Azure Active Directory (Azure AD) là gì?

Kiến Thức

Azure Active Directory (Azure AD) là dịch vụ quản lý truy cập và nhận dạng dựa trên đám mây của Microsoft, giúp nhân viên của bạn đăng nhập và truy cập tài nguyên.

Các tài nguyên bao gồm:

  • Các tài nguyên bên ngoài, như Microsoft Office 365, Azure Portal và hàng ngàn ứng dụng SaaS khác.
  • Tài nguyên nội bộ, chẳng hạn như các ứng dụng trên mạng công ty và mạng nội bộ cùng với bất kỳ ứng dụng đám mây nào được phát triển của riêng công ty.

Ai sử dụng Azure Active Directory (Azure AD)?

Azure AD dành cho:

  • Là nhà phát triển ứng dụng, bạn có thể sử dụng Azure AD làm cách tiếp cận dựa trên tiêu chuẩn để thêm đăng nhập một lần (SSO) vào ứng dụng của mình, cho phép ứng dụng hoạt động với thông tin đăng nhập trước của người dùng. Azure AD cũng cung cấp các API có thể giúp bạn xây dựng trải nghiệm ứng dụng được cá nhân hóa bằng cách sử dụng dữ liệu tổ chức hiện có.IT admin: các quản trị viên CNTT. Bạn có thể sử dụng Azure AD để kiểm soát quyền truy cập vào ứng dụng và tài nguyên ứng dụng, dựa trên yêu cầu kinh doanh. Ví dụ: admin có thể sử dụng Azure AD để yêu cầu xác thực đa yếu tố khi truy cập các tài nguyên quan trọng của công ty. Ngoài ra, admin có thể sử dụng Azure AD để tự động hóa việc cung cấp người dùng giữa Windows Server AD hiện tại và các ứng dụng đám mây, bao gồm Office 365. Cuối cùng, Azure AD cung cấp cho admin các công cụ mạnh mẽ để tự động giúp bảo vệ danh tính và thông tin người dùng cũng như đáp ứng các yêu cầu quản trị truy cập.
  • App developer: Là nhà phát triển ứng dụng, bạn có thể sử dụng Azure AD làm cách tiếp cận dựa trên tiêu chuẩn để thêm single sign-on (SSO) vào các ứng dụng, cho phép ứng dụng hoạt động với thông tin đăng nhập trước của người dùng. Azure AD cũng cung cấp các API có thể giúp bạn xây dựng trải nghiệm ứng dụng được cá nhân hóa bằng cách sử dụng dữ liệu tổ chức hiện có.
  • Người dùng Microsoft 365, Office 365, Azure, or Dynamics CRM Online: Là người dùng, bạn đã sử dụng Azure AD. Mỗi đối tượng tenant Microsoft 365, Office 365, Azure và Dynamics CRM Online sẽ tự động là Azure AD tenant. Bạn có thể ngay lập tức bắt đầu quản lý quyền truy cập vào các ứng dụng đám mây tích hợp của mình.

Về Azure AD license

Các dịch vụ Microsoft Online business như Office 365 hoặc Microsoft Azure, yêu cầu Azure AD để đăng nhập và để giúp bảo vệ danh tính. Nếu bạn đăng ký bất kỳ dịch vụ dịch vụ Microsoft Online business, bạn sẽ tự động nhận Azure AD với quyền truy cập vào tất cả các tính năng miễn phí.

Để tăng cường triển khai Azure AD, bạn cũng có thể mua thêm các tính năng bằng cách nâng cấp license lên Azure Active Directory Premium P1 hoặc Premium P2. License Azure AD bản nâng cấp cung cấp dịch vụ tự phục vụ, giám sát nâng cao, báo cáo bảo mật và truy cập an toàn cho người dùng di động.

Một số thông tin cần chú ý

  • Azure Active Directory free (bản miễn phí): Cung cấp quản lý người dùng và nhóm, đồng bộ hóa thư mục on-premise, báo cáo cơ bản, tự thay đổi mật khẩu cho người dùng đám mây và đăng nhập một lần trên Azure, Office 365 và nhiều ứng dụng SaaS phổ biến.
  • Azure Active Directory Premium P1: Ngoài các tính năng của bản miễn phí, P1 cho phép người dùng sử dụng tính năng ở môi trường hybrid bằng cách truy cập cả tài nguyên on-premise và cloud (đám mây). P1 cũng hỗ trợ quản trị nâng cao, chẳng hạn như các nhóm động (dynamic group), self-service group management, Microsoft Identity Manager (bộ quản lý truy cập và nhận dạng on-premise) và khả năng write-back trên cloud, cho phép đặt lại mật khẩu on-premise của người dùng.
  • Azure Active Directory Premium P2: Ngoài các tính năng miễn phí và P1, P2 còn cung cấp Azure Active Directory Identity Protection để giúp cung cấp Conditional Access (quyền truy cập có điều kiện) dựa trên rủi ro cho các ứng dụng và dữ liệu quan trọng của công ty và  Privileged Identity Management để giúp khám phá, hạn chế và giám sát quyền truy cập của bất cứ ai vào tài nguyên và để cung cấp truy cập kịp thời khi cần thiết.
  • tính năng “Pay as you go” của license: Bạn cũng có thể nhận các license tính năng bổ sung, chẳng hạn như Azure Active Directory Business-to-Customer (B2C). B2C có thể giúp bạn cung cấp các giải pháp quản lý truy cập và nhận dạng cho các ứng dụng hướng tới khách hàng của bạn. Để biết thêm thông tin Azure Active Directory B2C documentation.

