Active Directory vergelijken met Microsoft Entra-id
Microsoft Entra ID is de volgende ontwikkeling van oplossingen voor identiteits- en toegangsbeheer voor de cloud. Microsoft heeft Active Directory-domein Services geïntroduceerd in Windows 2000 om organisaties de mogelijkheid te bieden om meerdere on-premises infrastructuuronderdelen en -systemen te beheren met één identiteit per gebruiker.
Microsoft Entra ID gebruikt deze benadering naar het volgende niveau door organisaties een IDaaS-oplossing (Identity as a Service) te bieden voor al hun apps in de cloud en on-premises.
De meeste IT-beheerders zijn bekend met Active Directory-domein Services-concepten. De volgende tabel bevat een overzicht van de verschillen en overeenkomsten tussen Active Directory-concepten en Microsoft Entra-id.
Concept | Windows Server Active Directory | Microsoft Entra ID |
---|---|---|
Gebruikers | ||
Inrichten: gebruikers | Organisaties maken handmatig interne gebruikers of gebruiken een intern of geautomatiseerd inrichtingssysteem, zoals Microsoft Identity Manager, om te integreren met een HR-systeem. | Bestaande Microsoft Windows Server Active Directory-organisaties gebruiken Microsoft Entra Verbinding maken om identiteiten te synchroniseren met de cloud. Microsoft Entra ID voegt ondersteuning toe voor het automatisch maken van gebruikers op basis van HR-systemen in de cloud. Microsoft Entra ID kan identiteiten inrichten in System for Cross-Domain Identity Management (SCIM) ingeschakelde SaaS-apps (Software as a Service) om automatisch apps te voorzien van de benodigde gegevens om toegang voor gebruikers toe te staan. |
Inrichten: externe identiteiten | Organisaties maken handmatig externe gebruikers als gewone gebruikers in een toegewezen extern Microsoft Windows Server Active Directory-forest, wat leidt tot beheeroverhead voor het beheren van de levenscyclus van externe identiteiten (gastgebruikers) | Microsoft Entra ID biedt een speciale identiteitsklasse ter ondersteuning van externe identiteiten. Microsoft Entra B2B beheert de koppeling naar de externe gebruikersidentiteit om er zeker van te zijn dat deze geldig zijn. |
Rechtenbeheer en groepen | Beheer istrators maken gebruikers lid van groepen. App- en resource-eigenaren geven vervolgens groepen toegang tot apps of resources. | Groepen zijn ook beschikbaar in Microsoft Entra-id en beheerders kunnen ook groepen gebruiken om machtigingen te verlenen aan resources. In Microsoft Entra ID kunnen beheerders handmatig lidmaatschap toewijzen aan groepen of een query gebruiken om gebruikers dynamisch op te nemen in een groep. Beheer istrators kunnen gebruiken Rechtenbeheer in Microsoft Entra ID om gebruikers toegang te geven tot een verzameling apps en resources met behulp van werkstromen en, indien nodig, op tijd gebaseerde criteria. |
beheer van Beheer | Organisaties gebruiken een combinatie van domeinen, organisatie-eenheden en groepen in Microsoft Windows Server Active Directory om beheerdersrechten te delegeren voor het beheren van de directory en resources die worden beheerd. | Microsoft Entra ID biedt ingebouwde rollen met het Microsoft Entra-systeem voor op rollen gebaseerd toegangsbeheer (RBAC), met beperkte ondersteuning voor het maken van aangepaste rollen voor het delegeren van bevoegde toegang tot het identiteitssysteem, de apps en resources die worden beheerd. Het beheren van rollen kan worden uitgebreid met Privileged Identity Management (PIM) om Just-In-Time,Time-beperkte of op werkstroom gebaseerde toegang te bieden tot bevoorrechte rollen. |
Referentiebeheer | Referenties in Active Directory zijn gebaseerd op wachtwoorden, certificaatverificatie en smartcardverificatie. Wachtwoorden worden beheerd met behulp van wachtwoordbeleid dat is gebaseerd op wachtwoordlengte, verlooptijd en complexiteit. | Microsoft Entra ID maakt gebruik van intelligente wachtwoordbeveiliging voor de cloud en on-premises. Beveiliging omvat slimme vergrendeling plus het blokkeren van algemene en aangepaste wachtwoordzinnen en vervangingen. Microsoft Entra ID verbetert de beveiliging aanzienlijk via meervoudige verificatie en wachtwoordloze technologieën, zoals FIDO2. Microsoft Entra ID vermindert de ondersteuningskosten door gebruikers een selfservicesysteem voor wachtwoordherstel te bieden. |
