Microsoft Entra ID,是 Microsoft Azure 平台上提供身份驗證與存取管理 (Identity and Access Management) 的主要服務,負責管理身份驗證與存取管理的工作。Microsoft Entra ID 的前身是 AppFabric 的存取控制服務,它是一個基於HTTP通訊協定的目錄服務 (Directory Service),與以LDAP和Kerberos協定為主的 Windows Server Active Directory 無法直接共通,必須透過 Azure AD Connect(英语:Azure AD Connect) 工具進行帳戶同步後,才能在 Microsoft Entra ID 中使用 Active Directory 的帳戶。
Microsoft Entra ID 依功能分為 Basic 版本與 Premium 版本,Basic 版本中包含了標準的單一簽入、帳戶與群組管理、Application Proxy (由 Microsoft Entra ID 代轉訊息到地端的 AD 網域控制站進行驗證)、Microsoft Entra ID Connect、基本資安與使用報表;Premium 版則支援了如地端與雲端共用的多重要素驗證、雲端帳戶密碼寫回至地端 AD 帳戶功能、動態群組功能、連線健康偵測與應用程式探索 (Cloud App Discovery) 等功能。Premium 版本也會配合微軟的企業行動套件 (Microsoft Enterprise Mobility Suites/EMS) 一起銷售 [1]。
架構
Microsoft Entra ID 本身是一個支援 HTTP 驗證協定 (如 SAML、OAuth 2.0) 的目錄服務, 因此應用程式可以利用它來連結其他網路上的應用程式,尤其是SaaS服務 [2]。
服務
Microsoft Entra ID 提供了數種類型的身份驗證服務,除了原本的 HTTP-based Identity 功能之外,它還實作了下列服務。
Microsoft Entra ID B2C
Microsoft Entra ID B2C 是一個為消費者端應用程式 (Consumer Application) 所設計的身份驗證服務,可支援由 OAuth 2.0 (如 Facebook、Google、Amazon、LinkedIn) 的社群網路身份提供者 (Identity Provider) 交互操作,並可整合同樣在 Microsoft Entra ID 內的多重要素驗證功能,以支援更高規格的安全性。
Microsoft Entra ID B2C 未來將可能會取代 Azure 現有的 Access Control Service 2.0。
Microsoft Entra ID 網域服務
Microsoft Entra ID 網域服務 (Domain Service) 是一個支援 LDAP 及 Kerberos 協定的服務,具有與 Windows Server Active Directory 相同的特性,可用來替代企業在自己的虛擬網路中建置網域控制站的需求,它雖然可支援 LDAP/Kerberos,但它仍然無法直接經由 Internet 使用,因此它只能用在 Azure 的虛擬網路內。
Microsoft Entra ID 網域服務截至 2016 年 3 月時仍然在公開預覽階段。
多重要素驗證
多重要素驗證 (Multi-Factor Authentication) 服務是 Microsoft Entra ID 下的一個功能,不過它並不是一定要和 Microsoft Entra ID 一起使用,它也可以單獨使用,不過若採用 Microsoft Entra ID 時,不需額外的設定就能取用多重要素驗證服務。