Vysvětlení ID Microsoft Entra

Prozkoumání ID Microsoft Entra

Studenti by měli být obeznámeni se službami Doména služby Active Directory Services (AD DS nebo tradičně označované jako "Active Directory"). SLUŽBA AD DS je adresářová služba, která poskytuje metody pro ukládání dat adresáře, jako jsou uživatelské účty a hesla, a tato data zpřístupňuje síťovým uživatelům, správcům a dalším zařízením a službám. Běží jako služba na Windows Serveru, která se označuje jako řadič domény.

Microsoft Entra ID je součástí nabídky PaaS (platforma jako služba) a funguje jako adresářová služba spravovaná Microsoftem v cloudu. Nejedná se o součást základní infrastruktury, kterou vlastní a spravuje zákazníci, ani se nejedná o infrastrukturu jako nabídku služeb. I když to znamená, že máte menší kontrolu nad jeho implementací, znamená to také, že nemusíte vyhradit prostředky na jeho nasazení nebo údržbu.

S ID Microsoft Entra máte také přístup k sadě funkcí, které nejsou nativně dostupné ve službě AD DS, jako je podpora vícefaktorového ověřování, ochrany identit a samoobslužného resetování hesla.

Microsoft Entra ID můžete použít k zajištění bezpečnějšího přístupu ke cloudovým prostředkům pro organizace a jednotlivce:

  • Konfigurace přístupu k aplikacím
  • Konfigurace jednotného přihlašování (SSO) ke cloudovým aplikacím SaaS
  • Správa uživatelů a skupin
  • Zřizování uživatelů
  • Povolení federace mezi organizacemi
  • Poskytování řešení pro správu identit
  • Identifikace nepravidelné přihlašovací aktivity
  • Konfigurace vícefaktorového ověřování
  • Rozšíření stávajících implementací místní Active Directory na Microsoft Entra ID
  • Konfigurace proxy aplikací pro cloudové a místní aplikace
  • Konfigurace podmíněného přístupu pro uživatele a zařízení

Diagram znázorňující stack Microsoft Entra Connect

Microsoft Entra představuje samostatnou službu Azure. Její nejzákladnější forma, kterou jakékoli nové předplatné Azure zahrnuje automaticky, neúčtují žádné další náklady a označují se jako úroveň Free. Pokud se přihlásíte k odběru všech podnikových služeb Microsoft Online (například Microsoft 365 nebo Microsoft Intune), automaticky získáte ID Microsoft Entra s přístupem ke všem funkcím Free.

 Poznámka

Když ve výchozím nastavení vytvoříte nové předplatné Azure pomocí účtu Microsoft, předplatné automaticky zahrne nového tenanta Microsoft Entra s názvem Výchozí adresář.

Některé pokročilejší funkce správy identit vyžadují placené verze Microsoft Entra ID, které jsou nabízeny ve formě úrovní Basic a Premium. Některé z těchto funkcí se také automaticky zahrnou do instancí Microsoft Entra generovaných jako součást předplatných Microsoftu 365. Rozdíly mezi verzemi Microsoft Entra jsou popsány dále v tomto modulu.

Implementace Microsoft Entra ID není stejná jako nasazení virtuálních počítačů v Azure, přidání služby AD DS a následné nasazení některých řadičů domény pro novou doménovou strukturu a doménu. Microsoft Entra ID je jiná služba, mnohem více zaměřená na poskytování služeb správy identit webovým aplikacím, na rozdíl od SLUŽBY AD DS, která se zaměřuje spíše na místní aplikace.

Tenanti Microsoft Entra

Na rozdíl od služby AD DS je Microsoft Entra ID více tenantů návrhem a implementuje se speciálně pro zajištění izolace mezi instancemi jednotlivých adresářů. Jedná se o největší adresář s více tenanty na světě, který hostuje více než milion instancí adresářových služeb s miliardami žádostí o ověření za týden. Termín tenant v tomto kontextu obvykle představuje společnost nebo organizaci, která si zaregistrovala předplatné cloudové služby Microsoftu, jako je Microsoft 365, Intune nebo Azure. Každá z nich používá ID Microsoft Entra. Z technického hlediska však tenant termínu představuje jednotlivou instanci Microsoft Entra. V rámci předplatného Azure můžete vytvořit více tenantů Microsoft Entra. Pokud chcete otestovat funkce Microsoft Entra v jednom tenantovi, aniž by to mělo vliv na ostatní, může být vhodné mít více tenantů Microsoft Entra.

