Confrontare Active Directory con Microsoft Entra ID

Microsoft Entra ID è l'evoluzione successiva delle soluzioni di gestione delle identità e degli accessi per il cloud. Microsoft ha introdotto Active Directory Domain Services in Windows 2000 per offrire alle organizzazioni la possibilità di gestire più componenti e sistemi dell'infrastruttura locale usando una singola identità per utente.

Microsoft Entra ID adotta questo approccio al livello successivo fornendo alle organizzazioni una soluzione IDaaS (Identity as a Service) per tutte le app nel cloud e in locale.

La maggior parte degli amministratori IT ha familiarità con i concetti di Active Directory Domain Services. La tabella seguente illustra le differenze e le analogie tra i concetti di Active Directory e Microsoft Entra ID.

Concetto Active Directory (AD) Microsoft Entra ID
Utenti
Provisioning: utenti Le organizzazioni creano utenti interni manualmente o usano un sistema di provisioning interno o automatizzato, ad esempio il Microsoft Identity Manager, per l'integrazione con un sistema HR. Le organizzazioni di Active Directory esistenti usano Microsoft Entra Connect per sincronizzare le identità nel cloud.
Microsoft Entra ID aggiunge il supporto per creare automaticamente gli utenti dai sistemi HR cloud.
Microsoft Entra ID può effettuare il provisioning delle identità nelle app SaaS abilitate per SCIM per fornire automaticamente alle app i dettagli necessari per consentire l'accesso per gli utenti.
Provisioning: identità esterne Le organizzazioni creano manualmente utenti esterni come utenti normali in una foresta di Active Directory esterna dedicata, con conseguente sovraccarico amministrativo per gestire il ciclo di vita delle identità esterne (utenti guest) Microsoft Entra ID fornisce una classe speciale di identità per supportare le identità esterne. Microsoft Entra B2B gestirà il collegamento all'identità utente esterna per assicurarsi che siano validi.
Gestione e gruppi entitlement Gli amministratori rendono gli utenti membri dei gruppi. I proprietari di app e risorse consentono quindi ai gruppi di accedere alle app o alle risorse. I gruppi sono disponibili anche in Microsoft Entra ID e gli amministratori possono usare i gruppi per concedere le autorizzazioni alle risorse. In Microsoft Entra ID gli amministratori possono assegnare l'appartenenza ai gruppi manualmente o usare una query per includere dinamicamente gli utenti in un gruppo.
Gli amministratori possono usare la gestione entitlement in Microsoft Entra ID per concedere agli utenti l'accesso a una raccolta di app e risorse usando flussi di lavoro e, se necessario, criteri basati sul tempo.
gestione Amministrazione Le organizzazioni useranno una combinazione di domini, unità organizzative e gruppi in Active Directory per delegare i diritti amministrativi per gestire la directory e le risorse che controlla. Microsoft Entra ID fornisce ruoli predefiniti con il proprio Microsoft Entra sistema di controllo degli accessi in base al ruolo (Microsoft Entra controllo degli accessi in base al ruolo), con un supporto limitato per la creazione di ruoli personalizzati per delegare l'accesso con privilegi al sistema di identità, alle app e alle risorse controllate.
La gestione dei ruoli può essere migliorata con Privileged Identity Management (PIM) per fornire l'accesso JIT, limitato al tempo o basato sul flusso di lavoro ai ruoli con privilegi.
Gestione delle credenziali Le credenziali in Active Directory sono basate su password, autenticazione del certificato e autenticazione tramite smart card. Le password vengono gestite usando criteri password basati sulla lunghezza, sulla scadenza e sulla complessità delle password. Microsoft Entra ID usa la protezione intelligente delle password per cloud e in locale. La protezione include il blocco intelligente e il blocco di frasi e sostituzioni di password comuni e personalizzate.
Microsoft Entra ID aumenta significativamente la sicurezza tramite l'autenticazione a più fattori e le tecnologie senza password, ad esempio FIDO2.
Microsoft Entra ID riduce i costi di supporto fornendo agli utenti un sistema di reimpostazione della password self-service.
