Azure Active Directory是什么?给IT管理员的介绍 – wiki基地

作者: /

Azure Active Directory (Azure AD) 深度解析:IT管理员的终极指南

在当今以云为先、移动优先的世界中,身份和访问管理 (IAM) 已成为任何组织IT基础设施的基石。对于IT管理员而言,确保用户能够安全、无缝地访问所需的资源,同时保护组织免受日益增长的安全威胁,是一项至关重要的任务。在这一领域,微软的Azure Active Directory (Azure AD) 已成为行业领先的云身份和访问管理服务。

本文旨在为IT管理员提供一份关于Azure AD的全面、深入的介绍,涵盖其核心概念、关键功能、优势以及它与传统Active Directory的区别,帮助您更好地理解和利用这项强大的技术。

一、 什么是Azure Active Directory?

Azure Active Directory (Azure AD) 是微软提供的基于云的多租户目录和身份管理服务。它不仅仅是传统Windows Server Active Directory (AD DS) 的云版本,而是一个专为云时代设计的、功能更广泛的身份解决方案。

想象一下,您的组织拥有分布在各地的员工、合作伙伴和客户,他们需要访问各种各样的应用程序和服务,这些应用可能部署在本地、云端(如Microsoft 365、Azure、Salesforce、Workday等),甚至是移动设备上。Azure AD 充当了所有这些用户和资源的中央身份验证和授权中心。

核心目标:

  1. 统一身份管理: 为所有用户(内部员工、外部协作者、客户)提供单一身份,无论他们访问什么资源。
  2. 安全访问控制: 通过强大的身份验证方法和智能的访问策略,确保只有授权用户才能访问敏感资源。
  3. 简化用户体验: 提供单点登录 (SSO) 等功能,减少用户的密码负担,提高生产力。
  4. 支持现代应用: 为云原生应用和SaaS应用提供现代化的身份验证和授权协议(如OAuth 2.0, OpenID Connect, SAML)。
  5. 集成与扩展: 与本地Active Directory无缝集成,并提供丰富的API供开发人员构建身份感知应用程序。

Azure AD 不是云中的域控制器: 这是一个常见的误解。虽然Azure AD管理用户和组,但它不使用与本地AD DS相同的协议(如Kerberos、LDAP进行核心身份验证)或结构(如组织单位OU、组策略GPO)。它使用现代Web协议,并采用扁平化的租户结构。

二、 Azure AD 的核心概念

要理解Azure AD,首先需要掌握一些基本概念:

  1. 租户 (Tenant):

    • 每个Azure AD实例都是一个独立的“租户”,代表一个组织。当您的组织注册Microsoft云服务(如Azure、Microsoft 365或Dynamics 365)时,会自动创建一个Azure AD租户。
    • 租户是组织数据(用户、组、应用程序注册、策略等)的安全和逻辑边界。
    • 每个租户都有一个唯一的域名(例如 contoso.onmicrosoft.com),并且可以添加和验证自定义域名(例如 contoso.com)。
    • 对于IT管理员来说,租户是管理Azure AD的主要范围。

  2. 用户 (Users):

    • 在Azure AD中代表需要访问资源的个人。用户可以是:
      • 云原生用户 (Cloud-only): 直接在Azure AD中创建和管理的用户。
      • 同步用户 (Synchronized): 从本地Active Directory通过Azure AD Connect同步到Azure AD的用户。这是实现混合身份的关键。
      • 来宾用户 (Guest Users / B2B): 来自其他组织的外部用户,被邀请到您的租户中进行协作,可以访问您授权的资源。

  3. 组 (Groups):

    • 用于将用户(或其他组)集合在一起,以便更轻松地管理权限和访问。
    • 类型:
      • 安全组 (Security Groups): 主要用于控制对资源的访问权限(如应用程序、共享文件夹、SharePoint站点)。
      • Microsoft 365 组 (Microsoft 365 Groups): 提供协作功能,自动创建关联的共享邮箱、日历、SharePoint站点、Planner等。它们也可以用于控制访问权限。
    • 成员身份类型:
      • 已分配 (Assigned): 管理员手动将用户或其他组添加到该组。
      • 动态用户 (Dynamic User): 根据用户属性(如部门、位置)自动填充成员。需要Azure AD Premium P1或P2许可证。
      • 动态设备 (Dynamic Device): 根据设备属性(如操作系统类型)自动填充成员。需要Azure AD Premium P1或P2许可证。

  4. 应用程序 (Applications):

