Lý thuyết cần nắm
Entra ID — Identity platform cloud-native của Microsoft 365
2.1 Entra ID là gì?
Microsoft Entra ID (trước đây là Azure Active Directory / Azure AD) là dịch vụ quản lý danh tính và truy cập (IAM) trên cloud của Microsoft. Đây là nền tảng xác thực cho tất cả dịch vụ Microsoft 365 — Exchange Online, Teams, SharePoint, Intune, Azure.
Đổi tên 2023: Microsoft đổi "Azure Active Directory" → "Microsoft Entra ID" từ tháng 10/2023. Thi MD-102/MS-102 dùng tên mới, nhưng PowerShell cmdlet vẫn còn dùng
AzureAD và MSOnline song song với Microsoft.Graph.
2.2 So sánh Entra ID vs Active Directory Domain Services (AD DS)
| Tiêu chí | AD DS (On-premises) | Microsoft Entra ID (Cloud) |
|---|---|---|
| Kiến trúc | Domain Controllers (DCs), forest/domain/OU | Tenant (flat namespace, không có OU) |
| Giao thức xác thực | Kerberos, NTLM, LDAP | OAuth 2.0, OpenID Connect, SAML 2.0, WS-Fed |
| Truy cập | LAN / VPN bắt buộc | Internet-based, không cần VPN |
| Group Policy | ✓ GPO đầy đủ | ✗ (dùng Intune Configuration Profiles) |
| Device Join | Domain Join (Windows only) | Entra Join (Windows, macOS, iOS, Android) |
| MFA tích hợp | Cần AD FS + MFA Server | ✓ Built-in, SSPR, Passwordless |
| Conditional Access | ✗ (cần ADFS Claims) | ✓ Native (P1 license) |
| Identity Protection | ✗ | ✓ Risk-based policies (P2 license) |
| Phù hợp | Legacy apps, file shares, on-prem resources | SaaS apps, cloud-first, remote workforce |
Quan trọng: AD DS và Entra ID không thay thế nhau — trong môi trường hybrid, chúng hoạt động song song. Entra Connect đồng bộ identities từ AD DS lên Entra ID.
2.3 Các phiên bản Entra ID (Licensing Tiers)
| Phiên bản | Tính năng chính | Đi kèm với |
|---|---|---|
| Entra ID Free | SSO, Basic MFA, User/Group management, Self-service password reset (cloud only) | Mọi M365 subscription |
| Entra ID P1 | Conditional Access, Dynamic Groups, Hybrid join, PIM (limited), Entra Connect (sync) | M365 E3, Business Premium, EMS E3 |
| Entra ID P2 | Identity Protection (risk policies), PIM đầy đủ, Access Reviews, Entitlement Management | M365 E5, EMS E5 |
2.4 Cấu trúc Tenant
Mỗi tổ chức đăng ký M365 được cấp một Tenant — đây là instance riêng biệt, cô lập của Entra ID. Tenant có:
Tenant ID
GUID duy nhất, không đổi
Primary Domain
contoso.onmicrosoft.com
Objects
Users, Groups, Devices, Apps
Thực hành
Khám phá Entra admin center và kiểm tra tenant bằng PowerShell/Graph
Lab 2.1 — Khám phá Entra Admin Center
Thực hành tại: entra.microsoft.com — dùng tài khoản M365 Developer Sandbox (developer.microsoft.com/microsoft-365/dev-program)
- Đăng nhập Entra Admin Center
Truy cậphttps://entra.microsoft.com→ đăng nhập bằng Global Admin account - Xem Tenant Overview
Identity → Overview → ghi lại Tenant ID, Primary domain, License summary - Kiểm tra License
Billing → Licenses → xem Active/Available licenses (P1/P2/E3/E5) - Xem Users
Identity → Users → All users → quan sát Source column (Cloud/Windows Server AD/External) - Kiểm tra Conditional Access policies
Protection → Conditional Access → Policies — nếu chưa có gì, tenant đang dùng Free/P1
Kết quả đầu ra mong đợi
- Tenant ID dạng:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx - Primary domain:
yourorg.onmicrosoft.com - License hiển thị: Microsoft 365 E5 Developer (hoặc tương đương sandbox)
Lab 2.2 — Kiểm tra Tenant bằng Microsoft Graph PowerShell
Yêu cầu: Windows 10/11 với PowerShell 7+. Chạy:
Install-Module Microsoft.Graph -Scope CurrentUser
# Kết nối với Microsoft Graph
Connect-MgGraph -Scopes "Organization.Read.All", "User.Read.All"
# Xem thông tin tenant
Get-MgOrganization | Select-Object DisplayName, Id, TenantType, CreatedDateTime
# Xem domains đã verify
Get-MgDomain | Select-Object Id, IsDefault, IsVerified, SupportedServices
# Xem số lượng users
Get-MgUser -All | Measure-Object | Select-Object Count
# Xem license SKUs
Get-MgSubscribedSku | Select-Object SkuPartNumber, PrepaidUnits, ConsumedUnits
Kết quả đầu ra mong đợi
DisplayName : Contoso Corporation Id : a1b2c3d4-xxxx-xxxx-xxxx-xxxxxxxxxxxx TenantType : AAD CreatedDateTime : 2024-01-15... Id IsDefault IsVerified ---- --------- ---------- contoso.onmicrosoft.com True True contoso.com False True SkuPartNumber PrepaidUnits ConsumedUnits ------------- ------------ ------------- ENTERPRISEPREMIUM 25 12 FLOW_FREE 10000 5
Lab 2.3 — So sánh Entra ID P1 vs P2 trong Portal
- Kiểm tra Identity Protection
Protection → Identity Protection → nếu không thấy menu này → tenant thiếu P2 license - Kiểm tra Privileged Identity Management (PIM)
Identity governance → Privileged Identity Management → P2 required - Kiểm tra Conditional Access
Protection → Conditional Access → có thể tạo policy → P1 available
Tình huống thực tế doanh nghiệp
Công ty CP Phần mềm FPT — Chuyển đổi từ AD DS sang Hybrid Identity
~3.000 nhân viên · Hà Nội + TP.HCM + Đà Nẵng
Bối cảnh: FPT Software đang vận hành Windows Server 2016 AD DS với 2 domain controllers tại HN và HCM. Ban lãnh đạo quyết định triển khai M365 E3 cho toàn bộ nhân viên. IT Manager cần hiểu: nên dùng Entra ID như thế nào trong giai đoạn chuyển đổi?
Vấn đề hiện tại
- 3000 user accounts trong AD DS on-prem
- Nhân viên remote không thể truy cập apps không qua VPN
- IT tốn 2 tiếng/ngày reset password AD DS
- Chưa có MFA → rủi ro bảo mật cao
Giải pháp với Entra ID
- Entra Connect đồng bộ 3000 accounts lên cloud
- Single Sign-On cho Teams, SharePoint, Outlook
- SSPR (Self-service password reset) → giảm helpdesk
- MFA bật ngay không cần cơ sở hạ tầng thêm
License được chọn: M365 E3 (includes Entra ID P1) → đủ để dùng Conditional Access, Dynamic Groups, Hybrid Join. Không cần P2 trong giai đoạn đầu — có thể upgrade sau khi cần Identity Protection.