V každém okamžiku musí být předplatné Azure přidružené k jednomu a pouze jednomu tenantovi Microsoft Entra. Toto přidružení umožňuje udělit oprávnění k prostředkům v předplatném Azure (prostřednictvím RBAC) uživatelům, skupinám a aplikacím, které existují v konkrétním tenantovi Microsoft Entra.

 Poznámka

Stejného tenanta Microsoft Entra můžete přidružit k několika předplatným Azure. Díky tomu můžete ke správě prostředků napříč několika předplatnými Azure používat stejné uživatele, skupiny a aplikace.

Každému tenantovi Microsoft Entra je přiřazen výchozí název domény DNS (Domain Name System), který se skládá z jedinečné předpony. Za předponou odvozenou z názvu účtu Microsoft, který používáte k vytvoření předplatného Azure nebo explicitně při vytváření tenanta Microsoft Entra, následuje přípona onmicrosoft.com . Přidání aspoň jednoho vlastního názvu domény do stejného tenanta Microsoft Entra je možné a běžné. Tento název využívá obor názvů domény DNS, který vlastní odpovídající společnost nebo organizace. Tenant Microsoft Entra slouží jako hranice zabezpečení a kontejner pro objekty Microsoft Entra, jako jsou uživatelé, skupiny a aplikace. Jeden tenant Microsoft Entra může podporovat více předplatných Azure.

Schéma Microsoft Entra

Schéma Microsoft Entra obsahuje méně typů objektů než služba AD DS. Nejvýrazněji nezahrnuje definici třídy počítače, i když zahrnuje třídu zařízení. Proces připojování zařízení k Microsoft Entra se výrazně liší od procesu připojování počítačů ke službě AD DS. Schéma Microsoft Entra je také snadno rozšiřitelné a jeho rozšíření jsou plně reverzibilní.

Nedostatek podpory pro tradiční členství v doméně počítače znamená, že nemůžete použít Microsoft Entra ID ke správě počítačů nebo uživatelských nastavení pomocí tradičních technik správy, jako jsou objekty zásad skupiny (GPO). Místo toho Microsoft Entra ID a jeho služby definují koncept moderní správy. Primární síla Microsoft Entra ID spočívá v poskytování adresářových služeb; ukládání a publikování dat uživatelů, zařízení a aplikací; a zpracovává ověřování a autorizaci uživatelů, zařízení a aplikací. Efektivita a efektivita těchto funkcí je zjevná na základě stávajících nasazení cloudových služeb, jako je Microsoft 365, které jako svého zprostředkovatele identity spoléhají na Microsoft Entra ID a podporují miliony uživatelů.

Microsoft Entra ID nezahrnuje třídu organizační jednotky (OU), což znamená, že jeho objekty nemůžete uspořádat do hierarchie vlastních kontejnerů, která se často používá v místních nasazeních služby AD DS. Nejedná se ale o významné zkrácení, protože organizační jednotky ve službě AD DS se používají hlavně pro určení rozsahu a delegování zásad skupiny. Ekvivalentní uspořádání můžete provést uspořádáním objektů na základě jejich členství ve skupině.

Objekty třídy Application a servicePrincipal představují aplikace v Microsoft Entra ID. Objekt ve třídě Application obsahuje definici aplikace a objekt ve třídě servicePrincipal představuje jeho instanci v aktuálním tenantovi Microsoft Entra. Oddělení těchto dvou sad charakteristik umožňuje definovat aplikaci v jednom tenantovi a používat ji v několika tenantech vytvořením instančního objektu pro tuto aplikaci v každém tenantovi. Microsoft Entra ID vytvoří instanční objekt při registraci odpovídající aplikace v daném tenantovi Microsoft Entra.

Porovnání ID Microsoft Entra a služeb Doména služby Active Directory

Id Microsoft Entra můžete zobrazit jednoduše jako cloudový protějšek služby AD DS; i když microsoft Entra ID a AD DS sdílejí některé společné charakteristiky, mezi nimi je několik významných rozdílů.

Charakteristiky služby AD DS

Služba AD DS je tradiční nasazení služby Active Directory založené na Systému Windows Server na fyzickém nebo virtuálním serveru. Přestože se služba AD DS běžně považuje za adresářovou službu, je to pouze jedna součást sady technologií služby Windows Active Directory, která zahrnuje také službu AD CS (Active Directory Certificate Services), službu AD LDS (Active Directory Lightweight Directory Services), Active Directory Federation Services (AD FS) (AD FS) a služba AD RMS (Active Directory Rights Management Services) (AD RMS).