    • 在Azure AD中,应用程序是指需要与Azure AD集成以进行身份验证和/或授权的服务。分为两类:
      • 企业应用程序 (Enterprise Applications): 代表您组织正在使用的特定应用程序实例。这包括您从Azure AD应用程序库添加的SaaS应用(如Salesforce, ServiceNow),以及您自己开发的或本地的应用(通过应用程序代理发布)。您在此处配置SSO、用户预配和访问策略。
      • 应用注册 (App Registrations): 主要供开发人员使用。当您开发需要与Azure AD集成的应用程序(无论是Web应用、API还是移动应用)时,您需要在此处注册它,以获取应用程序ID (Client ID) 和配置身份验证细节(如重定向URI、凭据)。一个应用注册可以对应多个企业应用程序实例。

  5. 设备 (Devices):

    • Azure AD不仅管理人,还可以识别和管理访问资源的设备(Windows、iOS、Android、macOS)。设备在Azure AD中的状态可以用来制定更精细的访问策略(例如,只允许从合规的设备访问)。
    • 设备状态:
      • Azure AD Registered: 通常用于BYOD(自带设备)场景,用户使用个人设备访问公司资源。设备在Azure AD中有标识,但管理有限。支持SSO到云资源。
      • Azure AD Joined: 设备直接加入Azure AD,无需本地AD。适用于云优先或纯云环境。用户使用其Azure AD账户登录设备。可以结合Intune进行全面的设备管理。
      • Hybrid Azure AD Joined: 设备同时加入本地AD和Azure AD。适用于拥有本地AD基础架构并希望利用Azure AD功能的组织。用户可以使用其AD账户登录,并获得对云和本地资源的SSO。

三、 Azure AD 的关键功能与优势

Azure AD提供了一系列强大的功能,旨在增强安全性、提高效率并改善用户体验。

  1. 身份验证与授权 (Authentication & Authorization):

    • 多种身份验证方法:
      • 密码: 基础方法,通常结合其他策略使用。
      • 多重身份验证 (MFA – Multi-Factor Authentication): 安全性的关键支柱。要求用户在输入密码后提供第二种验证形式(如手机应用通知/验证码、短信、电话呼叫、硬件令牌)。Azure AD MFA灵活且易于配置。
      • 无密码身份验证 (Passwordless): 通过Microsoft Authenticator应用、FIDO2安全密钥或Windows Hello for Business,提供更安全、更便捷的登录体验,减少网络钓鱼风险。
    • 授权: 在用户成功验证身份后,Azure AD根据分配的角色、组成员身份和访问策略,决定用户可以访问哪些资源以及可以执行哪些操作。

  2. 单点登录 (Single Sign-On – SSO):

    • 允许用户使用一组凭据(通常是他们的Azure AD账户)登录一次,即可访问与其连接的所有应用程序(云应用和某些本地应用),无需为每个应用单独输入用户名和密码。
    • 优势: 提高用户生产力、减少密码相关的帮助台请求、增强安全性(减少密码重用和暴露风险)、简化应用程序访问管理。
    • 支持协议: SAML 2.0, OpenID Connect (OIDC), OAuth 2.0。

  3. 条件访问 (Conditional Access):

    • Azure AD的旗舰功能之一(需要Azure AD Premium P1/P2许可证)。它允许IT管理员基于特定条件,自动执行访问控制决策和强制实施组织策略。
    • 工作原理: “If-Then” 语句。If 用户满足某些条件 (Signals),Then 应用某些访问控制 (Controls)。
    • 信号 (Signals – 条件):
      • 用户或组成员身份
      • 用户/登录风险(需要Identity Protection)
      • 设备平台 (iOS, Android, Windows, macOS)
      • 设备状态 (Azure AD Joined, Hybrid Joined, Compliant – 需要Intune)
      • 位置 (受信任的IP地址范围、特定国家/地区)
      • 客户端应用程序 (浏览器、移动应用、旧式身份验证客户端)
      • 实时风险检测 (需要Identity Protection)
    • 访问控制 (Controls – 强制措施):
      • 阻止访问
      • 授予访问权限,但要求:
        • 多重身份验证 (MFA)
        • 设备标记为合规
        • 设备为 Hybrid Azure AD Joined
        • 批准的客户端应用程序
        • 应用强制的限制 (如限制下载 – 适用于部分Microsoft应用)
    • 应用场景示例:
      • 要求所有管理员角色进行MFA。
      • 阻止来自特定高风险国家/地区的登录尝试。
      • 要求从非公司网络或非合规设备访问敏感应用时进行MFA。
      • 阻止使用不支持现代身份验证的旧式客户端(如旧版Office客户端)。
    • 优势: 提供精细、上下文感知的访问控制,显著提高安全性,同时在低风险场景下保持用户便利性。

  4. 身份保护 (Identity Protection):