Các thuật ngữ

Thuật ngữ/khái niệmMô tả
IdentityMột điều gì đó có thể được xác thực. Một identity (có thể hiểu là danh tính) có thể là một người dùng với tên người dùng và mật khẩu. identity cũng bao gồm các ứng dụng hoặc máy chủ khác có thể yêu cầu xác thực thông qua các khóa hoặc chứng chỉ bảo mật.
AccountMột identity có dữ liệu liên quan đến nó. Bạn không thể có một tài khoản mà không có Identity
Azure AD accountMột Identity được tạo thông qua Azure AD hoặc một dịch vụ đám mây khác của Microsoft, chẳng hạn như Office 365. Identity được lưu trữ trong Azure AD và có thể truy cập vào các đăng ký dịch vụ đám mây của tổ chức của bạn. Tài khoản này đôi khi cũng được gọi là Work hay school account.
Azure subscriptionĐược sử dụng để thanh toán cho các dịch vụ đám mây Azure. Bạn có thể có nhiều subscription và chúng được liên kết với thẻ tín dụng.
Azure tenantMột phiên bản Azure AD chuyên dụng và đáng tin cậy được tạo tự động khi tổ chức của bạn đăng ký subscription các dịch vụ đám mây của Microsoft, như Microsoft Azure, Microsoft Intune hoặc Office 365. Một tenant Azure chính là đại diện cho một tổ chức.
Single tenantAzure tenant truy cập các dịch vụ khác trong môi trường dành riêng được coi là single tenant.
Multi-tenantAzure tenant truy cập các dịch vụ khác trong một môi trường chung, trên nhiều tổ chức, được coi là Multi-tenant.
Azure AD directoryMỗi Azure tenant có một Azure AD directory chuyên dụng và đáng tin cậy. Azure AD directory bao gồm người dùng, nhóm và ứng dụng của tenant và được sử dụng để thực hiện các chức năng quản lý truy cập và nhận dạng cho tài nguyên của tenant đó.
Custom domainMỗi Azure AD directory mới đi kèm với một tên miền ban đầu, chẳng hạn như: domainname.onmicrosoft.com. Ngoài tên ban đầu đó, bạn cũng có thể thêm tên miền của tổ chức, bao gồm tên bạn sử dụng để kinh doanh và người dùng của bạn sử dụng để truy cập tài nguyên của tổ chức vào danh sách. Thêm tên miền tùy chỉnh giúp bạn tạo tên người dùng quen thuộc với người dùng của mình, chẳng hạn như [email protected]
Account AdministratorVai trò của subscription administrator (classic) về mặt khái niệm là chủ sở hữu thanh toán của một subscription. Vai trò này cho phép truy cập vào Azure Account Center và cho phép bạn quản lý tất cả các subscription trong một tài khoản. Để biết thêm thông tin: Classic subscription administrator roles, Azure Role-based access control (RBAC) roles, and Azure AD administrator roles.
Service AdministratorVai trò của subscription administrator (classic) này cho phép bạn quản lý tất cả các tài nguyên Azure, bao gồm cả quyền truy cập. Vai trò này có quyền truy cập tương đương của người dùng được gán vai trò Owner ở phạm vi subscription. Để biết thêm thông tin:  Classic subscription administrator roles, Azure RBAC roles, and Azure AD administrator roles.
OwnerVai trò này giúp bạn quản lý tất cả các tài nguyên Azure, bao gồm cả quyền truy cập. Vai trò này được xây dựng trên một hệ thống ủy quyền mới hơn gọi là kiểm soát truy cập cơ sở vai trò (RBAC) cung cấp quản lý truy cập chi tiết cho các tài nguyên Azure.
Azure AD Global administratorVai trò quản trị viên này được tự động gán cho bất kỳ ai tạo Azure AD tenant. Global administrators có thể thực hiện tất cả các chức năng quản trị cho Azure AD và bất kỳ dịch vụ nào liên kết với Azure AD, như Exchange Online, SharePoint Online và Skype for Business Online. Bạn có thể có nhiều Global administrators, nhưng chỉ Global administrators mới có thể gán vai trò quản trị viên (bao gồm cả chỉ định Global administrators khác) cho người dùng.
Ghi chú
Vai trò quản trị viên này được gọi là Global administrator trong Azure Portal, nhưng được gọi là Company administrator trong Microsoft Graph API và Azure AD PowerShell.
Để biết thêm thông tin về các loại vai trò của  administrator, vui lòng truy cập:  Administrator role permissions in Azure Active Directory.
Microsoft account (also called, MSA)Persional account (được hiểu là tài khoản cá nhân) cung cấp quyền truy cập vào các sản phẩm và dịch vụ đám mây hướng tới người tiêu dùng của Microsoft, như Outlook, OneDrive, Xbox LIVE hoặc Office 365. Microsoft account hay tài khoản Microsoft của bạn được tạo và lưu trữ trong hệ thống tài khoản nhận dạng người dùng của Microsoft do Microsoft điều hành.

