Porównanie identyfikatorów Entra firmy Microsoft i usług domena usługi Active Directory

  • 2 min

Identyfikator entra firmy Microsoft można wyświetlić po prostu jako oparty na chmurze odpowiednik usług AD DS; Jednak chociaż identyfikator Entra firmy Microsoft i usługi AD DS mają pewne typowe cechy, istnieje kilka znaczących różnic między nimi.

Charakterystyka usług AD DS

Usługi AD DS to tradycyjne wdrożenie usługi Active Directory opartej na systemie Windows Server na serwerze fizycznym lub wirtualnym. Chociaż usługi AD DS są powszechnie uważane za głównie usługę katalogową, jest to tylko jeden składnik pakietu technologii Active Directory systemu Windows, który obejmuje również usługi certyfikatów Active Directory (AD CS), Active Directory Lightweight Directory Services (AD LDS), Active Directory Federation Services (AD FS) i Usługi Active Directory Rights Management (AD RMS).

Podczas porównywania usług AD DS z identyfikatorem Entra firmy Microsoft należy pamiętać o następujących cechach usług AD DS:

  • Usługi AD DS to prawdziwa usługa katalogowa z hierarchiczną strukturą opartą na architekturze X.500.
  • Usługi AD DS używają systemu nazw domen (DNS) do lokalizowania zasobów, takich jak kontrolery domeny.
  • Możesz wykonywać zapytania dotyczące usług AD DS i zarządzać nimi przy użyciu wywołań protokołu LDAP (Lightweight Directory Access Protocol).
  • Usługi AD DS używają głównie protokołu Kerberos do uwierzytelniania.
  • Usługi AD DS używają jednostek organizacyjnych i obiektów zasad grupy do zarządzania.
  • Usługi AD DS obejmują obiekty komputerów reprezentujące komputery przyłączające się do domeny usługi Active Directory.
  • Usługi AD DS używają relacji zaufania między domenami do zarządzania delegowanego.

Usługi AD DS można wdrożyć na maszynie wirtualnej platformy Azure, aby umożliwić skalowalność i dostępność lokalnych usług AD DS. Jednak wdrożenie usług AD DS na maszynie wirtualnej platformy Azure nie powoduje użycia identyfikatora Entra firmy Microsoft.

Uwaga

Wdrażanie usług AD DS na maszynie wirtualnej platformy Azure wymaga co najmniej jednego dodatkowego dysku danych platformy Azure, ponieważ nie należy używać dysku C dla magazynu usług AD DS. Te dyski są potrzebne do przechowywania bazy danych usług AD DS, dzienników i folderu sysvol. Ustawienie Preferencja pamięci podręcznej hosta dla tych dysków musi mieć wartość Brak.

Charakterystyka identyfikatora entra firmy Microsoft

Chociaż identyfikator Entra firmy Microsoft ma wiele podobieństw do usług AD DS, istnieje również wiele różnic. Należy pamiętać, że używanie usługi Microsoft Entra nie jest takie samo jak wdrażanie kontrolera domeny usługi Active Directory na maszynie wirtualnej platformy Azure i dodawanie jej do domeny lokalnej.

Podczas porównywania identyfikatora entra firmy Microsoft z usługami AD DS należy pamiętać o następujących cechach identyfikatora Entra firmy Microsoft:

  • Microsoft Entra ID to przede wszystkim rozwiązanie do obsługi tożsamości, które jest przeznaczone dla aplikacji internetowych przy użyciu protokołu HTTP (port 80) i komunikacji HTTPS (port 443).
  • Microsoft Entra ID to wielodostępna usługa katalogowa.
  • Użytkownicy i grupy firmy Microsoft Entra są tworzone w płaskiej strukturze i nie ma żadnych jednostek organizacyjnych ani obiektów zasad grupy.
  • Nie można wykonywać zapytań dotyczących identyfikatora Entra firmy Microsoft przy użyciu protokołu LDAP; Zamiast tego identyfikator Entra firmy Microsoft używa interfejsu API REST za pośrednictwem protokołu HTTP i HTTPS.
  • Identyfikator Entra firmy Microsoft nie używa uwierzytelniania Kerberos; Zamiast tego używa protokołów HTTP i HTTPS, takich jak SAML, WS-Federation i OpenID Połączenie do uwierzytelniania, i używa protokołu OAuth do autoryzacji.
  • Identyfikator Entra firmy Microsoft obejmuje usługi federacyjne, a wiele usług innych firm, takich jak Facebook, są sfederowane z identyfikatorem Microsoft Entra ID i ufają mu.