สีฟ้า Active Directory (Azure AD ปัจจุบันเรียกว่า Entra ID) คือบริการจัดการข้อมูลประจำตัวและการเข้าถึงบนคลาวด์ของ Microsoft มันมีการลงชื่อเข้าระบบครั้งเดียวและ การพิสูจน์ตัวตนแบบหลายปัจจัย เพื่อช่วยให้องค์กรเข้าถึงแอปพลิเคชันระบบคลาวด์และแอปภายในองค์กรได้อย่างปลอดภัย
Entra ID อนุญาตให้องค์กรจัดการผู้ใช้และกลุ่ม สามารถทำงานร่วมกับภายในองค์กรได้ Active Directory เพื่อมอบโซลูชันการระบุตัวตนแบบไฮบริด
Entra IDคุณสมบัติหลักของได้แก่:
Entra ID ทำงานโดยการซิงค์กับไดเร็กทอรีภายในองค์กรและอนุญาตให้ลงชื่อเข้าใช้แอปพลิเคชันระบบคลาวด์เพียงครั้งเดียว ผู้ใช้สามารถลงชื่อเข้าใช้ครั้งเดียวด้วยบัญชีเดียวและเข้าถึงทรัพยากรทั้งหมดได้ Entra ID ยังเปิดใช้งานการรับรองความถูกต้องแบบหลายปัจจัย การจัดการการเข้าถึง การตรวจสอบ และการรายงานความปลอดภัยเพื่อช่วยปกป้อง บัญชีผู้ใช้ และควบคุมการเข้าถึง
Entra ID เชื่อมต่อซิงโครไนซ์ไดเรกทอรีภายในองค์กรเช่น Active Directory บริการโดเมนด้วย Entra ID. ซึ่งช่วยให้ผู้ใช้สามารถใช้ข้อมูลประจำตัวเดียวกันสำหรับทั้งทรัพยากรภายในองค์กรและในระบบคลาวด์ Entra ID เชื่อมต่อซิงโครไนซ์วัตถุเช่น:
กระบวนการซิงโครไนซ์นี้จะจับคู่วัตถุไดเรกทอรีภายในองค์กรกับวัตถุเหล่านั้น Entra ID เทียบเท่าและรับรองว่าการเปลี่ยนแปลงจะสะท้อนให้เห็นในทั้งสองไดเร็กทอรี
ในการลงชื่อเข้าระบบครั้งเดียว (SSO) ผู้ใช้จะสามารถเข้าถึงหลายแอปพลิเคชันได้ด้วยการเข้าสู่ระบบเพียงครั้งเดียว Entra ID ให้บริการ SSO ผ่านโปรโตคอล Security Assertion Markup Language (SAML) และ OpenID Connect (OIDC) พร้อมแอปพลิเคชันที่รวมไว้ล่วงหน้าหลายพันรายการ ด้วยการเข้าถึงที่ราบรื่น ผู้ใช้จึงไม่จำเป็นต้องป้อนข้อมูลรับรองซ้ำทุกครั้งที่เข้าถึงแอป
Entra ID การเข้าถึงแบบมีเงื่อนไขช่วยให้ผู้ดูแลระบบสามารถตั้งค่าการควบคุมการเข้าถึงตามเงื่อนไขเช่น:
ผู้ดูแลระบบสามารถบล็อกการเข้าถึงหรือกำหนดให้มีการตรวจสอบสิทธิ์แบบหลายปัจจัยเพื่อช่วยลดความเสี่ยง การเข้าถึงแบบมีเงื่อนไขมอบการรักษาความปลอดภัยอีกชั้นพิเศษสำหรับการเข้าถึงทรัพยากร
Windows Active Directory (AD) คือบริการไดเรกทอรีของ Microsoft สำหรับเครือข่ายโดเมน Windows โดยเก็บข้อมูลเกี่ยวกับออบเจ็กต์บนเครือข่าย เช่น ผู้ใช้ กลุ่ม และคอมพิวเตอร์ AD ช่วยให้ผู้ดูแลระบบเครือข่ายสามารถจัดการผู้ใช้และทรัพยากรในสภาพแวดล้อม Windows
