Active Directory vergelijken met Microsoft Entra-id
Microsoft Entra id is de volgende evolutie van identiteits- en toegangsbeheeroplossingen voor de cloud. Microsoft heeft Active Directory Domain Services geïntroduceerd in Windows 2000 om organisaties de mogelijkheid te bieden om meerdere on-premises infrastructuuronderdelen en -systemen te beheren met één identiteit per gebruiker.
Microsoft Entra ID brengt deze benadering naar een hoger niveau door organisaties een IDaaS-oplossing (Identity as a Service) te bieden voor al hun apps in de cloud en on-premises.
De meeste IT-beheerders zijn bekend met Active Directory Domain Services concepten. In de volgende tabel ziet u de verschillen en overeenkomsten tussen Active Directory-concepten en Microsoft Entra-id.
| Concept | Active Directory (AD) | Microsoft Entra ID |
|---|---|---|
| Gebruikers | ||
| Inrichten: gebruikers | Organisaties maken handmatig interne gebruikers of gebruiken een intern of geautomatiseerd inrichtingssysteem, zoals de Microsoft Identity Manager, om te integreren met een HR-systeem. | Bestaande AD-organisaties gebruiken Microsoft Entra Connect om identiteiten te synchroniseren met de cloud. Microsoft Entra-id voegt ondersteuning toe voor het automatisch maken van gebruikers vanuit HR-systemen in de cloud. Microsoft Entra id kan identiteiten inrichten in SaaS-apps met SCIM om apps automatisch te voorzien van de benodigde gegevens om gebruikers toegang te geven. |
| Inrichten: externe identiteiten | Organisaties maken externe gebruikers handmatig als gewone gebruikers in een toegewezen extern AD-forest, wat resulteert in beheeroverhead voor het beheren van de levenscyclus van externe identiteiten (gastgebruikers) | Microsoft Entra-id biedt een speciale identiteitsklasse ter ondersteuning van externe identiteiten. Microsoft Entra B2B beheert de koppeling naar de identiteit van de externe gebruiker om ervoor te zorgen dat deze geldig zijn. |
| Rechtenbeheer en groepen | Beheerders maken gebruikers lid van groepen. App- en resource-eigenaren geven groepen vervolgens toegang tot apps of resources. | Groepen zijn ook beschikbaar in Microsoft Entra-id en beheerders kunnen ook groepen gebruiken om machtigingen te verlenen aan resources. In Microsoft Entra-id kunnen beheerders handmatig lidmaatschap toewijzen aan groepen of een query gebruiken om gebruikers dynamisch op te nemen in een groep. Beheerders kunnen rechtenbeheer in Microsoft Entra-id gebruiken om gebruikers toegang te geven tot een verzameling apps en resources met behulp van werkstromen en, indien nodig, op tijd gebaseerde criteria. |
| Beheer beheer | Organisaties gebruiken een combinatie van domeinen, organisatie-eenheden en groepen in AD om beheerdersrechten te delegeren voor het beheren van de directory en resources die worden beheerd. | Microsoft Entra-id biedt ingebouwde rollen met het Microsoft Entra op rollen gebaseerd toegangsbeheersysteem (Microsoft Entra RBAC), met beperkte ondersteuning voor het maken van aangepaste rollen voor het delegeren van bevoegde toegang tot het identiteitssysteem, de apps en resources die het beheert. Het beheren van rollen kan worden uitgebreid met Privileged Identity Management (PIM) om Just-In-Time, tijdsgebonden of op werkstroom gebaseerde toegang te bieden tot bevoorrechte rollen. |
| Referentiebeheer | Referenties in Active Directory zijn gebaseerd op wachtwoorden, certificaatverificatie en smartcardverificatie. Wachtwoorden worden beheerd met behulp van wachtwoordbeleidsregels die zijn gebaseerd op wachtwoordlengte, verloop en complexiteit. | Microsoft Entra-id maakt gebruik van intelligente wachtwoordbeveiliging voor de cloud en on-premises. Beveiliging omvat slimme vergrendeling plus het blokkeren van veelgebruikte en aangepaste wachtwoordzinnen en vervangingen. Microsoft Entra-id verhoogt de beveiliging aanzienlijk door middel van meervoudige verificatie en technologieën zonder wachtwoord, zoals FIDO2. Microsoft Entra-id vermindert de ondersteuningskosten door gebruikers een selfservicesysteem voor wachtwoordherstel te bieden. |
| Apps | ||
