Azure Active Directory：AzureAD企业应用集成与管理技术教程.docxVIP

PAGE1

PAGE1

AzureActiveDirectory：AzureAD企业应用集成与管理技术教程

1AzureActiveDirectory基础

1.1AzureAD概述

AzureActiveDirectory(AzureAD)是微软提供的一种云服务，用于管理用户身份和访问控制。它基于云的身份和访问管理(IAM)解决方案，能够与各种应用和服务集成，无论是微软的还是第三方的，本地的还是云的。AzureAD提供了强大的身份验证和授权服务，支持多种标准协议，如OAuth2.0、OpenIDConnect、SAML和WS-Federation。

1.1.1特点

统一身份管理：在多个应用和服务中使用单一登录(SSO)。

安全性和合规性：提供多因素认证(MFA)、条件访问策略和身份保护。

可扩展性和灵活性：支持自定义应用程序和开发人员友好的API。

集成与兼容性：与Office365和其他企业服务无缝集成。

1.2AzureAD的组件与功能

AzureAD由多个组件构成，每个组件负责不同的功能：

1.2.1AzureADB2C

AzureADB2C(Business-to-Consumer)是一种用于管理大量外部用户身份的服务，适用于面向消费者的场景。它允许企业创建自定义登录体验，支持社交媒体登录，如Facebook、Google和LinkedIn。

1.2.2AzureADB2B

AzureADB2B(Business-to-Business)用于与外部合作伙伴和客户共享资源，无需将他们添加到企业目录中。它支持使用外部用户的现有企业身份进行访问。

1.2.3AzureADPremium

AzureADPremium提供了高级功能，如自定义品牌、多因素认证、条件访问策略和高级报告。它分为P1和P2两个层级，P2提供了更强大的安全性和合规性功能。

1.2.4AzureADConnect

AzureADConnect是一个工具，用于将本地ActiveDirectory与AzureAD同步，实现混合云身份管理。它支持密码同步、用户同步和组同步。

1.3AzureAD与Office365的集成

AzureAD与Office365的集成是无缝的，因为Office365实际上使用AzureAD作为其身份服务。这意味着Office365用户可以自动登录到AzureAD管理的应用程序，无需额外的配置。此外，AzureAD提供了对Office365的精细访问控制，包括基于角色的访问控制(RBAC)和条件访问策略。

1.3.1示例：使用AzureAD管理Office365用户访问

假设我们有一个Office365环境，需要确保只有特定部门的用户才能访问SharePoint网站。我们可以使用AzureAD的条件访问策略来实现这一目标。

#使用AzureCLI创建条件访问策略

azrest--methodpost--uri/beta/identity/conditionalAccess/policies\

--body{

displayName:限制SharePoint访问,

conditions:{

users:{

include:[

{

source:userGroups,

target:department:finance

}

]

},

applications:{

include:[

{

source:applications,

target:SharePoint

}

]

}

},

grantControls:{

operator:OR,

builtInControls:[

mfa,

compliantDevice

]

}

}

1.3.2解释

上述代码示例展示了如何使用AzureCLI和MicrosoftGraphAPI创建一个条件访问策略，该策略限制SharePoint网站的访问仅限于财务部门的用户，并要求这些用户在访问时使用多因素认证(MFA)和合规设备。

1.4AzureAD与企