Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Entra ID je dalším vývojem řešení pro správu identit a přístupu pro cloud. Společnost Microsoft zavedla službu Active Directory Domain Services v systému Windows 2000, aby organizacím poskytla možnost spravovat více místních komponent infrastruktury a systémů pomocí jedné identity na uživatele.
Microsoft Entra ID používá tento přístup k další úrovni tím, že organizacím poskytuje řešení Identity jako služba (IDaaS) pro všechny své aplikace v cloudu i v místním prostředí.
Většina správců IT zná koncepty služby Active Directory Domain Services. Následující tabulka popisuje rozdíly a podobnosti mezi koncepty služby Active Directory a ID Microsoft Entra.
| Koncepce | Windows Server Active Directory | Microsoft Entra ID |
|---|---|---|
| Uživatelé | ||
| Nastavení: uživatelé | Organizace vytvářejí interní uživatele ručně nebo používají interní nebo automatizovaný systém zřizování, jako je Microsoft Identity Manager, k integraci se systémem personálního oddělení. | Existující organizace služby Active Directory microsoft Windows Serveru používají Microsoft Entra Connect k synchronizaci identit do cloudu.
Microsoft Entra ID přidává podporu pro automatické vytváření uživatelů z cloudových personálních systémů. Microsoft Entra ID může zřizovat identity v systému pro aplikace SCIM (Cross-Domain Identity Management) s podporou softwaru jako služby (SaaS), aby automaticky poskytovaly aplikace s potřebnými podrobnostmi pro povolení přístupu uživatelům. |
| Zřizování: externí identity | Organizace vytvářejí externí uživatele ručně jako běžné uživatele ve vyhrazené externí doménové struktuře služby Microsoft Windows Server Active Directory, což vede k administrativní režii při správě životního cyklu externích identit (hostujících uživatelů). | Microsoft Entra ID poskytuje speciální třídu identity pro podporu externích identit. Microsoft Entra B2B bude spravovat odkaz na identitu externího uživatele, aby se ujistil, že jsou platné. |
| Správa oprávnění a skupiny | Správci dělají uživatele členy skupin. Vlastníci aplikací a prostředků pak udělují skupinám přístup k aplikacím nebo prostředkům. |
Skupiny jsou také k dispozici v Microsoft Entra ID a správci můžou skupiny také použít k udělení oprávnění k prostředkům. V Microsoft Entra ID mohou správci přiřadit členství do skupin ručně nebo pomocí dotazu dynamicky zahrnout uživatele do skupiny.
Správci můžou pomocí správy nároků v Microsoft Entra ID udělit uživatelům přístup ke kolekci aplikací a prostředků pomocí pracovních postupů a v případě potřeby kritériím založeným na čase. |
| Správa správců | Organizace budou používat kombinaci domén, organizačních jednotek a skupin ve službě Microsoft Windows Server Active Directory k delegování práv správce ke správě adresáře a prostředků, které řídí. | Microsoft Entra ID poskytuje předdefinované role se systémem řízení přístupu na základě role (RBAC) Microsoft Entra s omezenou podporou pro vytváření vlastních rolí pro delegování privilegovaného přístupu k systému identit, aplikacím a prostředkům, které řídí. Správu rolí je možné vylepšit službou Privileged Identity Management (PIM) tak, aby poskytovala přístup k privilegovaným rolím podle časového limitu nebo pracovního postupu. |
| Správa přihlašovacích údajů | Přihlašovací údaje ve službě Active Directory jsou založené na heslech, ověřování certifikátů a ověřování čipových karet. Hesla se spravují pomocí zásad hesel založených na délce hesla, vypršení platnosti a složitosti. | Microsoft Entra ID používá inteligentní ochranu heslem pro cloud a místní prostředí. Ochrana zahrnuje inteligentní uzamčení a blokování běžných a vlastních heslových frází a jejich náhrad.
