Бөлісу құралы:


Сравнение Active Directory с идентификатором Microsoft Entra

Microsoft Entra id — это следующая эволюция решений по управлению удостоверениями и доступом для облака. Майкрософт представила доменные службы Active Directory в Windows 2000, чтобы дать организациям возможность управлять несколькими компонентами локальной инфраструктуры и системами, используя единую идентификацию для каждого пользователя.

Microsoft Entra id выводит этот подход на новый уровень, предоставляя организациям решение "Идентификация как услуга" (IDaaS) для всех своих приложений в облаке и локальной среде.

Большинство ИТ-администраторов знакомы с концепциями доменных служб Active Directory. В следующей таблице описаны различия и сходства между понятиями Active Directory и идентификатором Microsoft Entra.

Концепция Active Directory Microsoft Entra ID
Пользователи
Подготовка: пользователи Организации создают внутренних пользователей вручную или используют внутреннюю или автоматизированную систему подготовки, такую как Диспетчер удостоверений Майкрософт, для интеграции с системой управления персоналом. Существующие организации AD используют Microsoft Entra Connect для синхронизации удостоверений с облаком.
Microsoft Entra идентификатор добавляет поддержку автоматического создания пользователей из облачных систем управления персоналом.
Microsoft Entra id может подготавливать удостоверения в приложениях SaaS с поддержкой SCIM, чтобы автоматически предоставлять приложениям необходимые сведения, чтобы предоставить доступ пользователям.
Обеспечение: внешние удостоверения Организации вручную создают внешних пользователей как обычных пользователей в выделенном внешнем лесу AD, что приводит к накладным расходам на администрирование для управления жизненным циклом внешних удостоверений (гостевые пользователи) Microsoft Entra id предоставляет специальный класс удостоверений для поддержки внешних удостоверений. Microsoft Entra B2B будет управлять ссылкой на удостоверение внешнего пользователя, чтобы убедиться, что они действительны.
Управление правами и группы Администраторы делают пользователей членами групп. Затем владельцы приложений и ресурсов предоставляют группам доступ к приложениям или ресурсам. Группы также доступны в идентификаторе Microsoft Entra, а администраторы также могут использовать группы для предоставления разрешений для ресурсов. В Microsoft Entra идентификаторе администраторы могут назначить членство группам вручную или использовать запрос для динамического включения пользователей в группу.
Администраторы могут использовать управление правами в Microsoft Entra идентификаторе, чтобы предоставить пользователям доступ к коллекции приложений и ресурсов с помощью рабочих процессов и, при необходимости, критериев на основе времени.
Административное управление Организации будут использовать комбинацию доменов, организационных единиц и групп в AD для делегирования административных прав для управления каталогом и ресурсами, которые он контролирует. Microsoft Entra ID предоставляет встроенные роли с Microsoft Entra системой управления доступом на основе ролей (Microsoft Entra RBAC) с ограниченной поддержкой создания пользовательских ролей для делегирования привилегированного доступа к системе удостоверений, приложениям и ресурсам, которыми она управляет.
Управление ролями можно улучшить с помощью управление привилегированными пользователями (PIM) для предоставления JIT-доступа к привилегированным ролям, ограниченного по времени или на основе рабочего процесса.
Управление учетными данными Учетные данные в Active Directory основаны на паролях, проверке подлинности на основе сертификата и проверке подлинности с использованием смарт-карты. Пароли управляются с помощью политик паролей, основанных на длине, сроке действия и сложности пароля. Microsoft Entra id использует интеллектуальную защиту паролем для облака и локальной среды. Защита включает интеллектуальную блокировку, а также блокировку общих и настраиваемых парольных фраз и замен.
Microsoft Entra идентификатор значительно повышает безопасность благодаря многофакторной проверке подлинности и технологиям без пароля, таким как FIDO2.
Microsoft Entra ID снижает затраты на поддержку, предоставляя пользователям систему самостоятельного сброса пароля.
Приложения
