Перейти к основному содержимому

Идентичность Microsoft Entra и RBAC

Разработчику Архитектору

Microsoft Entra ID (ранее Azure Active Directory) — облачный каталог идентичностей для Microsoft 365, Azure и тысяч SaaS по протоколу SSO. Для админа Windows Server в офисе по-прежнему актуален локальный AD; в гибриде они синхронизируются, но модель прав и протоколы различаются.

Связано: системное администрирование, Zero Trust.


Облачный каталог - учёт ресурсов и доступов

ЗадачаКак решает Entra
Один логин в Outlook, Teams, Azure PortalЕдиная учётная запись
Доступ к стороннему SaaS без пароля на каждый сайтFederation / SSO (SAML, OIDC)
MFA, блокировка по рискуConditional Access
Права на подписки AzureRBAC на scope subscription/resource group

Практически это означает, что идентичность становится "центром политики". Права, аутентификация и контроль риска перестают быть разрозненными настройками по разным сервисам и управляются как единая модель. Для администратора это особенно важно при аудите: проще ответить на вопросы "кто имел доступ", "когда входил" и "почему доступ был разрешён".

Без центра идентичности каждый сервис хранит свои пароли — утечка и shadow IT растут.


Entra ID и локальный AD

Локальный ADEntra ID
Протокол Kerberos в доменеДаНет (облачные протоколы)
OU, GPOДаДругие механизмы (Intune, CA)
Учётки облачных сервисов M365Через синхронизациюНативно
Типичная связкаOn-prem серверыHybrid + Azure AD Connect

Разработчик видит Entra через MSAL / OAuth2 — приложение запрашивает scope, пользователь логинится, API получает JWT.


RBAC в Azure

Role-Based Access Control — роль "Владелец", "Участник", "Читатель" на уровне:

  • management group;
  • subscription;
  • resource group;
  • отдельный ресурс.

Принцип наименьших привилегий: dev-среда не должна наследовать Owner prod-подписки "потому что удобно".

Custom roles — когда встроенных мало (тонкие права на Key Vault).


Группы и лицензии

  • Security groups — для назначения прав и политик.
  • Microsoft 365 лицензии назначаются группам — см. M365.
  • Guest (B2B) — внешний партнёр с ограниченным доступом к Teams/SharePoint.

Типичные инциденты

  • Компрометация учётки Global Administrator — полный контроль тенанта.
  • Сервисный principal с секретом в репозитории — автоматический доступ бота.
  • Отключённый MFA у админов — вход по паролю из фишинга.

Реакция — MFA, PIM (временное повышение прав), аудит sign-in logs.


Практика

Модуль Службы идентификации Microsoft Entra (~25 мин).

Дальше: схема SC-900, навигатор Learn.


Итоги

Entra — центр доверия в Microsoft-ландшафте. RBAC в Azure — про кто что может в облаке; Entra — кто вы есть при входе. Гибрид с AD — норма enterprise, не исключение.


Как внедрять Entra и RBAC аккуратно

Переход к облачной модели прав лучше делать поэтапно:

  • Сначала инвентаризация текущих административных ролей.
  • Затем MFA и Conditional Access для админских учёток.
  • После этого - PIM/JIT для временного повышения прав.

Частые ошибки в ролях

  • Выдача Global Administrator "на всякий случай".
  • Отсутствие ревизии service principal и секретов.
  • Смешение продовых и тестовых ролей в одной группе.

Связанные статьи: Настройка и обслуживание серверов, Windows Server - начало работы, Планирование и автоматизация задач.