    • 利用Microsoft庞大的威胁情报网络和机器学习算法,自动检测与用户身份相关的可疑活动和漏洞(需要Azure AD Premium P2许可证)。
    • 检测风险类型:
      • 用户风险 (User Risk): 评估用户账户被盗用的可能性(例如,凭据泄露、异常活动模式)。
      • 登录风险 (Sign-in Risk): 评估特定登录尝试是否未经授权(例如,匿名IP地址、不可能的旅行、恶意软件链接的IP)。
    • 自动化响应: 可以配置策略,根据检测到的风险级别自动执行操作,例如:
      • 要求用户进行MFA。
      • 强制用户重置密码。
      • 暂时阻止用户登录,直到管理员干预。
    • 优势: 主动识别和应对身份威胁,降低安全事件发生的风险和影响。

  5. 特权身份管理 (Privileged Identity Management – PIM):

    • 帮助组织管理、控制和监视对Azure AD、Azure资源以及其他Microsoft Online Services(如Microsoft 365)中特权角色的访问(需要Azure AD Premium P2许可证)。
    • 核心功能:
      • 即时 (Just-In-Time – JIT) 访问: 用户只有在需要执行特权任务时,才临时激活其管理员角色,而不是永久拥有权限。
      • 有时间限制的访问: 角色激活有开始和结束时间。
      • 审批工作流: 激活某些高权限角色可能需要其他管理员的批准。
      • 强制MFA激活: 要求在激活角色时执行MFA。
      • 理由要求: 用户必须提供激活角色的原因。
      • 访问评审 (Access Reviews): 定期审查哪些用户拥有特权角色,确保权限的必要性。
      • 审计日志: 记录所有与PIM相关的活动。
    • 优势: 显著减少因管理员账户被盗用或滥用而带来的风险,遵循最小权限原则。

  6. 应用程序管理:

    • 应用程序库: 包含数千个预集成的SaaS应用程序,可以轻松添加并配置SSO和用户预配。
    • 应用程序代理 (Application Proxy): 安全地发布本地Web应用程序,使其可以通过Azure AD进行身份验证和访问,而无需复杂的VPN或DMZ设置。用户可以从外部像访问云应用一样访问这些本地应用。
    • 用户预配 (User Provisioning): 自动在连接的SaaS应用程序(如Salesforce, ServiceNow, Dropbox等)中创建、更新和删除用户账户,基于Azure AD中的用户数据和组成员身份。简化了用户生命周期管理。

  7. 设备管理集成:

    • Azure AD是Microsoft Endpoint Manager (包括Intune) 的基础。设备在Azure AD中的注册或加入状态是Intune能够管理设备并强制执行合规性策略的前提。
    • 结合条件访问,可以创建强大的策略,例如“只允许从受Intune管理且标记为合规的设备访问公司数据”。

  8. 混合身份 (Hybrid Identity):

    • 对于大多数已经拥有本地Active Directory的组织来说,混合身份是关键。Azure AD Connect是实现这一目标的工具。
    • Azure AD Connect:
      • 目录同步: 将本地AD中的用户、组和其他对象同步到Azure AD。
      • 密码哈希同步 (PHS – Password Hash Sync): 将用户密码哈希(经过多次哈希处理)从本地AD同步到Azure AD。用户可以使用相同的本地密码登录Azure AD资源。这是最常用且推荐的选项。
      • 直通身份验证 (PTA – Pass-Through Authentication): 用户登录Azure AD资源时,Azure AD将身份验证请求通过一个轻量级代理转发回本地AD进行验证。密码本身不存储在云端。
      • 联合身份验证 (Federation – 通常使用AD FS): 用户登录Azure AD资源时,会被重定向到本地的联合服务器(如AD FS)进行身份验证。提供最复杂的控制,但部署和维护也最复杂。
    • 优势: 允许组织利用现有本地投资,同时逐步采用云身份功能,为用户提供跨本地和云资源的无缝体验。

  9. B2B 协作 (Business-to-Business):

    • 允许您安全地邀请外部用户(如合作伙伴、供应商)访问您的某些应用程序和资源,而无需为他们创建和管理完整的本地账户。
    • 受邀用户使用他们自己的凭据(例如,他们自己组织的Azure AD账户、Microsoft账户或其他电子邮件地址)进行身份验证。
    • 管理员可以控制来宾用户可以访问的内容和权限。

  10. B2C 身份管理 (Business-to-Consumer):

    • Azure AD B2C是一个独立的、高度可定制的身份管理服务,专门用于面向消费者的应用程序。
    • 允许客户使用社交媒体账户(Facebook, Google等)、企业账户或本地账户(电子邮件/用户名和密码)注册和登录您的应用程序。
    • 提供品牌化、用户流定制、多语言支持等功能。

  11. 报告、监视和警报:

    • 提供详细的登录日志 (Sign-ins log),记录用户何时、何地、如何尝试访问资源,包括成功和失败的尝试。
    • 提供审计日志 (Audit log),记录Azure AD租户中发生的所有更改(如用户创建、组修改、策略更改)。
    • 与Azure Monitor集成,提供更高级的日志分析、可视化和警报功能。
    • 可以导出日志到SIEM系统(如Microsoft Sentinel)进行高级威胁检测和分析。
    • 优势: 提供对身份活动的可视性,帮助进行故障排除、安全调查和合规性审计。