AD ใช้ฐานข้อมูลแบบลำดับชั้นเพื่อเก็บข้อมูลเกี่ยวกับวัตถุในไดเร็กทอรี วัตถุมงคลได้แก่
AD ช่วยให้ผู้ดูแลระบบมีตำแหน่งส่วนกลางเพื่อจัดการผู้ใช้และทรัพยากรในสภาพแวดล้อม Windows ด้วยการจัดระเบียบออบเจ็กต์ เช่น ผู้ใช้ กลุ่ม และคอมพิวเตอร์ให้เป็นโครงสร้างแบบลำดับชั้น AD ทำให้ง่ายต่อการใช้นโยบายและการอนุญาตทั่วทั้งเครือข่าย
Windows Active Directory (ค.ศ.) และ Entra ID เป็นทั้งบริการไดเรกทอรีจาก Microsoft แต่มีจุดประสงค์ที่แตกต่างกัน Windows AD เป็นบริการไดเรกทอรีภายในองค์กรสำหรับการจัดการผู้ใช้และทรัพยากรในองค์กร Entra ID เป็นไดเร็กทอรีบนคลาวด์และบริการจัดการข้อมูลประจำตัวของผู้เช่าหลายรายของ Microsoft
Windows AD ต้องใช้ตัวควบคุมโดเมนทางกายภาพเพื่อจัดเก็บข้อมูลและจัดการการรับรองความถูกต้อง Entra ID โฮสต์อยู่ในบริการคลาวด์ของ Microsoft ดังนั้นจึงไม่จำเป็นต้องใช้เซิร์ฟเวอร์ภายในองค์กร Windows AD ใช้โปรโตคอล LDAP ในขณะที่ Entra ID ใช้ RESTful API Windows AD ได้รับการออกแบบมาเพื่อทรัพยากรภายในองค์กรเป็นหลัก Entra ID ได้รับการออกแบบมาเพื่อจัดการข้อมูลประจำตัวและการเข้าถึงแอปพลิเคชันระบบคลาวด์ แอปซอฟต์แวร์เป็นบริการ (SaaS) และแอปภายในองค์กร
ใน Windows AD ผู้ใช้จะถูกซิงค์จากเซิร์ฟเวอร์ Windows ภายในองค์กรและจัดการภายในเครื่อง ใน Entra IDผู้ใช้สามารถสร้างและจัดการในพอร์ทัลระบบคลาวด์หรือซิงค์จากไดเร็กทอรีภายในองค์กรโดยใช้ Entra ID ต่อ Entra ID ยังรองรับการสร้างและอัปเดตผู้ใช้จำนวนมากผ่านทาง Entra ID กราฟ API หรือ PowerShell
Windows AD จำเป็นต้องมีการกำหนดค่าด้วยตนเองเพื่อเผยแพร่แอปพลิเคชันภายในองค์กร Entra ID มีแอป SaaS ที่ผสานรวมไว้ล่วงหน้าที่แตกต่างกันและเปิดใช้งานการจัดสรรผู้ใช้อัตโนมัติ สามารถเพิ่มแอปพลิเคชันแบบกำหนดเองลงไปได้ Entra ID สำหรับการลงชื่อเข้าระบบครั้งเดียวโดยใช้ SAML หรือ OpenID Connect
ใช้ Windows AD Kerberos และ NTLM สำหรับการตรวจสอบสิทธิ์ภายในองค์กร Entra ID รองรับโปรโตคอลการตรวจสอบความถูกต้องเช่น SAML, OpenID Connect, WS-Federation และ OAuth 2.0 Entra ID ยังมีการรับรองความถูกต้องแบบหลายปัจจัย นโยบายการเข้าถึงแบบมีเงื่อนไข และ การป้องกันตัว.
