Confrontare Active Directory e Microsoft Entra ID
Microsoft Entra ID è la prossima evoluzione delle soluzioni di gestione delle identità e degli accessi per il cloud. Microsoft ha introdotto Dominio di Active Directory Services in Windows 2000 per offrire alle organizzazioni la possibilità di gestire più componenti e sistemi dell'infrastruttura locale usando una singola identità per utente.
Microsoft Entra ID adotta questo approccio al livello successivo fornendo alle organizzazioni una soluzione IDaaS (Identity as a Service) per tutte le app nel cloud e in locale.
La maggior parte degli amministratori IT ha familiarità con i concetti di Dominio di Active Directory Services. La tabella seguente illustra le differenze e le analogie tra i concetti di Active Directory e Microsoft Entra ID.
| Idea | Windows Server Active Directory | Microsoft Entra ID |
|---|---|---|
| Utenti | ||
| Provisioning: di utenti | Le organizzazioni creano utenti interni manualmente o usano un sistema di provisioning interno o automatizzato, ad esempio il Microsoft Identity Manager, per l'integrazione con un sistema HR. | Le organizzazioni di Microsoft Windows Server Active Directory esistenti usano Microsoft Entra Connessione per sincronizzare le identità nel cloud. Microsoft Entra ID aggiunge il supporto per creare automaticamente utenti da sistemi HR cloud. Microsoft Entra ID può effettuare il provisioning delle identità in System for Cross-Domain Identity Management (SCIM) enabled software as a Service (Software as a Service) app per fornire automaticamente alle app i dettagli necessari per consentire l'accesso per gli utenti. |
| Provisioning: identità esterne | Le organizzazioni creano manualmente utenti esterni come utenti normali in una foresta di Microsoft Windows Server Active Directory esterna dedicata, con conseguente sovraccarico di amministrazione per gestire il ciclo di vita delle identità esterne (utenti guest) | Microsoft Entra ID fornisce una classe speciale di identità per supportare identità esterne. Microsoft Entra B2B gestirà il collegamento all'identità utente esterna per assicurarsi che siano validi. |
| Gestione entitlement e gruppi | Gli amministratori rendono gli utenti membri dei gruppi. I proprietari di app e risorse forniscono quindi ai gruppi l'accesso. | I gruppi sono disponibili anche in Microsoft Entra ID e gli amministratori possono anche usare i gruppi per concedere le autorizzazioni alle risorse. In Microsoft Entra ID gli amministratori possono assegnare l'appartenenza ai gruppi manualmente o usare una query per includere dinamicamente gli utenti in un gruppo. Amministrazione istrator può usare Gestione entitlement in Microsoft Entra ID per concedere agli utenti l'accesso a una raccolta di app e risorse usando flussi di lavoro e, se necessario, criteri basati sul tempo. |
| Gestione dell’amministratore | Le organizzazioni useranno una combinazione di domini, unità organizzative e gruppi in Microsoft Windows Server Active Directory per delegare i diritti amministrativi per gestire la directory e le risorse che controlla. | Microsoft Entra ID fornisce ruoli predefiniti con il sistema di controllo degli accessi in base al ruolo (RBAC) di Microsoft Entra, con un supporto limitato per la creazione di ruoli personalizzati per delegare l'accesso con privilegi al sistema di identità, alle app e alle risorse controllate. La gestione dei ruoli può essere migliorata con Privileged Identity Management (PIM) per fornire l'accesso JIT, limitato al tempo o basato sul flusso di lavoro ai ruoli con privilegi. |
| Gestione delle credenziali | Le credenziali in Active Directory sono basate su password, autenticazione del certificato e autenticazione tramite smart card. Le password vengono gestite usando criteri password basati sulla lunghezza della password, sulla scadenza e sulla complessità. | Microsoft Entra ID usa la protezione intelligente delle password per il cloud e l'ambiente locale. La protezione include blocchi intelligenti e blocchi comuni e frasi password personalizzate e sostituzioni. Microsoft Entra ID aumenta significativamente la sicurezza grazie all'autenticazione a più fattori e alle tecnologie senza password, ad esempio FIDO2. Microsoft Entra ID riduce i costi di supporto fornendo agli utenti un sistema di reimpostazione della password self-service. |
