مقارنة Active Directory مع معرف Microsoft Entra
معرف Microsoft Entra هو التطور التالي لحلول إدارة الهوية والوصول للسحابة. قامت Microsoft بتقديم Active Directory Domain Services في Windows 2000 لمنح المنظمات القدرة على إدارة مكونات البنية الأساسية المحلية والأنظمة باستخدام هوية فردية لكل مستخدم.
يأخذ معرف Microsoft Entra هذا النهج إلى المستوى التالي من خلال تزويد المؤسسات بحل الهوية كخدمة (IDaaS) لجميع تطبيقاتها عبر السحابة والأماكن المحلية.
معظم مسؤولي تكنولوجيا المعلومات على دراية بمفاهيم خدمات مجال Active Directory . يوضح الجدول التالي الاختلافات وأوجه التشابه بين مفاهيم Active Directory ومعرف Microsoft Entra.
| المفهوم | Active Directory (AD) | Microsoft Entra ID |
|---|---|---|
| المستخدمون | ||
| تزويد المستخدمين | تقوم المؤسسات بإنشاء مستخدمين داخليين يدويًا أو استخدام نظام توفير داخلي أو تلقائي، مثل إدارة الهوية في Microsoft، للتكامل مع نظام الموارد البشرية. | تستخدم مؤسسات AD الموجودة Microsoft Entra Connect لمزامنة الهويات مع السحابة. يضيف معرف Microsoft Entra دعما لإنشاء مستخدمين تلقائيا من أنظمة الموارد البشرية السحابية. يمكن لمعرف Microsoft Entra توفير الهويات في تطبيقات SaaS الممكنة من SCIM لتزويد التطبيقات تلقائيا بالتفاصيل اللازمة للسماح بالوصول للمستخدمين. |
| تزويد: هويات خارجية | تقوم المؤسسات بإنشاء مستخدمين خارجيين يدويًا كمستخدمين منتظمين في مجموعة إعلان خارجية مخصصة، مما يؤدي إلى زيادة النفقات العامة للإدارة لإدارة دورة حياة الهويات الخارجية (المستخدمون الضيوف) | يوفر معرف Microsoft Entra فئة خاصة من الهوية لدعم الهويات الخارجية. سيقوم Microsoft Entra B2B بإدارة الارتباط بهوية المستخدم الخارجي للتأكد من أنها صالحة. |
| إدارة الاستحقاق والمجموعات | يقوم المسؤولون بجعل المستخدمين أعضاء في المجموعات. ثم يمنح مالكو التطبيقات والموارد المجموعات حق الوصول إلى التطبيقات أو الموارد. | تتوفر المجموعات أيضا في معرف Microsoft Entra ويمكن للمسؤولين أيضا استخدام المجموعات لمنح أذونات للموارد. في معرف Microsoft Entra، يمكن للمسؤولين تعيين عضوية للمجموعات يدويا أو استخدام استعلام لتضمين المستخدمين إلى مجموعة ديناميكيا. يمكن للمسؤولين استخدام إدارة الاستحقاق في معرف Microsoft Entra لمنح المستخدمين حق الوصول إلى مجموعة من التطبيقات والموارد باستخدام مهام سير العمل والمعايير المستندة إلى الوقت، إذا لزم الأمر. |
| مسؤول الإدارة | ستستخدم المؤسسات مجموعة من المجالات والوحدات التنظيمية والمجموعات في AD لتفويض الحقوق الإدارية لإدارة الدليل والموارد التي تتحكم فيها. | يوفر معرف Microsoft Entra أدوارا مضمنة مع نظام التحكم في الوصول المستند إلى الدور Microsoft Entra (Microsoft Entra RBAC)، مع دعم محدود لإنشاء أدوار مخصصة لتفويض الوصول المتميز إلى نظام الهوية والتطبيقات والموارد التي يتحكم فيها. يمكن تحسين إدارة الأدوار باستخدام إدارة الهويات المتميزة (PIM) لتوفير الوصول في الوقت المناسب أو مقيد زمنيا أو المستند إلى سير العمل إلى الأدوار المتميزة. |
| إدارة بيانات الاعتماد | تستند بيانات الاعتماد في "Active Directory" إلى كلمات المرور ومصادقة الشهادة ومصادقة البطاقة الذكية. تتم إدارة كلمات المرور باستخدام نهج كلمة المرور التي تستند إلى طول كلمة المرور وانتهاء الصلاحية والتعقيد. | يستخدم معرف Microsoft Entra حماية ذكية لكلمة المرور للسحابة والأماكن المحلية. تتضمن الحماية تأمين ذكي بالإضافة إلى حظر عبارات كلمة المرور الشائعة والمخصصة واستبدالها. يعزز معرف Microsoft Entra الأمان بشكل كبير من خلال المصادقة متعددة العوامل والتقنيات بدون كلمة مرور، مثل FIDO2. يقلل معرف Microsoft Entra من تكاليف الدعم من خلال تزويد المستخدمين بنظام إعادة تعيين كلمة مرور الخدمة الذاتية. |
