Сравнение Active Directory с идентификатором Microsoft Entra
Идентификатор Microsoft Entra — это следующая эволюция решений по управлению удостоверениями и доступом для облака. Майкрософт представила доменные службы Active Directory в Windows 2000, чтобы дать организациям возможность управлять несколькими компонентами локальной инфраструктуры и системами, используя единую идентификацию для каждого пользователя.
Идентификатор Microsoft Entra принимает этот подход к следующему уровню, предоставляя организациям решение identity as a Service (IDaaS) для всех своих приложений в облаке и локальной среде.
Большинство ИТ-администраторов знакомы с концепциями доменных служб Active Directory. В следующей таблице описаны различия и сходство между понятиями Active Directory и идентификатором Microsoft Entra.
| Концепция | Windows Server Active Directory | Microsoft Entra ID |
|---|---|---|
| Пользователи | ||
| Подготовка: пользователи | Организации создают внутренних пользователей вручную или используют внутреннюю или автоматизированную систему подготовки, такую как Диспетчер удостоверений Майкрософт, для интеграции с системой управления персоналом. | Существующие организации Microsoft Windows Server Active Directory используют Microsoft Entra Подключение для синхронизации удостоверений с облаком. Идентификатор Microsoft Entra добавляет поддержку для автоматического создания пользователей из облачных систем управления персоналом. Идентификатор Microsoft Entra может подготавливать удостоверения в системе для управления междоменных удостоверений (SCIM), включенных программным обеспечением как услуга (SaaS), чтобы автоматически предоставлять приложениям необходимые сведения, чтобы разрешить доступ для пользователей. |
| Обеспечение: внешние удостоверения | Организации создают внешних пользователей вручную в качестве обычных пользователей в выделенном внешнем лесу Microsoft Windows Server Active Directory, что приводит к затратам на администрирование для управления жизненным циклом внешних удостоверений (гостевых пользователей) | Идентификатор Microsoft Entra предоставляет специальный класс удостоверений для поддержки внешних удостоверений. Microsoft Entra B2B будет управлять ссылкой на внешнее удостоверение пользователя, чтобы убедиться, что они действительны. |
| Управление правами и группы | Администраторы делают пользователей членами групп. Затем владельцы приложений и ресурсов предоставляют группам доступ к приложениям или ресурсам. | Группы также доступны в идентификаторе Microsoft Entra, а администраторы также могут использовать группы для предоставления разрешений ресурсам. В идентификаторе Microsoft Entra администраторы могут назначать членство группам вручную или использовать запрос для динамического включения пользователей в группу. Администратор istrator может использовать Управление правами в идентификаторе Microsoft Entra для предоставления пользователям доступа к коллекции приложений и ресурсов с помощью рабочих процессов и при необходимости условий на основе времени. |
| Административное управление | Организации будут использовать сочетание доменов, организационных подразделений и групп в Microsoft Windows Server Active Directory для делегирования прав администратора для управления каталогом и ресурсами, которыми он управляет. | Идентификатор Microsoft Entra предоставляет встроенные роли со своей системой управления доступом на основе ролей (RBAC) Microsoft Entra с ограниченной поддержкой создания пользовательских ролей для делегирования привилегированного доступа к системе удостоверений, приложениям и ресурсам, которые он контролирует. Управление ролями можно улучшить с помощью управление привилегированными пользователями (PIM), чтобы обеспечить JIT-доступ к привилегированным ролям или доступ на основе рабочего процесса. |
| Управление учетными данными | Учетные данные в Active Directory основаны на паролях, проверке подлинности сертификатов и интеллектуальной карта аутентификации. Пароли управляются с помощью политик паролей, основанных на длине, сроке действия и сложности пароля. | Идентификатор Microsoft Entra использует интеллектуальную защиту паролей для облака и локальной среды. Защита включает интеллектуальную блокировку, а также блокировку общих и настраиваемых парольных фраз и замен. Идентификатор Microsoft Entra значительно повышает безопасность с помощью многофакторной проверки подлинности и технологий без пароля, таких как FIDO2. Идентификатор Microsoft Entra снижает затраты на поддержку, предоставляя пользователям систему самостоятельного сброса пароля. |
