Открыть сервис

Azure AD

Azure AD — это облачная служба управления идентификацией и доступом (Identity and Access Management, IAM) от компании Microsoft, предоставляемая в рамках платформы Microsoft Azure. Основной функцией Azure AD является аутентификация пользователей, предоставление доступа к облачным приложениям (SaaS, PaaS, IaaS), а также к локальным ресурсам через интеграцию с Active Directory (AD). В отличие от классического локального Active Directory (Windows Server), Azure AD не является службой каталогов на базе протокола LDAP, а представляет собой мультитенантный облачный сервис, основанный на REST API и протоколах OAuth 2.0, OpenID Connect и SAML. С 2023 года Microsoft начала поэтапное переименование сервиса в Microsoft Entra ID, однако историческое название Azure AD продолжает широко использоваться. Служба является основой для аутентификации в таких продуктах, как Microsoft 365, Dynamics 365, Power Platform и многих сторонних облачных сервисах.

История

Предпосылки появления

До появления облачных технологий управление учётными записями в корпоративных сетях Microsoft осуществлялось через Active Directory Domain Services (AD DS), развёрнутый на локальных серверах. С развитием облачных вычислений и появлением Microsoft 365 (ранее Office 365) возникла необходимость в единой системе аутентификации для облачных сервисов, которая не требовала бы поддержания инфраструктуры локальных контроллеров доменов.

Запуск и развитие

Azure AD был запущен в 2011 году как служба управления идентификацией для Office 365. Первоначально сервис предоставлял базовые возможности синхронизации паролей и единого входа (SSO) для облачных приложений. В 2013 году была добавлена поддержка многофакторной аутентификации (MFA). В 2015 году с выходом Azure Active Directory Premium появились функции условного доступа (Conditional Access), управления группами и расширенные политики безопасности. В 2018 году была представлена возможность гибридной идентификации через Azure AD Connect, позволяющая объединять локальные и облачные каталоги. В 2023 году Microsoft анонсировала переименование Azure AD в Microsoft Entra ID в рамках ребрендинга семейства продуктов Entra, что подчеркнуло его роль как части более широкой платформы управления доступом и защитой идентичности.

Архитектура и принципы работы

Мультитенантная модель

Azure AD работает по мультитенантной архитектуре: каждый клиент (организация) получает изолированный экземпляр каталога — тенант (tenant). Тенант содержит объекты пользователей, групп, приложений и устройств. Все тенанты размещаются в единой облачной инфраструктуре Microsoft, но логически разделены, что обеспечивает конфиденциальность данных. Тенант может быть создан бесплатно, но расширенные функции (например, условный доступ, защита идентичности) требуют подписки Azure AD Premium P1 или P2.

Протоколы аутентификации

Azure AD поддерживает несколько современных протоколов:

  • OAuth 2.0 — для делегирования доступа к ресурсам (например, API Microsoft Graph).
  • OpenID Connect — для аутентификации пользователей в веб-приложениях.
  • SAML 2.0 — для интеграции с корпоративными приложениями (например, Salesforce, ServiceNow).
  • WS-Federation — для совместимости с устаревшими системами.

Синхронизация с локальным Active Directory

Для организаций, использующих локальный AD, Azure AD предоставляет возможность гибридной идентификации через инструмент Azure AD Connect (или его упрощённую версию Azure AD Connect Cloud Sync). Этот инструмент синхронизирует объекты пользователей, групп и паролей (хэши) между локальным каталогом и облачным тенантом. Возможны три режима синхронизации паролей:

  • Синхронизация хэша паролей (PHS) — хэш пароля из локального AD передаётся в Azure AD.
  • Сквозная аутентификация (PTA)пароль проверяется на локальном контроллере домена без передачи хэша.
  • Федерация (AD FS) — аутентификация выполняется через локальный сервер Active Directory Federation Services (AD FS).

Классификация и редакции

Azure AD выпускается в нескольких редакциях, различающихся набором функций:

РедакцияОсновные возможностиЦелевая аудитория
FreeБазовая аутентификация, SSO для облачных приложений, синхронизация до 500 000 объектовНебольшие организации, использующие Microsoft 365 Business Basic
Microsoft 365 Apps for businessВключает Free + доступ к Microsoft 365Коммерческие организации
Azure AD Premium P1Условный доступ, управление группами, самообслуживание сброса пароля (SSPR)Средний и крупный бизнес
Azure AD Premium P2Защита идентичности (Identity Protection), управление привилегированными пользователями (PIM)Организации с высокими требованиями к безопасности
Azure AD External IdentitiesГостевой доступ (B2B), аутентификация для потребителей (B2C)Компании, работающие с внешними пользователями

Применение

Корпоративная аутентификация

Основное применение Azure AD — единый вход (SSO) для корпоративных приложений. Пользователь вводит учётные данные один раз (например, при входе на портал myapps.microsoft.com) и получает доступ ко всем разрешённым облачным сервисам без повторной аутентификации. Поддерживается более 3000 предварительно интегрированных приложений из галереи Azure AD, включая такие, как Salesforce, Dropbox, Zoom, Slack, а также приложения, созданные на платформе Microsoft.

