18、深入了解Azure Active Directory：云端身份管理的全面指南

深入了解Azure Active Directory：云端身份管理的全面指南

1. 混合云与身份管理概述

在当今的数字化环境中，混合云对于大多数组织而言已成为现实，这可能源于法规要求，也可能是对本地基础设施的投资。将服务迁移或扩展到云端时，云端身份管理是至关重要的一环。数据固然重要，但管理谁可以访问这些数据同样关键。

当将本地基础架构扩展到云端时，我们可以设置域控制器的副本，并使用Active Directory来管理身份和委派访问权限，但这种方法仅适用于IaaS。对于PaaS，我们必须使用Azure Active Directory（AAD），它常被称为身份即服务。

2. 技术要求

在开始使用Azure Active Directory之前，需要满足以下技术要求：
- 一个Azure订阅。
- 一台运行Windows Server 2012 R2或更高版本的本地服务器，并安装了域控制器角色。

3. Azure Active Directory简介

Azure Active Directory是一种基于云的目录和身份管理服务，提供应用程序访问管理和身份保护功能，常被称为IaaS。它处于Azure管理链的顶层，直接与租户相关联。在一个租户下，可以有多个订阅，每个订阅下有多个资源组，每个资源组下又有多个资源。

单个账户可以访问多个租户，但每个租户是相互隔离的。用户登录时，会选择默认的目录和租户，只有该租户下订阅的资源才可用。若要管理其他租户的资源，则需要切换目录。

AAD有四个层级：
| 层级 | 特点 |
| ---- | ---- |