文章

Azure AD (Active Directory) 基礎

發布於 更新於
作者 Ned Hsu 10 分鐘閱讀

Azure Active Directory (Azure AD) 是 Microsoft 的雲端身份管理服務,廣泛用於用戶和組織的身份驗證和授權。它是企業應用程式及服務(如 Microsoft 365、Azure 及第三方應用程式)中管理身份和存取權限的核心。以下是 Azure AD 的基礎介紹。

一、Azure AD 的基本概念

1. 什麼是 Azure AD?

  • 身份管理平台:Azure AD 提供身份驗證、單一登入 (SSO)、多重身份驗證 (MFA)、訪問管理等功能,確保應用程式和服務僅允許經過驗證的用戶訪問。
  • 雲端目錄服務:與傳統的 Windows Server Active Directory 不同,Azure AD 是雲端原生的,適合管理雲端和混合環境中的用戶身份和存取權限。
  • 多租戶架構:Azure AD 支援多租戶環境,使組織能夠獨立管理其資源,並允許跨組織的應用程式訪問和整合。

2. 主要功能

  • 身份驗證與授權:提供用戶和應用程式的身份驗證服務,確保只有授權的用戶能夠訪問特定資源。
  • 單一登入 (SSO):用戶可以使用一組身份憑證訪問多個應用程式,無需反覆登錄,提升用戶體驗並增強安全性。
  • 多重身份驗證 (MFA):通過要求用戶提供多重形式的身份驗證來增強安全性,例如密碼加驗證碼或指紋。
  • 條件式存取:根據用戶身份、裝置狀態、地理位置等因素自動控制對應用程式和資料的存取,確保僅在滿足特定條件時授權訪問。
  • 應用程式管理:提供應用程式整合、發布和存取控制的集中管理,適用於公司內部和第三方應用程式。
  • 目錄同步 (Azure AD Connect):可以將本地 AD 目錄與 Azure AD 進行同步,使得用戶可以使用相同的身份憑證在內部網路和雲端服務中進行操作。

二、Azure AD 的核心概念和結構

1. 租戶 (Tenant)

  • 定義:Azure AD 租戶是一個專屬於您的 Azure AD 實例,每個 Azure AD 租戶都屬於一個組織,並包含該組織的用戶、組和應用程式資料。
  • 用戶場景:在租戶內,您可以創建和管理用戶、群組、應用程式,並配置安全性設置。

2. 使用者 (User)

  • 定義:Azure AD 中的使用者是有權訪問 Azure 資源和應用程式的個體。每個使用者都有一個唯一的身份憑證,這通常是電子郵件地址。
  • 身份驗證:使用者可以通過密碼、多重身份驗證等方式進行身份驗證。

3. 群組 (Group)

  • 定義:群組是用來集中管理多個使用者和其存取權限的集合。可以為群組分配應用程式和資源的存取權限,從而簡化管理流程。
  • 類型
    • 安全性群組:用於管理存取權限。
    • Office 365 群組:用於提供協作工具(如電子郵件、文件共享、日曆等)。

4. 角色 (Role) 和角色型存取控制 (RBAC)

  • 角色:Azure AD 提供了多種內建角色(如全域管理員、應用程式管理員),每個角色對應不同的權限集。
  • RBAC:使用 RBAC,您可以根據角色為用戶分配對資源的存取權限,確保用戶只具有執行其工作所需的最小權限。

5. 應用程式 (Applications)

  • 定義:Azure AD 支援將應用程式整合到目錄中,使得使用者可以通過 Azure AD 登錄應用程式並受益於 SSO、MFA 等功能。
  • 類型
    • SaaS 應用程式:如 Microsoft 365、Salesforce,可以通過 Azure AD 進行統一管理和訪問控制。
    • 自定義應用程式:組織自行開發的應用程式,可以整合到 Azure AD 中進行身份驗證和授權管理。

三、Azure AD 的常見使用場景

1. 單一登入 (Single Sign-On, SSO)

  • 簡介:使用 Azure AD SSO,員工可以使用一組身份憑證訪問所有已整合的應用程式(無論是內部的還是第三方的),大幅提升工作效率並減少因密碼管理而導致的安全風險。

2. 多重身份驗證 (Multi-Factor Authentication, MFA)

  • 簡介:MFA 是一種增強安全性的身份驗證方法,要求用戶在登錄時提供多個證明要素(如密碼加驗證碼),這樣可以有效降低帳戶被盜的風險。

3. 條件式存取 (Conditional Access)

  • 簡介:根據用戶的身份、設備、位置和風險狀態,自動控制資源的訪問權限。例如,當用戶從不常用的地理位置登錄時,可以強制要求使用 MFA。

4. 自助服務密碼重置 (Self-Service Password Reset, SSPR)

  • 簡介:Azure AD 支持用戶自助重置密碼,減少 IT 支援的負擔,提升用戶滿意度。

5. Azure AD B2C 和 B2B

  • Azure AD B2C:允許組織為其應用程式提供客戶端身份驗證服務,使客戶可以使用社交帳號(如 Google、Facebook)或本地帳號登錄。
  • Azure AD B2B:允許組織與外部合作夥伴、供應商和其他業務實體分享應用程式和服務,同時保持對資源的控制。

四、Azure AD 的管理與配置

1. 用戶和群組管理

  • 在 Azure AD 中,您可以通過 Azure Portal、PowerShell 或 API 來管理用戶和群組。可以創建、刪除用戶,將用戶添加到群組中,並分配相應的角色和權限。

2. 角色分配與 RBAC

  • Azure AD 提供了基於角色的存取控制 (RBAC),允許您根據角色分配來管理資源的存取權限。通過為用戶或群組分配角色,您可以控制誰可以執行特定的管理任務。

3. 應用程式整合

  • 您可以將內部開發的應用程式或第三方 SaaS 應用程式整合到 Azure AD,並為這些應用程式設置 SSO、MFA 和條件式存取策略。

五、Azure AD 與傳統 Active Directory 的差異

1. 雲端 vs. 本地

  • Azure AD 是一個完全雲端的身份管理服務,適合雲端應用程式和混合雲環境。
  • Windows Server Active Directory (AD) 是一個本地身份和存取管理服務,通常用於管理內部網路中的用戶和資源。

2. 功能比較

  • 身份管理:Azure AD 更側重於網頁應用程式和現代認證協議(如 OAuth 2.0、OpenID Connect),而 Windows AD 則適用於本地應用程式和基於 Kerberos 和 LDAP 的身份驗證。
  • 目錄服務:Windows AD 提供組織單元 (OU)、群組策略 (GPO) 等功能,這些在 Azure AD 中不存在,但可以通過 Microsoft Endpoint Manager 等工具來實現類似的功能。

總結

Azure AD 是一個功能強大的雲端身份管理服務,提供了豐

富的身份驗證和授權功能,支持現代應用程式的安全性需求。無論是用於單一登入、多重身份驗證,還是條件式存取,Azure AD 都能幫助企業提高安全性、簡化身份管理流程,並適應雲端和混合雲環境的需求。

Software, Azure
Azure Cloud Service
本文章以 CC BY 4.0 授權