| App | ||
| App dell'infrastruttura | Active Directory costituisce la base per molti componenti locali dell'infrastruttura, ad esempio DNS, DYNAMIC Host Configuration Protocol (DHCP), Internet Protocol Security (IPSec), WiFi, NPS e accesso VPN | In un nuovo mondo cloud, Microsoft Entra ID, è il nuovo piano di controllo per l'accesso alle app rispetto ai controlli di rete. Quando gli utenti eseguono l'autenticazione, l'accesso condizionale controlla quali utenti hanno accesso alle app in condizioni necessarie. |
| App tradizionali e legacy | La maggior parte delle app locali usa LDAP, l'autenticazione integrata di Windows (NTLM e Kerberos) o l'autenticazione basata su intestazione per controllare l'accesso agli utenti. | Microsoft Entra ID può fornire l'accesso a questi tipi di app locali usando gli agenti proxy dell'applicazione Microsoft Entra in esecuzione in locale. Usando questo metodo, Microsoft Entra ID può autenticare gli utenti di Active Directory in locale usando Kerberos durante la migrazione o la necessità di coesistere con le app legacy. |
| App SaaS | Active Directory non supporta le app SaaS in modo nativo e richiede un sistema federativo, ad esempio AD FS. | Le app SaaS che supportano OAuth2, SAML (Security Assertion Markup Language) e L'autenticazione WS-* possono essere integrate per l'uso dell'ID Microsoft Entra per l'autenticazione. |
| App line-of-business (LOB) con autenticazione moderna | Le organizzazioni possono usare AD FS con Active Directory per supportare le app line-of-business che richiedono l'autenticazione moderna. | Le app line-of-business che richiedono l'autenticazione moderna possono essere configurate per l'uso dell'ID Microsoft Entra per l'autenticazione. |
| Servizi di livello intermedio/daemon | I servizi in esecuzione in ambienti locali usano in genere account del servizio Active Directory di Microsoft Windows Server o account del servizio gestito del gruppo per l'esecuzione. Queste app erediteranno quindi le autorizzazioni dell'account del servizio. | Microsoft Entra ID fornisce identità gestite per eseguire altri carichi di lavoro nel cloud. Il ciclo di vita di queste identità viene gestito da Microsoft Entra ID ed è associato al provider di risorse e non può essere usato per altri scopi per ottenere l'accesso backdoor. |
| Dispositivi | ||
| Mobile | Active Directory non supporta in modo nativo i dispositivi mobili senza soluzioni di terze parti. | La soluzione di gestione dei dispositivi mobili Microsoft, Microsoft Intune, è integrata con Microsoft Entra ID. Microsoft Intune fornisce informazioni sullo stato del dispositivo al sistema di identità da valutare durante l'autenticazione. |
| Desktop di Windows | Active Directory consente di aggiungere un dominio ai dispositivi Windows per gestirli usando Criteri di gruppo, System Center Configuration Manager o altre soluzioni di terze parti. | I dispositivi Windows possono essere aggiunti a Microsoft Entra ID. L'accesso condizionale può verificare se un dispositivo è aggiunto a Microsoft Entra come parte del processo di autenticazione. I dispositivi Windows possono anche essere gestiti con Microsoft Intune. In questo caso, l'accesso condizionale valuta se un dispositivo è conforme (ad esempio, patch di sicurezza aggiornate e firme di virus) prima di consentire l'accesso alle app. |
| Server Windows | Active Directory offre funzionalità di gestione avanzate per i server Windows locali che usano Criteri di gruppo o altre soluzioni di gestione. | Le macchine virtuali dei server Windows in Azure possono essere gestite con Microsoft Entra Domain Services. Le identità gestite possono essere usate quando le macchine virtuali devono accedere alla directory o alle risorse del sistema di identità. |
| Carichi di lavoro Linux/Unix | Active Directory non supporta in modo nativo non Windows senza soluzioni di terze parti, anche se i computer Linux possono essere configurati per l'autenticazione con Active Directory come area di autenticazione Kerberos. | Le macchine virtuali Linux/Unix possono usare identità gestite per accedere al sistema di identità o alle risorse. In alcune organizzazioni eseguire la migrazione di questi carichi di lavoro alle tecnologie dei contenitori cloud, che possono usare anche le identità gestite. |