App
App per l'infrastruttura Active Directory costituisce la base per molti componenti locali dell'infrastruttura, ad esempio DNS, DHCP, IPSec, WiFi, NPS e accesso VPN In un nuovo mondo cloud, Microsoft Entra ID, è il nuovo piano di controllo per l'accesso alle app rispetto ai controlli di rete. Quando gli utenti eseguono l'autenticazione, l'accesso condizionale controlla quali utenti hanno accesso alle app in condizioni necessarie.
App tradizionali e legacy La maggior parte delle app locali usa LDAP, autenticazione Windows-Integrated (NTLM e Kerberos) o autenticazione basata su intestazione per controllare l'accesso agli utenti. Microsoft Entra ID può fornire l'accesso a questi tipi di app locali usando Microsoft Entra agenti proxy dell'applicazione in esecuzione in locale. Usando questo metodo Microsoft Entra ID è possibile autenticare gli utenti di Active Directory in locale usando Kerberos durante la migrazione o la necessità di coesistere con le app legacy.
App SaaS Active Directory non supporta le app SaaS in modo nativo e richiede il sistema federativo, ad esempio AD FS. Le app SaaS che supportano l'autenticazione OAuth2, SAML e WS-* possono essere integrate per usare Microsoft Entra ID per l'autenticazione.
App line-of-business con autenticazione moderna Le organizzazioni possono usare AD FS con Active Directory per supportare le app line-of-business che richiedono l'autenticazione moderna. Le app line-of-business che richiedono l'autenticazione moderna possono essere configurate per usare Microsoft Entra ID per l'autenticazione.
Servizi mid-tier/Daemon I servizi in esecuzione in ambienti locali usano in genere account del servizio Active Directory o account del servizio gestito del gruppo (gMSA) per l'esecuzione. Queste app erediteranno quindi le autorizzazioni dell'account del servizio. Microsoft Entra ID fornisce identità gestite per eseguire altri carichi di lavoro nel cloud. Il ciclo di vita di queste identità viene gestito da Microsoft Entra ID ed è associato al provider di risorse e non può essere usato per altri scopi per ottenere l'accesso backdoor.
Dispositivi
Dispositivi mobili Active Directory non supporta in modo nativo i dispositivi mobili senza soluzioni di terze parti. La soluzione di gestione dei dispositivi mobili di Microsoft, Microsoft Intune, è integrata con Microsoft Entra ID. Microsoft Intune fornisce informazioni sullo stato del dispositivo al sistema di identità da valutare durante l'autenticazione.
Desktop di Windows Active Directory consente di aggiungere a un dominio i dispositivi Windows per gestirli usando Criteri di gruppo, System Center Configuration Manager o altre soluzioni di terze parti. I dispositivi Windows possono essere aggiunti a Microsoft Entra ID. L'accesso condizionale può verificare se un dispositivo è Microsoft Entra aggiunto come parte del processo di autenticazione. I dispositivi Windows possono essere gestiti anche con Microsoft Intune. In questo caso, l'accesso condizionale valuta se un dispositivo è conforme (ad esempio, patch di sicurezza aggiornate e firme antivirus) prima di consentire l'accesso alle app.
Server Windows Active Directory offre funzionalità di gestione avanzate per i server Windows locali che usano Criteri di gruppo o altre soluzioni di gestione. Le macchine virtuali dei server Windows in Azure possono essere gestite con Microsoft Entra Domain Services. Le identità gestite possono essere usate quando le macchine virtuali devono accedere alla directory o alle risorse del sistema di gestione delle identità.
Carichi di lavoro Linux/Unix Active Directory non supporta in modo nativo non Windows senza soluzioni di terze parti, anche se i computer Linux possono essere configurati per l'autenticazione con Active Directory come area di autenticazione Kerberos. Le macchine virtuali Linux/Unix possono usare identità gestite per accedere al sistema di identità o alle risorse. Alcune organizzazioni, eseguire la migrazione di questi carichi di lavoro alle tecnologie dei contenitori cloud, che possono anche usare le identità gestite.

Passaggi successivi