Tính năng nào làm việc trên Azure AD?

Sau khi bạn mua  Azure AD license, bạn sẽ có quyền truy cập vào một số hoặc tất cả các tính năng sau cho tổ chức của mình:

Tính năngMô tả
Application managementQuản lý ứng dụng đám mây và on-premise của bạn bằng Proxy ứng dụng, đăng nhập một lần,My Apps portal (còn được gọi là Access panel) và ứng dụng Phần mềm dưới dạng dịch vụ (SaaS). Để biết thêm thông tin:  How to provide secure remote access to on-premises applications , Application Management documentation
AuthenticationQuản lý Azure Active Directory tự reset password, Multi-Factor Authentication, danh sách các mật khẩu bị cấm, smart lockout. Để biết thêm thông tin: Azure AD Authentication documentation.
Business-to-Business (B2B)Quản lý guest users và  external partners, trong khi duy trì quyền kiểm soát dữ liệu công ty của riêng bạn.
Business-to-Customer (B2C)Tùy chỉnh và kiểm soát cách người dùng đăng ký, đăng nhập và quản lý hồ sơ thông tin của họ khi sử dụng ứng dụng của bạn.
Conditional AccessQuản lý quyền truy cập vào các ứng dụng đám mây của bạn. Để biết thêm thông tin: Azure AD Conditional Access documentation.
Azure Active Directory for developersXây dựng các ứng dụng đăng nhập tất cả identity của Microsoft, nhận mã thông báo để có Microsoft Graph, các API khác của Microsoft hoặc API tùy chỉnh.
Device Management
Quản lý cách đám mây hoặc thiết bị on-premise của bạn truy cập dữ liệu công ty của bạn. Để biết thêm thông tin: Azure AD Device Management documentation
Domain servicesjoin các Azure virtual machines vào domain mà không cần sử dụng domain controllers. Để biết thêm thông tin:  Azure AD Domain Services documentation
Enterprise usersQuản lý phân bổ license, truy cập vào ứng dụng và thiết lập bằng cách sử dụng các nhóm và vai trò quản trị viên.
Hybrid identitySử dụng Azure Active Directory Connect & Connect Health để cung cấp single user identity cho xác thực cho tất cả các tài nguyên, bất kể ở cloud hay on-premise. Chi tiết:  Hybrid identity documentation
Identity governanceQuản lý danh tính của tổ chức của bạn thông qua nhân viên, đối tác kinh doanh, nhà cung cấp, dịch vụ và kiểm soát truy cập ứng dụng. Bạn cũng có thể thực hiện các đánh giá truy cập. Thông tin chi tiết:  Azure AD identity governance documentation,  Azure AD access reviews
Identity protectionPhát hiện các lỗ hổng tiềm ẩn ảnh hưởng đến danh tính/thông tin của tổ chức của bạn, định cấu hình các chính sách để phẩn ứng trước các hành động đáng ngờ và sau đó thực hiện hành động thích hợp để giải quyết chúng.
Managed identities for Azure resourcesCung cấp dịch vụ Azure của bạn một cách tự động quản lý identity trong Azure AD. Xác thực bất kỳ dịch vụ xác thực nào được Azure AD hỗ trợ bao gồm Key Vault. Chi tiết: What is managed identities for Azure resources?
Privileged identity management (PIM)Quản lý, kiểm soát và giám sát truy cập trong tổ chức của bạn. Tính năng này bao gồm quyền truy cập vào các tài nguyên trong Azure AD và Azure và các Dịch vụ trực tuyến khác của Microsoft, như Office 365 hoặc Intune. Để biết thêm chi tiết: Azure AD Privileged Identity Management.
Reports and monitoringHiểu biết sâu sắc về bảo mật và mô hình sử dụng trong môi trường của bạn. Chi tiết về tính năng này: Azure Active Directory reports and monitoring.

Nếu vẫn chưa rõ về thông tin hoặc cần hỗ trợ hay có nhu cầu mua bản quyền vui lòng liên hệ chúng tôi:

Bài viết có thể bạn quan tâm:

Theo Microsoft Docs

guest
0 Comments
Inline Feedbacks
View all comments

Bài viết liên quan

Pin It on Pinterest

Share This