Entra ID การเชื่อมต่อสามารถซิงโครไนซ์ข้อมูลประจำตัวจาก Windows AD ไปยัง Entra ID. ซึ่งจะทำให้ผู้ใช้สามารถลงชื่อเข้าใช้ได้ Entra ID และ Office 365 โดยใช้ชื่อผู้ใช้และรหัสผ่านเดียวกัน การซิงโครไนซ์ไดเร็กทอรีเป็นแบบทางเดียวกำลังอัปเดต Entra ID ด้วยการเปลี่ยนแปลงจาก Windows AD
โดยสรุปในขณะที่ Windows AD และ Entra ID เป็นทั้งบริการไดเรกทอรีของ Microsoft ซึ่งให้บริการตามวัตถุประสงค์ที่แตกต่างกันมาก Windows AD มีไว้สำหรับการจัดการทรัพยากรภายในองค์กร Entra ID เป็นบริการบนคลาวด์สำหรับจัดการการเข้าถึงแอปพลิเคชัน SaaS และทรัพยากรคลาวด์อื่นๆ สำหรับหลายองค์กรที่ใช้ Windows AD และ Entra ID ร่วมกันมอบโซลูชั่นที่สมบูรณ์แบบที่สุด
Entra ID มีสิ่งจำเป็น การระบุตัวตนและการจัดการการเข้าถึง ความสามารถสำหรับ Azure และ Microsoft 365 โดยให้บริการไดเร็กทอรีหลัก การกำกับดูแลข้อมูลประจำตัวขั้นสูง ความปลอดภัย และการจัดการการเข้าถึงแอปพลิเคชัน
Entra ID ทำหน้าที่เป็นไดเร็กทอรีบนคลาวด์ของผู้เช่าหลายรายและบริการจัดการข้อมูลประจำตัว โดยจัดเก็บข้อมูลเกี่ยวกับผู้ใช้ กลุ่ม และแอปพลิเคชัน และซิงโครไนซ์กับไดเร็กทอรีภายในองค์กร Entra ID ให้การเข้าถึงแอปและทรัพยากรด้วยการลงชื่อเพียงครั้งเดียว (SSO) รองรับมาตรฐานแบบเปิด เช่น OAuth 2.0, OpenID Connect และ SAML สำหรับการผสานรวม SSO
Entra ID รวมถึงความสามารถในการจัดการวงจรชีวิตของข้อมูลประจำตัว โดยมีเครื่องมือสำหรับการจัดเตรียมและยกเลิกการจัดสรรบัญชีผู้ใช้ตามข้อมูล HR หรือเมื่อพนักงานเข้าร่วม ย้ายภายใน หรือออกจากองค์กร นโยบายการเข้าถึงแบบมีเงื่อนไขสามารถกำหนดค่าให้ต้องมีการตรวจสอบสิทธิ์แบบหลายปัจจัย การปฏิบัติตามข้อกำหนดของอุปกรณ์ การจำกัดตำแหน่ง และอื่นๆ เมื่อเข้าถึงทรัพยากร Entra ID ยังช่วยให้ผู้ดูแลระบบกำหนดค่าการรีเซ็ตรหัสผ่านแบบบริการตนเอง เข้าถึงการตรวจสอบ และการจัดการข้อมูลประจำตัวที่มีสิทธิพิเศษได้
Entra ID ใช้อัลกอริธึมการเรียนรู้ของเครื่องที่ปรับเปลี่ยนได้และการวิเคราะห์พฤติกรรมเพื่อตรวจจับกิจกรรมการลงชื่อเข้าใช้ที่น่าสงสัยและช่องโหว่ที่อาจเกิดขึ้น มีรายงานความปลอดภัยและการแจ้งเตือนเพื่อช่วยระบุและแก้ไขภัยคุกคาม ไมโครซอฟต์ก็เสนอ Entra ID Premium P2 ซึ่งรวมถึงการปกป้องข้อมูลประจำตัวและการจัดการข้อมูลประจำตัวแบบสิทธิพิเศษเพื่อเพิ่มความปลอดภัย
Entra AD ช่วยให้สามารถเข้าถึงแอป SaaS ที่รวมไว้ล่วงหน้านับพันรายการในแกลเลอรีแอป Entra AD ด้วยการลงชื่อเพียงครั้งเดียว รองรับการจัดสรรผู้ใช้และเปิดใช้งาน SSO สำหรับแอปพลิเคชันที่กำหนดเองเช่นกัน พร็อกซีแอปพลิเคชันให้การเข้าถึงเว็บแอปพลิเคชันภายในองค์กรจากระยะไกลอย่างปลอดภัย Entra AD B2C นำเสนอข้อมูลประจำตัวของลูกค้าและการจัดการการเข้าถึงสำหรับแอปพลิเคชันที่ต้องพบปะกับลูกค้า