| التطبيقات | ||
| تطبيقات البنية التحتية | يشكل Active Directory الأساس للعديد من مكونات البنية التحتية المحلية، على سبيل المثال، DNS وDHCP وIPSec وWiFi وNPS وVPN | في عالم سحابي جديد، Microsoft Entra ID، هو مستوى التحكم الجديد للوصول إلى التطبيقات مقابل الاعتماد على عناصر التحكم في الشبكات. عند مصادقة المستخدمين، يتحكم الوصول المشروط في المستخدمين الذين لديهم حق الوصول إلى التطبيقات في ظل الشروط المطلوبة. |
| التطبيقات التقليدية والقديمة | تستخدم معظم التطبيقات المحلية LDAP أو مصادقة Windows-Integrated (NTLM وKerberos) أو المصادقة المستندة إلى العنوان للتحكم في الوصول إلى المستخدمين. | يمكن أن يوفر معرف Microsoft Entra الوصول إلى هذه الأنواع من التطبيقات المحلية باستخدام وكلاء وكيل التطبيق Microsoft Entra الذين يعملون محليا. باستخدام هذا الأسلوب Microsoft Entra يمكن لمعرف مصادقة مستخدمي Active Directory المحليين باستخدام Kerberos أثناء الترحيل أو تحتاج إلى التعايش مع التطبيقات القديمة. |
| تطبيقات SaaS | لا يدعم Active Directory تطبيقات SaaS في الأصل ويتطلب نظام الاتحاد، مثل AD FS. | يمكن دمج تطبيقات SaaS التي تدعم مصادقة OAuth2 وSAML وWS-* لاستخدام معرف Microsoft Entra للمصادقة. |
| تطبيقات خط الأعمال (LOB) مع المصادقة الحديثة | يمكن للمؤسسات استخدام AD FS مع Active Directory لدعم تطبيقات LOB التي تتطلب مصادقة حديثة. | يمكن تكوين تطبيقات LOB التي تتطلب مصادقة حديثة لاستخدام معرف Microsoft Entra للمصادقة. |
| خدمات المستوى المتوسط/الخفي | تستخدم الخدمات التي تعمل في بيئات محلية عادة حسابات خدمة AD أو حسابات الخدمات المدارة الجماعية (gMSA) لتشغيلها. ثم ترث هذه التطبيقات أذونات حساب الخدمة. | يوفر معرف Microsoft Entra هويات مدارة لتشغيل أحمال العمل الأخرى في السحابة. تتم إدارة دورة حياة هذه الهويات بواسطة معرف Microsoft Entra وهي مرتبطة بموفر الموارد ولا يمكن استخدامها لأغراض أخرى للحصول على الوصول إلى المدخل الخلفي. |
| الأجهزة | ||
| الجوال | لا يدعم Active Directory الأجهزة المحمولة بدون حلول خارجية. | يتم دمج حل إدارة الأجهزة المحمولة من Microsoft، Microsoft Intune، مع معرف Microsoft Entra. Microsoft Intune يوفر معلومات حالة الجهاز إلى نظام الهوية لتقييم أثناء المصادقة. |
| Windows سطح المكتب | يوفر Active Directory القدرة على الانضمام إلى مجال أجهزة Windows لإدارتها باستخدام نهج المجموعة أو إدارة تكوين مركز النظام أو حلول أخرى لجهة خارجية. | يمكن ربط أجهزة Windows بالمعرف Microsoft Entra. يمكن للوصول المشروط التحقق مما إذا كان الجهاز Microsoft Entra الانضمام كجزء من عملية المصادقة. كما يمكن إدارة الأجهزة Windows باستخدام Microsoft Intune. في هذه الحالة، سينظر الوصول المشروط في ما إذا كان الجهاز متوافقا (على سبيل المثال، تصحيحات الأمان وتوقيعات الفيروسات المحدثة) قبل السماح بالوصول إلى التطبيقات. |
| خوادم Windows | يوفر Active Directory قدرات إدارة قوية للخوادم Windows المحلية باستخدام نهج المجموعة أو حلول إدارة أخرى. | يمكن إدارة الأجهزة الظاهرية لخوادم Windows في Azure باستخدام Microsoft Entra Domain Services. يمكن استخدام الهويات المدارة عندما تحتاج VMs إلى الوصول إلى دليل نظام الهوية أو الموارد. |
| أحمال عمل Linux/Unix | لا يدعم Active Directory في الأصل Windows بدون حلول خارجية، على الرغم من أنه يمكن تكوين أجهزة Linux للمصادقة مع Active Directory كنطاق Kerberos. | يمكن لـLinux/Unix VMs استخدام الهويات المدارة للوصول إلى نظام الهوية أو الموارد. بعض المؤسسات، ترحل أعباء العمل هذه إلى تقنيات الحاويات سحابة، والتي يمكن أيضًا استخدام الهويات المدارة. |