Az Active Directory és a Microsoft Entra id összehasonlítása
A Microsoft Entra ID a felhő identitás- és hozzáférés-kezelési megoldásainak következő fejlesztése. A Microsoft Active Directory tartományi szolgáltatások vezetett be a Windows 2000-ben, hogy a szervezetek több helyszíni infrastruktúra-összetevőt és rendszert kezelhessenek egyetlen identitás használatával felhasználónként.
A Microsoft Entra ID ezt a megközelítést a következő szintre emeli azáltal, hogy a szervezeteknek egy Identitás mint szolgáltatás (IDaaS) megoldást biztosítanak minden alkalmazásukhoz a felhőben és a helyszínen.
A legtöbb informatikai rendszergazda ismeri Active Directory tartományi szolgáltatások fogalmakat. Az alábbi táblázat az Active Directory és a Microsoft Entra ID közötti különbségeket és hasonlóságokat ismerteti.
Fogalom | Windows Server Active Directory | Microsoft Entra ID |
---|---|---|
Felhasználók | ||
Kiépítés: felhasználók | A szervezetek manuálisan hoznak létre belső felhasználókat, vagy egy belső vagy automatizált kiépítési rendszert, például a Microsoft Identity Managert használják a HR-rendszerrel való integrációhoz. | A Microsoft Windows Server Active Directory meglévő szervezetei a Microsoft Entra Csatlakozás használatával szinkronizálják az identitásokat a felhőbe. A Microsoft Entra ID támogatja a felhőbeli HR-rendszerek felhasználóinak automatikus létrehozását. A Microsoft Entra ID képes identitásokat kiépíteni a System for Cross-Domain Identity Management (SCIM) szolgáltatásként (SaaS)-alkalmazásokban, hogy az alkalmazások automatikusan megadhassák a felhasználók számára való hozzáféréshez szükséges adatokat. |
Kiépítés: külső identitások | A szervezetek manuálisan hoznak létre külső felhasználókat rendszeres felhasználóként egy dedikált külső Microsoft Windows Server Active Directory-erdőben, ami adminisztrációs többletterhelést eredményez a külső identitások (vendégfelhasználók) életciklusának kezeléséhez. | A Microsoft Entra ID egy speciális identitásosztályt biztosít a külső identitások támogatásához. A Microsoft Entra B2B kezeli a külső felhasználói identitásra mutató hivatkozást, hogy meggyőződjön arról, hogy azok érvényesek. |
Jogosultságkezelés és csoportok | Rendszergazda felhasználók csoportok tagjaivá teszik a felhasználókat. Az alkalmazás- és erőforrástulajdonosok ezután hozzáférést biztosítanak a csoportoknak az alkalmazásokhoz vagy erőforrásokhoz. | A csoportok a Microsoft Entra-azonosítóban is elérhetők, és a rendszergazdák csoportokkal is adhatnak engedélyeket az erőforrásokhoz. A Microsoft Entra ID-ban a rendszergazdák manuálisan rendelhetnek tagságot csoportokhoz, vagy lekérdezéssel dinamikusan bevonhatnak felhasználókat egy csoportba. Rendszergazda istratorok használhatják Jogosultságkezelés a Microsoft Entra-azonosítóban, hogy a felhasználók munkafolyamatok és szükség esetén időalapú feltételek használatával hozzáférést biztosítsanak az alkalmazások és erőforrások gyűjteményéhez. |
Rendszergazda felügyelet | A szervezetek a Microsoft Windows Server Active Directory tartományainak, szervezeti egységeinek és csoportjainak kombinációjával delegálják a felügyeleti jogosultságokat az általa felügyelt címtár és erőforrások kezeléséhez. | A Microsoft Entra ID beépített szerepköröket biztosít a Microsoft Entra szerepköralapú hozzáférés-vezérlési (RBAC) rendszerével, és korlátozott támogatást nyújt az egyéni szerepkörök létrehozásához az identitásrendszerhez, az alkalmazásokhoz és az általa felügyelt erőforrásokhoz való emelt szintű hozzáférés delegálásához. A szerepkörök kezelése emelt szintű identitáskezeléssel (PIM) bővíthető, így igény szerinti, időkorlátos vagy munkafolyamat-alapú hozzáférést biztosíthat a kiemelt szerepkörökhöz. |
Hitelesítő adatok kezelése | Az Active Directory hitelesítő adatai jelszavakon, tanúsítványhitelesítésen és intelligenskártya-hitelesítésen alapulnak. A jelszavak kezelése jelszóhosszon, lejáraton és összetettségen alapuló jelszószabályzatokkal történik. | A Microsoft Entra ID intelligens jelszóvédelmet használ a felhőben és a helyszínen. A védelem magában foglalja az intelligens zárolást, valamint a gyakori és egyéni jelszókifejezések és -helyettesítések blokkolását. A Microsoft Entra ID jelentősen növeli a biztonságot a többtényezős hitelesítés és a jelszó nélküli technológiák, például a FIDO2 révén. A Microsoft Entra ID azáltal csökkenti a támogatási költségeket, hogy önkiszolgáló jelszó-visszaállítási rendszert biztosít a felhasználóknak. |
Apps | ||
Infrastruktúra-alkalmazások | Az Active Directory számos helyszíni infrastruktúra-összetevő alapját képezi, például DNS, Dynamic Host Configuration Protocol (DHCP), Internet Protocol Security (IPSec), WiFi, NPS és VPN-hozzáférés | Egy új felhőbeli világban a Microsoft Entra ID az új vezérlősík az alkalmazások elérésére és a hálózati vezérlők használatára. A felhasználók hitelesítésekor a feltételes hozzáférés szabályozza, hogy mely felhasználók férhetnek hozzá a szükséges feltételek mellett mely alkalmazásokhoz. |
Hagyományos és régi alkalmazások | A legtöbb helyszíni alkalmazás LDAP-, Windows-integrált hitelesítést (NTLM és Kerberos) vagy fejlécalapú hitelesítést használ a felhasználók hozzáférésének szabályozásához. | A Microsoft Entra ID hozzáférést biztosíthat az ilyen típusú helyszíni alkalmazásokhoz a helyszínen futó Microsoft Entra alkalmazásproxy-ügynökök használatával. Ezzel a módszerrel a Microsoft Entra ID a Kerberos használatával hitelesítheti a helyszíni Active Directory-felhasználókat, miközben migrál vagy együtt kell léteznie az örökölt alkalmazásokkal. |
SaaS-alkalmazások | Az Active Directory nem támogatja natív módon az SaaS-alkalmazásokat, és összevonási rendszert, például AD FS-t igényel. | Az OAuth2, a Security Assertion Markup Language (SAML) és a WS-* hitelesítést támogató SaaS-alkalmazások integrálhatók a Microsoft Entra ID hitelesítéshez való használatához. |
Üzletági (LOB) alkalmazások modern hitelesítéssel | A szervezetek az AD FS és az Active Directory használatával támogathatják a modern hitelesítést igénylő LOB-alkalmazásokat. | A modern hitelesítést igénylő LOB-alkalmazások úgy konfigurálhatók, hogy a Microsoft Entra-azonosítót használják a hitelesítéshez. |
Középszintű/Démonszolgáltatások | A helyszíni környezetekben futó szolgáltatások általában Microsoft Windows Server Active Directory szolgáltatásfiókokat vagy csoportos felügyelt szolgáltatásfiókokat (gMSA) használnak a futtatáshoz. Ezek az alkalmazások ezután öröklik a szolgáltatásfiók engedélyeit. | A Microsoft Entra ID felügyelt identitásokat biztosít más számítási feladatok felhőben való futtatásához. Ezeknek az identitásoknak az életciklusát a Microsoft Entra-azonosító kezeli, és az erőforrás-szolgáltatóhoz van kötve, és más célokra nem használható a backdoor-hozzáférés megszerzéséhez. |
Eszközök | ||
Mobil | Az Active Directory nem támogatja natív módon a külső megoldások nélküli mobileszközöket. | A Microsoft mobileszköz-kezelési megoldása, a Microsoft Intune integrálva van a Microsoft Entra ID-val. A Microsoft Intune eszközállapot-információkat biztosít az identitásrendszernek, hogy kiértékelje a hitelesítés során. |
Windows rendszerű asztalok | Az Active Directory lehetővé teszi a Windows-eszközökhöz való csatlakozást a csoportházirend, a System Center Configuration Manager vagy más külső megoldások használatával történő kezelésükhöz. | A Windows-eszközök csatlakoztathatók a Microsoft Entra-azonosítóhoz. A feltételes hozzáférés ellenőrizheti, hogy egy eszköz csatlakozik-e a Microsoft Entra-hoz a hitelesítési folyamat részeként. A Windows-eszközök a Microsoft Intune-nal is kezelhetők. Ebben az esetben a feltételes hozzáférés megvizsgálja, hogy az eszköz megfelelő-e (például naprakész biztonsági javítások és vírusadványok) az alkalmazásokhoz való hozzáférés engedélyezése előtt. |
Windows-kiszolgálók | Az Active Directory erős felügyeleti képességeket biztosít a helyszíni Windows-kiszolgálókhoz csoportházirend vagy más felügyeleti megoldások használatával. | Az Azure-beli Windows-kiszolgálók virtuális gépei a Microsoft Entra Domain Services szolgáltatással kezelhetők. A felügyelt identitások akkor használhatók, ha a virtuális gépeknek hozzáférésre van szükségük az identitásrendszer könyvtárához vagy erőforrásaihoz. |
Linux/Unix számítási feladatok | Az Active Directory nem támogatja natív módon a Nem Windowst külső megoldások nélkül, bár a Linux-gépek konfigurálhatók úgy, hogy Kerberos-tartományként hitelesítsék magukat az Active Directoryval. | A Linux/Unix rendszerű virtuális gépek felügyelt identitásokkal férhetnek hozzá az identitásrendszerhez vagy az erőforrásokhoz. Egyes szervezetek ezeket a számítási feladatokat felhőalapú tárolótechnológiákba migrálják, amelyek felügyelt identitásokat is használhatnak. |