соответствии с бизнес-требованиями. Например, вы можете использовать Azure AD, чтобы требовать прохождение многофакторной проверки подлинности при доступе к ресурсам организации. Кроме того, с помощью Azure AD можно автоматизировать подготовку пользователей между существующим экземпляром Windows Server AD и облачными приложениями, включая Microsoft 365. Наконец, Azure AD предоставляет эффективные инструменты для автоматической защиты учетных данных и удостоверений пользователей и соответствия требованиям системы управления. Чтобы приступить к работе, зарегистрируйтесь для получения бесплатной 30-дневной пробной версии Azure Active Directory Premium.
Разработчики приложений. Разработчики приложений могут использовать Azure AD как соответствующее стандартам средство для включения единого входа в приложении, обеспечивая возможность работы с существующими учетными данными пользователя. Azure AD также предоставляет интерфейсы API, с помощью которых можно разработать персонализированные интерфейсы приложений, используя существующие данные организации. Чтобы приступить к работе, зарегистрируйтесь для получения бесплатной 30-дневной пробной версии Azure Active Directory Premium. Дополнительные сведения см. в статье Платформа удостоверений Майкрософт (Azure Active Directory для разработчиков).
Подписчики Microsoft 365, Office 365, Azure или Dynamics CRM Online. Как подписчик вы уже используете Azure AD. Каждый клиент Microsoft 365, Office 365, Azure и Dynamics CRM Online автоматически также является клиентом Azure AD. Кроме того, вы можете сразу начать управлять доступом к интегрированным облачным приложениям.
Что такое лицензии Azure AD?
В бизнес-службах Microsoft Online, например Microsoft 365 или Microsoft Azure, для входа в систему и защиты идентификации используется Azure AD. Если вы подписаны на любую из бизнес-служб Microsoft Online, то вы автоматически получите Azure AD с доступом ко всем бесплатным возможностям.
Чтобы улучшить реализацию Azure AD, можно также добавить платные возможности или воспользоваться обновлением до лицензий Azure Active Directory Premium P1 или Premium P2. Платные лицензии Azure Active Directory создаются на основе существующего бесплатного каталога, предоставляя самообслуживание, улучшенный мониторинг, отчеты о безопасности и безопасный доступ для мобильных пользователей.
Сведения о ценах для различных лицензий см. на странице цен на Azure Active Directory.
В настоящий момент выпуски Azure Active Directory Premium P1 и Azure Active Directory Premium P2 не поддерживаются в Китае. Дополнительные сведения о ценах на Azure AD можно узнать на форуме по Azure Active Directory.
Azure Active Directory Free. Предоставляет управление пользователями и группами, синхронизацию локальной службы каталогов, базовые отчеты, возможность самостоятельного изменения паролей для пользователей облака, единый вход в Azure, Microsoft 365 и многие другие популярные приложения SaaS.
Azure Active Directory Premium P1. В дополнение к возможностям в рамках предложения уровня «Бесплатный», P1 обеспечивает пользователям гибридный доступ к локальным и облачным ресурсам. Он также поддерживает расширенные функции администрирования, такие как динамические группы, самостоятельное управление группами, Microsoft Identity Manager (средство для управления локальными удостоверениями и управления доступом) и возможности обратной записи в облаке, которые позволяют самостоятельно сбрасывать пароль для локальных пользователей.
Azure Active Directory Premium P2. В дополнение к возможностям в рамках предложений уровня «Бесплатный» и P1, P2 также обеспечивает Защиту идентификации Azure Active Directory, которая предоставляет условный доступ к приложениям и критически важным данным компании на основе рисков, и привилегированное управление идентификацией, позволяющее выявлять, ограничивать и отслеживать администраторов и их доступ к ресурсам, а также предоставить JIT-доступ, когда это необходимо.
Лицензии на использование функций с оплатой по мере использования. Вы также можете получить лицензии на дополнительные функции, такие как Azure Active Directory B2C. B2C помогает предоставлять решения для управления идентификацией и доступом для клиентских приложений. Дополнительные сведения см. в статье об Azure Active Directory B2C.
Дополнительные сведения о связывании подписки Azure с Azure AD см. в статье Привязка или добавление подписки Azure в Azure Active Directory, а сведения о присвоении лицензий пользователям — в статье Практическое руководство по назначению или удалению лицензий Azure Active Directory.
Какие функции поддерживает Azure AD?