Apps | ||
Infrastructuur-apps | Active Directory vormt de basis voor veel on-premises infrastructuuronderdelen, bijvoorbeeld DNS, Dynamic Host Configuration Protocol (DHCP), Internet Protocol Security (IPSec), WiFi, NPS en VPN-toegang | In een nieuwe cloudwereld is Microsoft Entra ID het nieuwe besturingsvlak voor het openen van apps en het vertrouwen op netwerkbesturingselementen. Wanneer gebruikers zich verifiëren, bepaalt voorwaardelijke toegang welke gebruikers toegang hebben tot welke apps onder de vereiste voorwaarden. |
Traditionele en verouderde apps | De meeste on-premises apps maken gebruik van LDAP, windows-geïntegreerde verificatie (NTLM en Kerberos) of verificatie op basis van headers om de toegang tot gebruikers te beheren. | Microsoft Entra ID kan toegang bieden tot deze typen on-premises apps met behulp van Microsoft Entra-toepassingsproxyagents die on-premises worden uitgevoerd. Met deze methode kan Microsoft Entra ID Active Directory-gebruikers on-premises verifiëren met behulp van Kerberos terwijl u migreert of naast verouderde apps moet bestaan. |
SaaS-apps | Active Directory biedt geen ondersteuning voor SaaS-apps en vereist federatiesysteem, zoals AD FS. | SaaS-apps die OAuth2, Security Assertion Markup Language (SAML) en WS-*-verificatie ondersteunen, kunnen worden geïntegreerd voor het gebruik van Microsoft Entra ID voor verificatie. |
Lob-apps (Line-Of-Business) met moderne verificatie | Organisaties kunnen AD FS gebruiken met Active Directory ter ondersteuning van LOB-apps waarvoor moderne verificatie is vereist. | LOB-apps waarvoor moderne verificatie is vereist, kunnen worden geconfigureerd voor het gebruik van Microsoft Entra-id voor verificatie. |
Mid-tier/Daemon-services | Services die worden uitgevoerd in on-premises omgevingen gebruiken normaal gesproken Microsoft Windows Server Active Directory-serviceaccounts of beheerde serviceaccounts (gMSA) om uit te voeren. Deze apps nemen vervolgens de machtigingen van het serviceaccount over. | Microsoft Entra ID biedt beheerde identiteiten voor het uitvoeren van andere workloads in de cloud. De levenscyclus van deze identiteiten wordt beheerd door Microsoft Entra-id en is gekoppeld aan de resourceprovider en kan niet worden gebruikt voor andere doeleinden om backdoor-toegang te krijgen. |
Apparaten | ||
Mobiel | Active Directory biedt geen systeemeigen ondersteuning voor mobiele apparaten zonder oplossingen van derden. | De beheeroplossing voor mobiele apparaten van Microsoft, Microsoft Intune, is geïntegreerd met Microsoft Entra ID. Microsoft Intune biedt apparaatstatusinformatie aan het identiteitssysteem om tijdens de verificatie te evalueren. |
Windows-bureaubladen | Active Directory biedt de mogelijkheid om windows-apparaten lid te maken van een domein om ze te beheren met behulp van Groepsbeleid, System Center Configuration Manager of andere oplossingen van derden. | Windows-apparaten kunnen worden gekoppeld aan Microsoft Entra ID. Voorwaardelijke toegang kan controleren of een apparaat lid is van Microsoft Entra als onderdeel van het verificatieproces. Windows-apparaten kunnen ook worden beheerd met Microsoft Intune. In dit geval wordt voorwaardelijke toegang overwogen of een apparaat compatibel is (bijvoorbeeld up-to-date beveiligingspatches en virushandtekeningen) voordat toegang tot de apps wordt toegestaan. |
Windows-servers | Active Directory biedt krachtige beheermogelijkheden voor on-premises Windows-servers met behulp van groepsbeleid of andere beheeroplossingen. | Virtuele Windows-servers in Azure kunnen worden beheerd met Microsoft Entra Domain Services. Beheerde identiteiten kunnen worden gebruikt wanneer VM's toegang nodig hebben tot de map of resources van het identiteitssysteem. |
Linux-/Unix-workloads | Active Directory biedt geen systeemeigen ondersteuning voor niet-Windows zonder oplossingen van derden, hoewel Linux-machines kunnen worden geconfigureerd voor verificatie met Active Directory als kerberos-realm. | Linux-/Unix-VM's kunnen beheerde identiteiten gebruiken om toegang te krijgen tot het identiteitssysteem of de resources. Sommige organisaties migreren deze workloads naar cloudcontainertechnologieën, die ook beheerde identiteiten kunnen gebruiken. |