โดยสรุป Azure AD คือไดเร็กทอรีระบบคลาวด์ที่มีผู้เช่าหลายรายของ Microsoft และบริการการจัดการข้อมูลประจำตัว โดยมอบความสามารถที่จำเป็น เช่น บริการไดเร็กทอรีหลัก การกำกับดูแลข้อมูลประจำตัว คุณลักษณะด้านความปลอดภัย และการจัดการการเข้าถึงแอปพลิเคชัน เพื่อให้องค์กรสามารถจัดการข้อมูลประจำตัวของผู้ใช้และการเข้าถึงทรัพยากรอย่างปลอดภัยใน Azure, Microsoft 365 และแอปพลิเคชัน SaaS อื่นๆ
Entra AD ให้ประโยชน์หลายประการแก่องค์กร:
Entra AD นำเสนอคุณสมบัติความปลอดภัยที่แข็งแกร่ง เช่น การตรวจสอบสิทธิ์แบบหลายปัจจัย การเข้าถึงแบบมีเงื่อนไข และการป้องกันข้อมูลประจำตัว MFA เพิ่มการรักษาความปลอดภัยอีกชั้นพิเศษสำหรับการลงชื่อเข้าใช้ของผู้ใช้ การเข้าถึงแบบมีเงื่อนไขช่วยให้องค์กรสามารถใช้การควบคุมการเข้าถึงโดยอิงตามปัจจัยต่างๆ เช่น ตำแหน่งของผู้ใช้หรือสถานะอุปกรณ์ การป้องกันตัวตนจะตรวจจับช่องโหว่และความเสี่ยงที่อาจเกิดขึ้นกับบัญชีของผู้ใช้
Entra AD ช่วยให้การจัดการบัญชีผู้ใช้และการเข้าถึงง่ายขึ้น โดยให้ที่เดียวในการจัดการผู้ใช้และกลุ่ม กำหนดนโยบายการเข้าถึง และมอบหมายใบอนุญาตหรือสิทธิ์ ซึ่งจะช่วยลดค่าใช้จ่ายในการบริหารจัดการและรับประกันการบังคับใช้นโยบายที่สอดคล้องกันทั่วทั้งองค์กร
ด้วย Entra AD ผู้ใช้สามารถลงชื่อเข้าใช้ครั้งเดียวโดยใช้บัญชีองค์กรของตน และเข้าถึงแอปพลิเคชันระบบคลาวด์และภายในองค์กรทั้งหมดได้ ประสบการณ์การลงชื่อเข้าใช้ครั้งเดียวนี้ช่วยปรับปรุงประสิทธิภาพการทำงานและลดความเหนื่อยล้าของรหัสผ่านสำหรับผู้ใช้ Entra AD รองรับการลงชื่อเข้าใช้ครั้งเดียวสำหรับแอปพลิเคชันที่รวมไว้ล่วงหน้าหลายพันรายการรวมถึงแอปพลิเคชันแบบกำหนดเอง
ด้วยการเปิดใช้งานการลงชื่อเพียงครั้งเดียวและการจัดการการเข้าถึงที่คล่องตัว Entra AD ช่วยเพิ่มประสิทธิภาพการทำงานของผู้ใช้ ผู้ใช้สามารถเข้าถึงแอปพลิเคชันและทรัพยากรทั้งหมดได้อย่างรวดเร็วโดยไม่ต้องลงชื่อเข้าใช้ด้วยข้อมูลประจำตัวที่แตกต่างกันซ้ำๆ พวกเขาใช้เวลาน้อยลงในการจัดการการเข้าสู่ระบบและรหัสผ่านหลายรายการ และมีเวลามากขึ้นในการมีส่วนร่วมกับแอปพลิเคชันและทรัพยากรที่ต้องการ
สำหรับหลายๆ องค์กร Entra AD อาจช่วยลดค่าใช้จ่ายที่เกี่ยวข้องกับโซลูชันการระบุตัวตนภายในองค์กร ช่วยลดความจำเป็นในการซื้อและบำรุงรักษาฮาร์ดแวร์และซอฟต์แวร์เพื่อการจัดการข้อมูลประจำตัว และด้วยการทำให้การจัดการการเข้าถึงง่ายขึ้นและการเปิดใช้งานการลงชื่อเพียงครั้งเดียว ก็สามารถช่วยลดค่าใช้จ่ายฝ่ายช่วยเหลือที่เกี่ยวข้องกับการรีเซ็ตรหัสผ่านและปัญหาการเข้าถึงได้