Microsoft Entra ID výrazně zvyšuje zabezpečení prostřednictvím vícefaktorového ověřování a bez hesel technologií, jako je FIDO2. Microsoft Entra ID snižuje náklady na podporu tím, že uživatelům poskytuje samoobslužný systém resetování hesla . |
| Apps | ||
| Aplikace infrastruktury | Služba Active Directory tvoří základ pro mnoho místních komponent infrastruktury, například DNS, PROTOKOL DHCP (Dynamic Host Configuration Protocol), Internet Protocol Security (IPSec), WiFi, NPS a přístup k síti VPN. | V novém cloudovém světě je Microsoft Entra ID novou kontrolní rovinou pro přístup k aplikacím místo spoléhání se na síťové ovládací prvky. Při ověřování uživatelů řídí podmíněný přístup , kteří uživatelé mají přístup ke kterým aplikacím za požadovaných podmínek. |
| Tradiční a starší aplikace | Většina místních aplikací používá protokol LDAP, ověřování Windows-Integrated (NTLM a Kerberos) nebo ověřování založené na hlavičce k řízení přístupu uživatelům. | ID Microsoft Entra umožňuje přístup k těmto typům místních aplikací pomocí agentů proxy aplikací Microsoft Entra spuštěných místně. Pomocí této metody může Microsoft Entra ID místně ověřovat uživatele služby Active Directory pomocí protokolu Kerberos, což je užitečné při migraci nebo potřebě spoluexistence s dřívějšími aplikacemi. |
| Aplikace SaaS | Služba Active Directory nativně nepodporuje aplikace SaaS a vyžaduje federační systém, jako je služba AD FS. | Aplikace SaaS podporující OAuth2, SAML (Security Assertion Markup Language) a ověřování WS-* je možné integrovat, aby k ověřování používaly ID Microsoft Entra. |
| Aplikace pro konkrétní obchodní činnosti s moderním ověřováním | Organizace můžou používat službu AD FS se službou Active Directory k podpoře obchodních aplikací vyžadujících moderní ověřování. | Je možné konfigurovat podnikové aplikace vyžadující moderní ověřování tak, aby používaly Microsoft Entra ID pro ověřování. |
| Služby démona střední úrovně | Služby spuštěné v místních prostředích obvykle používají účty služby Active Directory systému Microsoft Windows Server nebo účty spravované služby (gMSA) ke spuštění. Tyto aplikace pak zdědí oprávnění účtu služby. | Microsoft Entra ID poskytuje spravované identity pro spouštění dalších úloh v cloudu. Životní cyklus těchto identit spravuje ID Microsoft Entra a je pevně spjat s poskytovatelem prostředků a nedá se použít k jiným účelům pro přístup přes zadní vrátka. |
| Zařízení | ||
| Mobilní zařízení | Služba Active Directory nativně nepodporuje mobilní zařízení bez řešení třetích stran. | Řešení pro správu mobilních zařízení Microsoftu, Microsoft Intune, je integrované s Microsoft Entra ID. Microsoft Intune poskytuje systému identit informace o stavu zařízení k vyhodnocení během ověřování. |
| Stolní počítače s Windows | Služba Active Directory umožňuje připojit zařízení s Windows k doméně a spravovat je pomocí zásad skupiny, nástroje System Center Configuration Manager nebo jiných řešení třetích stran. | Zařízení s Windows se dají připojit k Microsoft Entra ID. Podmíněný přístup může zkontrolovat, jestli je zařízení připojené k Microsoft Entra v rámci procesu ověřování. Zařízení s Windows je možné spravovat také pomocí Microsoft Intune. V takovém případě bude podmíněný přístup před povolením přístupu k aplikacím zvážit, jestli zařízení dodržuje předpisy (například up-to-date bezpečnostní opravy a antivirové podpisy). |
| Servery s Windows | Služba Active Directory poskytuje silné možnosti správy pro místní servery s Windows pomocí zásad skupiny nebo jiných řešení pro správu. | Virtuální počítače s Windows servery v Azure je možné spravovat pomocí služby Microsoft Entra Domain Services. Spravované identity je možné použít, když virtuální počítače potřebují přístup k adresáři nebo prostředkům systému identit. |
| Linux/Unix – úlohy | Služba Active Directory nativně nepodporuje jiné systémy než Windows bez řešení třetích stran, i když počítače s Linuxem lze nakonfigurovat tak, aby se ověřovaly ve službě Active Directory ve sféře Kerberos. | Virtuální počítače se systémy Linux/Unix můžou používat spravované identity pro přístup k systému identit nebo prostředkům. Některé organizace migrují tyto úlohy do cloudových technologií kontejnerů, které můžou také používat spravované identity. |