Compare Active Directory to Azure Active Directory (Porównanie usługi Active Directory z usługą Azure Active Directory)
Azure Active Directory to kolejna ewolucja rozwiązań do zarządzania tożsamościami i dostępem dla chmury. Firma Microsoft wprowadziła Active Directory Domain Services w Windows 2000 r., aby umożliwić organizacjom zarządzanie wieloma lokalnymi składnikami i systemami infrastruktury przy użyciu jednej tożsamości na użytkownika.
Azure AD podejście to do następnego poziomu, zapewniając organizacjom rozwiązanie identity as a Service (IDaaS) dla wszystkich aplikacji w chmurze i lokalnie.
Większość administratorów IT jest zaznajomionych z pojęciami dotyczącymi Active Directory Domain Services. W poniższej tabeli przedstawiono różnice i podobieństwa między pojęciami usługi Active Directory i Azure Active Directory.
| Pojęcie | Active Directory (AD) | Azure Active Directory |
|---|---|---|
| Użytkownicy | ||
| Aprowizowanie: użytkownicy | Organizacje tworzą użytkowników wewnętrznych ręcznie lub używają wewnętrznego lub zautomatyzowanego systemu aprowizacji, takiego jak Microsoft Identity Manager, w celu integracji z systemem KADR. | Istniejące organizacje usługi AD używają Azure AD Połączenie do synchronizowania tożsamości z chmurą.Azure AD dodaje obsługę automatycznego tworzenia użytkowników z systemów hr w chmurze. Azure AD mogą aprowizować tożsamości w aplikacjach SaaS z obsługą protokołu SCIM, aby automatycznie dostarczać aplikacjom niezbędne szczegóły umożliwiające dostęp użytkownikom. |
| Aprowizowanie: tożsamości zewnętrzne | Organizacje tworzą użytkowników zewnętrznych ręcznie jako zwykłych użytkowników w dedykowanym zewnętrznym lesie usługi AD, co powoduje narzut administracyjny na zarządzanie cyklem życia tożsamości zewnętrznych (użytkowników-gości) | Azure AD zapewnia specjalną klasę tożsamości do obsługi tożsamości zewnętrznych. Azure AD B2B będzie zarządzać linkiem do tożsamości użytkownika zewnętrznego, aby upewnić się, że są prawidłowe. |
| Zarządzanie upoważnieniami i grupy | Administratorzy tworzą użytkowników należących do grup. Właściciele aplikacji i zasobów zapewniają następnie grupom dostęp do aplikacji lub zasobów. | Grupy są również dostępne w Azure AD, a administratorzy mogą również używać grup do udzielania uprawnień do zasobów. W Azure AD administratorzy mogą ręcznie przypisać członkostwo do grup lub użyć zapytania, aby dynamicznie dołączać użytkowników do grupy. Administratorzy mogą używać zarządzania upoważnieniami w Azure AD, aby zapewnić użytkownikom dostęp do kolekcji aplikacji i zasobów przy użyciu przepływów pracy oraz, w razie potrzeby, kryteriów opartych na czasie. |
| zarządzanie Administracja | Organizacje będą używać kombinacji domen, jednostek organizacyjnych i grup w usłudze AD do delegowania uprawnień administracyjnych do zarządzania katalogiem i zasobami, które kontroluje. | Azure AD zapewnia wbudowane role z Azure AD systemem kontroli dostępu opartej na rolach (Azure AD RBAC), z ograniczoną obsługą tworzenia ról niestandardowych w celu delegowania uprzywilejowanego dostępu do systemu tożsamości, aplikacji i zasobów, które kontroluje. Role zarządzania można rozszerzać za pomocą Privileged Identity Management (PIM), aby zapewnić dostęp just in time, time-restricted lub oparty na przepływie pracy do ról uprzywilejowanych. |
| Zarządzanie poświadczeniami | Poświadczenia w usłudze Active Directory są oparte na hasłach, uwierzytelnianiu certyfikatu i uwierzytelnianiu za pomocą karty inteligentnej. Hasła są zarządzane przy użyciu zasad haseł opartych na długości hasła, wygaśnięciu i złożoności. | Azure AD używa inteligentnej ochrony haseł dla chmury i środowiska lokalnego. Ochrona obejmuje inteligentną blokadę oraz blokowanie typowych i niestandardowych fraz haseł oraz podstawień. Azure AD znacznie zwiększa bezpieczeństwo za pomocą uwierzytelniania wieloskładnikowego i technologii bez hasła, takich jak FIDO2. Azure AD obniża koszty pomocy technicznej, zapewniając użytkownikom system samoobsługowego resetowania haseł. |
| Aplikacje | ||