После выбора лицензии Azure AD вы получите доступ ко всем (или некоторым) следующим функциям для своей организации.
| Категория | Описание |
|---|---|
| Управление приложениями | Управление облачными и локальными приложениями с помощью Application Proxy, единого входа, портала «Мои приложения» (также называемого панелью доступа) и приложений SaaS. Дополнительные сведения см. в статье об обеспечении безопасного удаленного доступа к локальным приложениям и документации по управлению приложениями. |
| Аутентификация | Администрирование самостоятельного сброса пароля, многофакторной проверки подлинности, настраиваемого списка запрещенных паролей и смарт-блокировки в Azure Active Directory. Чтобы узнать больше, ознакомьтесь с документацией по аутентификации Azure AD. |
| Azure Active Directory для разработчиков | Создание приложений, которые разрешают вход со всеми удостоверениями Майкрософт, получение маркеров для вызова Microsoft Graph, других API Майкрософт или настраиваемых API. Дополнительные сведения см. в статье Платформа удостоверений Майкрософт (Azure Active Directory для разработчиков). |
| Категория «бизнес — бизнес» (B2B) | Управление гостевыми пользователями и внешними партнерами и сохранение контроля над корпоративными данными. Дополнительные сведения см. в документации по Azure Active Directory B2B. |
| Категория «бизнес — потребитель» (B2C) | Настройка и контроль регистрации и входа пользователей, а также управление их профилями, когда они используют ваши приложения. Дополнительные сведения см. в статье об Azure Active Directory B2C. |
| Условный доступ | Управление доступом к облачным приложениям. Дополнительные сведения см. в документации по условному доступу в Azure AD. |
| Управление устройствами | Управление тем, как облачные и локальные устройства получают доступ к корпоративным данным. Дополнительные сведения см. в статье Документация по управлению устройствами в Azure AD. |
| Доменные службы | Присоединение виртуальных машин Azure к домену без использования контроллеров домена. Дополнительные сведения см. на странице Документация по доменным службам Azure AD. |
| Пользователи Enterprise | Управление назначением лицензий, доступом к приложениям и настройка делегатов с использованием групп и ролей администратора. Дополнительные сведения см. в документации по управлению Azure Active Directory. |
| Гибридное удостоверение | Использование Azure Active Directory Connect и Connect Health для предоставления одного идентификатора пользователя для аутентификации и авторизации во всех ресурсах, независимо от расположения (локально или в облаке). Дополнительные сведения см. в статье Документация по гибридной идентификации. |
| Identity Governance | Управление идентификацией для приложений организации с задействованием сотрудников, бизнес-партнеров, поставщиков, служб и элементов управления доступом к приложениям. Вы также можете выполнять проверки доступа. Дополнительные сведения см. в документации по системе управления идентификацией Azure AD и проверке доступа Azure AD. |
| Защита идентификации | Определение потенциальных уязвимостей, влияющих на удостоверения организации, настройка политик для ответа на подозрительную активность и выполнение соответствующих действий для ее устранения. Дополнительные сведения см. в статье Защита идентификации Azure Active Directory. |
| Управляемые удостоверения для ресурсов Azure | Предоставление службам Azure автоматически управляемого удостоверения в Azure AD, с помощью которого можно пройти аутентификацию в любой поддерживаемой службе Azure AD, в том числе Key Vault. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure. |
| Управление привилегированными пользователями (PIM) | Управление, контроль и мониторинг доступа в организации. Эта возможность включает доступ к ресурсам в Azure AD и Azure, а также к остальным веб-службам Майкрософт, таким как Microsoft 365 или Intune. Дополнительные сведения см. в статье об Azure Active Directory Privileged Identity Management. |
| Отчеты и мониторинг | Получение ценных сведений о безопасности и особенностях использования ресурсов в вашей среде. Дополнительные сведения см. в статье Создание отчетов и мониторинг в Azure Active Directory. |
Терминология
Чтобы лучше понять Azure AD и сопутствующую документацию, мы рекомендуем изучить приведенные ниже термины.
Что такое «Доменные службы Azure Active Directory»?
Доменные службы Azure Active Directory (Azure AD DS) предоставляют управляемые доменные службы, отвечающие за присоединение к домену, применение групповой политики, использование протокола LDAP (упрощенный протокол доступа к каталогам), выполнение аутентификации Kerberos или NTLM. Вы можете использовать эти доменные службы без необходимости развертывать и исправлять контроллеры домена в облаке или управлять ими.
Управляемый домен Azure AD DS позволяет запускать в облаке устаревшие приложения, если они не могут использовать необходимые современные методы проверки подлинности или необходимо избежать постоянного переключения функции поиска в каталогах на локальную среду AD DS. Эти устаревшие приложения можно перенести из локальной среды в управляемый домен, чтобы избавиться от необходимости управлять средой AD DS в облаке.