| Infrastructuur-apps | Active Directory vormt de basis voor veel on-premises infrastructuuronderdelen, zoals DNS, DHCP, IPSec, WiFi, NPS en VPN-toegang | In een nieuwe cloudwereld is Microsoft Entra ID het nieuwe besturingsvlak voor toegang tot apps in plaats van te vertrouwen op netwerkbesturingselementen. Wanneer gebruikers worden geverifieerd, bepaalt voorwaardelijke toegang welke gebruikers toegang hebben tot welke apps onder de vereiste voorwaarden. |
| Traditionele en verouderde apps | De meeste on-premises apps maken gebruik van LDAP, Windows-Integrated Authentication (NTLM en Kerberos) of op headers gebaseerde verificatie om de toegang tot gebruikers te beheren. | Microsoft Entra id kan toegang bieden tot deze typen on-premises apps met behulp van Microsoft Entra toepassingsproxyagents die on-premises worden uitgevoerd. Met deze methode Microsoft Entra id on-premises Active Directory-gebruikers verifiëren met behulp van Kerberos terwijl u migreert of naast oudere apps moet worden gebruikt. |
| SaaS-apps | Active Directory biedt geen systeemeigen ondersteuning voor SaaS-apps en vereist een federatiesysteem, zoals AD FS. | SaaS-apps die OAuth2-, SAML- en WS-*-verificatie ondersteunen, kunnen worden geïntegreerd om Microsoft Entra-id te gebruiken voor verificatie. |
| Lob-apps (Line-Of-Business) met moderne verificatie | Organisaties kunnen AD FS met Active Directory gebruiken ter ondersteuning van LOB-apps die moderne verificatie vereisen. | LOB-apps waarvoor moderne verificatie is vereist, kunnen worden geconfigureerd voor het gebruik van Microsoft Entra-id voor verificatie. |
| Mid-tier/Daemon-services | Services die worden uitgevoerd in on-premises omgevingen, gebruiken normaal gesproken AD-serviceaccounts of beheerde serviceaccounts (gMSA) om uit te voeren. Deze apps nemen vervolgens de machtigingen van het serviceaccount over. | Microsoft Entra-id biedt beheerde identiteiten voor het uitvoeren van andere workloads in de cloud. De levenscyclus van deze identiteiten wordt beheerd door Microsoft Entra-id en is gekoppeld aan de resourceprovider en kan niet voor andere doeleinden worden gebruikt om backdoor-toegang te krijgen. |
| Apparaten | ||
| Mobiel | Active Directory biedt geen systeemeigen ondersteuning voor mobiele apparaten zonder oplossingen van derden. | De beheeroplossing voor mobiele apparaten van Microsoft, Microsoft Intune, is geïntegreerd met Microsoft Entra ID. Microsoft Intune geeft informatie over de apparaatstatus aan het identiteitssysteem om tijdens de verificatie te evalueren. |
| Windows-bureaubladen | Active Directory biedt de mogelijkheid om Windows-apparaten lid te maken van een domein om ze te beheren met behulp van groepsbeleid, System Center Configuration Manager of andere oplossingen van derden. | Windows-apparaten kunnen worden gekoppeld aan Microsoft Entra-id. Met voorwaardelijke toegang kan worden gecontroleerd of een apparaat is Microsoft Entra toegevoegd als onderdeel van het verificatieproces. Windows-apparaten kunnen ook worden beheerd met Microsoft Intune. In dit geval wordt met voorwaardelijke toegang rekening gehouden met de vraag of een apparaat compatibel is (bijvoorbeeld up-to-date beveiligingspatches en virushandtekeningen) voordat toegang tot de apps wordt toegestaan. |
| Windows-servers | Active Directory biedt krachtige beheermogelijkheden voor on-premises Windows-servers met behulp van groepsbeleid of andere beheeroplossingen. | Virtuele Windows-servers in Azure kunnen worden beheerd met Microsoft Entra Domain Services. Beheerde identiteiten kunnen worden gebruikt wanneer VM's toegang nodig hebben tot de map of resources van het identiteitssysteem. |
| Linux-/Unix-workloads | Active Directory biedt geen systeemeigen ondersteuning voor niet-Windows zonder oplossingen van derden, hoewel Linux-machines kunnen worden geconfigureerd voor verificatie met Active Directory als een Kerberos-realm. | Linux-/Unix-VM's kunnen beheerde identiteiten gebruiken om toegang te krijgen tot het identiteitssysteem of de resources. Sommige organisaties migreren deze workloads naar cloudcontainertechnologieën, die ook beheerde identiteiten kunnen gebruiken. |