メインコンテンツまでスキップ

Microsoft Entra ID (Azure AD): Hướng dẫn Toàn diện

1. Giới thiệu

Entra ID là gì?

Trước đây là Azure Active Directory (Azure AD). Đây là dịch vụ quản lý danh tính (Identity Provider). Nó trả lời câu hỏi: "Bạn là ai?" (Authentication) và "Bạn được làm gì?" (Authorization).

  • Nó không chỉ dùng cho Azure. Nó dùng để đăng nhập Office 365, Teams, và hàng ngàn ứng dụng SaaS khác.

2. Các đối tượng chính

Users (Người dùng)

  • Là nhân viên trong công ty (VD: nam@company.com).
  • Guest User (B2B): Là đối tác bên ngoài được mời vào (VD: khach@gmail.com).

Groups (Nhóm)

  • Gom user lại để quản lý quyền cho dễ. Thay vì gán quyền cho 100 người, bạn gán quyền cho Group "KeToan".
  • Dynamic Group: Tự động thêm user vào nhóm dựa trên luật (VD: Ai thuộc phòng "IT" thì tự vào nhóm "IT-Staff").

Service Principal (Danh tính cho Ứng dụng)

  • Khi code (App) cần truy cập Azure (VD: Terraform chạy tự động, Web App đọc Key Vault), nó không thể dùng username/password của con người (vì vướng MFA).
  • Nó dùng Service Principal (giống như một User ảo dành cho Robot).

Managed Identity (Danh tính được quản lý)

  • Là phiên bản xịn hơn của Service Principal.
  • Bạn không cần tạo password/secret. Azure tự động quản lý và xoay vòng credential bên dưới.
  • Luôn ưu tiên dùng Managed Identity cho các dịch vụ Azure (VM, App Service, Functions).

3. Phân quyền (RBAC - Role Based Access Control)

Azure quản lý quyền theo vai trò.

  1. Ai? (User, Group, Managed Identity).
  2. Quyền gì? (Role Definition).
    • Owner: Full quyền, được gán quyền cho người khác.
    • Contributor: Full quyền, nhưng KHÔNG được gán quyền cho người khác.
    • Reader: Chỉ được xem, không được sửa.
  3. Ở đâu? (Scope).
    • Management Group > Subscription > Resource Group > Resource.
    • Quyền ở cấp cha sẽ di truyền xuống cấp con.

4. Conditional Access (Truy cập có điều kiện)

Bộ não bảo mật của Entra ID. Cấu hình luật "If This Then That".

  • If: User thuộc nhóm Admin VÀ Đăng nhập từ IP lạ (không phải văn phòng).

  • Then: Bắt buộc nhập MFA (Multi-Factor Authentication).

  • If: User đăng nhập từ thiết bị bị nhiễm virus (Risky Device).

  • Then: Chặn luôn (Block).