Microsoft Entra ID：为什么它不仅仅是一个目录

经典目录等等

Active Directory 是一个纯粹而简单的目录，深深植根于原始的基于 X.500 的 Exchange Server 目录存储。那些从本地部署转向云（无论是纯配置还是混合配置）的人通常会对 Entra ID (Azure Active Directory) 在 Microsoft 365 生态系统中发挥的扩展作用感到惊讶。本文讨论为什么 Entra ID 不仅仅是一个经典目录。相反，它是 Microsoft 365 的基石。

目录基础知识

首先，重要的是要承认 Entra ID 可以执行您期望目录服务发挥的所有作用。微软表示，“Entra ID 是一种基于云的身份和访问管理服务。”本质上，Entra ID 保存着用户帐户（图 1）、组、设备和应用程序的详细信息。它响应身份验证请求并颁发必要的权限（OAuth2 令牌）以允许应用程序访问数据。 Entra ID 有一个备份身份验证服务，如果其主要服务由于某种原因不可用，它可以继续为身份验证请求提供服务。

图 1：Entra ID 用户管理

所有这一切都是大规模发生的。 2023 年 7 月，微软表示 Microsoft Entra ID 月活跃用户为 6.1 亿。大约 4 亿（即三分之二）的 Entra ID 用户来自 Microsoft 365 租户。换句话说，所有 Entra ID 使用量的三分之一来自非 Microsoft 365 来源，例如 Workday 和 ServiceNow。

云服务的特点是，它的消费者不需要了解有关其物理基础设施的任何信息。微软在世界各地运营数据中心。其 Microsoft 365 数据中心托管 Entra ID，它使用称为“核心存储”的概念来组织租户数据的存储。核心商店由“规模单元”组成，每个规模单元包含多个租户。每个租户都有一个唯一的安全令牌，用于访问租户数据。比例单位分配给 Azure 地理位置（例如美国）。为了确保数据弹性，数据会被复制到同一地理位置内至少两个 Azure 区域的物理数据中心。请观看此视频，了解有关核心商店如何工作的更多信息。

为了满足跨国组织的需求，Microsoft 365 支持由主租户和卫星租户组成的多地理位置组织。最近的另一项创新是多租户组织的预览。这是 Entra ID 跨租户访问策略和 Microsoft 365 功能的组合，允许最多五个租户组合成一个虚拟组织。这是一种识别租户比一般租户更值得信赖的方法。当租户更值得信赖时，Teams 等 Microsoft 365 应用程序可以允许这些租户的用户进行更大程度的访问。

身份验证形态的变化

用户和应用程序针对租户实例进行身份验证，无需了解服务器、域、林或其他任何内容。身份验证所需的只是用户主体名称（用户帐户）或应用程序注册。近年来，Microsoft 大力提高安全性并防止 Entra ID 用户帐户受到损害，方法是尽可能删除基本身份验证，并强制执行多重身份验证 (MFA) 来阻止密码喷洒攻击。首选的身份验证方法已经不再是基于短信的传统质询响应，而是包括 Microsoft Authenticator 应用程序、Outlook 移动版（现在包括“Authenticator Lite”功能）和 FIDO2 密钥。

由于微软负责运行 Entra ID 服务，因此它可以通过逐步提高连接所需的安全级别来促使客户改变他们的工作习惯。例如，Microsoft 对租户实施安全默认设置，强制客户使用可用的最强身份验证方法，并且当前正在开展注册活动以说服用户将其 MFA 方法升级到 Authenticator 应用程序。

平台差异

所有 Microsoft 365 租户都使用 Entra ID 的基本版本作为其目录。通过附加许可证或 Microsoft 365 E5 等更高级别的产品，租户可以使用两个级别的高级功能。例如，一些常用的 Entra ID Premium 功能有：

• 条件访问策略：对入站连接进行控制，以确保连接在尝试访问应用时使用正确级别的身份验证强度、来自正确的位置或使用经批准的设备。条件访问很容易变得混乱，但这些策略是保护许多 Microsoft 365 租户的重要组成部分。
• 组过期策略：使用 Microsoft Graph 收集的信号来检测 Microsoft 365 组何时未被使用且可以删除。如有必要，群组所有者和管理员有机会续订群组。
• 访问审核：管理员可以安排定期审核群组成员身份，以确保合适的人员可以通过群组访问信息。
• 特权身份管理：PIM 是 Entra Identity Governance 解决方案的一部分，允许组织对许可角色进行严格控制，以确保人们保留对自己角色的访问权限，从而不会导致“特权蔓延”。不再需要了。

关键是 Entra ID 不仅仅涉及基本的目录管理和身份验证。 Entra ID 提供的大部分价值来自 Microsoft 在该平台之上构建的功能。当然，您必须支付额外费用才能访问该功能，但在大多数情况下，购买 Entra ID Premium 许可证比尝试自己构建同类功能更经济、更方便。可以构建代码来使过时的组过期或使用 PowerShell 和 Graph API 请求处理访问审查。您甚至可以自动化 Microsoft 忽略的目录管理的其他方面，例如清除未使用的来宾帐户。然而，在购买现成软件的许可证费用与开发和维护定制代码的持续成本之间始终需要权衡。

许可证管理

说到付费软件，云中的一个很大区别是 Entra ID 用户帐户需要许可证才能访问应用程序。这些许可证需要支付每月费用，其中一些费用可能很高。许可证管理是任何 Microsoft 365 租户都需要关注的一个重要领域。您不想向 Microsoft 支付超出向活跃用户提供服务所需费用的费用。

软件供应商将很乐意提供许可证管理软件。然而，如果您花时间学习 Microsoft 许可的工作原理（黑暗艺术）以及如何从用户帐户检索和分析许可证数据，那么这个领域相当容易实现自动化。基于组的许可等技术可帮助组织自动分配许可证，而 Microsoft Graph PowerShell SDK 包含密切关注许可证分配所需的所有 cmdlet，而无需购买任何第三方软件。

进行转变

有时，运行 Active Directory 本地部署的人们会想知道当他们的组织迁移到云时他们的未来。他们有工作要做吗？他们的工作还会继续吗？他们最终会做什么？

我的观点是，如果你处于这种情况，那么找到工作就不会有问题。弄清楚过渡后事情就开始了，随后信息从 Active Directory 持续同步到 Entra ID。这可能是一条单行道，或者 Active Directory 可能仍将是记录目录。无论哪种方式，都需要做一些工作来确保一切顺利进行，并且栅栏两边的用户都可以平等地访问目录。

一旦你完成了转变，就会有更多的机会。 Active Directory 管理员的工作通常涉及许多棘手（且极其重要）的活动，例如服务器管理。这会在云端消失，从而腾出时间来探索组织利用 Entra ID 平台的可能性。这是一件好事，因为管理员从支持人员转变为领导者，进入增强安全性等领域，以保护租户和机密信息（例如使用身份验证上下文来标记敏感的 SharePoint Online 网站）。如上所述，管理 Microsoft 365 租户内的许可证使用成本是证明拥有熟练管理人员的优势的好方法。简而言之，你不会缺少工作。

Entra ID是一个平台

将 Entra ID 等同于基于云的 Active Directory 版本实在是愚蠢至极。 Entra ID 比 Active Directory 过去和将来更像是一个平台。但那很好。这两种产品服务于不同的目的和不同的计算形式。重要的是不断了解 Entra ID 的不同方面，以便您的组织可以利用出现的新特性和功能。根据过去几年的经验，这项工作将持续不断。祝你好运！