Při porovnávání služby AD DS s Microsoft Entra ID je důležité si uvědomit následující charakteristiky služby AD DS:

  • AD DS je skutečná adresářová služba s hierarchickou strukturou založenou na X.500.
  • Služba AD DS používá k vyhledání prostředků, jako jsou řadiče domény, systém DNS (Domain Name System).
  • Službu AD DS můžete dotazovat a spravovat pomocí volání protokolu LDAP (Lightweight Directory Access Protocol).
  • Služba AD DS primárně používá k ověřování protokol Kerberos.
  • Služba AD DS používá pro správu organizační jednotky a objekty zásad skupiny.
  • Služba AD DS obsahuje počítačové objekty, které představují počítače, které se připojují k doméně služby Active Directory.
  • Služba AD DS používá vztahy důvěryhodnosti mezi doménami pro delegovanou správu.

Službu AD DS můžete nasadit na virtuální počítač Azure, abyste umožnili škálovatelnost a dostupnost pro místní službu AD DS. Nasazení služby AD DS na virtuální počítač Azure ale nevyužívá ID Microsoft Entra.

 Poznámka

Nasazení služby AD DS na virtuálním počítači Azure vyžaduje jeden nebo více datových disků Azure navíc, protože pro úložiště AD DS byste neměli používat jednotku C. Tyto disky jsou potřeba k uložení databáze, protokolů a složky sysvol služby AD DS. Nastavení Předvolby mezipaměti hostitele pro tyto disky musí být nastaveno na Hodnotu Žádné.

Charakteristiky ID Microsoft Entra

I když id Microsoft Entra má mnoho podobností se službou AD DS, existuje také mnoho rozdílů. Je důležité si uvědomit, že použití Microsoft Entra není stejné jako nasazení řadiče domény Active Directory na virtuální počítač Azure a jeho přidání do místní domény.

Při porovnávání MICROSOFT Entra ID se službou AD DS je důležité si uvědomit následující charakteristiky Microsoft Entra ID:

  • Microsoft Entra ID je primárně řešení identit a je určené pro internetové aplikace pomocí komunikace HTTP (port 80) a HTTPS (port 443).
  • Microsoft Entra ID je adresářová služba s více tenanty.
  • Uživatelé a skupiny Microsoft Entra se vytvářejí v ploché struktuře a neexistují žádné organizační jednotky ani objekty zásad skupiny.
  • Nemůžete se dotazovat na MICROSOFT Entra ID pomocí PROTOKOLU LDAP; Místo toho Microsoft Entra ID používá rozhraní REST API přes HTTP a HTTPS.
  • Microsoft Entra ID nepoužívá ověřování Kerberos; místo toho k ověřování používá protokoly HTTP a HTTPS, jako jsou SAML, WS-Federation a OpenID Connect, a k autorizaci používá OAuth.
  • Id Microsoft Entra zahrnuje federační služby a mnoho služeb třetích stran, jako je Facebook, jsou federované a důvěřují Microsoft Entra ID.

 

Prozkoumání ID Microsoft Entra jako adresářové služby pro cloudové aplikace

Když nasadíte cloudové služby, jako je Microsoft 365 nebo Intune, musíte mít v cloudu také adresářové služby, abyste těmto službám poskytli ověřování a autorizaci. Z tohoto důvodu každá cloudová služba, která potřebuje ověřování, vytvoří vlastního tenanta Microsoft Entra. Pokud jedna organizace používá více než jednu cloudovou službu, je pro tyto cloudové služby mnohem pohodlnější používat jeden cloudový adresář místo toho, aby pro každou službu používaly samostatné adresáře.

Teď je možné mít jednu službu identit, která pokrývá všechny cloudové služby Microsoftu, jako jsou Microsoft 365, Azure, Microsoft Dynamics 365 a Intune. Microsoft Entra ID poskytuje vývojářům centralizované ověřování a autorizaci pro aplikace v Azure pomocí jiných zprostředkovatelů identity nebo místní služby AD DS. Microsoft Entra ID může uživatelům poskytnout jednotné přihlašování při používání aplikací, jako jsou Facebook, Služby Google, Yahoo nebo Cloudové služby Microsoftu.

Proces implementace podpory Microsoft Entra ID pro vlastní aplikace je poměrně složitý a nad rámec tohoto kurzu. Azure Portal a Microsoft Visual Studio 2013 a novější však usnadňují proces konfigurace takové podpory.

