Microsoft Entra ID
Microsoft Entra ID — это облачная служба управления идентификацией и доступом (Identity and Access Management, IAM), предоставляемая корпорацией Microsoft в рамках платформы Microsoft Azure. Ранее была известна под названием Azure Active Directory (Azure AD). Служба предназначена для аутентификации пользователей, управления их правами доступа к облачным и локальным ресурсам, а также для обеспечения единого входа (Single Sign-On, SSO) в приложения и сервисы.
История
Предшественник: Azure Active Directory
Azure Active Directory была запущена в 2011 году как облачный сервис каталогов, интегрированный с Microsoft Azure. Она стала эволюцией локального решения Active Directory (AD), но изначально была спроектирована для работы в облачной среде. Основной задачей Azure AD было обеспечение аутентификации и авторизации для облачных приложений Microsoft, таких как Office 365, Dynamics 365 и Azure.
Переименование в Microsoft Entra ID
В 2023 году корпорация Microsoft объявила о переименовании Azure Active Directory в Microsoft Entra ID. Это решение было частью стратегии по унификации продуктов семейства Microsoft Entra, которое включает в себя также решения для управления разрешениями (Microsoft Entra Permissions Management) и управления идентификацией для внешних пользователей (Microsoft Entra External ID). Переименование подчеркнуло, что сервис выходит за рамки только облачной инфраструктуры Azure и является центральным компонентом более широкой экосистемы управления идентификацией Microsoft.
Основные функции
Аутентификация и единый вход
Microsoft Entra ID обеспечивает аутентификацию пользователей с использованием различных методов, включая пароли, многофакторную аутентификацию (MFA), биометрию (через Windows Hello) и сертификаты. Сервис поддерживает единый вход (SSO) для тысяч предварительно интегрированных приложений, включая приложения Microsoft (Microsoft 365, Azure) и сторонние SaaS-решения (Salesforce, Dropbox, Slack).
Управление доступом
Служба предоставляет механизмы для управления доступом к ресурсам на основе ролей (Role-Based Access Control, RBAC) и атрибутов (Attribute-Based Access Control, ABAC). Администраторы могут создавать политики условного доступа (Conditional Access), которые анализируют контекст входа (геолокация, устройство, риск) и принимают решения о предоставлении или блокировке доступа.
Управление группами и пользователями
Microsoft Entra ID позволяет создавать и управлять учетными записями пользователей и группами. Поддерживаются синхронизация с локальным Active Directory через Azure AD Connect (теперь — Microsoft Entra Connect), а также динамические группы, членство в которых определяется на основе атрибутов пользователя (например, «все сотрудники отдела продаж»).
Управление приложениями
Сервис выступает в роли центрального хранилища для регистрации и управления приложениями. Пользователи могут получать доступ к корпоративным приложениям через портал «Мои приложения» (My Apps). Поддерживается прокси-доступ к локальным веб-приложениям (Azure AD Application Proxy) без необходимости открытия портов в брандмауэре.
Защита идентификации
Microsoft Entra ID включает в себя функции защиты идентификации (Identity Protection), которые используют машинное обучение для обнаружения подозрительных действий: необычные входы, утечки учетных данных, атаки методом перебора. Система может автоматически блокировать рискованные попытки входа или требовать смены пароля.
Архитектура и интеграция
Мультитенантная архитектура
Microsoft Entra ID построена на мультитенантной облачной архитектуре. Каждый клиент (организация) получает изолированный каталог — тенант (tenant). В рамках одного тенанта хранятся все объекты (пользователи, группы, приложения) и политики. Тенанты не имеют прямого доступа друг к другу, но могут быть связаны через механизмы внешнего сотрудничества (B2B).
Интеграция с локальной инфраструктурой
Для организаций, использующих локальный Active Directory, Microsoft предлагает Microsoft Entra Connect — инструмент для синхронизации объектов каталога. Возможна гибридная конфигурация, при которой часть пользователей аутентифицируется через облачный сервис, а часть — через локальные контроллеры домена. Поддерживаются три режима аутентификации: синхронизация хэшей паролей, сквозная аутентификация (Pass-through Authentication) и федерация с использованием служб ADFS.
API и программный доступ
Microsoft Entra ID предоставляет REST API (Microsoft Graph) для программного управления идентификацией. Разработчики могут создавать приложения, которые регистрируются в Entra ID и используют его для аутентификации пользователей (OAuth 2.0, OpenID Connect). API позволяет автоматизировать создание пользователей, управление группами и политиками.
Версии и лицензирование
Microsoft Entra ID доступен в нескольких редакциях, различающихся набором функций и стоимостью:
| Редакция | Основные возможности | Целевая аудитория |
|---|---|---|
| Free | Аутентификация, SSO для приложений Microsoft, базовые политики условного доступа | Небольшие организации, использующие только Microsoft 365 |
| Microsoft Entra ID P1 | Все функции Free + расширенные политики условного доступа, управление группами, динамические группы, самообслуживание сброса пароля | Средний бизнес |
| Microsoft Entra ID P2 | Все функции P1 + защита идентификации (Identity Protection), управление привилегированными пользователями (Privileged Identity Management, PIM) | Крупные организации с высокими требованиями к безопасности |
Также существуют отдельные планы для внешних пользователей (Microsoft Entra External ID) и для управления разрешениями (Microsoft Entra Permissions Management).
Применение
Microsoft Entra ID используется в следующих сценариях:
- Корпоративная аутентификация: обеспечение доступа сотрудников к Microsoft 365, Azure и другим облачным сервисам.
- Управление внешними пользователями: предоставление доступа партнерам, подрядчикам и клиентам (B2B-сценарии) с использованием их собственных учетных записей (Google, Facebook, Microsoft).
- Защита приложений: интеграция с SaaS-приложениями для централизованного управления доступом и применения политик безопасности.
- Гибридная идентификация: объединение локального Active Directory с облачным каталогом для единого управления учетными записями.
- Автоматизация ИТ-процессов: создание и удаление пользователей, управление группами через API в рамках процессов приема и увольнения сотрудников.
Критика и ограничения
Несмотря на широкое распространение, Microsoft Entra ID имеет ряд недостатков. Основные из них:
- Зависимость от экосистемы Microsoft: сервис наиболее эффективен при использовании с другими продуктами Microsoft. Интеграция с решениями других вендоров может быть сложнее.
- Сложность настройки: для реализации продвинутых сценариев (условный доступ, PIM) требуется глубокое понимание архитектуры и политик.
- Ограничения бесплатной версии: многие функции безопасности (MFA, условный доступ) доступны только в платных редакциях P1 и P2.
- Проблемы с производительностью: в редких случаях наблюдаются задержки при синхронизации объектов или применении политик, особенно в крупных каталогах с миллионами объектов.
Интересные факты
- Microsoft Entra ID обрабатывает более 1,3 миллиарда запросов аутентификации в день (по данным Microsoft на 2023 год).
- Сервис поддерживает более 3000 предварительно интегрированных приложений в галерее Microsoft Entra.
- Функция Privileged Identity Management (PIM) позволяет предоставлять административные права только на ограниченное время (just-in-time access), снижая риск злоупотреблений.
- Microsoft Entra ID не является прямым облачным аналогом локального Active Directory: он не поддерживает такие функции, как групповая политика (GPO) или Kerberos-аутентификация для локальных ресурсов без дополнительных компонентов.
Источники
- Microsoft Docs: «Что такое Microsoft Entra ID?»
- Microsoft Docs: «Сравнение Azure Active Directory и Microsoft Entra ID»
- Microsoft Docs: «Планы и цены Microsoft Entra»
- Microsoft Security Blog: «Announcing Microsoft Entra ID»
- Документация Microsoft Graph API
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →