傳統上,管理伺服器的身分識別是圍繞 Active Directory 展開的:伺服器已加入網域,系統管理員會獲得透過網域群組新增至本機系統管理員的網域帳戶,以及使用群組原則管理 Windows 設定。 在雲端管理模型中, Microsoft Entra 成為身分識別和存取的基石,而 Active Directory (AD) 仍可用於內部部署 Windows 機器上的應用程式驗證和舊版通訊協定。
伺服器管理中的雲端原生身分識別是藉由使用 Microsoft Entra 來驗證系統管理員和伺服器本身來達成。 雲端原生 Windows (工作站) 裝置或這些裝置上的使用者仍可存取已加入網域的內部部署 AD 伺服器。 透過 Microsoft Entra,您可以取得統一的認證,因為 Microsoft Entra ID 可以管理虛擬機器 (VM)、已啟用 Arc 的伺服器、Office 365 等。 多重要素驗證 (MFA) 和條件式存取等功能可改善安全性。 混合式環境中的伺服器可以使用 Azure 的身分識別系統來安全地存取資源。 這些優點可讓您減少維護服務帳戶或授與每部機器本機管理員權限所花費的時間。 這是思維的轉變,但與完全雲端管理的生態系統保持一致。
讓我們看看系統管理員的世界如何隨著 Microsoft Entra 的優勢而改變。
Microsoft Entra 整合
Microsoft Entra ID 是雲端式身分識別服務。 不同於 Active Directory 網域服務 (AD DS) ,Microsoft Entra ID 不是以組織單位建構,而且不會著重於 Kerberos 驗證。 相反地,Microsoft Entra ID 會管理使用者身分識別、應用程式,以及對 Microsoft 資源的存取,包括 Azure、Microsoft 365,以及支援 Microsoft Entra ID 的其他應用程式和作業系統。
伺服器本身不會以加入網域的方式「加入」Microsoft Entra ID。 相反地,已啟用 Arc 的伺服器會在第一次連線到 Azure 時加入受 Microsoft Entra ID 控管的 Azure 租用戶。 使用 Microsoft Entra ID,可以使用 Azure 角色型存取控制 (Azure RBAC) 將角色指派給指定範圍 (或新增至具有這些權限的群組)。 然後,具有適當權限的使用者可以使用遠端桌面連線來存取 Windows Server 機器,或 使用 SSH 存取 Linux。
您的「管理員帳戶」是您的 Microsoft Entra ID 身分(或同步的 AD 帳戶),在 Azure 中具有適當的角色。 例如,若要管理已啟用 Arc 的伺服器,Microsoft Entra ID 使用者可能具有 Azure 內建角色虛擬 機器系統管理員登入 角色,或您以適當許可權建立的自訂角色指派。 Microsoft Entra ID 可讓您將角色範圍限定為一組特定的 Azure 工作負載,只授與在已啟用 Arc 的伺服器和原生 Azure 資源上執行必要工作所需的許可權,而不是擁有允許存取每部伺服器的完整系統管理員帳戶。
系統指派的管理身份識別
已啟用 Arc 的伺服器需要 系統指派的受控識別。 這是一種企業應用程式類型,代表 Azure 中機器資源的身分識別。 伺服器上執行的應用程式可以使用伺服器的受控識別來驗證 Azure,而不是儲存憑證。 Azure Arc 連線的機器代理程式會公開應用程式可用來要求權杖的端點。 除了正確格式化要求 (包括一個中繼資料標頭) 之外,應用程式不需要驗證提供權杖的非可路由網路服務,因此預期的安全性邊界為 VM。 您的內部部署伺服器可以直接存取 Azure 服務,而不需要硬式編碼認證,因為 Azure 知道要求來自該伺服器,而且只會根據您設定的角色指派來授權它。
對於系統系統管理員,其中一個常見案例可能是在伺服器 (已安裝 Azure CLI) 上執行 Azure CLI 命令,以呼叫 Azure 儲存體來擷取自動化腳本所使用的成品。 由於伺服器擁有授權存取該儲存體帳戶的身分識別,因此不需要服務帳戶或個人存取權杖 (PAT),即可完成要求。
角色型存取控制 (RBAC)
Azure 的模型鼓勵細粒度的 RBAC。 由於不同的內建角色會啟用不同類型的存取權,因此您可以指派權限非常有限的角色。 例如,使用者可能具有只授予已啟用 Arc 的伺服器上使用 [執行命令] 功能的角色,或允許對設定進行唯讀存取,僅此而已。
Azure Arc 使用的常見內建角色是 Azure 連線機器上線角色。 具有此角色的使用者可以將伺服器上線至 Azure Arc,但除非授與其他角色,否則無法執行大部分其他管理工作。 同樣地,您可以為應用程式擁有者提供角色,讓他們透過 Azure 自動化在其伺服器上部署修補程式,而不需要授與他們實際的作業系統登入存取權。 這種微調程度符合“恰到好處”的管理原則。
Just-In-Time 存取
若要進一步控制已啟用 Arc 的伺服器和其他 Azure 資源的提升權限存取權,您可以啟用 Microsoft Entra Privileged Identity Management (PIM) (部分內容可能是機器或 AI 翻譯)。 PIM可用於即時存取(JIT),因此您可以要求某人明確提高至特定角色,以執行需要更高層級存取的任務。 您可以要求系統管理員核准此存取權,並設定提升者角色的自動到期期間。 PIM 也包含稽核歷程記錄,以查看過去 30 天內所有特殊許可權角色的所有角色指派和啟用 (或您設定的較長期間) 。
使用 PIM 有助於減少持續的系統管理員存取,並支援 最低許可權原則。 例如,您可以使用 PIM 授與特定使用者將其角色提升至 Azure 連線機器資源管理員的能力,讓他們在已啟用 Arc 的伺服器上執行更進階的管理工作。
混合式身分識別設定
實際上,許多企業都會運行支援 Arc 的伺服器,這些伺服器也加入 AD 網域。 這些並不相互排斥;它們相輔相成。 您可以在需要時透過 AD 登入伺服器,但在 Azure 中執行管理工作。
在個別伺服器上,您仍可能透過 AD 管理本機帳戶,例如使用本機系統管理員密碼解決方案 (LAPS) 來輪換本機系統管理員密碼。 由於 Azure Arc 不會管理本機帳戶,因此您可能想要繼續使用該程式。 您甚至可以使用 Azure 原則來確保已啟用 LAPS,並將密碼儲存在 Microsoft Entra 中。
有足夠的彈性來使用 Microsoft Entra 和 Azure 的功能,同時仍維護適合您的內部部署身分識別解決方案。 隨著時間推移,您會發現您需要減少與維護服務帳戶或授與本機系統管理員權限的互動,因為您可以選擇在雲端中管理身分識別。