Идентичность Microsoft Entra и RBAC
Microsoft Entra ID (ранее Azure Active Directory) — облачный каталог идентичностей для Microsoft 365, Azure и тысяч SaaS по протоколу SSO. Для админа Windows Server в офисе по-прежнему актуален локальный AD; в гибриде они синхронизируются, но модель прав и протоколы различаются.
Связано: системное администрирование, Zero Trust.
Облачный каталог - учёт ресурсов и доступов
| Задача | Как решает Entra |
|---|---|
| Один логин в Outlook, Teams, Azure Portal | Единая учётная запись |
| Доступ к стороннему SaaS без пароля на каждый сайт | Federation / SSO (SAML, OIDC) |
| MFA, блокировка по риску | Conditional Access |
| Права на подписки Azure | RBAC на scope subscription/resource group |
Практически это означает, что идентичность становится "центром политики". Права, аутентификация и контроль риска перестают быть разрозненными настройками по разным сервисам и управляются как единая модель. Для администратора это особенно важно при аудите: проще ответить на вопросы "кто имел доступ", "когда входил" и "почему доступ был разрешён".
Без центра идентичности каждый сервис хранит свои пароли — утечка и shadow IT растут.
Entra ID и локальный AD
| Локальный AD | Entra ID | |
|---|---|---|
| Протокол Kerberos в домене | Да | Нет (облачные протоколы) |
| OU, GPO | Да | Другие механизмы (Intune, CA) |
| Учётки облачных сервисов M365 | Через синхронизацию | Нативно |
| Типичная связка | On-prem серверы | Hybrid + Azure AD Connect |
Разработчик видит Entra через MSAL / OAuth2 — приложение запрашивает scope, пользователь логинится, API получает JWT.
RBAC в Azure
Role-Based Access Control — роль "Владелец", "Участник", "Читатель" на уровне:
- management group;
- subscription;
- resource group;
- отдельный ресурс.
Принцип наименьших привилегий: dev-среда не должна наследовать Owner prod-подписки "потому что удобно".
Custom roles — когда встроенных мало (тонкие права на Key Vault).
Группы и лицензии
- Security groups — для назначения прав и политик.
- Microsoft 365 лицензии назначаются группам — см. M365.
- Guest (B2B) — внешний партнёр с ограниченным доступом к Teams/SharePoint.
Типичные инциденты
- Компрометация учётки Global Administrator — полный контроль тенанта.
- Сервисный principal с секретом в репозитории — автоматический доступ бота.
- Отключённый MFA у админов — вход по паролю из фишинга.
Реакция — MFA, PIM (временное повышение прав), аудит sign-in logs.
Практика
Модуль Службы идентификации Microsoft Entra (~25 мин).
Дальше: схема SC-900, навигатор Learn.
Итоги
Entra — центр доверия в Microsoft-ландшафте. RBAC в Azure — про кто что может в облаке; Entra — кто вы есть при входе. Гибрид с AD — норма enterprise, не исключение.
Как внедрять Entra и RBAC аккуратно
Переход к облачной модели прав лучше делать поэтапно:
- Сначала инвентаризация текущих административных ролей.
- Затем MFA и Conditional Access для админских учёток.
- После этого - PIM/JIT для временного повышения прав.
Частые ошибки в ролях
- Выдача Global Administrator "на всякий случай".
- Отсутствие ревизии service principal и секретов.
- Смешение продовых и тестовых ролей в одной группе.
Связанные статьи: Настройка и обслуживание серверов, Windows Server - начало работы, Планирование и автоматизация задач.