Azure Active Directory
Azure Active Directory (Azure AD) — это облачный сервис управления идентификацией и доступом (Identity and Access Management, IAM) от компании Microsoft, предоставляемый в составе платформы Microsoft Azure. Azure AD служит для аутентификации пользователей, авторизации доступа к приложениям и ресурсам, а также для управления учётными записями и группами в облачной среде. В отличие от традиционного локального Active Directory (AD), Azure AD не базируется на протоколах Kerberos и LDAP, а использует веб-стандарты, такие как OAuth 2.0, OpenID Connect и SAML. В 2023 году Microsoft объявила о ребрендинге сервиса в Microsoft Entra ID, однако название «Azure Active Directory» продолжает широко использоваться в документации и сообществе.
История
Сервис Azure Active Directory был запущен в 2008 году как компонент облачной платформы Microsoft Azure, изначально под названием **Active Directory (Azure)». Он предназначался для аутентификации пользователей в облачных приложениях Microsoft, таких как Office 365 и Dynamics CRM Online. В 2011 году Azure AD стал отдельным продуктом с возможностью интеграции с локальными каталогами через Azure AD Connect.
Ключевое развитие сервиса произошло в середине 2010-х годов:
- 2013 год: введение возможности использования Azure AD для единого входа (SSO) в сторонние SaaS-приложения.
- 2015 год: запуск Azure AD Premium, добавивший расширенные возможности: условный доступ (Conditional Access), многофакторную аутентификацию (MFA) и управление группами на основе правил.
- 2018 год: интеграция с Windows Hello для бизнеса и поддержка облачных групп с динамическим членством.
- 2020 год: внедрение возможностей управления паролями и гибридной гигиены паролей (Password Protection) для локальных каталогов.
- 2023 год: объявлен ребрендинг в Microsoft Entra ID, при этом функциональность сервиса сохранилась, а название отразило его позиционирование в рамках новой линейки продуктов Microsoft Entra.
Основные функции
Аутентификация и авторизация
Azure AD поддерживает несколько протоколов аутентификации:
- OAuth 2.0 — для делегирования доступа к ресурсам через токены доступа.
- OpenID Connect — для аутентификации пользователей и получения токенов идентификации.
- SAML 2.0 — для интеграции с корпоративными приложениями, поддерживающими этот стандарт.
- WS-Federation — для совместимости с устаревшими решениями, такими как ADFS (Active Directory Federation Services).
Сервис позволяет реализовывать единый вход (SSO) для пользователей: после однократной аутентификации пользователь получает доступ к нескольким облачным и локальным приложениям без повторного ввода учётных данных.
Управление идентификацией
Azure AD обеспечивает управление учётными записями пользователей, группами и ролями:
- Пользователи — облачные или синхронизированные из локальных каталогов (через Azure AD Connect).
- Группы — облачные и динамические (членство определяется правилами на основе атрибутов, например, отдела или должности).
- Роли — встроенные и настраиваемые роли для управления доступом к ресурсам Azure AD и подключённым приложениям.
Условный доступ (Conditional Access)
Условный доступ — политика, позволяющая контролировать доступ к ресурсам на основе условий: географическое местоположение, устройство, риск сеанса, группа пользователя, приложение. Например, политика может требовать прохождения MFA при доступе из ненадёжного расположения или блокировать вход с устройств, не соответствующих требованиям безопасности Microsoft Intune.
Многофакторная аутентификация (MFA)
Azure MFA — встроенная функция, поддерживающая: коды из приложения-аутентификатора (Microsoft Authenticator), SMS-коды, звонки, биометрическая аутентификация (Windows Hello для бизнеса) и одноразовые пароли (TOTP).
Защита идентификации
Azure AD Identity Protection — компонент для обнаружения и предотвращения компрометации учётных записей. Он анализирует сигналы, такие как рискованные входы (с неизвестных IP-адресов, с подозрительных устройств), и автоматически применяет меры: сброс пароля, блокировка входа, требование MFA.
Управление приложениями
Azure AD выступает в роли провайдера идентификации для тысяч предварительно интегрированных SaaS-приложений (Salesforce, Slack, Zoom, Adobe, Google Workspace) и для кастомных веб-API, зарегистрированных через портал Azure. Поддерживается галерея приложений с шаблонами конфигурации.
Гибридная идентификация
Для организаций с локальным Active Directory (AD DS) Azure AD позволяет реализовать гибридную модель:
- Синхронизация каталогов (через Azure AD Connect или Azure AD Connect Cloud Sync) — копирование объектов пользователей и групп из локального AD в Azure AD.
- Сквозная аутентификация (Pass-through Authentication, PTA) — проверка паролей локальным AD без их хранения в облаке.
