Felhasználók |
|
|
Kiépítés: felhasználók |
A szervezetek manuálisan hoznak létre belső felhasználókat, vagy egy belső vagy automatizált kiépítési rendszert, például a Microsoft Identity Managert használják a HR-rendszerrel való integrációhoz. |
A Microsoft Windows Server Active Directory meglévő szervezetei a Microsoft Entra Csatlakozás használatával szinkronizálják az identitásokat a felhőbe. A Microsoft Entra ID támogatja a felhőbeli HR-rendszerek felhasználóinak automatikus létrehozását. A Microsoft Entra ID képes identitásokat kiépíteni a System for Cross-Domain Identity Management (SCIM) szolgáltatásként (SaaS)-alkalmazásokban, hogy az alkalmazások automatikusan megadhassák a felhasználók számára való hozzáféréshez szükséges adatokat. |
Kiépítés: külső identitások |
A szervezetek manuálisan hoznak létre külső felhasználókat rendszeres felhasználóként egy dedikált külső Microsoft Windows Server Active Directory-erdőben, ami adminisztrációs többletterhelést eredményez a külső identitások (vendégfelhasználók) életciklusának kezeléséhez. |
A Microsoft Entra ID egy speciális identitásosztályt biztosít a külső identitások támogatásához. A Microsoft Entra B2B kezeli a külső felhasználói identitásra mutató hivatkozást, hogy meggyőződjön arról, hogy azok érvényesek. |
Jogosultságkezelés és csoportok |
Rendszergazda felhasználók csoportok tagjaivá teszik a felhasználókat. Az alkalmazás- és erőforrástulajdonosok ezután hozzáférést biztosítanak a csoportoknak az alkalmazásokhoz vagy erőforrásokhoz. |
A csoportok a Microsoft Entra-azonosítóban is elérhetők, és a rendszergazdák csoportokkal is adhatnak engedélyeket az erőforrásokhoz. A Microsoft Entra ID-ban a rendszergazdák manuálisan rendelhetnek tagságot csoportokhoz, vagy lekérdezéssel dinamikusan bevonhatnak felhasználókat egy csoportba. Rendszergazda istratorok használhatják Jogosultságkezelés a Microsoft Entra-azonosítóban, hogy a felhasználók munkafolyamatok és szükség esetén időalapú feltételek használatával hozzáférést biztosítsanak az alkalmazások és erőforrások gyűjteményéhez. |
Rendszergazda felügyelet |
A szervezetek a Microsoft Windows Server Active Directory tartományainak, szervezeti egységeinek és csoportjainak kombinációjával delegálják a felügyeleti jogosultságokat az általa felügyelt címtár és erőforrások kezeléséhez. |
A Microsoft Entra ID beépített szerepköröket biztosít a Microsoft Entra szerepköralapú hozzáférés-vezérlési (RBAC) rendszerével, és korlátozott támogatást nyújt az egyéni szerepkörök létrehozásához az identitásrendszerhez, az alkalmazásokhoz és az általa felügyelt erőforrásokhoz való emelt szintű hozzáférés delegálásához. A szerepkörök kezelése emelt szintű identitáskezeléssel (PIM) bővíthető, így igény szerinti, időkorlátos vagy munkafolyamat-alapú hozzáférést biztosíthat a kiemelt szerepkörökhöz. |
Hitelesítő adatok kezelése |
Az Active Directory hitelesítő adatai jelszavakon, tanúsítványhitelesítésen és intelligenskártya-hitelesítésen alapulnak. A jelszavak kezelése jelszóhosszon, lejáraton és összetettségen alapuló jelszószabályzatokkal történik. |
A Microsoft Entra ID intelligens jelszóvédelmet használ a felhőben és a helyszínen. A védelem magában foglalja az intelligens zárolást, valamint a gyakori és egyéni jelszókifejezések és -helyettesítések blokkolását. A Microsoft Entra ID jelentősen növeli a biztonságot a többtényezős hitelesítés és a jelszó nélküli technológiák, például a FIDO2 révén. A Microsoft Entra ID azáltal csökkenti a támogatási költségeket, hogy önkiszolgáló jelszó-visszaállítási rendszert biztosít a felhasználóknak. |
Apps |
|
|
Infrastruktúra-alkalmazások |
Az Active Directory számos helyszíni infrastruktúra-összetevő alapját képezi, például DNS, Dynamic Host Configuration Protocol (DHCP), Internet Protocol Security (IPSec), WiFi, NPS és VPN-hozzáférés |
Egy új felhőbeli világban a Microsoft Entra ID az új vezérlősík az alkalmazások elérésére és a hálózati vezérlők használatára. A felhasználók hitelesítésekor a feltételes hozzáférés szabályozza, hogy mely felhasználók férhetnek hozzá a szükséges feltételek mellett mely alkalmazásokhoz. |
Hagyományos és régi alkalmazások |
A legtöbb helyszíni alkalmazás LDAP-, Windows-integrált hitelesítést (NTLM és Kerberos) vagy fejlécalapú hitelesítést használ a felhasználók hozzáférésének szabályozásához. |
A Microsoft Entra ID hozzáférést biztosíthat az ilyen típusú helyszíni alkalmazásokhoz a helyszínen futó Microsoft Entra alkalmazásproxy-ügynökök használatával. Ezzel a módszerrel a Microsoft Entra ID a Kerberos használatával hitelesítheti a helyszíni Active Directory-felhasználókat, miközben migrál vagy együtt kell léteznie az örökölt alkalmazásokkal. |
SaaS-alkalmazások |
Az Active Directory nem támogatja natív módon az SaaS-alkalmazásokat, és összevonási rendszert, például AD FS-t igényel. |
Az OAuth2, a Security Assertion Markup Language (SAML) és a WS-* hitelesítést támogató SaaS-alkalmazások integrálhatók a Microsoft Entra ID hitelesítéshez való használatához. |
Üzletági (LOB) alkalmazások modern hitelesítéssel |
A szervezetek az AD FS és az Active Directory használatával támogathatják a modern hitelesítést igénylő LOB-alkalmazásokat. |
A modern hitelesítést igénylő LOB-alkalmazások úgy konfigurálhatók, hogy a Microsoft Entra-azonosítót használják a hitelesítéshez. |
Középszintű/Démonszolgáltatások |
A helyszíni környezetekben futó szolgáltatások általában Microsoft Windows Server Active Directory szolgáltatásfiókokat vagy csoportos felügyelt szolgáltatásfiókokat (gMSA) használnak a futtatáshoz. Ezek az alkalmazások ezután öröklik a szolgáltatásfiók engedélyeit. |
A Microsoft Entra ID felügyelt identitásokat biztosít más számítási feladatok felhőben való futtatásához. Ezeknek az identitásoknak az életciklusát a Microsoft Entra-azonosító kezeli, és az erőforrás-szolgáltatóhoz van kötve, és más célokra nem használható a backdoor-hozzáférés megszerzéséhez. |
Eszközök |
|
|
Mobil |
Az Active Directory nem támogatja natív módon a külső megoldások nélküli mobileszközöket. |
A Microsoft mobileszköz-kezelési megoldása, a Microsoft Intune integrálva van a Microsoft Entra ID-val. A Microsoft Intune eszközállapot-információkat biztosít az identitásrendszernek, hogy kiértékelje a hitelesítés során. |
Windows rendszerű asztalok |
Az Active Directory lehetővé teszi a Windows-eszközökhöz való csatlakozást a csoportházirend, a System Center Configuration Manager vagy más külső megoldások használatával történő kezelésükhöz. |
A Windows-eszközök csatlakoztathatók a Microsoft Entra-azonosítóhoz. A feltételes hozzáférés ellenőrizheti, hogy egy eszköz csatlakozik-e a Microsoft Entra-hoz a hitelesítési folyamat részeként. A Windows-eszközök a Microsoft Intune-nal is kezelhetők. Ebben az esetben a feltételes hozzáférés megvizsgálja, hogy az eszköz megfelelő-e (például naprakész biztonsági javítások és vírusadványok) az alkalmazásokhoz való hozzáférés engedélyezése előtt. |
Windows-kiszolgálók |
Az Active Directory erős felügyeleti képességeket biztosít a helyszíni Windows-kiszolgálókhoz csoportházirend vagy más felügyeleti megoldások használatával. |
Az Azure-beli Windows-kiszolgálók virtuális gépei a Microsoft Entra Domain Services szolgáltatással kezelhetők. A felügyelt identitások akkor használhatók, ha a virtuális gépeknek hozzáférésre van szükségük az identitásrendszer könyvtárához vagy erőforrásaihoz. |
Linux/Unix számítási feladatok |
Az Active Directory nem támogatja natív módon a Nem Windowst külső megoldások nélkül, bár a Linux-gépek konfigurálhatók úgy, hogy Kerberos-tartományként hitelesítsék magukat az Active Directoryval. |
A Linux/Unix rendszerű virtuális gépek felügyelt identitásokkal férhetnek hozzá az identitásrendszerhez vagy az erőforrásokhoz. Egyes szervezetek ezeket a számítási feladatokat felhőalapú tárolótechnológiákba migrálják, amelyek felügyelt identitásokat is használhatnak. |