Comparación de Active Directory Domain Services y Microsoft Entra ID
Active Directory Domain Services (AD DS) es la implementación tradicional de Active Directory basado en Windows Server en un servidor físico o virtual. Active Directory Domain Services (AD DS) también incluye Servicios de certificados de Active Directory (AD CS), Active Directory Lightweight Directory Services (AD LDS), Servicios de federación de Active Directory (AD FS) y Active Directory Rights Management Services (AD RMS).
Importante
Si bien puede implementar y administrar AD DS en Azure Virtual Machines, se recomienda usar Microsoft Entra ID, a menos que su configuración tenga como destino cargas de trabajo de IaaS que dependan específicamente de AD DS.
Aspectos que se deben tener en cuenta al usar Microsoft Entra en lugar de AD DS
Microsoft Entra ID es similar a AD DS, pero hay diferencias importantes. Es importante comprender que el uso de Microsoft Entra ID para la configuración es diferente de implementar un controlador de dominio de Active Directory en una máquina virtual de Azure y, a continuación, agregarlo al dominio local.
A medida que planee la estrategia de identidad, tenga en cuenta las siguientes características que distinguen Microsoft Entra ID de AD DS.
Solución de identidad: AD DS es principalmente un servicio de directorio, mientras que Microsoft Entra ID es una solución de identidad completa. Microsoft Entra ID está diseñado para aplicaciones basadas en Internet que usan comunicaciones HTTP y HTTPS. Las características y capacidades de Microsoft Entra ID admiten la administración segura de identidades de destino.
Protocolos de comunicación: Dado que Microsoft Entra ID se basa en HTTP y HTTPS, no usa la autenticación Kerberos. Microsoft Entra ID implementa los protocolos HTTP y HTTPS, como SAML, WS-Federation y OpenID Connect para la autenticación, así como OAuth para la autorización.
Servicios de federación: Microsoft Entra ID incluye servicios de federación y muchos servicios de terceros como Facebook.
Estructura plana: Los usuarios y grupos de Microsoft Entra se crean en una estructura plana. No hay unidades organizativas (UO) ni objetos de directiva de grupo (GPO).
Servicio administrado: Microsoft Entra ID es un servicio administrado. Solo se administran los usuarios, los grupos y las directivas. Si implementa AD DS con máquinas virtuales mediante Azure, administra muchas otras tareas, como la implementación, la configuración, las máquinas virtuales, la aplicación de revisiones y otros procesos de back-end.