| Aplikacje infrastruktury | Usługa Active Directory stanowi podstawę dla wielu składników infrastruktury lokalnej, na przykład DNS, DHCP, IPSec, WiFi, NPS i dostępu do sieci VPN | W nowym świecie chmury, Azure AD, jest nową płaszczyzną kontroli dostępu do aplikacji w porównaniu z poleganiem na kontrolkach sieci. Podczas uwierzytelniania użytkowników dostęp warunkowy kontroluje, którzy użytkownicy mają dostęp do aplikacji w wymaganych warunkach. |
| Tradycyjne i starsze aplikacje | Większość aplikacji lokalnych używa protokołu LDAP, uwierzytelniania Windows-Integrated (NTLM i Kerberos) lub uwierzytelniania opartego na nagłówku w celu kontrolowania dostępu do użytkowników. | Azure AD może zapewnić dostęp do tego typu aplikacji lokalnych przy użyciu agentów serwera proxy aplikacji Azure AD działających lokalnie. Przy użyciu tej metody Azure AD można uwierzytelniać użytkowników usługi Active Directory lokalnie przy użyciu protokołu Kerberos podczas migracji lub konieczności współistnienia ze starszymi aplikacjami. |
| Aplikacje SaaS | Usługa Active Directory nie obsługuje natywnie aplikacji SaaS i wymaga systemu federacyjnego, takiego jak usługi AD FS. | Aplikacje SaaS obsługujące uwierzytelnianie OAuth2, SAML i WS-* można zintegrować w celu używania Azure AD do uwierzytelniania. |
| Aplikacje biznesowe z nowoczesnym uwierzytelnianiem | Organizacje mogą używać usług AD FS z usługą Active Directory do obsługi aplikacji biznesowych wymagających nowoczesnego uwierzytelniania. | Aplikacje biznesowe wymagające nowoczesnego uwierzytelniania można skonfigurować do używania Azure AD do uwierzytelniania. |
| Usługi mid-tier/Daemon | Usługi działające w środowiskach lokalnych zwykle używają kont usług AD lub kont usług zarządzanych przez grupę (gMSA) do uruchamiania. Te aplikacje dziedziczą następnie uprawnienia konta usługi. | Azure AD zapewnia tożsamości zarządzane do uruchamiania innych obciążeń w chmurze. Cykl życia tych tożsamości jest zarządzany przez Azure AD i jest powiązany z dostawcą zasobów i nie może być używany do innych celów w celu uzyskania dostępu backdoor. |
| Urządzenia | ||
| Aplikacje mobilne | Usługa Active Directory nie obsługuje natywnie urządzeń przenośnych bez rozwiązań innych firm. | Rozwiązanie firmy Microsoft do zarządzania urządzeniami przenośnymi, Microsoft Intune, jest zintegrowane z Azure AD. Microsoft Intune dostarcza systemowi tożsamości informacje o stanie urządzenia do oceny podczas uwierzytelniania. |
| pulpity Windows | Usługa Active Directory umożliwia przyłączenie do domeny Windows urządzeń do zarządzania nimi przy użyciu zasady grupy, System Center Configuration Manager lub innych rozwiązań innych firm. | Windows urządzenia można dołączyć do Azure AD. Dostęp warunkowy może sprawdzić, czy urządzenie jest Azure AD dołączone w ramach procesu uwierzytelniania. Windows urządzenia można również zarządzać za pomocą Microsoft Intune. W takim przypadku dostęp warunkowy rozważy, czy urządzenie jest zgodne (na przykład aktualne poprawki zabezpieczeń i podpisy wirusów) przed zezwoleniem na dostęp do aplikacji. |
| Serwery z systemem Windows | Usługa Active Directory zapewnia silne możliwości zarządzania dla lokalnych serwerów Windows przy użyciu zasady grupy lub innych rozwiązań do zarządzania. | Windows serwerów maszyn wirtualnych na platformie Azure można zarządzać za pomocą usług Azure AD Domain Services. Tożsamości zarządzane mogą być używane, gdy maszyny wirtualne potrzebują dostępu do katalogu systemu tożsamości lub zasobów. |
| Obciążenia systemu Linux/Unix | Usługa Active Directory nie obsługuje natywnie Windows bez rozwiązań innych firm, chociaż maszyny z systemem Linux można skonfigurować do uwierzytelniania za pomocą usługi Active Directory jako obszaru Protokołu Kerberos. | Maszyny wirtualne z systemem Linux/Unix mogą używać tożsamości zarządzanych do uzyskiwania dostępu do systemu tożsamości lub zasobów. Niektóre organizacje przeprowadzają migrację tych obciążeń do technologii kontenerów w chmurze, które mogą również używać tożsamości zarządzanych. |
Następne kroki
- Co to jest usługa Azure Active Directory?
- Porównanie Active Directory Domain Services zarządzanych Active Directory Domain Services, Azure Active Directory i zarządzanych usług Azure Active Directory Domain Services
- Często zadawane pytania dotyczące Azure Active Directory
- Co nowego w Azure Active Directory?