Vergleichen zwischen Active Directory und Microsoft Entra ID
Bei Microsoft Entra ID handelt es sich um eine Identitäts- und Zugriffsverwaltungslösung, die für die Cloud weiterentwickelt wurde. Active Directory Domain Services wurden in Windows 2000 eingeführt, um Organisationen die Möglichkeit zu geben, mehrere lokale Infrastrukturkomponenten und Systeme mit einer einzelnen Identität pro Benutzer zu verwalten.
Mit Microsoft Entra ID wird diese Funktionalität erweitert, indem Organisationen eine IDaaS-Lösung (Identity as a Service) bereitgestellt wird, mit der sich all ihre cloudbasierten und lokalen Apps verwalten lassen.
Die meisten IT-Administratoren sind mit den Konzepten von Active Directory Domain Services vertraut. Die folgende Tabelle zeigt die Unterschiede und Gemeinsamkeiten von Active Directory-Konzepten und Microsoft Entra ID.
| Konzept | Active Directory (AD) | Microsoft Entra ID |
|---|---|---|
| Benutzer | ||
| Bereitstellung: Benutzer | Organisationen erstellen interne Benutzer manuell oder verwenden ein internes oder automatisiertes Bereitstellungssystem (z.B. Microsoft Identity Manager) für die Integration mit einem HR-System. | Vorhandene AD-Organisationen verwenden Microsoft Entra Connect zur Synchronisierung von Identitäten in der Cloud. Microsoft Entra ID bietet Unterstützung für die automatische Erstellung von Benutzern aus cloud HR-Systemen. Microsoft Entra ID kann Identitäten in SCIM-fähigen SaaS-Anwendungen bereitstellen, um die Anwendungen automatisch mit den notwendigen Details zu versorgen, die den Zugriff für Benutzer ermöglichen. |
| Bereitstellung: externe Identitäten | Organisationen erstellen externe Benutzer manuell als normale Benutzer in einer dedizierten externen AD-Gesamtstruktur. Die Folge ist ein großer Verwaltungsaufwand für den Lebenszyklus externer Identitäten (Gastbenutzer). | Microsoft Entra ID bietet eine spezielle Identitätsklasse für externe Identitäten. Um ihre Gültigkeit sicherzustellen, wird die Verknüpfung mit der externen Benutzeridentität über Microsoft Entra B2B verwaltet. |
| Berechtigungsverwaltung und Gruppen | Administratoren fügen Benutzer als Mitglieder von Gruppen hinzu. App- und Ressourcenbesitzer erteilen Gruppen anschließend Zugriff auf die Apps oder Ressourcen. | Da Gruppen auch in Microsoft Entra ID verfügbar sind, können Administratoren auch hier Gruppen verwenden, um Berechtigungen für Ressourcen zu erteilen. In Microsoft Entra ID können Administratoren Gruppenmitgliedschaften manuell zuweisen oder eine Abfrage ausführen, um Benutzer dynamisch zu einer Gruppe hinzuzufügen. Administratoren können die Berechtigungsverwaltung-Verwaltung in Microsoft Entra ID nutzen, um Benutzern mithilfe von Workflows und ggf. zeitbasierten Kriterien Zugriff auf eine Sammlung von Anwendungen und Ressourcen zu geben. |
| Verwaltung von Administratorrechten | Organisationen verwenden eine Kombination aus Domänen, Organisationseinheiten und Gruppen in AD, um Administratorrechte für die Verwaltung des Verzeichnisses und der zugehörigen Ressourcen zuzuweisen. | Microsoft Entra ID bietet mit seinem rollenbasierten Microsoft Entra-Zugriffskontrollsystem (Microsoft Entra RBAC) fest eingebaute Rollen mit begrenzter Unterstützung für die Erstellung benutzerdefinierter Rollen, um privilegierten Zugriff auf das Identitätssystem, die Anwendungen und Ressourcen, die es kontrolliert, zu delegieren.Die Verwaltung von Rollen kann mit Privileged Identity Management (PIM) erweitert werden, um just-in-time, zeitlich begrenzten oder workflowbasierten Zugriff auf privilegierte Rollen zu ermöglichen. |
| Verwaltung von Anmeldeinformationen | Die Anmeldeinformationen in Active Directory basieren auf Kennwörtern, Zertifikatauthentifizierung und Smartcard-Authentifizierung. Kennwörter werden mithilfe von Kennwortrichtlinien verwaltet, die auf der Länge, auf dem Ablauf und auf der Komplexität der Kennwörter basieren. | Microsoft Entra ID verwendet sowohl in der Cloud als auch lokal einen intelligenten Kennwortschutz. Dieser Schutz umfasst einen intelligenten Sperrmechanismus sowie das Sperren gängiger und benutzerdefinierter Passphrases und Ersetzungen. Microsoft Entra ID erhöht die Sicherheit erheblich durch Multi-Faktor-Authentifizierung und passwortlose Technologien wie FIDO2. Microsoft Entra ID senkt die Supportkosten, indem es den Benutzern ein System zum Zurücksetzen von Kennwörtern per Selbstbedienung bietet. |