Konkrétně můžete povolit ověřování Microsoft Entra pro funkci Web Apps služby Aplikace Azure Service přímo z okna Ověřování/autorizace na webu Azure Portal. Zadáním tenanta Microsoft Entra můžete zajistit, aby k webu měli přístup jenom uživatelé s účty v daném adresáři. U jednotlivých slotů nasazení je možné použít různá nastavení ověřování.

Další informace najdete v tématu Konfigurace aplikace App Service tak, aby používala přihlášení Microsoft Entra.

Porovnání plánů Microsoft Entra ID P1 a P2

Úroveň Microsoft Entra ID P1 nebo P2 poskytuje další funkce v porovnání s edicemi Free a Office 365. Prémiové verze však vyžadují dodatečné náklady na poskytování přístupu uživatelům. Microsoft Entra ID P1 nebo P2 se dodává ve dvou verzích P1 a P2. Můžete si ji opatrovat jako dodatečnou licenci nebo jako součást služby Microsoft Enterprise Mobility + Security, která zahrnuje také licenci pro Azure Information Protection a Intune.

Společnost Microsoft poskytuje bezplatnou zkušební dobu, kterou lze použít k vyzkoušení plné funkčnosti edice Microsoft Entra ID P2. V edici Microsoft Entra ID P1 jsou k dispozici následující funkce:

  • Samoobslužná správa skupin Zjednodušuje správu skupin, ve kterých mají uživatelé udělená práva k vytváření a správě skupin. Koncoví uživatelé můžou vytvářet žádosti o připojení k jiným skupinám a vlastníci skupin můžou žádosti schválit a udržovat jejich členství ve skupinách.
  • Pokročilé sestavy zabezpečení a bezpečnostní výstrahy Přístup ke cloudovým aplikacím můžete monitorovat a chránit zobrazením podrobných protokolů, které zobrazují pokročilé anomálie a nekonzistentní sestavy vzorů přístupu. Pokročilé sestavy jsou založené na strojovém učení a můžou vám pomoct získat nové přehledy, které zlepšují zabezpečení přístupu a reagují na potenciální hrozby.
  • Vícefaktorové ověřování Úplné vícefaktorové ověřování (MFA) funguje s místními aplikacemi (s využitím virtuální privátní sítě [VPN], RADIUS a dalších), Azure, Microsoft 365, Dynamics 365 a aplikací galerie Microsoft Entra třetích stran. Nefunguje s aplikacemi mimo prohlížeč, jako je Microsoft Outlook. Úplné vícefaktorové ověřování je podrobněji popsáno v následujících lekcích v této lekci.
  • Licencování Microsoft Identity Manageru (MIM). MIM se integruje s Microsoft Entra ID P1 nebo P2 a poskytuje hybridní řešení identit. MIM může propojit několik místních úložišť ověřování, jako jsou AD DS, LDAP, Oracle a další aplikace, s Microsoft Entra ID. To poskytuje konzistentní prostředí pro místní obchodní aplikace a řešení SaaS.
  • Dohoda o úrovni poskytovaných služeb podniku 99,9 %. Zaručujete alespoň 99,9% dostupnost služby Microsoft Entra ID P1 nebo P2. Stejná smlouva SLA platí pro Microsoft Entra Basic.
  • Resetování hesla se zpětným zápisem Samoobslužné resetování hesla se řídí místními zásadami hesel služby Active Directory.
  • Funkce Cloud App Discovery pro Microsoft Entra ID Tato funkce zjišťuje nejčastěji používané cloudové aplikace.
  • Podmíněný přístup založený na zařízení, skupině nebo umístění. To vám umožní nakonfigurovat podmíněný přístup pro důležité prostředky na základě několika kritérií.
  • Microsoft Entra Connect Health. Tento nástroj můžete použít k získání provozního přehledu o ID Microsoft Entra. Funguje s upozorněními, čítači výkonu, vzory využití a nastavením konfigurace a zobrazuje shromážděné informace na portálu Microsoft Entra Connect Health.

Kromě těchto funkcí poskytuje licence Microsoft Entra ID P2 další funkce:

  • Microsoft Entra ID Protection. Tato funkce poskytuje vylepšené funkce pro monitorování a ochranu uživatelských účtů. Můžete definovat zásady rizik uživatelů a zásady přihlašování. Kromě toho můžete zkontrolovat chování uživatelů a označit uživatele jako rizikové.
  • Microsoft Entra Privileged Identity Management. Tato funkce umožňuje konfigurovat další úrovně zabezpečení pro privilegované uživatele, jako jsou správci. Pomocí Privileged Identity Management definujete trvalé a dočasné správce. Definujete také pracovní postup zásad, který se aktivuje vždy, když někdo chce k provedení nějaké úlohy použít oprávnění správce.

