Открыть сервис

Azure Active Directory

Azure Active Directory (Azure AD) — это облачный сервис управления идентификацией и доступом (Identity and Access Management, IAM) от компании Microsoft, предоставляемый в составе платформы Microsoft Azure. Azure AD служит для аутентификации пользователей, авторизации доступа к приложениям и ресурсам, а также для управления учётными записями и группами в облачной среде. В отличие от традиционного локального Active Directory (AD), Azure AD не базируется на протоколах Kerberos и LDAP, а использует веб-стандарты, такие как OAuth 2.0, OpenID Connect и SAML. В 2023 году Microsoft объявила о ребрендинге сервиса в Microsoft Entra ID, однако название «Azure Active Directory» продолжает широко использоваться в документации и сообществе.

История

Сервис Azure Active Directory был запущен в 2008 году как компонент облачной платформы Microsoft Azure, изначально под названием **Active Directory (Azure)». Он предназначался для аутентификации пользователей в облачных приложениях Microsoft, таких как Office 365 и Dynamics CRM Online. В 2011 году Azure AD стал отдельным продуктом с возможностью интеграции с локальными каталогами через Azure AD Connect.

Ключевое развитие сервиса произошло в середине 2010-х годов:

Основные функции

Аутентификация и авторизация

Azure AD поддерживает несколько протоколов аутентификации:

Сервис позволяет реализовывать единый вход (SSO) для пользователей: после однократной аутентификации пользователь получает доступ к нескольким облачным и локальным приложениям без повторного ввода учётных данных.

Управление идентификацией

Azure AD обеспечивает управление учётными записями пользователей, группами и ролями:

Условный доступ (Conditional Access)

Условный доступ — политика, позволяющая контролировать доступ к ресурсам на основе условий: географическое местоположение, устройство, риск сеанса, группа пользователя, приложение. Например, политика может требовать прохождения MFA при доступе из ненадёжного расположения или блокировать вход с устройств, не соответствующих требованиям безопасности Microsoft Intune.

Многофакторная аутентификация (MFA)

Azure MFA — встроенная функция, поддерживающая: коды из приложения-аутентификатора (Microsoft Authenticator), SMS-коды, звонки, биометрическая аутентификация (Windows Hello для бизнеса) и одноразовые пароли (TOTP).

Защита идентификации

Azure AD Identity Protection — компонент для обнаружения и предотвращения компрометации учётных записей. Он анализирует сигналы, такие как рискованные входы (с неизвестных IP-адресов, с подозрительных устройств), и автоматически применяет меры: сброс пароля, блокировка входа, требование MFA.

Управление приложениями

Azure AD выступает в роли провайдера идентификации для тысяч предварительно интегрированных SaaS-приложений (Salesforce, Slack, Zoom, Adobe, Google Workspace) и для кастомных веб-API, зарегистрированных через портал Azure. Поддерживается галерея приложений с шаблонами конфигурации.

Гибридная идентификация

Для организаций с локальным Active Directory (AD DS) Azure AD позволяет реализовать гибридную модель:

Управление паролями

Self-Service Password Reset (SSPR) — функция, позволяющая пользователям самостоятельно сбрасывать забытые пароли через браузер или приложение, после прохождения проверок (например, подтверждение по SMS или коду из приложения). Администраторы могут настраивать политики сброса и блокировки.

Редакции и лицензирование

Azure AD предлагается в трёх основных редакциях:

РедакцияКлючевые возможности
БесплатнаяУправление пользователями и группами, базовое взаимодействие с приложениями Azure, облачными службами Microsoft (Office 365, Dynamics 365), ограниченный условный доступ (только по типу приложения)
Office 365 (включена в подписки Office 365)Те же функции, что и в бесплатной, плюс: возможность сброса паролей (SSPR), управление мобильными устройствами через Intune (базовые возможности)
Premium P1Условный доступ (полный), динамические группы, самообслуживание групп, интеграция с Identity Protection (базовая), интеграция с Microsoft Cloud App Security
Premium P2Всё из P1 плюс: Identity Protection (полная, с оценкой риска пользователей и сеансов), Privileged Identity Management (PIM) — управление правами привилегированных ролей со временными назначениями

Для самостоятельных разработчиков также доступен Azure AD B2C (Business-to-Consumer) — служба для управления идентификацией внешних пользователей (клиентов) с поддержкой социальных логинов (Google, Facebook, Apple, Microsoft).

Применение

Azure Active Directory используется во всех корпоративных облачных и гибридных сценариях, где требуется централизованное управление доступом:

Безопасность и критика

Azure AD подвергается критике за зависимость от облачной инфраструктуры: при сбое глобального ЦОД Azure (например, в 2019, 2021, 2022 годах) доступ ко всем подключённым сервисам был заблокирован для пользователей, аутентифицирующихся через Azure AD. Кроме того, сложности с настройкой условных политик и интеграции устаревших приложений (особенно тех, что требуют LDAP или Kerberos) могут потребовать дополнительных шлюзов (например, Azure AD Application Proxy или Azure AD Domain Services).

С точки зрения импортозамещения в России и соответствия требованиям 152-ФЗ «О персональных данных», Azure AD в чистом виде не обеспечивает хранение данных на территории РФ (основные ЦОД Microsoft расположены в западной Европе, США и Азии). Для российских организаций, обязанных локализовать персональные данные, использование Azure AD возможно только через развёртывание локальной инфраструктуры федерации (например, ADFS) и облачной синхронизации с ограничениями, но это не полностью решает проблему.

Альтернативами в России являются отечественные IAM-решения на базе Astra Linux, РЕД ОС, Postgres Professional и систем класса ALD Pro (система управления правами доступа на Linux), а также облачные решения от российских провайдеров (например, «Яндекс.Облако» с сервисом IAM Yandex.Cloud).

Источники

  1. Microsoft Learn. «Что такое Azure Active Directory?» — официальная документация.
  2. «Azure AD Identity Protection: overview» — Microsoft Docs.
  3. «Azure AD Connect» — документация Microsoft.
  4. «Microsoft Entra ID: The new name for Azure AD» — объявление от Microsoft (июль 2023).
  5. «Azure AD B2C: документация» — Microsoft Learn.
  6. «Conditional Access in Azure AD» — Microsoft Docs.
  7. «152-ФЗ о персональных данных: требования к локализации» — текст закона.
  8. «Сравнение Azure AD Premium P1 и P2» — Microsoft Licensing Documentation.
  9. «Альтернативы Azure AD в России» — обзор рынка IAM-систем от CNews (2023).
  10. «Сбой Azure AD 2022» — новости о инцидентах облачной платформы Microsoft.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →