Сравнение Active Directory с идентификатором Microsoft Entra
Microsoft Entra id — это следующая эволюция решений по управлению удостоверениями и доступом для облака. Майкрософт представила доменные службы Active Directory в Windows 2000, чтобы дать организациям возможность управлять несколькими компонентами локальной инфраструктуры и системами, используя единую идентификацию для каждого пользователя.
Microsoft Entra id выводит этот подход на новый уровень, предоставляя организациям решение "Идентификация как услуга" (IDaaS) для всех своих приложений в облаке и локальной среде.
Большинство ИТ-администраторов знакомы с концепциями доменных служб Active Directory. В следующей таблице описаны различия и сходства между понятиями Active Directory и идентификатором Microsoft Entra.
| Концепция | Active Directory | Microsoft Entra ID |
|---|---|---|
| Пользователи | ||
| Подготовка: пользователи | Организации создают внутренних пользователей вручную или используют внутреннюю или автоматизированную систему подготовки, такую как Диспетчер удостоверений Майкрософт, для интеграции с системой управления персоналом. | Существующие организации AD используют Microsoft Entra Connect для синхронизации удостоверений с облаком. Microsoft Entra идентификатор добавляет поддержку автоматического создания пользователей из облачных систем управления персоналом. Microsoft Entra id может подготавливать удостоверения в приложениях SaaS с поддержкой SCIM, чтобы автоматически предоставлять приложениям необходимые сведения, чтобы предоставить доступ пользователям. |
| Обеспечение: внешние удостоверения | Организации вручную создают внешних пользователей как обычных пользователей в выделенном внешнем лесу AD, что приводит к накладным расходам на администрирование для управления жизненным циклом внешних удостоверений (гостевые пользователи) | Microsoft Entra id предоставляет специальный класс удостоверений для поддержки внешних удостоверений. Microsoft Entra B2B будет управлять ссылкой на удостоверение внешнего пользователя, чтобы убедиться, что они действительны. |
| Управление правами и группы | Администраторы делают пользователей членами групп. Затем владельцы приложений и ресурсов предоставляют группам доступ к приложениям или ресурсам. | Группы также доступны в идентификаторе Microsoft Entra, а администраторы также могут использовать группы для предоставления разрешений для ресурсов. В Microsoft Entra идентификаторе администраторы могут назначить членство группам вручную или использовать запрос для динамического включения пользователей в группу. Администраторы могут использовать управление правами в Microsoft Entra идентификаторе, чтобы предоставить пользователям доступ к коллекции приложений и ресурсов с помощью рабочих процессов и, при необходимости, критериев на основе времени. |
| Административное управление | Организации будут использовать комбинацию доменов, организационных единиц и групп в AD для делегирования административных прав для управления каталогом и ресурсами, которые он контролирует. | Microsoft Entra ID предоставляет встроенные роли с Microsoft Entra системой управления доступом на основе ролей (Microsoft Entra RBAC) с ограниченной поддержкой создания пользовательских ролей для делегирования привилегированного доступа к системе удостоверений, приложениям и ресурсам, которыми она управляет. Управление ролями можно улучшить с помощью управление привилегированными пользователями (PIM) для предоставления JIT-доступа к привилегированным ролям, ограниченного по времени или на основе рабочего процесса. |
| Управление учетными данными | Учетные данные в Active Directory основаны на паролях, проверке подлинности на основе сертификата и проверке подлинности с использованием смарт-карты. Пароли управляются с помощью политик паролей, основанных на длине, сроке действия и сложности пароля. | Microsoft Entra id использует интеллектуальную защиту паролем для облака и локальной среды. Защита включает интеллектуальную блокировку, а также блокировку общих и настраиваемых парольных фраз и замен. Microsoft Entra идентификатор значительно повышает безопасность благодаря многофакторной проверке подлинности и технологиям без пароля, таким как FIDO2. Microsoft Entra ID снижает затраты на поддержку, предоставляя пользователям систему самостоятельного сброса пароля. |
| Приложения | ||
