AD域攻防权威指南最新章节_党超辉著

1.2 Microsoft Entra ID基础

1.2.1 核心概念

1．Tenant ID

Tenant ID称为租户ID，是Microsoft Entra分配给每个使用Microsoft服务（如Azure或Office 365）的组织或单位的唯一标识符。在多租户架构中，每个注册并使用Azure服务的组织或单位都会拥有一个全球唯一的Microsoft Entra ID独立实例，即一个租户。Tenant ID就是这个租户的唯一标识，通常是一串GUID格式的字符串，如9a73825c-c7c8-abce-9723-c6d7a13fe3b5。

注意

Microsoft Entra ID原称Azure AD（或简称AAD）。本书后续内容主要使用Microsoft Entra ID的说法，但为了方便理解，会在某些特定场景下使用Azure AD。

2．Primary domain

Primary domain称为主要域，是指组织或单位在其Microsoft Entra租户中注册并设置为主要识别名称的域名。在Microsoft Entra ID中，每个租户都可以有多个自定义域名，但只有一个能被指定为主域名。Primary domain主要用于标识及管理组织内部的用户、群组、设备等各种资源。当用户试图登录至Microsoft Entra ID或运用Microsoft Entra ID进行身份验证以访问资源时，通常会使用Primary domain的凭据进行身份验证。

3．User

Microsoft Entra ID中的User（用户）是指在Microsoft Entra ID中创建并管理的数字身份。这些User可以代表组织或单位中的个人、应用程序或其他安全主体。通过Microsoft Entra ID，这些用户可以进行身份验证、授权和访问管理，从而访问企业级服务和资源，如Microsoft 365、Azure、Microsoft Dynamics等。

4．Group

在Microsoft Entra ID中，用来控制访问和管理身份的Group（组）主要有如下两种类型。

（1）安全组

安全组是基于云的组，主要用于对Azure资源、应用程序及其他Microsoft服务的访问进行有效管理。安全组能够涵盖用户、其他安全组和服务主体。管理员可以方便地通过Microsoft Entra ID控制台，将需要分配权限的用户加入安全组中，并为其分配适当的权限。在Azure环境中，安全组是实现访问控制及遵循最小权限原则所不可或缺的关键组件。可通过执行“Get-AzureADGroup”命令来查询所有安全组，结果如图1-42所示。

图1-42 通过“Get-AzureADGroup”命令来查询所有安全组

常见的安全组及其权限如下所示。

❑全局管理员组（Global Administrator Group）：该组具有对整个Azure AD租户的完全访问权限，包括用户管理、安全设置、应用程序管理等。默认情况下，Azure AD中的第一个全局管理员是创建租户时指定的管理员。

❑应用程序管理员组（Application Administrator Group）：该组具有管理Azure AD中注册的应用程序的权限，包括添加、编辑和删除应用程序，以及分配应用程序角色等操作。

❑动态组（Dynamic Group）：动态组允许管理员基于用户属性（如部门、职务、地理位置等）设置规则，系统会根据这些规则自动将符合条件的用户添加到组中或从组中移除。

（2）Microsoft 365组

Microsoft 365组主要用于管理协作，可让组织内的成员有权访问共享邮箱、日历、文件、SharePoint站点等。此外，Microsoft 365组还支持来宾访问，允许组织外部的人员参与某些协作活动。Microsoft 365组的所有者可以是用户和服务主体，但该组的成员必须是用户。

5．Application

Application（应用程序）是指在Microsoft Entra中注册的任何类型的应用程序或服务。这些应用程序既可以是由Microsoft提供的，也可以是由开发人员自定义的。在Microsoft Entra中，这些应用程序主要有如下两种类型。

（1）Microsoft提供的应用程序

由Microsoft提供和维护，如Office 365、Microsoft Teams、Azure Portal等，组织或单位可以通过Microsoft Entra来管理这些应用程序的访问和配置权限。

（2）自定义应用程序

由组织/单位自行开发或由第三方开发，并且这些应用程序（如We b应用、后端服务）会被注册到Microsoft Entra中。

6．Resource Group

Azure资源组（Resource Group）是一种逻辑容器，如图1-43所示，主要用于管理在Azure中部署的相关资源。在Azure云平台上创建资源时，可以选择将这些资源放入同一个资源组内。资源组可以包含任何类型的Azure资源，如虚拟机、文件存储、SQL数据库、网络接口、应用服务等。

图1-43 Azure资源组

7．Subscription

Azure订阅（Subscription）与资源组类似，如图1-44所示，它是将资源组及其资源关联起来的逻辑容器。Subscription是Azure服务的逻辑单元。当注册Azure时，将自动创建一个Azure Subscription。通过Subscription，可以访问和管理Azure服务。Microsoft Entra目录可以有多个订阅，但每个订阅只能信任一个目录。

8．Resources

Resources（资源）是指在Microsoft Azure云平台上创建、管理和使用的各种服务，如计算资源、存储资源、网络资源，具体如Azure虚拟机、文件存储、虚拟网络等。每个资源都有一个唯一的标识符，并由Azure资源管理器（Azure Resource Manager）管理。

图1-44 Azure Subscription