Porównanie usługi Active Directory z identyfikatorem Microsoft Entra
Microsoft Entra id to kolejna ewolucja rozwiązań do zarządzania tożsamościami i dostępem dla chmury. Firma Microsoft wprowadziła Active Directory Domain Services w systemie Windows 2000, aby umożliwić organizacjom zarządzanie wieloma lokalnymi składnikami i systemami infrastruktury przy użyciu jednej tożsamości na użytkownika.
Microsoft Entra identyfikator przyjmuje to podejście do następnego poziomu, udostępniając organizacjom rozwiązanie Identity as a Service (IDaaS) dla wszystkich aplikacji w chmurze i lokalnie.
Większość administratorów IT zna pojęcia Active Directory Domain Services. W poniższej tabeli przedstawiono różnice i podobieństwa między pojęciami usługi Active Directory i identyfikatorem Microsoft Entra.
| Pojęcie | Active Directory (AD) | Microsoft Entra ID |
|---|---|---|
| Użytkownicy | ||
| Aprowizowanie: użytkownicy | Organizacje tworzą użytkowników wewnętrznych ręcznie lub używają wewnętrznego lub zautomatyzowanego systemu aprowizacji, takiego jak Microsoft Identity Manager, do integracji z systemem kadr. | Istniejące organizacje usługi AD używają Microsoft Entra Connect do synchronizowania tożsamości z chmurą.identyfikator Microsoft Entra dodaje obsługę automatycznego tworzenia użytkowników z systemów hr w chmurze. Microsoft Entra identyfikator może aprowizować tożsamości w aplikacjach SaaS z włączoną funkcją SCIM, aby automatycznie udostępniać aplikacjom niezbędne szczegóły umożliwiające dostęp użytkownikom. |
| Aprowizowanie: tożsamości zewnętrzne | Organizacje tworzą użytkowników zewnętrznych ręcznie jako zwykłych użytkowników w dedykowanym zewnętrznym lesie usługi AD, co powoduje obciążenie administracyjne w celu zarządzania cyklem życia tożsamości zewnętrznych (użytkowników-gości) | Microsoft Entra ID udostępnia specjalną klasę tożsamości do obsługi tożsamości zewnętrznych. Microsoft Entra B2B będzie zarządzać linkiem do tożsamości użytkownika zewnętrznego, aby upewnić się, że są prawidłowe. |
| Zarządzanie upoważnieniami i grupy | Administratorzy tworzą użytkowników grup. Następnie właściciele aplikacji i zasobów zapewniają grupom dostęp do aplikacji lub zasobów. | Grupy są również dostępne w identyfikatorze Microsoft Entra, a administratorzy mogą również używać grup do udzielania uprawnień do zasobów. W Microsoft Entra identyfikatorze administratorzy mogą ręcznie przypisywać członkostwo do grup lub używać zapytania w celu dynamicznego dołączania użytkowników do grupy. Administratorzy mogą używać zarządzania upoważnieniami w identyfikatorze Microsoft Entra, aby zapewnić użytkownikom dostęp do kolekcji aplikacji i zasobów przy użyciu przepływów pracy oraz, w razie potrzeby, kryteriów opartych na czasie. |
| zarządzanie Administracja | Organizacje będą używać kombinacji domen, jednostek organizacyjnych i grup w usłudze AD do delegowania praw administracyjnych do zarządzania katalogiem i zasobami, które kontroluje. | Microsoft Entra ID udostępnia wbudowane role z systemem Microsoft Entra kontroli dostępu opartej na rolach (Microsoft Entra RBAC), z ograniczoną obsługą tworzenia ról niestandardowych w celu delegowania uprzywilejowanego dostępu do systemu tożsamości, aplikacji i zasobów, które kontroluje.Zarządzanie rolami można ulepszyć za pomocą Privileged Identity Management (PIM), aby zapewnić dostęp just in time, time-restricted lub oparty na przepływie pracy do ról uprzywilejowanych. |
| Zarządzanie poświadczeniami | Poświadczenia w usłudze Active Directory są oparte na hasłach, uwierzytelnianiu certyfikatów i uwierzytelnianiu kart inteligentnych. Hasła są zarządzane przy użyciu zasad haseł opartych na długości hasła, wygaśnięciu i złożoności. | Microsoft Entra identyfikator używa inteligentnej ochrony haseł dla chmury i środowiska lokalnego. Ochrona obejmuje inteligentną blokadę oraz blokowanie typowych i niestandardowych fraz haseł oraz podstawień. Microsoft Entra identyfikator znacznie zwiększa bezpieczeństwo dzięki technologii uwierzytelniania wieloskładnikowego i bez hasła, takich jak FIDO2. Microsoft Entra identyfikator zmniejsza koszty pomocy technicznej, zapewniając użytkownikom samoobsługowy system resetowania haseł. |
| Aplikacje | ||
| Aplikacje infrastruktury | Usługa Active Directory stanowi podstawę dla wielu składników infrastruktury lokalnej, na przykład DNS, DHCP, IPSec, WiFi, NPS i VPN access | W nowym świecie chmury, Microsoft Entra identyfikator, jest nową płaszczyzną sterowania na potrzeby uzyskiwania dostępu do aplikacji w porównaniu z kontrolą sieci. Podczas uwierzytelniania użytkowników dostęp warunkowy kontroluje, którzy użytkownicy mają dostęp do aplikacji w wymaganych warunkach. |
