零信任架构：微软身份大管家Microsoft Entra

这里是总结，详情阅读官方文档：https://learn.microsoft.com/zh-cn/entra/fundamentals/entra-admin-center

微软复杂的身份验证体系真的会把人搞崩溃，比如对于Teams而言，有Microsoft Entra ID（企业，原来的AAD）和Microsoft Account（个人邮箱）两种账户。在国内Microsoft Entra ID还会分国际版和世纪互联版。同一个组织（公司）的Microsoft Entra ID里又会有用户和来宾。

微软几乎所有功能全部上云了，365、ad服务器都变成云了，各类账号一号通，AAD的功能越来越强大，还搞了个Microsoft entra管理设备。

Microsoft Entra ID 是 Azure AD 的新名称。 名称“Azure Active Directory”、“Azure AD”和“AAD”替换为 Microsoft Entra ID。

Microsoft Entra产品系列

Microsoft Entra 产品系列涵盖针对任何可信标识的安全端到端访问的四个成熟阶段。 这些阶段包括建立零信任访问控制，以及保护员工、客户、合作伙伴和任何云环境的访问安全。

Microsoft Entra的主要目标是帮助组织管理其用户的数字身份，无论是员工还是外部用户如客户和合作伙伴。

通过使用Microsoft Entra，企业可以实现单一登录（SSO），使得用户只需记住一组凭证即可访问多个应用和服务。此外，它还提供了多因素认证（MFA）、条件访问策略等功能来增强安全性。

具体参看 https://learn.microsoft.com/zh-cn/entra/fundamentals/what-is-entra

什么是 Microsoft Entra ID？

Microsoft Entra ID 是基于云的标识和访问管理服务，员工可以使用它来访问外部资源。 示例资源包括 Microsoft 365、Azure 门户以及成千上万的其他 SaaS 应用程序。

随着云计算的普及，越来越多的企业开始采用多云或混合云策略。然而，这也带来了身份和网络访问管理的复杂性。Microsoft Entra作为一个统一多云计算身份和网络访问解决方案的产品系列，可以保护任何身份对任何资源的访问安全，无论是在当地端、跨云计算还是在两者间。这为企业提供了更高的灵活性和便利性，有助于降低管理成本并提高安全性。

零信任架构

由于远程办公、第三方接入、托管云服务等场景的兴起，导致越来越多的工作交互发生在企业控制网络之外，传统的边界防御安全架构正逐渐失去作用。

2010年，Forrester的分析师约翰·金德维格提出了零信任理念，通过“永不信任，始终验证”原则对企业资源进行实时防护。零信任理念开始发展与演进。

零信任理念最早也是最出名的落地实践就是谷歌的BeyondCorp项目，该项目基于谷歌的网络基础架构和内部资源提供基于用户、设备等的身份验证与授权服务，旨在让每个员工都能在不借助VPN的情况下通过不受信任的网络工作。

微软、亚马逊等大型公司也在不断进行网络安全架构更新，微软提出Microsoft零信任安全战略和路线图，基于以身份为中心的系统为用户提供互联网和内网访问控制，用零信任访问接入替换VPN，其零信任架构如图所示。

2022 年 5 月微软推出 Microsoft Entra，微软将Azure Active Directory‎ (‎Azure AD‎) 更名为“Microsoft Entra ID‎”强调身份对其整体安全战略的重要性，

2023年，在Microsoft Ignite 2023大会上，发布了零信任战略和路线图，确立身份和网络访问在微软零信任集成战略中的核心作用，并通过统一访问控制来加快零信任的部署。

转载本站文章《零信任架构：微软身份大管家Microsoft Entra》,
请注明出处：https://www.zhoulujun.cn/html/tools/cloudServices/Azure/9292.html