Porównanie usługi Active Directory z identyfikatorem Entra firmy Microsoft
Microsoft Entra ID to kolejna ewolucja rozwiązań do zarządzania tożsamościami i dostępem dla chmury. Firma Microsoft wprowadziła usługi domena usługi Active Directory w systemie Windows 2000, aby umożliwić organizacjom zarządzanie wieloma lokalnymi składnikami i systemami infrastruktury przy użyciu jednej tożsamości na użytkownika.
Microsoft Entra ID przyjmuje to podejście do następnego poziomu, zapewniając organizacjom rozwiązanie Identity as a Service (IDaaS) dla wszystkich swoich aplikacji w chmurze i lokalnie.
Większość administratorów IT zna pojęcia związane z usługami domena usługi Active Directory Services. W poniższej tabeli przedstawiono różnice i podobieństwa między pojęciami usługi Active Directory i identyfikatorem Entra firmy Microsoft.
Pojęcie | Windows Server Active Directory | Microsoft Entra ID |
---|---|---|
Użytkownicy | ||
Aprowizowanie: użytkownicy | Organizacje tworzą użytkowników wewnętrznych ręcznie lub używają wewnętrznego lub zautomatyzowanego systemu aprowizacji, takiego jak program Microsoft Identity Manager, w celu integracji z systemem KADR. | Istniejące organizacje usługi Microsoft Windows Server Active Directory używają Połączenie firmy Microsoft do synchronizowania tożsamości z chmurą. Identyfikator Entra firmy Microsoft dodaje obsługę automatycznego tworzenia użytkowników z systemów hr w chmurze. Identyfikator Entra firmy Microsoft może aprowizować tożsamości w systemie dla aplikacji SCIM (Cross-Domain Identity Management) z włączoną obsługą oprogramowania jako usługi (SaaS), aby automatycznie udostępniać aplikacjom niezbędne szczegóły umożliwiające dostęp użytkownikom. |
Aprowizowanie: tożsamości zewnętrzne | Organizacje tworzą użytkowników zewnętrznych ręcznie jako zwykłych użytkowników w dedykowanym zewnętrznym lesie usługi Active Directory systemu Microsoft Windows Server, co powoduje obciążenie administracyjne w celu zarządzania cyklem życia tożsamości zewnętrznych (użytkowników-gości) | Identyfikator Entra firmy Microsoft udostępnia specjalną klasę tożsamości do obsługi tożsamości zewnętrznych. Firma Microsoft Entra B2B zarządza linkiem do tożsamości użytkownika zewnętrznego, aby upewnić się, że są prawidłowe. |
Zarządzanie upoważnieniami i grupy | Administracja istratory sprawiają, że użytkownicy są członkami grup. Właściciele aplikacji i zasobów zapewniają następnie grupom dostęp do aplikacji lub zasobów. | Grupy są również dostępne w usłudze Microsoft Entra ID, a administratorzy mogą również używać grup do udzielania uprawnień do zasobów. W usłudze Microsoft Entra ID administratorzy mogą ręcznie przypisywać członkostwo do grup lub używać zapytania do dynamicznego dołączania użytkowników do grupy. Administracja istratorzy mogą używać Zarządzanie upoważnieniami w usłudze Microsoft Entra ID w celu zapewnienia użytkownikom dostępu do kolekcji aplikacji i zasobów przy użyciu przepływów pracy oraz, w razie potrzeby, kryteriów opartych na czasie. |
zarządzanie Administracja | Organizacje będą używać kombinacji domen, jednostek organizacyjnych i grup w usłudze Microsoft Windows Server Active Directory do delegowania uprawnień administracyjnych do zarządzania katalogiem i zasobami, które kontroluje. | Identyfikator Entra firmy Microsoft udostępnia wbudowane role z systemem kontroli dostępu opartej na rolach (RBAC) firmy Microsoft z ograniczoną obsługą tworzenia ról niestandardowych w celu delegowania uprzywilejowanego dostępu do systemu tożsamości, aplikacji i zasobów, które kontroluje. Zarządzanie rolami można zwiększyć za pomocą usługi Privileged Identity Management (PIM), aby zapewnić dostęp just-in-time, ograniczony czasowo lub oparty na przepływie pracy do uprzywilejowanych ról. |
Zarządzanie poświadczeniami | Poświadczenia w usłudze Active Directory są oparte na hasłach, uwierzytelnianiu certyfikatu i uwierzytelnianiu kart inteligentnych. Hasła są zarządzane przy użyciu zasad haseł opartych na długości hasła, wygaśnięciu i złożoności. | Identyfikator Entra firmy Microsoft używa inteligentnej ochrony haseł dla chmury i środowiska lokalnego. Ochrona obejmuje inteligentną blokadę oraz blokowanie typowych i niestandardowych fraz haseł oraz podstawień. Identyfikator Entra firmy Microsoft znacznie zwiększa bezpieczeństwo dzięki technologii uwierzytelniania wieloskładnikowego i bez hasła, takich jak FIDO2. Microsoft Entra ID obniża koszty pomocy technicznej, zapewniając użytkownikom samoobsługowy system resetowania haseł. |
Aplikacje | ||