Azure AD DS интегрируется с существующим клиентом Azure AD. Такая интеграция позволяет пользователям входить в службы и приложения, подключенные к управляемому домену, используя существующие учетные данные. Для безопасного доступа к ресурсам можно также использовать существующие группы и учетные записи пользователей. Эти функции обеспечивают более гладкий перенос lift-and-shift локальных ресурсов в Azure.
Посмотрите наше короткое видео, чтобы узнать больше об Azure AD DS.
Как работает Azure AD DS?
При создании управляемого домена Azure AD DS вы должны определить уникальное пространство имен. Это пространство имен является доменным именем, например aaddscontoso.com. Затем в выбранном регионе Azure развертываются два контроллера домена Windows Server. Такое развертывание контроллеров домена называется набором реплик.
Вам не нужно управлять этими контроллерами домена, а также настраивать или обновлять их. Платформа Azure работает с контроллерами домена как с компонентом управляемого домена, в том числе выполняет резервное копирование и шифрование хранимых данных с помощью Шифрования дисков Azure.
Управляемый домен настроен для выполнения односторонней синхронизации из Azure AD, чтобы предоставлять доступ к централизованному хранилищу данных о пользователях, группах и учетных данных. Вы можете создавать ресурсы непосредственно в управляемом домене, но они не будут синхронизироваться в Azure AD. Приложения, службы и виртуальные машины, которые размещены в Azure и подключаются к управляемому домену, смогут использовать стандартные функции AD DS, такие как присоединение к домену, групповая политика, LDAP и аутентификация Kerberos/NTLM.
В гибридной среде с локальной средой AD DS применяется Azure AD Connect для синхронизации сведений об удостоверениях в Azure AD, которые затем синхронизируются с управляемым доменом.
Azure AD DS реплицирует сведения об удостоверениях из Azure AD, а значит работает с полностью облачными клиентами Azure AD или клиентами, синхронизируемыми с локальной средой AD DS. Набор функций Azure AD DS в обоих средах идентичен.
Вы можете расширить управляемый домен для использования более одного набора реплик в каждом арендаторе Azure AD. Наборы реплик можно добавить к любой пиринговой виртуальной сети в любом регионе Azure, который поддерживает Azure AD DS. Дополнительные наборы реплик в разных регионах Azure предоставляют возможности географического аварийного восстановления для устаревших приложений, если регион Azure становится недоступен. Дополнительные сведения см. в статье Основные понятия и функции наборов реплик для управляемых доменов.
Просмотрите это видео об особенностях интеграции Azure AD DS с приложениями и рабочими нагрузками для создания облачных служб идентификации.
Чтобы увидеть сценарии развертывания Azure AD DS в действии, можно изучить следующие примеры:
Возможности и преимущества Azure AD DS
Чтобы предоставить службы идентификации для приложений и виртуальных машин в облаке, Azure AD DS поддерживает полную совместимость с традиционной средой AD DS для таких операций, как присоединение к домену, использование защищенного протокола LDAP (LDAPS) и групповой политики, управление DNS, а также привязка и чтение LDAP. Поддержка записи LDAP доступна для объектов, созданных в управляемом домене, но не для ресурсов, синхронизируемых с Azure AD.
Следующие функции Azure AD DS упрощают операции развертывания и управления.
Ниже приведены некоторые ключевые аспекты управляемого домена.
В гибридных средах, использующих локальную службу AD DS, вам не нужно управлять репликацией AD в управляемый домен. Расположенные в локальном каталоге учетные записи и учетные данные пользователей, а также сведения о членстве в группах, синхронизируются в Azure AD через Azure AD Connect. Эти учетные записи и учетные данные пользователей, а также сведения о членстве в группах автоматически становятся доступными в управляемом домене.
Дальнейшие действия
Дополнительные сведения о сравнении Azure AD DS с другими решениями для идентификации и о том, как работает синхронизация, см. в следующих статьях:
Что такое управление приложениями в Azure Active Directory?
Управление приложениями в Azure Active Directory (Azure AD) — это процесс создания и настройки приложений, а также управления ими и наблюдения за ними в облаке. Если приложение зарегистрировано в арендаторе Azure AD, пользователи, которым оно назначено, могут получить безопасный доступ к нему. В Azure AD можно зарегистрировать приложения различных типов. Дополнительные сведения см. в статье Типы приложений для платформы удостоверений Майкрософт.