| Инфраструктурные приложения | Active Directory формирует основу для многих локальных компонентов инфраструктуры, например DNS, DHCP, IPSec, WiFi, NPS и доступа VPN | В новом облачном мире Microsoft Entra id — это новый уровень управления для доступа к приложениям, а не для использования сетевых элементов управления. При проверке подлинности пользователей условный доступ определяет, какие пользователи имеют доступ к тем или иным приложениям при необходимых условиях. |
| Традиционные и устаревшие приложения | Большинство локальных приложений используют LDAP, встроенную проверку подлинности Windows (NTLM и Kerberos) или проверку подлинности на основе заголовков для управления доступом к пользователям. | Microsoft Entra идентификатор может предоставлять доступ к этим типам локальных приложений с помощью Microsoft Entra агентов прокси приложения, работающих в локальной среде. С помощью этого метода Microsoft Entra идентификатор может выполнять проверку подлинности локальных пользователей Active Directory с помощью Kerberos во время миграции или необходимости совместного использования с устаревшими приложениями. |
| Приложения SaaS | Active Directory не поддерживает приложения SaaS изначально и требует системы федерации, такой как AD FS. | Приложения SaaS, поддерживающие проверку подлинности OAuth2, SAML и WS-*, можно интегрировать для использования идентификатора Microsoft Entra для проверки подлинности. |
| Бизнес-приложения с современной аутентификацией | Организации могут использовать AD FS с Active Directory для поддержки бизнес-приложений, требующих современной проверки подлинности. | Бизнес-приложения, требующие современной проверки подлинности, можно настроить для использования идентификатора Microsoft Entra для проверки подлинности. |
| Сервисы среднего уровня/демона | Службы, работающие в локальных средах, обычно используют для работы учетные записи служб AD или групповые управляемые учетные записи служб (gMSA). Эти приложения затем унаследуют разрешения учетной записи службы. | идентификатор Microsoft Entra предоставляет управляемые удостоверения для выполнения других рабочих нагрузок в облаке. Жизненный цикл этих удостоверений управляется идентификатором Microsoft Entra и привязан к поставщику ресурсов и не может использоваться для других целей для получения доступа к backdoor. |
| Устройства | ||
| Мобильные службы | Active Directory изначально не поддерживает мобильные устройства без сторонних решений. | Решение майкрософт для управления мобильными устройствами, Microsoft Intune, интегрировано с идентификатором Microsoft Entra. Microsoft Intune предоставляет информацию о состоянии устройства системе идентификации для оценки во время проверки подлинности. |
| Рабочие столы Windows | Active Directory обеспечивает возможность присоединения к домену устройств Windows для управления ими с помощью групповой политики, System Center Configuration Manager или других сторонних решений. | Устройства с Windows можно присоединить к идентификатору Microsoft Entra. Условный доступ может проверка, если устройство Microsoft Entra присоединено в процессе проверки подлинности. Устройствами Windows также можно управлять с помощью Microsoft Intune. В этом случае условный доступ будет учитывать, соответствует ли устройство требованиям (например, актуальные исправления безопасности и сигнатуры вирусов), прежде чем разрешить доступ к приложениям. |
| Серверы Windows | Active Directory предоставляет надежные возможности управления для локальных серверов Windows с помощью групповой политики или других решений для управления. | Виртуальными машинами серверов Windows в Azure можно управлять с помощью Microsoft Entra доменных служб. Управляемые удостоверения можно использовать, когда виртуальным машинам требуется доступ к каталогу или ресурсам системы удостоверений. |
| Рабочие нагрузки Linux/Unix | Active Directory изначально не поддерживает ОС, отличные от Windows, без сторонних решений, хотя компьютеры Linux могут быть настроены для аутентификации с помощью Active Directory в качестве области Kerberos. | Виртуальные машины Linux/Unix могут использовать управляемые удостоверения для доступа к системе или ресурсам удостоверений. Некоторые организации переносят эти рабочие нагрузки на технологии облачных контейнеров, которые также могут использовать управляемые удостоверения. |