Идентичность Microsoft Entra и RBAC
Microsoft Entra ID (ранее Azure Active Directory) — облачный каталог идентичностей для Microsoft 365, Azure и тысяч SaaS по протоколу SSO. Для админа Windows Server в офисе по-прежнему актуален локальный AD; в гибриде они синхронизируются, но модель прав и протоколы различаются.
Связано: системное администрирование, Zero Trust.
Облачный каталог - учёт ресурсов и доступов
| Задача | Как решает Entra |
|---|---|
| Один логин в Outlook, Teams, Azure Portal | Единая учётная запись |
| Доступ к стороннему SaaS без пароля на каждый сайт | Federation / SSO (SAML, OIDC) |
| MFA, блокировка по риску | Conditional Access |
| Права на подписки Azure | RBAC на scope subscription/resource group |
Без центра идентичности каждый сервис хранит свои пароли — утечка и shadow IT растут.
Entra ID и локальный AD
| Локальный AD | Entra ID | |
|---|---|---|
| Протокол Kerberos в домене | Да | Нет (облачные протоколы) |
| OU, GPO | Да | Другие механизмы (Intune, CA) |
| Учётки облачных сервисов M365 | Через синхронизацию | Нативно |
| Типичная связка | On-prem серверы | Hybrid + Azure AD Connect |
Разработчик видит Entra через MSAL / OAuth2: приложение запрашивает scope, пользователь логинится, API получает JWT.
RBAC в Azure
Role-Based Access Control — роль «Владелец», «Участник», «Читатель» на уровне:
- management group;
- subscription;
- resource group;
- отдельный ресурс.
Принцип наименьших привилегий: dev-среда не должна наследовать Owner prod-подписки «потому что удобно».
Custom roles — когда встроенных мало (тонкие права на Key Vault).
Группы и лицензии
- Security groups — для назначения прав и политик.
- Microsoft 365 лицензии назначаются группам — см. M365.
- Guest (B2B) — внешний партнёр с ограниченным доступом к Teams/SharePoint.
Типичные инциденты
- Компрометация учётки Global Administrator — полный контроль тенанта.
- Сервисный principal с секретом в репозитории — автоматический доступ бота.
- Отключённый MFA у админов — вход по паролю из фишинга.
Реакция: MFA, PIM (временное повышение прав), аудит sign-in logs.
Практика
Модуль Службы идентификации Microsoft Entra (~25 мин).
Дальше: схема SC-900, навигатор Learn.
Итоги
Entra — центр доверия в Microsoft-ландшафте. RBAC в Azure — про кто что может в облаке; Entra — кто вы есть при входе. Гибрид с AD — норма enterprise, не исключение.
См. также
Другие статьи этого же раздела в боковом меню (как на странице «О разделе»). Администрирование как системная практика - управление доступами, обновлениями, резервным копированием и стабильностью IT-инфраструктуры. Установка ОС - это когда мы ставим её на чистый или отформатированный компьютер. Если аппаратное обеспечение — это тело инфраструктуры, то программное обеспечение — её нервная система. Без ПО железо остаётся набором нефункциональных компонентов. Система сохраняет видимость работоспособности, продолжает отвечать на базовые запросы и проходит поверхностные проверки, однако внутри накапливает критическую массу проблем, ведущих к внезапному коллапсу или глубокой деградации сервиса. Настройка и обслуживание серверов - развёртывание узла в инфраструктуре, базовая конфигурация и контроль стабильной эксплуатации. Групповые политики Windows - централизованное применение настроек в домене и управление конфигурацией рабочих станций. Конфигурация рабочих станций - настройка сетевых параметров, подключение к инфраструктуре и стандартизация клиентской среды. Сетевые подключения и диагностика - карта узлов, роль коммутаторов и базовые методы поиска проблем в гетерогенной сети. Домашняя сеть: устройства, маршрутизатор, Wi‑Fi, общий доступ к файлам и принтерам, UNC-пути в проводнике Windows. Windows Server — серверное семейство ОС на ядре Windows NT, предназначенное для корпоративной инфраструктуры: каталоги пользователей, файловые и веб-службы, виртуализация, контейнеры, сетевые роли. Проброс портов — это явное исключение из стандартного поведения NAT, которое блокирует все входящие соединения. Он не включается автоматически и требует ручной конфигурации. Планирование и автоматизация задач - как использовать планировщики для регулярных операций, резервного копирования и обслуживания систем.Администрирование
Установка и первоначальная настройка ОС
ИТ-инфраструктура
Сетевые аномалии и системные процессы
Настройка и обслуживание серверов
Групповые политики в Windows
Конфигурация рабочих станций
Сетевые подключения и диагностика
Организация домашней сети
Windows Server — начало работы
NAT и проброс портов
Планирование и автоматизация задач