В этой статье объясняются эти важные аспекты управления жизненным циклом приложения:
Разработка, добавление или подключение
В Azure AD предусмотрено несколько способов управления приложениями. Самый простой способ начать управление приложением — использовать предварительно интегрированное приложение из коллекции Azure AD. Вы можете разработать собственное приложение и зарегистрировать его в Azure AD или же можете продолжать использовать локальное приложение.
На следующем изображении показано, как эти приложения взаимодействуют с Azure AD.
Предварительно интегрированные приложения
Многие приложения уже предварительно интегрированы (отображаются как «облачные приложения» на приведенном выше изображении) и их можно настроить, приложив минимум усилий. Для каждого приложения в коллекции Azure AD доступна статья, в которой показаны шаги, необходимые для настройки приложения. Простой пример того, как приложение можно добавить в арендатор Azure AD из коллекции, см. в статье Краткое руководство. Добавление корпоративного приложения в Azure Active Directory.
Собственные приложения
Если вы разрабатываете собственное бизнес-приложение, вы можете зарегистрировать его в Azure AD, чтобы воспользоваться преимуществами функций безопасности, предоставляемых арендатором. Вы можете зарегистрировать свое приложение в разделе Регистрация приложений либо зарегистрировать его, используя ссылку Создайте собственное приложение при добавлении нового приложения на странице Корпоративные приложения. Рассмотрите способ реализации проверки подлинности в приложении для интеграции с Azure AD.
Если вы хотите сделать приложение доступным в коллекции, можно отправить запрос на его добавление.
Локальные приложения.
Если вы хотите продолжить использовать локальное приложение, но воспользоваться преимуществами Azure AD, подключите его к Azure AD с помощью Azure AD Application Proxy. Application Proxy можно реализовать, если требуется опубликовать локальные приложения во внешнем ресурсе. В этом случае удаленные пользователи, которым требуется доступ к внутренним приложениям, смогут получить к ним безопасный доступ.
Управление доступом
Для управления доступом к приложению необходимо ответить на следующие вопросы:
Доступ и согласие
Вы можете управлять параметрами предоставления согласия пользователя, чтобы выбрать, могут ли пользователи разрешить приложению или службе доступ к профилям пользователей и данным организации. Когда приложениям предоставляется доступ, пользователи могут входить в приложения, интегрированные с Azure AD, и приложение может получить доступ к данным вашей организации, чтобы обеспечить широкие возможности взаимодействия на основе данных.
Пользователям часто не удается предоставить согласие на разрешения, запрашиваемые приложением. Настройте рабочий процесс для предоставления согласия администратора, чтобы разрешить пользователям предоставлять обоснование, а также запросить проверку и утверждение приложения администратором.
Как администратор, вы можете предоставить приложению согласие администратора на уровне арендатора. Разрешение администратора на уровне клиента необходимо, если приложению требуются разрешения, которые обычные пользователи не могут предоставить и позволяют организациям реализовывать собственные процессы проверки. Внимательно проверяйте разрешения, запрашиваемые приложением, прежде чем предоставлять согласие. Как только приложению будет предоставлено согласие администратора на уровне арендатора, все пользователи смогут войти в приложение, если только оно не было настроено так, чтобы требовать назначения пользователя.
Единый вход
Рассмотрите возможность реализации единого входа в вашем приложении. Большинство приложений можно настроить для единого входа вручную. Наиболее популярные параметры в Azure AD — единый вход на основе SAML и единый вход на основе OpenID Connect. Прежде чем начать, внимательно изучите требования для единого входа и планирование развертывания. Простой пример настройки единого входа на основе SAML для корпоративного приложения в арендаторе Azure AD см. в статье Краткое руководство. Включение единого входа для корпоративного приложения в Azure Active Directory.
Назначение пользователей, групп и владельцев
По умолчанию все пользователи могут получать доступ к корпоративным приложениям без назначения. Однако если вы хотите назначить приложение набору пользователей, для приложения требуется назначение пользователей. Простой пример создания и назначения учетной записи пользователя для приложения см. в статье Краткое руководство по созданию и назначению учетной записи пользователя в Azure Active Directory.
Если эта функция входит в вашу подписку, назначьте приложению группы, чтобы можно было делегировать текущее управление доступом владельцу группы.
Назначение владельцев позволяет легко предоставлять возможность управления всеми аспектами конфигурации Azure AD для приложения. В роли владельца пользователь может управлять конфигурацией приложения, зависящей от организации приложения.