| Tradycyjne i starsze aplikacje | Większość aplikacji lokalnych używa protokołu LDAP, uwierzytelniania Windows-Integrated (NTLM i Kerberos) lub uwierzytelniania opartego na nagłówku w celu kontrolowania dostępu do użytkowników. | Microsoft Entra identyfikator może zapewnić dostęp do tych typów aplikacji lokalnych przy użyciu agentów serwera proxy aplikacji Microsoft Entra działających lokalnie. Przy użyciu tej metody Microsoft Entra identyfikator może uwierzytelniać użytkowników usługi Active Directory lokalnie przy użyciu protokołu Kerberos podczas migracji lub konieczności współistnienia ze starszymi aplikacjami. |
| Aplikacje SaaS | Usługa Active Directory nie obsługuje natywnie aplikacji SaaS i wymaga systemu federacyjnego, takiego jak usługi AD FS. | Aplikacje SaaS obsługujące uwierzytelnianie OAuth2, SAML i WS-* można zintegrować w celu używania identyfikatora Microsoft Entra do uwierzytelniania. |
| Aplikacje biznesowe (LOB) z nowoczesnym uwierzytelnianiem | Organizacje mogą używać usług AD FS z usługą Active Directory do obsługi aplikacji biznesowych wymagających nowoczesnego uwierzytelniania. | Aplikacje biznesowe wymagające nowoczesnego uwierzytelniania można skonfigurować do używania identyfikatora Microsoft Entra do uwierzytelniania. |
| Usługi średniej warstwy/demona | Usługi działające w środowiskach lokalnych zwykle używają kont usług AD lub grup zarządzanych kont usług (gMSA) do uruchamiania. Następnie te aplikacje dziedziczą uprawnienia konta usługi. | Microsoft Entra ID udostępnia tożsamości zarządzane do uruchamiania innych obciążeń w chmurze. Cykl życia tych tożsamości jest zarządzany przez identyfikator Microsoft Entra i jest powiązany z dostawcą zasobów i nie może być używany do innych celów w celu uzyskania dostępu do zaplecza. |
| Urządzenia | ||
| Aplikacje mobilne | Usługa Active Directory nie obsługuje natywnie urządzeń przenośnych bez rozwiązań innych firm. | Rozwiązanie do zarządzania urządzeniami przenośnymi firmy Microsoft, Microsoft Intune, jest zintegrowane z identyfikatorem Microsoft Entra. Microsoft Intune zapewnia systemowi tożsamości informacje o stanie urządzenia do oceny podczas uwierzytelniania. |
| Komputery stacjonarne z systemem Windows | Usługa Active Directory umożliwia dołączanie urządzeń z systemem Windows do domeny w celu zarządzania nimi przy użyciu zasady grupy, programu System Center Configuration Manager lub innych rozwiązań innych firm. | Urządzenia z systemem Windows można dołączyć do identyfikatora Microsoft Entra. Dostęp warunkowy może sprawdzić, czy urządzenie jest Microsoft Entra przyłączone w ramach procesu uwierzytelniania. Urządzenia z systemem Windows można również zarządzać za pomocą Microsoft Intune. W takim przypadku dostęp warunkowy rozważy, czy urządzenie jest zgodne (na przykład aktualne poprawki zabezpieczeń i sygnatury antywirusowe) przed zezwoleniem na dostęp do aplikacji. |
| Serwery z systemem Windows | Usługa Active Directory zapewnia silne możliwości zarządzania dla lokalnych serwerów z systemem Windows przy użyciu zasady grupy lub innych rozwiązań do zarządzania. | Maszyny wirtualne z systemem Windows na platformie Azure można zarządzać za pomocą usług Microsoft Entra Domain Services. Tożsamości zarządzane mogą być używane, gdy maszyny wirtualne potrzebują dostępu do katalogu systemu tożsamości lub zasobów. |
| Obciążenia systemu Linux/Unix | Usługa Active Directory nie obsługuje natywnie systemu spoza systemu Windows bez rozwiązań innych firm, chociaż maszyny z systemem Linux można skonfigurować do uwierzytelniania za pomocą usługi Active Directory jako obszaru Protokołu Kerberos. | Maszyny wirtualne z systemem Linux/Unix mogą używać tożsamości zarządzanych do uzyskiwania dostępu do systemu tożsamości lub zasobów. Niektóre organizacje migrują te obciążenia do technologii kontenerów w chmurze, które mogą również używać tożsamości zarządzanych. |
Następne kroki
- Co to jest identyfikator Microsoft Entra?
- Porównanie Active Directory Domain Services zarządzanych przez siebie, identyfikatorów Microsoft Entra i zarządzanych usług Microsoft Entra Domain Services
- Często zadawane pytania dotyczące identyfikatora Microsoft Entra
- Co nowego w identyfikatorze Microsoft Entra?