 Poznámka

Plány se často mění. Aktuální plány a možnosti najdete na webu Microsoftu.

Prozkoumání služby Microsoft Entra Domain Services

Ve většině dnešních organizací se obchodní aplikace (LOB) nasazují na počítače a zařízení, která jsou členy domény. Tyto organizace používají k ověřování přihlašovací údaje založené na službě AD DS, které jsou spravovány zásadami skupiny. Při zvažování přesunu těchto aplikací do Azure je jedním z klíčových problémů způsob poskytování ověřovacích služeb těmto aplikacím. Abyste tuto potřebu splnili, můžete se rozhodnout implementovat virtuální privátní síť (VPN) typu site-to-site mezi místní infrastrukturou a Azure IaaS nebo můžete nasadit řadiče domény repliky z místní služby AD DS jako virtuální počítače v Azure. Tyto přístupy mohou zahrnovat další náklady a administrativní úsilí. Kromě toho rozdíl mezi těmito dvěma přístupy spočívá v tom, že při první možnosti provoz ověřování projde síť VPN, zatímco při druhé možnosti provoz replikace projde síť VPN a ověřovací provoz zůstane v cloudu.

Microsoft poskytuje microsoft Entra Domain Services jako alternativu k těmto přístupům. Tato služba, která běží jako součást vrstvy Microsoft Entra ID P1 nebo P2, poskytuje doménové služby, jako je správa zásad skupiny, připojení k doméně a ověřování Kerberos pro vašeho tenanta Microsoft Entra. Tyto služby jsou plně kompatibilní s místně nasazenou službou AD DS, takže je můžete používat bez nasazení a správy dalších řadičů domény v cloudu.

Diagram znázorňující přehled služeb Microsoft Entra Domain Services

Vzhledem k tomu, že se Microsoft Entra ID může integrovat s místní službou AD DS, mohou uživatelé při implementaci služby Microsoft Entra Connect využívat přihlašovací údaje organizace v místní službě AD DS i ve službě Microsoft Entra Domain Services. I když nemáte službu AD DS nasazenou místně, můžete použít službu Microsoft Entra Domain Services jako cloudovou službu. To vám umožní mít podobné funkce místně nasazené služby AD DS, aniž byste museli nasazovat jeden řadič domény místně nebo v cloudu. Organizace může například vytvořit tenanta Microsoft Entra a povolit službu Microsoft Entra Domain Services a pak nasadit virtuální síť mezi místními prostředky a tenantem Microsoft Entra. Pro tuto virtuální síť můžete povolit službu Microsoft Entra Domain Services, aby všichni místní uživatelé a služby mohli používat doménové služby z ID Microsoft Entra.

Microsoft Entra Domain Services poskytuje organizacím několik výhod, například:

  • Správci nemusí spravovat, aktualizovat a monitorovat řadiče domény.
  • Správci nemusí nasazovat a spravovat replikaci služby Active Directory.
  • Pro domény, které spravuje ID Microsoft Entra, není nutné mít skupiny Domain Admins ani Enterprise Admins.

Pokud se rozhodnete implementovat službu Microsoft Entra Domain Services, musíte vědět o aktuálních omezeních služby. Tady jsou některé z nich:

  • Podporuje se pouze objekt služby Active Directory základního počítače.
  • Schéma pro doménu služby Microsoft Entra Domain Services není možné rozšířit.
  • Struktura organizační jednotky (OU) je plochá a vnořené organizační jednotky se v současné době nepodporují.
  • Existuje integrovaný objekt zásad skupiny (GPO) a existuje pro účty počítačů a uživatelů.
  • Není možné cílit na organizační jednotky s předdefinovanými zásadami skupiny. Kromě toho nemůžete použít filtry windows Management Instrumentation ani filtrování skupin zabezpečení.

Pomocí služby Microsoft Entra Domain Services můžete volně migrovat aplikace, které používají protokoly LDAP, NTLM nebo Kerberos z místní infrastruktury do cloudu. Můžete také použít aplikace, jako je Microsoft SQL Server nebo Microsoft SharePoint Server na virtuálních počítačích, nebo je nasadit v Azure IaaS, aniž byste potřebovali řadiče domény v cloudu nebo VPN k místní infrastruktuře.

Službu Microsoft Entra Domain Services můžete povolit pomocí webu Azure Portal. Tato služba se účtuje za hodinu na základě velikosti adresáře.