การโจมตีทั่วไปต่อ Entra AD ได้แก่:
การโจมตีแบบสเปรย์รหัสผ่านคือความพยายามในการเข้าถึงหลายบัญชีโดยการคาดเดาข้อมูลประจำตัวทั่วไป ผู้โจมตีจะลองใช้รหัสผ่านเช่น “รหัสผ่าน1” หรือ “1234” หวังว่ามันจะตรงกับบัญชีในองค์กร การเปิดใช้งานนโยบายการรับรองความถูกต้องแบบหลายปัจจัยและรหัสผ่านสามารถช่วยป้องกันการโจมตีแบบ Brute Force เหล่านี้ได้
การโจมตีแบบฟิชชิ่งพยายามขโมยข้อมูลรับรองผู้ใช้ ติดตั้งมัลแวร์ หรือหลอกให้ผู้ใช้ให้สิทธิ์การเข้าถึงบัญชี ผู้โจมตีจะส่งอีเมลหลอกลวงหรือนำผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตรายซึ่งเลียนแบบรูปลักษณ์ของหน้าเข้าสู่ระบบ Entra AD ที่ถูกต้องตามกฎหมาย การให้ความรู้แก่ผู้ใช้เกี่ยวกับเทคนิคฟิชชิ่งและการเปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัยสามารถช่วยลดความเสี่ยงของการถูกโจมตีจากฟิชชิ่งได้
โทเค็นการเข้าถึงที่ออกโดย Entra AD สามารถขโมยและเล่นซ้ำเพื่อเข้าถึงทรัพยากรได้ ผู้โจมตีจะพยายามหลอกผู้ใช้หรือแอปพลิเคชันให้เปิดเผยโทเค็นการเข้าถึง จากนั้นใช้โทเค็นเหล่านั้นเพื่อเข้าถึงข้อมูลและระบบ การเปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัยและการออกโทเค็นการเข้าถึงที่มีอายุสั้นเท่านั้นจะช่วยป้องกันการขโมยโทเค็นและการโจมตีซ้ำ
ผู้โจมตีจะสร้างบัญชีใน Entra AD เพื่อใช้ในการลาดตระเวนซึ่งเป็นจุดเริ่มต้น การเคลื่อนไหวด้านข้าง ในเครือข่ายหรือเพื่อผสมผสานเป็นบัญชีที่ถูกต้อง การกระชับนโยบายการสร้างบัญชี การเปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัย และการตรวจสอบกิจกรรมบัญชีที่ผิดปกติสามารถช่วยตรวจจับการสร้างบัญชีปลอมได้
มัลแวร์ แอปพลิเคชันที่เป็นอันตราย และซอฟต์แวร์ที่ถูกบุกรุกสามารถใช้เพื่อดึงข้อมูลจาก Entra AD แพร่กระจายไปยังบัญชีและระบบอื่น หรือรักษาความคงอยู่ของเครือข่าย การควบคุมอย่างระมัดระวังว่าแอปพลิเคชันบุคคลที่สามใดที่สามารถเข้าถึงข้อมูลและบัญชี Entra AD ของคุณ การตรวจสอบสัญญาณของการประนีประนอม และการให้ความรู้ผู้ใช้เกี่ยวกับการใช้งานแอปพลิเคชันที่ปลอดภัยจะช่วยลดความเสี่ยงจากซอฟต์แวร์ที่เป็นอันตราย
Entra AD มอบความสามารถในการจัดการข้อมูลประจำตัวและการเข้าถึงที่จำเป็น เช่น การตรวจสอบสิทธิ์แบบหลายปัจจัย การเข้าถึงแบบมีเงื่อนไข การป้องกันข้อมูลประจำตัว การจัดการข้อมูลประจำตัวแบบมีสิทธิพิเศษ และอื่นๆ อีกมากมาย สำหรับองค์กรใดๆ ที่ต้องการปรับปรุงความปลอดภัยและจัดการข้อมูลประจำตัวในระบบคลาวด์อย่างมีประสิทธิภาพ Entra AD ควรถือเป็นโซลูชันที่แข็งแกร่งและเชื่อถือได้