Автоматизация подготовки
Подготовка приложений означает автоматическое создание удостоверений и ролей пользователя в приложениях, к которым пользователям нужно получить доступ. Кроме создания удостоверений пользователей, автоматическая подготовка включает в себя обслуживание и удаление удостоверений пользователей по мере изменения их статуса или ролей.
Поставщики удостоверений
У вас есть поставщик удостоверений, с которым Azure AD будет взаимодействовать? Обнаружение домашней области предоставляет конфигурацию, позволяющую Azure AD определить, с помощью какого поставщика удостоверений пользователю необходимо пройти проверку подлинности при входе в систему.
Порталы пользователей
Azure AD предоставляет настраиваемые способы для развертывания приложений пользователям в организации. Например, «Мои приложения» или средство запуска приложения Microsoft 365. Портал «Мои приложения» предоставляет пользователям единое место для начала работы и поиска всех приложений, к которым у них есть доступ. Как администратору приложения, вам необходимо спланировать использование портала «Мои приложения» пользователями в вашей организации.
Настройка свойств
При добавлении приложения в арендатор Azure AD вы можете настроить свойства, влияющие на способ входа пользователей в систему. Можно включить или отключить возможность входа в систему, а также может потребовать назначение пользователей. Можно также определить видимость приложения, логотип, представляющий приложение, и любые заметки о приложении.
Защита приложения
Предусмотрено несколько способов обеспечения безопасности корпоративных приложений. Например, можно ограничить доступ арендатора, управлять видимостью, данными и аналитикой, а также, возможно, предоставить гибридный доступ. Обеспечение безопасности ваших корпоративных приложений также включает в себя управление конфигурацией разрешений, MFA, условного доступа, маркеров и сертификатов.
Разрешения
Важно периодически проверять разрешения, предоставленные приложению или службе, и при необходимости управлять ими. Убедитесь, что вы разрешаете только соответствующий доступ к приложениям, регулярно оценивая наличие подозрительных действий.
Классификация разрешений позволяет определить влияние различных разрешений в соответствии с политиками и оценками рисков вашей организации. Например, можно использовать классификацию разрешений в политиках согласия, чтобы определить набор разрешений, на которые пользователи могут предоставлять согласие.
Многофакторная проверка подлинности и условный доступ
Azure AD MFA позволяет защитить доступ к данным и приложениям, обеспечивая дополнительный уровень безопасности с помощью второго метода проверки подлинности. Существует множество методов, которые можно использовать для добавления второго уровня проверки подлинности. Прежде чем начать, запланируйте развертывание MFA для вашего приложения в вашей организации.
Организации могут включить MFA с условным доступом, чтобы решение соответствовало их нуждам. Политики условного доступа позволяют администраторам назначать элементы управления конкретным приложениям, действиям или контексту проверки подлинности.
Токены и сертификаты
В потоке проверки подлинности в Azure AD используются различные типы маркеров безопасности в зависимости от используемого протокола. Например, токены SAML используются для протокола SAML, а токены идентификации и маркеры доступа используются для протокола OpenID Connect. Токены подписываются с помощью уникального сертификата, который создается в Azure AD, а также определенных стандартных алгоритмов.
Вы можете повысить уровень безопасности, шифруя токен. Можно также управлять сведениями в токене, включая роли, разрешенные для приложения.
Azure AD по умолчанию использует алгоритм SHA-256 для подписания ответа SAML. Используйте SHA-256, если приложению не требуется SHA-1. Установите процесс управления жизненным циклом сертификата. Максимальное время существования сертификата для подписи составляет три года. Чтобы предотвратить или свести к минимуму сбои из-за окончания срока действия сертификата, используйте роли и списки рассылки электронной почты, чтобы обеспечить тщательное отслеживание уведомлений об изменениях, связанных с сертификатами.
Управление и мониторинг
Управление правами в Azure AD позволяет управлять взаимодействием между приложениями и администраторами, владельцами каталогов, диспетчерами пакетов для доступа, утверждающими и запросившими сторонами.
Решение для создания отчетов и мониторинга Azure AD зависит от действующих требований законодательства, безопасности и эксплуатации, а также от имеющихся окружений и процессов. В Azure AD есть несколько журналов, и вам следует спланировать развертывание отчетов и мониторинга, чтобы обеспечить оптимальную работу приложения.
Очистка
Вы можете очистить доступ к приложениям. Например, удаление доступа пользователя. Можно также отключить способ входа пользователя. И, наконец, можно удалить приложение, если оно больше не требуется для организации. Простой пример удаления корпоративного приложения из арендатора Azure AD см. в статье Краткое руководство. Удаление корпоративного приложения в Azure Active Directory.