| Apps | ||
| Infrastruktur-Apps | Active Directory stellt die Grundlage vieler lokaler Infrastrukturkomponenten dar (z.B. DNS, DHCP, IPSec, WLAN, NPS und VPN-Zugriff). | In der cloudbasierten Welt von heute stellt Microsoft Entra ID die neue Kontroll- und Steuerungsebene für den Zugriff auf Apps dar, sodass Organisationen sich nicht länger nur auf Netzwerksteuerelemente verlassen müssen. Bei der Benutzerauthentifizierung steuert der bedingte Zugriff, welche Benutzer unter den erforderlichen Bedingungen Zugriff auf welche Apps erhalten. |
| Traditionelle Apps und Legacy-Apps | Die meisten lokalen Apps verwenden die LDAP-Authentifizierung, die integrierte Windows-Authentifizierung (NTLM und Kerberos) oder die headerbasierte Authentifizierung, um den Zugriff auf Benutzer zu steuern. | Bei Microsoft Entra ID kann der Zugriff auf diese Art von lokalen Apps über Microsoft Entra-Anwendungsproxy-Agents gewährt werden, die lokal ausgeführt werden. Auf diese Weise kann Microsoft Entra ID Active Directory-Benutzer lokal mithilfe von Kerberos authentifizieren, während Sie eine Migration durchführen oder wenn beide Arten gleichzeitig verwendet werden müssen. |
| SaaS-Apps | Active Directory bietet keine native Unterstützung für SaaS-Apps, und es wird ein Verbundsystem wie AD FS benötigt. | SaaS-Anwendungen, die OAuth2-, SAML- und WS-*-Authentifizierung unterstützen, können integriert werden, um Microsoft Entra ID für die Authentifizierung zu verwenden. |
| Branchenspezifische Apps mit moderner Authentifizierung | Organisationen können AD FS mit Active Directory verwenden, um branchenspezifische Apps zu unterstützen, die eine moderne Authentifizierung erfordern. | Branchenspezifische Apps, die eine moderne Authentifizierung erfordern, lassen sich so konfigurieren, dass sie Microsoft Entra ID für die Authentifizierung verwenden. |
| Mid-Tier-Dienste/Daemon-Dienste | Dienste, die in lokalen Umgebungen ausgeführt werden, verwenden für die Ausführung üblicherweise AD-Dienstkonten oder gruppenverwaltete Dienstkonten. In diesem Fall erben diese Apps die Berechtigungen des Dienstkontos. | Für die Ausführung anderer Workloads in der Cloud bietet Microsoft Entra ID verwaltete Identitäten. Der Lebenszyklus dieser Identitäten wird von Microsoft Entra ID verwaltet und ist an den Ressourcenanbieter gebunden. Er kann nicht für andere Zwecke genutzt werden, um Hintertürzugriff zu erhalten. |
| Geräte | ||
| Mobile | Active Directory bietet ohne Drittanbieterlösungen keine native Unterstützung für mobile Geräte. | In Microsoft Entra ID ist die Microsoft-Verwaltungslösung für mobile Geräte (Microsoft Intune) integriert. Microsoft Intune stellt Informationen zum Gerätezustand für das Identitätssystem bereit, die während der Authentifizierung ausgewertet werden. |
| Windows-Desktops | In Active Directory können Windows-Geräte zu einer Domäne hinzugefügt werden, um sie über Gruppenrichtlinie, System Center Configuration Manager oder Drittanbieterlösungen zu verwalten. | Windows-Geräte können zu Microsoft Entra ID hinzugefügt werden. Mithilfe des bedingten Zugriffs kann im Rahmen des Authentifizierungsprozesses überprüft werden, ob ein Gerät zu Microsoft Entra hinzugefügt wurde. Windows-Geräte können zudem mit Microsoft Intune verwaltet werden. In diesem Fall wird durch den bedingten Zugriff geprüft, ob ein Gerät den Vorgaben entspricht (z. B. über aktuelle Sicherheitspatches und Virussignaturen verfügt), bevor es auf die Apps zugreifen darf. |
| Windows-Server | Mit Gruppenrichtlinie oder anderen Verwaltungslösungen bietet Active Directory umfassende Verwaltungsfunktionen für lokale Windows-Server. | Windows-Server-VMs in Azure können mit Microsoft Entra Domain Services verwaltet werden. Verwaltete Identitäten können verwendet werden, wenn VMs Zugriff auf das Verzeichnis oder die Ressourcen des Identitätssystems benötigen. |
| Linux-/Unix-Workloads | Active Directory bietet ohne Drittanbieterlösungen keine native Unterstützung für Nicht-Windows-Workloads. Linux-Computer lassen sich jedoch für die Authentifizierung mit Active Directory als Kerberos-Bereich konfigurieren. | Linux-/Unix-VMs können verwaltete Identitäten verwenden, um auf das Identitätssystem oder Ressourcen zuzugreifen. Einige Organisationen migrieren diese Workloads zu Cloudcontainertechnologien, die auch verwaltete Identitäten verwenden können. |