Условный доступ (Conditional Access)

Функция, доступная в редакциях Premium, позволяет администраторам задавать политики доступа на основе условий: местоположение (IP-адрес), состояние устройства (соответствие требованиям Intune), риск входа (оценка алгоритмами защиты идентичности), членство в группах. Например, можно настроить блокировку доступа к конфиденциальным данным с недоверенных устройств или требовать MFA при входе из-за пределов корпоративной сети.

Управление устройствами

Azure AD интегрируется с Microsoft Intune (система управления мобильными устройствами — MDM) для обеспечения соответствия устройств корпоративным политикам. Устройства могут быть зарегистрированы в Azure AD (Azure AD Join) для получения доступа к корпоративным ресурсам без локального домена. Это особенно актуально для организаций, полностью перешедших на облачную инфраструктуру.

Защита идентичности (Identity Protection)

В редакции Premium P2 доступен сервис, который с помощью алгоритмов машинного обучения выявляет подозрительные действия: аномальные входы, утечку учётных данных, попытки подбора пароля. При обнаружении угрозы система может автоматически блокировать вход, требовать смену пароля или отправлять уведомление администратору. Это помогает предотвратить компрометацию учётных записей.

Управление привилегированными пользователями (Privileged Identity Management, PIM)

PIM позволяет администраторам предоставлять временный доступ к привилегированным ролям (например, глобальный администратор) по запросу и с обязательным утверждением. Такой подход снижает риск злоупотребления правами и соответствует принципу минимальных привилегий (least privilege).

Интеграция с другими сервисами Microsoft

Azure AD является центральным компонентом экосистемы Microsoft 365 и Azure. Он используется для:

  • Аутентификации в Microsoft 365 (Outlook, Teams, SharePoint Online).
  • Управления доступом к ресурсам Azure (виртуальные машины, базы данных, хранилища).
  • Интеграции с Power Platform (Power BI, Power Apps, Power Automate) для единого входа.
  • Обеспечения безопасности в Microsoft Defender for Cloud Apps (ранее Microsoft Cloud App Security).

Критика и ограничения

Несмотря на широкое распространение, Azure AD имеет ряд ограничений:

  • Отсутствие полной совместимости с LDAP. Azure AD не поддерживает протокол LDAP для аутентификации, что усложняет интеграцию с устаревшими приложениями, работающими только по LDAP.
  • Ограничения на количество объектов. В бесплатной редакции максимальное количество объектов (пользователей, групп) ограничено 500 000. Для крупных организаций с миллионами учётных записей требуется Premium-редакция или использование локального AD.
  • Сложность гибридной конфигурации. Настройка гибридной идентификации (Azure AD Connect) требует тщательного планирования и может вызывать проблемы при синхронизации сложных схем локального AD.
  • Зависимость от интернет-соединения. Azure AD — облачный сервис, поэтому при отсутствии доступа к интернету аутентификация через облако становится невозможной (хотя локальные кэшированные учётные данные могут работать ограниченное время).
  • Стоимость Premium-функций. Редакции Premium P1 и P2 оплачиваются отдельно на каждого пользователя, что может быть дорого для организаций с большим штатом.

Безопасность и соответствие стандартам

Azure AD соответствует многим международным и отраслевым стандартам безопасности, включая ISO 27001, SOC 2, HIPAA (для медицинских данных) и GDPR. Microsoft регулярно проводит аудиты и публикует отчёты о состоянии безопасности. Для защиты данных в Azure AD используются шифрование в покое (AES-256) и при передаче (TLS 1.2+). Многофакторная аутентификация (MFA) является обязательной для администраторов в рамках программы Microsoft Secure Score.

Перспективы

С переходом на Microsoft Entra ID сервис продолжает развиваться в сторону более тесной интеграции с другими продуктами семейства Entra (например, Entra Verified ID для децентрализованной идентификации, Entra Permissions Management для управления разрешениями в облаке). Ожидается, что Azure AD (Entra ID) станет основой для реализации концепции Zero Trust (нулевого доверия) в корпоративных сетях, где доступ предоставляется на основе непрерывной проверки контекста, а не статического членства в домене.

Источники

  • Microsoft Docs: «What is Azure Active Directory?» (Microsoft Corporation, 2023)
  • Microsoft Docs: «Azure AD Connect: синхронизация и гибридная идентификация» (Microsoft Corporation, 2022)
  • Документация Microsoft Entra ID (Microsoft Corporation, 2024)
  • Статья «Azure Active Directory vs. Active Directory: What’s the Difference?» (TechTarget, 2021)
  • Отчёт Microsoft Security Intelligence Report (Microsoft, 2023)
  • Материалы конференции Microsoft Ignite 2023: «Introducing Microsoft Entra ID»

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →