Az Active Directory összehasonlítása Microsoft Entra azonosítóval
Microsoft Entra azonosító az identitás- és hozzáférés-kezelési megoldások következő fejlesztése a felhőben. A Microsoft Active Directory tartományi szolgáltatások vezetett be a Windows 2000-ben, hogy a szervezetek több helyszíni infrastruktúra-összetevőt és rendszert kezelhessenek egyetlen identitás használatával felhasználónként.
Microsoft Entra azonosító ezt a megközelítést a következő szintre emeli azáltal, hogy a szervezeteknek egy Identitásszolgáltatásként (IDaaS) megoldást biztosítanak minden alkalmazásukhoz a felhőben és a helyszínen.
A legtöbb informatikai rendszergazda ismeri Active Directory tartományi szolgáltatások fogalmakat. Az alábbi táblázat az Active Directory-fogalmak és az Microsoft Entra-azonosító közötti különbségeket és hasonlóságokat ismerteti.
Fogalom | Active Directory (AD) | Microsoft Entra ID |
---|---|---|
Felhasználók | ||
Kiépítés: felhasználók | A szervezetek manuálisan hoznak létre belső felhasználókat, vagy házon belüli vagy automatizált kiépítési rendszert( például a Microsoft Identity Manager) használnak a HR-rendszerekkel való integrációhoz. | A meglévő AD-szervezetek Microsoft Entra Connect használatával szinkronizálják az identitásokat a felhővel. Microsoft Entra azonosító támogatást ad a felhőBELI HR-rendszerek felhasználóinak automatikus létrehozásához. Microsoft Entra azonosító képes identitásokat kiépíteni az SCIM-kompatibilis SaaS-alkalmazásokban, hogy automatikusan biztosítsa az alkalmazásokat a felhasználók hozzáférésének engedélyezéséhez szükséges részletekkel. |
Kiépítés: külső identitások | A szervezetek manuálisan hoznak létre külső felhasználókat normál felhasználóként egy dedikált külső AD-erdőben, ami adminisztrációs többletterhelést eredményez a külső identitások életciklusának (vendégfelhasználók) kezeléséhez. | Microsoft Entra azonosító egy speciális identitásosztályt biztosít a külső identitások támogatásához. Microsoft Entra B2B kezeli a külső felhasználói identitásra mutató hivatkozást, hogy biztosan érvényes legyen. |
Jogosultságkezelés és csoportok | A rendszergazdák csoportok tagjaivá teszik a felhasználókat. Az alkalmazás- és erőforrás-tulajdonosok ezután hozzáférést biztosítanak a csoportoknak az alkalmazásokhoz vagy erőforrásokhoz. | A csoportok Microsoft Entra azonosítóban is elérhetők, és a rendszergazdák csoportokkal is adhatnak engedélyeket az erőforrásokhoz. A Microsoft Entra azonosítóban a rendszergazdák manuálisan rendelhetnek hozzá tagságot csoportokhoz, vagy lekérdezéssel dinamikusan felvehetik a felhasználókat egy csoportba. A rendszergazdák a jogosultságkezelést Microsoft Entra azonosítóban használhatják, hogy munkafolyamatokkal és szükség esetén időalapú feltételekkel hozzáférést biztosítsanak a felhasználóknak alkalmazások és erőforrások gyűjteményéhez. |
Rendszergazda kezelése | A szervezetek tartományokat, szervezeti egységeket és csoportokat használnak az AD-ben, hogy rendszergazdai jogosultságokat delegáljanak az általa felügyelt címtár és erőforrások kezeléséhez. | Microsoft Entra azonosító beépített szerepköröket biztosít a Microsoft Entra szerepköralapú hozzáférés-vezérlési (Microsoft Entra RBAC) rendszerrel, és korlátozott támogatást nyújt egyéni szerepkörök létrehozásához az identitásrendszerhez, az általa felügyelt alkalmazásokhoz és erőforrásokhoz való emelt szintű hozzáférés delegálásához. A szerepkörök kezelése bővíthető a Privileged Identity Management (PIM) használatával, hogy igény szerinti, időkorlátos vagy munkafolyamat-alapú hozzáférést biztosítson a kiemelt szerepkörökhöz. |
Hitelesítő adatok kezelése | Az Active Directory hitelesítő adatai jelszavakon, tanúsítványhitelesítésen és intelligenskártya-hitelesítésen alapulnak. A jelszavak kezelése jelszószabályzatokkal történik, amelyek a jelszó hosszán, lejáratán és összetettségén alapulnak. | Microsoft Entra azonosító intelligens jelszóvédelmet használ a felhőhöz és a helyszíni környezethez. A védelem magában foglalja az intelligens zárolást, valamint a gyakori és egyéni jelszókifejezések és -helyettesítések blokkolását. Microsoft Entra azonosító jelentősen növeli a biztonságot a többtényezős hitelesítés és a jelszó nélküli technológiák, például a FIDO2 révén. Microsoft Entra azonosító csökkenti a támogatási költségeket azáltal, hogy önkiszolgáló jelszó-visszaállítási rendszert biztosít a felhasználóknak. |
Alkalmazások | ||
Infrastruktúra-alkalmazások | Az Active Directory számos helyszíni infrastruktúra-összetevő alapját képezi, például DNS, DHCP, IPSec, WiFi, NPS és VPN-hozzáférés | Egy új felhőbeli világban az Microsoft Entra azonosító az alkalmazások elérésének új vezérlősíkja, amely nem a hálózati vezérlőkre támaszkodik. A felhasználók hitelesítésekor a feltételes hozzáférés szabályozza, hogy mely felhasználók férhetnek hozzá a szükséges feltételek mellett elérhető alkalmazásokhoz. |
Hagyományos és régi alkalmazások | A legtöbb helyszíni alkalmazás LDAP-t, Windows-Integrated-hitelesítést (NTLM és Kerberos) vagy fejlécalapú hitelesítést használ a felhasználók hozzáférésének szabályozásához. | Microsoft Entra azonosító hozzáférést biztosíthat az ilyen típusú helyszíni alkalmazásokhoz a helyszínen futó Microsoft Entra alkalmazásproxy-ügynökök használatával. Ezzel a módszerrel Microsoft Entra azonosító hitelesítheti a helyszíni Active Directory-felhasználókat a Kerberos használatával, miközben migrál vagy együtt kell lennie az örökölt alkalmazásokkal. |
SaaS-alkalmazások | Az Active Directory natív módon nem támogatja az SaaS-alkalmazásokat, és összevonási rendszert, például AD FS-t igényel. | Az OAuth2, SAML és WS-* hitelesítést támogató SaaS-alkalmazások integrálhatók Microsoft Entra azonosító hitelesítéshez való használatához. |
Üzletági alkalmazások modern hitelesítéssel | A szervezetek az AD FS és az Active Directory használatával támogathatják a modern hitelesítést igénylő LOB-alkalmazásokat. | A modern hitelesítést igénylő LOB-alkalmazások úgy konfigurálhatók, hogy Microsoft Entra azonosítót használják a hitelesítéshez. |
Középszintű/démonszolgáltatások | A helyszíni környezetekben futó szolgáltatások általában AD-szolgáltatásfiókokat vagy csoportos felügyeltszolgáltatás-fiókokat (gMSA) használnak a futtatáshoz. Ezek az alkalmazások ezután öröklik a szolgáltatásfiók engedélyeit. | Microsoft Entra azonosító felügyelt identitásokat biztosít más számítási feladatok felhőben való futtatásához. Ezeknek az identitásoknak az életciklusát Microsoft Entra azonosító kezeli, és az erőforrás-szolgáltatóhoz van kötve, és nem használható más célokra a backdoor-hozzáférés megszerzéséhez. |
Eszközök | ||
Mobil | Az Active Directory natív módon nem támogatja a mobileszközöket külső megoldások nélkül. | A Microsoft mobileszköz-kezelési megoldása, Microsoft Intune integrálva van Microsoft Entra azonosítóval. Microsoft Intune eszközállapot-információkat biztosít az identitásrendszernek, hogy kiértékelje a hitelesítés során. |
Windows rendszerű asztalok | Az Active Directory lehetővé teszi a Windows-eszközökhöz való csatlakozást a Csoportházirend, a System Center Configuration Manager vagy más külső megoldások használatával történő kezeléséhez. | A Windows-eszközök csatlakoztathatók Microsoft Entra azonosítóhoz. A feltételes hozzáférés ellenőrizheti, hogy egy eszköz Microsoft Entra csatlakozik-e a hitelesítési folyamat részeként. A Windows-eszközök Microsoft Intune is kezelhetők. Ebben az esetben a feltételes hozzáférés mérlegeli, hogy az eszköz megfelelő-e (például naprakész biztonsági javítások és vírusadványok) az alkalmazásokhoz való hozzáférés engedélyezése előtt. |
Windows-kiszolgálók | Az Active Directory erős felügyeleti képességeket biztosít a helyszíni Windows-kiszolgálókhoz Csoportházirend vagy más felügyeleti megoldásokkal. | Az Azure-beli Windows-kiszolgálók virtuális gépei Microsoft Entra Domain Services szolgáltatással kezelhetők. Felügyelt identitások akkor használhatók, ha a virtuális gépeknek hozzáférésre van szükségük az identitásrendszer könyvtárához vagy erőforrásaihoz. |
Linux/Unix számítási feladatok | Az Active Directory natív módon nem támogatja a nem Windows rendszert külső megoldások nélkül, bár a Linux rendszerű gépek konfigurálhatók úgy, hogy Kerberos-tartományként hitelesítsék magukat az Active Directoryval. | A Linux/Unix rendszerű virtuális gépek felügyelt identitásokkal férhetnek hozzá az identitásrendszerhez vagy az erőforrásokhoz. Egyes szervezetek ezeket a számítási feladatokat felhőalapú tárolótechnológiákba migrálják, amelyek felügyelt identitásokat is használhatnak. |