1.Tenant ID(租户ID)

Tenant ID也称为租户ID,是Microsoft Entra分配给每个使用 Microsoft 服务(例如 Azure 或 Office 365)的组织或单位的唯一标识符。在多租户架构中,每个注册并使用Azure服务的单位组织或公司都会拥有一个全球唯一的Microsoft Entra ID独立实例,即一个租户。Tenant ID就是这个租户的唯一标识,通常是一串GUID格式的字符串(例如:9a73825c-c7c8-abce-9723-c6d7a13fe3b5)

2.Primary domain(主要域)

Primary domain也称为主要域,是指组织单位及公司在其Microsoft Entra 租户中注册并设置为主要识别名称的域名。在Microsoft Entra ID中,每个租户都可以有多个自定义域名,但只有一个能被指定为主域名,Primary domain(主要域)主要用于标识及管理组织内部的用户、群组、设备等各种资源。当用户试图登录至Microsoft Entra ID或运用Microsoft Entra ID进行身份验证以访问资源时,他们通常会使用Primary domain(主要域)的凭据进行身份验证。

3.Group(组)

在Microsoft Entra ID中,通常用来控制访问和管理身份的主要组类型有如下两种:

1)安全组:安全组是基于云的组,其主要用于对Azure 资源、应用程序以及其他Microsoft服务的资源访问进行有效管理。安全组能够涵盖用户、其他安全组和服务主体。管理员可以方便地通过Microsoft Entra ID控制台,将需要分配权限的用户加入到安全组中,并为其分配适当的权限。在Azure 环境中,安全组是实现访问控制和最小权限原则不可或缺的关键组件。我们可通过执行“Get-AzureADGroup”命令来查询所有的安全组。

常见的安全组及其权限如下所示:

  • 全局管理员组(Global Administrator):该组具有对整个 Azure AD 租户的完全访问权限,包括用户管理、安全设置、应用程序管理等。默认情况下,Azure AD 中的第一个全局管理员是创建租户时指定的管理员。

  • 应用程序管理员组(Application Administrator):该组具有管理 Azure AD 中注册的应用程序的权限,包括添加、编辑和删除应用程序,以及分配应用程序角色等操作。

  • 动态组(Dynamic Group):动态组允许管理员基于用户属性(如部门、职务、地理位置等)设置规则,系统会根据这些规则自动将符合条件的用户添加到组中或从组中移除。

2)Microsoft 365

Microsoft 365 组主要用于管理协作,其可让组织内的成员有权访问共享邮箱、日历、文件、SharePoint 站点等,此外,Microsoft 365 组还支持来宾访问,允许组织外部的人员参与到某些协作活动中来,Microsoft 365 组的所有者可以包括用户和服务主体。但该组的成员必须只能是用户。

5.Application(应用程序)

Application(应用程序)是指在Microsoft Entra中注册的任何类型的应用程序或服务。这些应用程序可以是 Microsoft 提供的,也可以是由开发人员自定义的,在Microsoft Entra中,这些应用程序包含如下两种类型:

  • Microsoft 提供的应用程序:是指由 Microsoft 提供和维护(如 Office 365、Microsoft Teams、Azure Portal 等),组织单位可以通过 Microsoft Entra来管理这些应用程序的访问和配置权限。

  • 自定义应用程序:是指由组织单位自行开发或第三方开发,并将这些所开发的应用程序(“Web 应用、后端服务”)注册到Microsoft Entra中的应用程序。

6.Resource Group(资源组)

Azure 资源组(Resource Group)是一种逻辑容器,其主要用于管理在 Azure 中部署的相关资源。当我们在Azure云平台上创建资源时,可以选择将这些资源放入同一个资源组内。资源组可以包含任何类型的Azure资源,例如虚拟机、存储帐户、数据库、网络接口、应用程序服务等。