Aplikacje infrastruktury | Usługa Active Directory stanowi podstawę dla wielu składników infrastruktury lokalnych, na przykład DNS, Dynamic Host Configuration Protocol (DHCP), Internet Protocol Security (IPSec), WiFi, NPS i VPN access | W nowym świecie chmury, Microsoft Entra ID, to nowa płaszczyzna sterowania na potrzeby uzyskiwania dostępu do aplikacji w porównaniu z kontrolą sieci. Podczas uwierzytelniania użytkowników dostęp warunkowy kontroluje użytkowników, do których aplikacji mają dostęp zgodnie z wymaganymi warunkami. |
Tradycyjne i starsze aplikacje | Większość aplikacji lokalnych używa uwierzytelniania LDAP, zintegrowanego z systemem Windows (NTLM i Kerberos) lub uwierzytelniania opartego na nagłówkach w celu kontrolowania dostępu do użytkowników. | Identyfikator Entra firmy Microsoft może zapewnić dostęp do tych typów aplikacji lokalnych przy użyciu agentów serwera proxy aplikacji firmy Microsoft Entra działających lokalnie. Za pomocą tej metody identyfikator Entra firmy Microsoft można uwierzytelniać użytkowników usługi Active Directory lokalnie przy użyciu protokołu Kerberos podczas migracji lub konieczności współistnienia ze starszymi aplikacjami. |
Aplikacje SaaS | Usługa Active Directory nie obsługuje natywnie aplikacji SaaS i wymaga systemu federacyjnego, takiego jak usługi AD FS. | Aplikacje SaaS obsługujące protokół OAuth2, język SAML (Security Assertion Markup Language) i uwierzytelnianie WS-* można zintegrować w celu używania identyfikatora Entra firmy Microsoft do uwierzytelniania. |
Aplikacje biznesowe (LOB) z nowoczesnym uwierzytelnianiem | Organizacje mogą używać usług AD FS z usługą Active Directory do obsługi aplikacji biznesowych wymagających nowoczesnego uwierzytelniania. | Aplikacje loB wymagające nowoczesnego uwierzytelniania można skonfigurować do używania identyfikatora Entra firmy Microsoft do uwierzytelniania. |
Usługi warstwy średniej/demona | Usługi działające w środowiskach lokalnych zwykle używają kont usług Active Directory systemu Microsoft Windows Server lub kont usług zarządzanych przez grupę (gMSA) do uruchamiania. Następnie te aplikacje dziedziczą uprawnienia konta usługi. | Microsoft Entra ID udostępnia tożsamości zarządzane do uruchamiania innych obciążeń w chmurze. Cykl życia tych tożsamości jest zarządzany przez firmę Microsoft Entra ID i jest powiązany z dostawcą zasobów i nie może być używany do innych celów w celu uzyskania dostępu backdoor. |
Urządzenia | ||
Aplikacje mobilne | Usługa Active Directory nie obsługuje natywnie urządzeń przenośnych bez rozwiązań innych firm. | Rozwiązanie do zarządzania urządzeniami przenośnymi firmy Microsoft, Microsoft Intune, jest zintegrowane z identyfikatorem Entra firmy Microsoft. Usługa Microsoft Intune udostępnia systemowi tożsamości informacje o stanie urządzenia w celu oceny podczas uwierzytelniania. |
Komputery stacjonarne z systemem Windows | Usługa Active Directory umożliwia przyłączenie urządzeń z systemem Windows do domeny do zarządzania nimi przy użyciu zasad grupy, programu System Center Configuration Manager lub innych rozwiązań innych firm. | Urządzenia z systemem Windows można dołączyć do identyfikatora Entra firmy Microsoft. Dostęp warunkowy może sprawdzić, czy urządzenie jest przyłączone do firmy Microsoft w ramach procesu uwierzytelniania. Urządzenia z systemem Windows można również zarządzać za pomocą usługi Microsoft Intune. W takim przypadku dostęp warunkowy rozważy, czy urządzenie jest zgodne (na przykład aktualne poprawki zabezpieczeń i podpisy wirusów) przed zezwoleniem na dostęp do aplikacji. |
Serwery z systemem Windows | Usługa Active Directory zapewnia silne możliwości zarządzania dla lokalnych serwerów z systemem Windows przy użyciu zasad grupy lub innych rozwiązań do zarządzania. | Maszyny wirtualne serwerów z systemem Windows na platformie Azure można zarządzać za pomocą usług Microsoft Entra Domain Services. Tożsamości zarządzane mogą być używane, gdy maszyny wirtualne potrzebują dostępu do katalogu systemu tożsamości lub zasobów. |
Obciążenia systemu Linux/Unix | Usługa Active Directory nie obsługuje natywnie rozwiązań innych firm bez systemu Windows, chociaż maszyny z systemem Linux można skonfigurować do uwierzytelniania za pomocą usługi Active Directory jako obszaru Protokołu Kerberos. | Maszyny wirtualne z systemem Linux/Unix mogą używać tożsamości zarządzanych do uzyskiwania dostępu do systemu tożsamości lub zasobów. Niektóre organizacje migrują te obciążenia do technologii kontenerów w chmurze, które mogą również używać tożsamości zarządzanych. |
Następne kroki
- Co to jest identyfikator Entra firmy Microsoft?
- Porównanie zarządzanych samodzielnie usług domena usługi Active Directory Services, Microsoft Entra ID i zarządzanych usług Microsoft Entra Domain Services
- Często zadawane pytania dotyczące identyfikatora Entra firmy Microsoft
- Co nowego w identyfikatorze Entra firmy Microsoft?