Azure - 設定 Azure Active Directory
在 Windows 地端上保護存取資源、驗證使用者等均可以透過 Active Directory Domain Services (ADDS) 來達成,在雲端 Azure 上會改用 Azure Active Directory (AAD) 來進行身分識別、存取管理、Azure AD Join 和自助式密碼重設等。
1. Azure Active Directory 與 Active Directory Domain Services 差別
Azure Active Directory 是新一代的雲端身分識別和存取管理方式。 在地端使用 Active Directory Domain Services,讓每位使用者的單一身分識別來管理多個內部部署基礎結構元件和系統。
- AAD 不能像 ADDS 一樣將電腦加入 Domains。
- 不支援 LDAP ,目錄查詢使用 REST API 進行目錄查詢。
- 不支援 NTLM 或是 Kerberos。
- 扁平結構,無 OU 、Domains 或是 Foests 概念。
2. Azure AD 功能
| AAD | Description |
|---|---|
| SSO | AAD 提供安全的單一登入 (SSO) 給雲端上的應用程式。 |
| 其他裝置支援 | AAD 可用於 iOS、macOS、Android 和 Windows 裝置。 |
| 資料保護 | AAD 提供唯一的身分識別保護功能,以保護敏感性資料和應用程式 |
| 自助式密碼重設 | AAD 可以透過驗證步驟提供自助式應用程式存取和密碼管理。 |
3. Azure AD 主要元件
- 身分識別 : 身分識別可以驗證的物件。
- 帳戶 : 透過身分識別後的帳戶。
- Azure AD 帳戶 : 可以透過 Azure AD 或 Microsoft 雲端服務所建立的身分識別 。
- Azure 租戶 : Azure 「租戶」是 Azure AD 的受信任個體;另外租戶又稱為目錄。
- Azure 訂用帳戶 : Azure 訂用帳戶用來支付 Azure 雲端服務的費用。
4. Azure AD 版本功能
-
Free : 提供使用者和群組管理、內部部署目錄同步處理和基本報告。
-
Office 365 : 提供 Microsoft 365 應用程式的身分識別和存取管理。 額外的支援包括商標、MFA、群組存取管理,以及雲端使用者的自助式密碼重設。
-
Premium P1 : 讓混合式使用者同時存取內部部署和雲端的資源。 此版本支援進階管理,例如動態群組、自助式群組管理和雲端回寫功能。 P1 也包含 Microsoft Identity Manager (內部部署身分識別和存取管理套件)。 P1 中的額外功能可讓您的內部部署使用者使用自助式密碼重設。
-
Premium P2 : 額外供 Azure AD Identity Protection,可協助為應用程式和重要公司資料提供風險型條件式存取。
官網提供的比較表 Azure AD Multi-Factor Authentication 版本與取用方案 - Microsoft Entra | Microsoft Learn
| 功能 | Azure AD Free - 安全性預設值 (已為所有使用者啟用) | Azure AD Free - 僅限全域管理員 | Office 365 | Azure AD Premium P1 | Azure AD Premium P2 |
|---|---|---|---|---|---|
| 使用 MFA 保護 Azure AD 租用戶管理帳戶 | ● | ● (僅限 Azure AD 全域管理員帳戶) | ● | ● | ● |
| 以行動應用程式做為第二個因素 | ● | ● | ● | ● | ● |
| 以撥打電話做為第二個因素 | ● | ● | ● | ● | |
| 以 SMS 做為第二個因素 | ● | ● | ● | ● | |
| 系統管理員控制驗證方法 | ● | ● | ● | ● | |
| 詐騙警示 | ● | ● | |||
| MFA 報告 | ● | ● | |||
| 通話的自訂問候語 | ● | ● | |||
| 自訂的通話來電者 ID | ● | ● | |||
| 信任的 IP | ● | ● | |||
| 記住受信任裝置的 MFA | ● | ● | ● | ● | |
| 內部部署應用程式的 MFA | ● | ● | |||
| 條件式存取 | ● | ● | |||
| 以風險為根據的條件式存取 | ● | ||||
| Identity Protection (風險性登入、風險性使用者) | ● | ||||
| 存取權檢閱 | ● | ||||
| 權利管理 | ● | ||||
| Privileged Identity Management (PIM)、Just-In-Time 存取 | ● | ||||
| 生命週期工作流程 (預覽) | ● |
5. Azure Active Directory 自助式密碼重設
透過自助式密碼重設 (SSPR) 功能可讓允許使用者重設自己密碼,而不需請管理員處理。
5.1. Azure AD SSPR 需求
- SSPR 需要具有全域管理員權限的 Azure AD 帳戶,才能管理 SSPR 選項。 這個帳戶可以隨時重設自身密碼,無論設定的選項為何。
- SSPR 會使用安全性群組來限制具有 SSPR 權限的使用者。
- 所有使用者帳戶,都必須具備有效的授權才能使用 SSPR。
5.2. SSPR 使用的驗證方式
管理者可以決定使用者使用下列何種認證方式來執行密碼重設。
6. 小結
Active Directory Domain Services 與 Azure AD 時常會令人誤會,最大區別在於 Azure AD 透過 HTTPS 進行驗證而 Active Directory Domain Services 使用 Kerberos 驗證,如果要在 Azure 使用 Kerberos 驗證除了架設虛擬機啟動 Active Directory Domain Services 之外還可以使用 Azure Active Directory 的 PaaS 服務。
如果你還沒有註冊 Like Coin,你可以在文章最下方看到 Like 的按鈕,點下去後即可申請帳號,透過申請帳號後可以幫我的文章按下 Like,而 Like 最多可以點五次,而你不用付出任何一塊錢,就能給我寫這篇文章的最大的回饋!