| Приложения | ||
| Инфраструктурные приложения | Active Directory формирует основу для многих локальных компонентов инфраструктуры, например DNS, протокола конфигурации динамических узлов (DHCP), безопасности протокола Интернета (IPSec), Wi-Fi, NPS и VPN-доступа | В новом облачном мире идентификатор Microsoft Entra ID — это новая плоскость управления для доступа к приложениям и использования сетевых элементов управления. При проверке подлинности пользователи управляют условным доступом , к которым пользователи имеют доступ к приложениям в необходимых условиях. |
| Традиционные и устаревшие приложения | Большинство локальных приложений используют LDAP, встроенную проверку подлинности Windows (NTLM и Kerberos) или проверку подлинности на основе заголовков для управления доступом к пользователям. | Идентификатор Microsoft Entra может предоставить доступ к этим типам локальных приложений с помощью агентов прокси приложения Microsoft Entra, работающих локально. С помощью этого метода Идентификатор Microsoft Entra может выполнять проверку подлинности пользователей Active Directory в локальной среде с помощью Kerberos во время миграции или необходимости совместного использования устаревших приложений. |
| Приложения SaaS | Active Directory не поддерживает приложения SaaS изначально и требует системы федерации, такой как AD FS. | Приложения SaaS, поддерживающие OAuth2, язык разметки утверждений безопасности (SAML) и проверку подлинности WS-* можно интегрировать для использования идентификатора Microsoft Entra для проверки подлинности. |
| Бизнес-приложения с современной аутентификацией | Организации могут использовать AD FS с Active Directory для поддержки бизнес-приложений, требующих современной проверки подлинности. | Бизнес-приложения, требующие современной проверки подлинности, можно настроить для использования идентификатора Microsoft Entra для проверки подлинности. |
| Сервисы среднего уровня/демона | Службы, работающие в локальных средах, обычно используют учетные записи службы Microsoft Windows Server Active Directory или группы управляемых учетных записей служб (gMSA) для запуска. Эти приложения затем унаследуют разрешения учетной записи службы. | Идентификатор Microsoft Entra предоставляет управляемые удостоверения для выполнения других рабочих нагрузок в облаке. Жизненный цикл этих удостоверений управляется идентификатором Microsoft Entra и привязан к поставщику ресурсов, и его нельзя использовать для других целей для получения доступа к серверной части. |
| Устройства | ||
| Мобильные службы | Active Directory изначально не поддерживает мобильные устройства без сторонних решений. | Решение по управлению мобильными устройствами Майкрософт, Microsoft Intune, интегрировано с идентификатором Microsoft Entra. Microsoft Intune предоставляет информацию о состоянии устройства системе идентификации для оценки во время проверки подлинности. |
| Рабочие столы Windows | Active Directory обеспечивает возможность присоединения к домену устройств Windows для управления ими с помощью групповой политики, System Center Configuration Manager или других сторонних решений. | Устройства Windows можно присоединить к идентификатору Microsoft Entra. Условный доступ может проверка, если устройство присоединено к Microsoft Entra в рамках процесса проверки подлинности. Устройствами Windows также можно управлять с помощью Microsoft Intune. В этом случае условный доступ рассмотрит, соответствует ли устройство (например, актуальному исправлению безопасности и сигнатурам вирусов), прежде чем разрешать доступ к приложениям. |
| Серверы Windows | Active Directory предоставляет надежные возможности управления для локальных серверов Windows с помощью групповой политики или других решений для управления. | Виртуальные машины windows server в Azure можно управлять с помощью доменных служб Microsoft Entra. Управляемые удостоверения можно использовать, когда виртуальным машинам требуется доступ к каталогу или ресурсам системы удостоверений. |
| Рабочие нагрузки Linux/Unix | Active Directory изначально не поддерживает ОС, отличные от Windows, без сторонних решений, хотя компьютеры Linux могут быть настроены для аутентификации с помощью Active Directory в качестве области Kerberos. | Виртуальные машины Linux/Unix могут использовать управляемые удостоверения для доступа к системе или ресурсам удостоверений. Некоторые организации переносят эти рабочие нагрузки на технологии облачных контейнеров, которые также могут использовать управляемые удостоверения. |