- Федерация (через ADFS или сторонние провайдеры) — делегирование аутентификации локальному серверу.
Управление паролями
Self-Service Password Reset (SSPR) — функция, позволяющая пользователям самостоятельно сбрасывать забытые пароли через браузер или приложение, после прохождения проверок (например, подтверждение по SMS или коду из приложения). Администраторы могут настраивать политики сброса и блокировки.
Редакции и лицензирование
Azure AD предлагается в трёх основных редакциях:
| Редакция | Ключевые возможности |
|---|---|
| Бесплатная | Управление пользователями и группами, базовое взаимодействие с приложениями Azure, облачными службами Microsoft (Office 365, Dynamics 365), ограниченный условный доступ (только по типу приложения) |
| Office 365 (включена в подписки Office 365) | Те же функции, что и в бесплатной, плюс: возможность сброса паролей (SSPR), управление мобильными устройствами через Intune (базовые возможности) |
| Premium P1 | Условный доступ (полный), динамические группы, самообслуживание групп, интеграция с Identity Protection (базовая), интеграция с Microsoft Cloud App Security |
| Premium P2 | Всё из P1 плюс: Identity Protection (полная, с оценкой риска пользователей и сеансов), Privileged Identity Management (PIM) — управление правами привилегированных ролей со временными назначениями |
Для самостоятельных разработчиков также доступен Azure AD B2C (Business-to-Consumer) — служба для управления идентификацией внешних пользователей (клиентов) с поддержкой социальных логинов (Google, Facebook, Apple, Microsoft).
Применение
Azure Active Directory используется во всех корпоративных облачных и гибридных сценариях, где требуется централизованное управление доступом:
- Корпоративные сети: аутентификация сотрудников для доступа к Office 365, Dynamics 365, SharePoint Online, Teams, Exchange Online.
- Облачные приложения SaaS: интеграция с Zendesk, Salesforce, Concur, Workday, Dropbox и сотнями других.
- Внутренние веб-приложения и API: защита с использованием OAuth/OpenID.
- Управление доступом к ресурсам Azure: ограничение доступа к ВМ, базам данных, функциям Azure (FaaS) с использованием управляемых идентичностей (Managed Identities) или сервис-принципалов.
- Управление внешними партнёрами: через B2B-возможности, когда сторонние пользователи могут аутентифицироваться в корпоративных приложениях с использованием собственных учётных записей (Gmail, Microsoft Account, любой OpenID Connect).
- Удалённый доступ: через VPN и приложения с кондиционным доступом, привязанным к состоянию устройства и риску.
Безопасность и критика
Azure AD подвергается критике за зависимость от облачной инфраструктуры: при сбое глобального ЦОД Azure (например, в 2019, 2021, 2022 годах) доступ ко всем подключённым сервисам был заблокирован для пользователей, аутентифицирующихся через Azure AD. Кроме того, сложности с настройкой условных политик и интеграции устаревших приложений (особенно тех, что требуют LDAP или Kerberos) могут потребовать дополнительных шлюзов (например, Azure AD Application Proxy или Azure AD Domain Services).
С точки зрения импортозамещения в России и соответствия требованиям 152-ФЗ «О персональных данных», Azure AD в чистом виде не обеспечивает хранение данных на территории РФ (основные ЦОД Microsoft расположены в западной Европе, США и Азии). Для российских организаций, обязанных локализовать персональные данные, использование Azure AD возможно только через развёртывание локальной инфраструктуры федерации (например, ADFS) и облачной синхронизации с ограничениями, но это не полностью решает проблему.
Альтернативами в России являются отечественные IAM-решения на базе Astra Linux, РЕД ОС, Postgres Professional и систем класса ALD Pro (система управления правами доступа на Linux), а также облачные решения от российских провайдеров (например, «Яндекс.Облако» с сервисом IAM Yandex.Cloud).
Источники
- Microsoft Learn. «Что такое Azure Active Directory?» — официальная документация.
- «Azure AD Identity Protection: overview» — Microsoft Docs.
- «Azure AD Connect» — документация Microsoft.
- «Microsoft Entra ID: The new name for Azure AD» — объявление от Microsoft (июль 2023).
- «Azure AD B2C: документация» — Microsoft Learn.
- «Conditional Access in Azure AD» — Microsoft Docs.
- «152-ФЗ о персональных данных: требования к локализации» — текст закона.
- «Сравнение Azure AD Premium P1 и P2» — Microsoft Licensing Documentation.
- «Альтернативы Azure AD в России» — обзор рынка IAM-систем от CNews (2023).
- «Сбой Azure AD 2022» — новости о инцидентах облачной платформы Microsoft.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →