Открыть сервис

Microsoft Entra ID

Microsoft Entra ID — это облачная служба управления идентификацией и доступом (Identity and Access Management, IAM), предоставляемая корпорацией Microsoft в рамках платформы Microsoft Azure. Ранее была известна под названием Azure Active Directory (Azure AD). Служба предназначена для аутентификации пользователей, управления их правами доступа к облачным и локальным ресурсам, а также для обеспечения единого входа (Single Sign-On, SSO) в приложения и сервисы.

История

Предшественник: Azure Active Directory

Azure Active Directory была запущена в 2011 году как облачный сервис каталогов, интегрированный с Microsoft Azure. Она стала эволюцией локального решения Active Directory (AD), но изначально была спроектирована для работы в облачной среде. Основной задачей Azure AD было обеспечение аутентификации и авторизации для облачных приложений Microsoft, таких как Office 365, Dynamics 365 и Azure.

Переименование в Microsoft Entra ID

В 2023 году корпорация Microsoft объявила о переименовании Azure Active Directory в Microsoft Entra ID. Это решение было частью стратегии по унификации продуктов семейства Microsoft Entra, которое включает в себя также решения для управления разрешениями (Microsoft Entra Permissions Management) и управления идентификацией для внешних пользователей (Microsoft Entra External ID). Переименование подчеркнуло, что сервис выходит за рамки только облачной инфраструктуры Azure и является центральным компонентом более широкой экосистемы управления идентификацией Microsoft.

Основные функции

Аутентификация и единый вход

Microsoft Entra ID обеспечивает аутентификацию пользователей с использованием различных методов, включая пароли, многофакторную аутентификацию (MFA), биометрию (через Windows Hello) и сертификаты. Сервис поддерживает единый вход (SSO) для тысяч предварительно интегрированных приложений, включая приложения Microsoft (Microsoft 365, Azure) и сторонние SaaS-решения (Salesforce, Dropbox, Slack).

Управление доступом

Служба предоставляет механизмы для управления доступом к ресурсам на основе ролей (Role-Based Access Control, RBAC) и атрибутов (Attribute-Based Access Control, ABAC). Администраторы могут создавать политики условного доступа (Conditional Access), которые анализируют контекст входа (геолокация, устройство, риск) и принимают решения о предоставлении или блокировке доступа.

Управление группами и пользователями

Microsoft Entra ID позволяет создавать и управлять учетными записями пользователей и группами. Поддерживаются синхронизация с локальным Active Directory через Azure AD Connect (теперь — Microsoft Entra Connect), а также динамические группы, членство в которых определяется на основе атрибутов пользователя (например, «все сотрудники отдела продаж»).

Управление приложениями

Сервис выступает в роли центрального хранилища для регистрации и управления приложениями. Пользователи могут получать доступ к корпоративным приложениям через портал «Мои приложения» (My Apps). Поддерживается прокси-доступ к локальным веб-приложениям (Azure AD Application Proxy) без необходимости открытия портов в брандмауэре.

Защита идентификации

Microsoft Entra ID включает в себя функции защиты идентификации (Identity Protection), которые используют машинное обучение для обнаружения подозрительных действий: необычные входы, утечки учетных данных, атаки методом перебора. Система может автоматически блокировать рискованные попытки входа или требовать смены пароля.

Архитектура и интеграция

Мультитенантная архитектура

Microsoft Entra ID построена на мультитенантной облачной архитектуре. Каждый клиент (организация) получает изолированный каталог — тенант (tenant). В рамках одного тенанта хранятся все объекты (пользователи, группы, приложения) и политики. Тенанты не имеют прямого доступа друг к другу, но могут быть связаны через механизмы внешнего сотрудничества (B2B).

Интеграция с локальной инфраструктурой

Для организаций, использующих локальный Active Directory, Microsoft предлагает Microsoft Entra Connect — инструмент для синхронизации объектов каталога. Возможна гибридная конфигурация, при которой часть пользователей аутентифицируется через облачный сервис, а часть — через локальные контроллеры домена. Поддерживаются три режима аутентификации: синхронизация хэшей паролей, сквозная аутентификация (Pass-through Authentication) и федерация с использованием служб ADFS.

API и программный доступ

Microsoft Entra ID предоставляет REST API (Microsoft Graph) для программного управления идентификацией. Разработчики могут создавать приложения, которые регистрируются в Entra ID и используют его для аутентификации пользователей (OAuth 2.0, OpenID Connect). API позволяет автоматизировать создание пользователей, управление группами и политиками.

Версии и лицензирование

Microsoft Entra ID доступен в нескольких редакциях, различающихся набором функций и стоимостью:

РедакцияОсновные возможностиЦелевая аудитория
FreeАутентификация, SSO для приложений Microsoft, базовые политики условного доступаНебольшие организации, использующие только Microsoft 365
Microsoft Entra ID P1Все функции Free + расширенные политики условного доступа, управление группами, динамические группы, самообслуживание сброса пароляСредний бизнес
Microsoft Entra ID P2Все функции P1 + защита идентификации (Identity Protection), управление привилегированными пользователями (Privileged Identity Management, PIM)Крупные организации с высокими требованиями к безопасности

Также существуют отдельные планы для внешних пользователей (Microsoft Entra External ID) и для управления разрешениями (Microsoft Entra Permissions Management).

Применение

Microsoft Entra ID используется в следующих сценариях:

Критика и ограничения

Несмотря на широкое распространение, Microsoft Entra ID имеет ряд недостатков. Основные из них:

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →