Olvasás angol nyelven

Megosztás a következőn keresztül:


Az Active Directory és a Microsoft Entra id összehasonlítása

A Microsoft Entra ID a felhő identitás- és hozzáférés-kezelési megoldásainak következő fejlesztése. A Microsoft Active Directory tartományi szolgáltatások vezetett be a Windows 2000-ben, hogy a szervezetek több helyszíni infrastruktúra-összetevőt és rendszert kezelhessenek egyetlen identitás használatával felhasználónként.

A Microsoft Entra ID ezt a megközelítést a következő szintre emeli azáltal, hogy a szervezeteknek egy Identitás mint szolgáltatás (IDaaS) megoldást biztosítanak minden alkalmazásukhoz a felhőben és a helyszínen.

A legtöbb informatikai rendszergazda ismeri Active Directory tartományi szolgáltatások fogalmakat. Az alábbi táblázat az Active Directory és a Microsoft Entra ID közötti különbségeket és hasonlóságokat ismerteti.

Fogalom Windows Server Active Directory Microsoft Entra ID
Felhasználók
Kiépítés: felhasználók A szervezetek manuálisan hoznak létre belső felhasználókat, vagy egy belső vagy automatizált kiépítési rendszert, például a Microsoft Identity Managert használják a HR-rendszerrel való integrációhoz. A Microsoft Windows Server Active Directory meglévő szervezetei a Microsoft Entra Csatlakozás használatával szinkronizálják az identitásokat a felhőbe.
A Microsoft Entra ID támogatja a felhőbeli HR-rendszerek felhasználóinak automatikus létrehozását.
A Microsoft Entra ID képes identitásokat kiépíteni a System for Cross-Domain Identity Management (SCIM) szolgáltatásként (SaaS)-alkalmazásokban, hogy az alkalmazások automatikusan megadhassák a felhasználók számára való hozzáféréshez szükséges adatokat.
Kiépítés: külső identitások A szervezetek manuálisan hoznak létre külső felhasználókat rendszeres felhasználóként egy dedikált külső Microsoft Windows Server Active Directory-erdőben, ami adminisztrációs többletterhelést eredményez a külső identitások (vendégfelhasználók) életciklusának kezeléséhez. A Microsoft Entra ID egy speciális identitásosztályt biztosít a külső identitások támogatásához. A Microsoft Entra B2B kezeli a külső felhasználói identitásra mutató hivatkozást, hogy meggyőződjön arról, hogy azok érvényesek.
Jogosultságkezelés és csoportok Rendszergazda felhasználók csoportok tagjaivá teszik a felhasználókat. Az alkalmazás- és erőforrástulajdonosok ezután hozzáférést biztosítanak a csoportoknak az alkalmazásokhoz vagy erőforrásokhoz. A csoportok a Microsoft Entra-azonosítóban is elérhetők, és a rendszergazdák csoportokkal is adhatnak engedélyeket az erőforrásokhoz. A Microsoft Entra ID-ban a rendszergazdák manuálisan rendelhetnek tagságot csoportokhoz, vagy lekérdezéssel dinamikusan bevonhatnak felhasználókat egy csoportba.
Rendszergazda istratorok használhatják Jogosultságkezelés a Microsoft Entra-azonosítóban, hogy a felhasználók munkafolyamatok és szükség esetén időalapú feltételek használatával hozzáférést biztosítsanak az alkalmazások és erőforrások gyűjteményéhez.
Rendszergazda felügyelet A szervezetek a Microsoft Windows Server Active Directory tartományainak, szervezeti egységeinek és csoportjainak kombinációjával delegálják a felügyeleti jogosultságokat az általa felügyelt címtár és erőforrások kezeléséhez. A Microsoft Entra ID beépített szerepköröket biztosít a Microsoft Entra szerepköralapú hozzáférés-vezérlési (RBAC) rendszerével, és korlátozott támogatást nyújt az egyéni szerepkörök létrehozásához az identitásrendszerhez, az alkalmazásokhoz és az általa felügyelt erőforrásokhoz való emelt szintű hozzáférés delegálásához.
A szerepkörök kezelése emelt szintű identitáskezeléssel (PIM) bővíthető, így igény szerinti, időkorlátos vagy munkafolyamat-alapú hozzáférést biztosíthat a kiemelt szerepkörökhöz.
Hitelesítő adatok kezelése Az Active Directory hitelesítő adatai jelszavakon, tanúsítványhitelesítésen és intelligenskártya-hitelesítésen alapulnak. A jelszavak kezelése jelszóhosszon, lejáraton és összetettségen alapuló jelszószabályzatokkal történik. A Microsoft Entra ID intelligens jelszóvédelmet használ a felhőben és a helyszínen. A védelem magában foglalja az intelligens zárolást, valamint a gyakori és egyéni jelszókifejezések és -helyettesítések blokkolását.
A Microsoft Entra ID jelentősen növeli a biztonságot a többtényezős hitelesítés és a jelszó nélküli technológiák, például a FIDO2 révén.
A Microsoft Entra ID azáltal csökkenti a támogatási költségeket, hogy önkiszolgáló jelszó-visszaállítási rendszert biztosít a felhasználóknak.
Apps
Infrastruktúra-alkalmazások Az Active Directory számos helyszíni infrastruktúra-összetevő alapját képezi, például DNS, Dynamic Host Configuration Protocol (DHCP), Internet Protocol Security (IPSec), WiFi, NPS és VPN-hozzáférés Egy új felhőbeli világban a Microsoft Entra ID az új vezérlősík az alkalmazások elérésére és a hálózati vezérlők használatára. A felhasználók hitelesítésekor a feltételes hozzáférés szabályozza, hogy mely felhasználók férhetnek hozzá a szükséges feltételek mellett mely alkalmazásokhoz.
Hagyományos és régi alkalmazások A legtöbb helyszíni alkalmazás LDAP-, Windows-integrált hitelesítést (NTLM és Kerberos) vagy fejlécalapú hitelesítést használ a felhasználók hozzáférésének szabályozásához. A Microsoft Entra ID hozzáférést biztosíthat az ilyen típusú helyszíni alkalmazásokhoz a helyszínen futó Microsoft Entra alkalmazásproxy-ügynökök használatával. Ezzel a módszerrel a Microsoft Entra ID a Kerberos használatával hitelesítheti a helyszíni Active Directory-felhasználókat, miközben migrál vagy együtt kell léteznie az örökölt alkalmazásokkal.
SaaS-alkalmazások Az Active Directory nem támogatja natív módon az SaaS-alkalmazásokat, és összevonási rendszert, például AD FS-t igényel. Az OAuth2, a Security Assertion Markup Language (SAML) és a WS-* hitelesítést támogató SaaS-alkalmazások integrálhatók a Microsoft Entra ID hitelesítéshez való használatához.
Üzletági (LOB) alkalmazások modern hitelesítéssel A szervezetek az AD FS és az Active Directory használatával támogathatják a modern hitelesítést igénylő LOB-alkalmazásokat. A modern hitelesítést igénylő LOB-alkalmazások úgy konfigurálhatók, hogy a Microsoft Entra-azonosítót használják a hitelesítéshez.
Középszintű/Démonszolgáltatások A helyszíni környezetekben futó szolgáltatások általában Microsoft Windows Server Active Directory szolgáltatásfiókokat vagy csoportos felügyelt szolgáltatásfiókokat (gMSA) használnak a futtatáshoz. Ezek az alkalmazások ezután öröklik a szolgáltatásfiók engedélyeit. A Microsoft Entra ID felügyelt identitásokat biztosít más számítási feladatok felhőben való futtatásához. Ezeknek az identitásoknak az életciklusát a Microsoft Entra-azonosító kezeli, és az erőforrás-szolgáltatóhoz van kötve, és más célokra nem használható a backdoor-hozzáférés megszerzéséhez.
Eszközök
Mobil Az Active Directory nem támogatja natív módon a külső megoldások nélküli mobileszközöket. A Microsoft mobileszköz-kezelési megoldása, a Microsoft Intune integrálva van a Microsoft Entra ID-val. A Microsoft Intune eszközállapot-információkat biztosít az identitásrendszernek, hogy kiértékelje a hitelesítés során.
Windows rendszerű asztalok Az Active Directory lehetővé teszi a Windows-eszközökhöz való csatlakozást a csoportházirend, a System Center Configuration Manager vagy más külső megoldások használatával történő kezelésükhöz. A Windows-eszközök csatlakoztathatók a Microsoft Entra-azonosítóhoz. A feltételes hozzáférés ellenőrizheti, hogy egy eszköz csatlakozik-e a Microsoft Entra-hoz a hitelesítési folyamat részeként. A Windows-eszközök a Microsoft Intune-nal is kezelhetők. Ebben az esetben a feltételes hozzáférés megvizsgálja, hogy az eszköz megfelelő-e (például naprakész biztonsági javítások és vírusadványok) az alkalmazásokhoz való hozzáférés engedélyezése előtt.
Windows-kiszolgálók Az Active Directory erős felügyeleti képességeket biztosít a helyszíni Windows-kiszolgálókhoz csoportházirend vagy más felügyeleti megoldások használatával. Az Azure-beli Windows-kiszolgálók virtuális gépei a Microsoft Entra Domain Services szolgáltatással kezelhetők. A felügyelt identitások akkor használhatók, ha a virtuális gépeknek hozzáférésre van szükségük az identitásrendszer könyvtárához vagy erőforrásaihoz.
Linux/Unix számítási feladatok Az Active Directory nem támogatja natív módon a Nem Windowst külső megoldások nélkül, bár a Linux-gépek konfigurálhatók úgy, hogy Kerberos-tartományként hitelesítsék magukat az Active Directoryval. A Linux/Unix rendszerű virtuális gépek felügyelt identitásokkal férhetnek hozzá az identitásrendszerhez vagy az erőforrásokhoz. Egyes szervezetek ezeket a számítási feladatokat felhőalapú tárolótechnológiákba migrálják, amelyek felügyelt identitásokat is használhatnak.

Következő lépések