Инфраструктурные приложения Active Directory формирует основу для многих локальных компонентов инфраструктуры, например DNS, DHCP, IPSec, WiFi, NPS и доступа VPN В новом облачном мире Microsoft Entra id — это новый уровень управления для доступа к приложениям, а не для использования сетевых элементов управления. При проверке подлинности пользователей условный доступ определяет, какие пользователи имеют доступ к тем или иным приложениям при необходимых условиях.
Традиционные и устаревшие приложения Большинство локальных приложений используют LDAP, встроенную проверку подлинности Windows (NTLM и Kerberos) или проверку подлинности на основе заголовков для управления доступом к пользователям. Microsoft Entra идентификатор может предоставлять доступ к этим типам локальных приложений с помощью Microsoft Entra агентов прокси приложения, работающих в локальной среде. С помощью этого метода Microsoft Entra идентификатор может выполнять проверку подлинности локальных пользователей Active Directory с помощью Kerberos во время миграции или необходимости совместного использования с устаревшими приложениями.
Приложения SaaS Active Directory не поддерживает приложения SaaS изначально и требует системы федерации, такой как AD FS. Приложения SaaS, поддерживающие проверку подлинности OAuth2, SAML и WS-*, можно интегрировать для использования идентификатора Microsoft Entra для проверки подлинности.
Бизнес-приложения с современной аутентификацией Организации могут использовать AD FS с Active Directory для поддержки бизнес-приложений, требующих современной проверки подлинности. Бизнес-приложения, требующие современной проверки подлинности, можно настроить для использования идентификатора Microsoft Entra для проверки подлинности.
Сервисы среднего уровня/демона Службы, работающие в локальных средах, обычно используют для работы учетные записи служб AD или групповые управляемые учетные записи служб (gMSA). Эти приложения затем унаследуют разрешения учетной записи службы. идентификатор Microsoft Entra предоставляет управляемые удостоверения для выполнения других рабочих нагрузок в облаке. Жизненный цикл этих удостоверений управляется идентификатором Microsoft Entra и привязан к поставщику ресурсов и не может использоваться для других целей для получения доступа к backdoor.
Устройства
Мобильные службы Active Directory изначально не поддерживает мобильные устройства без сторонних решений. Решение майкрософт для управления мобильными устройствами, Microsoft Intune, интегрировано с идентификатором Microsoft Entra. Microsoft Intune предоставляет информацию о состоянии устройства системе идентификации для оценки во время проверки подлинности.
Рабочие столы Windows Active Directory обеспечивает возможность присоединения к домену устройств Windows для управления ими с помощью групповой политики, System Center Configuration Manager или других сторонних решений. Устройства с Windows можно присоединить к идентификатору Microsoft Entra. Условный доступ может проверка, если устройство Microsoft Entra присоединено в процессе проверки подлинности. Устройствами Windows также можно управлять с помощью Microsoft Intune. В этом случае условный доступ будет учитывать, соответствует ли устройство требованиям (например, актуальные исправления безопасности и сигнатуры вирусов), прежде чем разрешить доступ к приложениям.
Серверы Windows Active Directory предоставляет надежные возможности управления для локальных серверов Windows с помощью групповой политики или других решений для управления. Виртуальными машинами серверов Windows в Azure можно управлять с помощью Microsoft Entra доменных служб. Управляемые удостоверения можно использовать, когда виртуальным машинам требуется доступ к каталогу или ресурсам системы удостоверений.
Рабочие нагрузки Linux/Unix Active Directory изначально не поддерживает ОС, отличные от Windows, без сторонних решений, хотя компьютеры Linux могут быть настроены для аутентификации с помощью Active Directory в качестве области Kerberos. Виртуальные машины Linux/Unix могут использовать управляемые удостоверения для доступа к системе или ресурсам удостоверений. Некоторые организации переносят эти рабочие нагрузки на технологии облачных контейнеров, которые также могут использовать управляемые удостоверения.

Дальнейшие действия