  12. 自助服务功能:

    • 自助式密码重置 (SSPR – Self-Service Password Reset): 允许用户在忘记密码时,通过预先注册的验证方法(如备用邮箱、手机号码、安全问题)自行重置密码,减轻IT帮助台负担。
    • 自助式组管理: 允许用户请求加入或离开某些组,或创建和管理自己的Microsoft 365组(如果策略允许)。
    • 我的应用 (My Apps) 门户: 用户可以访问一个个性化的Web门户,查看和启动他们有权访问的所有云应用程序。

四、 Azure AD 与 传统 Active Directory (AD DS) 的对比

理解Azure AD与本地AD DS的区别对于从传统环境过渡或管理混合环境的IT管理员至关重要:

特性 Azure Active Directory (Azure AD) Windows Server Active Directory (AD DS)
主要目的 云身份和访问管理,Web/SaaS应用,移动设备 本地身份和访问管理,Windows网络资源,Kerberos认证
架构 多租户云服务,扁平化结构 单租户或多租户(林),分层结构(林、域、OU)
核心协议 OAuth 2.0, OpenID Connect, SAML, SCIM Kerberos, LDAP, NTLM
管理接口 Azure Portal (Web UI), Microsoft Graph API, PowerShell Active Directory Users and Computers (ADUC), GPMC, PowerShell
设备管理 Azure AD Join, Hybrid Azure AD Join, Registered Domain Join
策略管理 条件访问策略, Intune策略 (MDM/MAM) 组策略对象 (GPO)
身份验证 云身份验证 (PHS, PTA), 联合身份验证 (Federation) 本地Kerberos/NTLM身份验证
主要应用场景 Microsoft 365, Azure, SaaS应用, 自定义云应用, B2B/B2C 本地文件共享, 打印机, 需要Kerberos的应用, 传统桌面管理
关系 通常通过Azure AD Connect与AD DS集成,实现混合身份 作为许多组织的本地身份基础

关键 takeaway: Azure AD 和 AD DS 是互补的技术。在混合环境中,它们通过Azure AD Connect协同工作,提供跨本地和云资源的统一身份体验。Azure AD 不是要完全取代AD DS(尤其是在短期内),而是扩展身份管理能力到云端和现代应用。

五、 IT管理员的实践与考量

作为IT管理员,拥抱Azure AD意味着:

  1. 技能提升: 需要熟悉Azure Portal、条件访问策略、MFA配置、Azure AD Connect以及现代身份验证协议。Microsoft Learn提供了大量免费的学习资源。
  2. 规划与设计:
    • 确定最适合您组织的混合身份策略(PHS, PTA, Federation)。PHS通常是起点。
    • 规划MFA推广策略,平衡安全性和用户体验。
    • 设计条件访问策略,从基础策略(如阻止旧式身份验证、要求管理员MFA)开始,逐步增加更精细的控制。
    • 考虑设备管理策略(Azure AD Join vs Hybrid Join vs Registered)以及与Intune的集成。
    • 规划用户和组的同步范围(使用Azure AD Connect的过滤功能)。
  3. 安全性强化:
    • 强制执行MFA是第一要务。
    • 利用条件访问限制高风险访问。
    • 部署Identity Protection和PIM(如果许可证允许)以实现主动风险检测和最小权限。
    • 定期审查登录日志和审计日志,监控异常活动。
    • 进行访问评审,确保权限的合理性。
  4. 用户沟通与培训:
    • 向用户解释新功能(如MFA、SSO、SSPR)的好处和使用方法。
    • 提供清晰的指南和支持渠道。
  5. 持续监控与优化:
    • 身份环境不是一成不变的。持续监控报告,根据组织需求和新的威胁调整策略。
    • 关注微软发布的新功能和安全建议。

六、 结论

Azure Active Directory 已经从一个简单的云目录服务发展成为功能极其丰富的现代身份和访问管理平台。对于IT管理员而言,掌握Azure AD不再是可选项,而是必需项。它不仅是管理Microsoft 365和Azure资源访问的核心,更是保护组织免受身份相关攻击、简化用户体验、支持数字化转型的关键推动力。

通过深入理解Azure AD的核心概念、功能和优势,并结合实际的规划、部署和持续优化,IT管理员可以有效地利用这一强大的云服务,构建一个既安全又高效的现代化IT环境,为组织的成功保驾护航。从基础的SSO和MFA,到高级的条件访问、Identity Protection和PIM,Azure AD为应对当今复杂的身份挑战提供了全面的解决方案。

发表评论

您的邮箱地址不会被公开。 必填项已用 * 标注

滚动至顶部