Partilhar via


Comparar o Active Directory com o ID do Microsoft Entra

Microsoft Entra ID é a próxima evolução das soluções de gestão de identidades e acessos para a cloud. A Microsoft introduziu Active Directory Domain Services no Windows 2000 para dar às organizações a capacidade de gerir múltiplos componentes e sistemas de infraestrutura no local com uma única identidade por utilizador.

Microsoft Entra ID leva esta abordagem para o nível seguinte ao fornecer às organizações uma solução de Identidade como Serviço (IDaaS) para todas as suas aplicações na cloud e no local.

A maioria dos administradores de TI está familiarizada com Active Directory Domain Services conceitos. A tabela seguinte descreve as diferenças e semelhanças entre os conceitos do Active Directory e Microsoft Entra ID.

Conceito Active Directory (AD) Microsoft Entra ID
Utilizadores
Aprovisionamento: utilizadores As organizações criam utilizadores internos manualmente ou utilizam um sistema de aprovisionamento interno ou automatizado, como o Microsoft Identity Manager, para se integrarem num sistema de RH. As organizações existentes do AD utilizam Microsoft Entra Ligar para sincronizar identidades com a cloud.
Microsoft Entra ID adiciona suporte para criar automaticamente utilizadores a partir de sistemas de RH na cloud.
Microsoft Entra ID pode aprovisionar identidades em aplicações SaaS ativadas pelo SCIM para fornecer automaticamente às aplicações os detalhes necessários para permitir o acesso dos utilizadores.
Aprovisionamento: identidades externas As organizações criam utilizadores externos manualmente como utilizadores regulares numa floresta de AD externa dedicada, o que resulta numa sobrecarga de administração para gerir o ciclo de vida das identidades externas (utilizadores convidados) Microsoft Entra ID fornece uma classe especial de identidade para suportar identidades externas. Microsoft Entra B2B irá gerir a ligação para a identidade de utilizador externo para se certificar de que são válidas.
Gestão de direitos e grupos Os administradores tornam os utilizadores membros de grupos. Em seguida, os proprietários de aplicações e recursos dão aos grupos acesso a aplicações ou recursos. Os grupos também estão disponíveis no Microsoft Entra ID e os administradores também podem utilizar grupos para conceder permissões aos recursos. No Microsoft Entra ID, os administradores podem atribuir associação a grupos manualmente ou utilizar uma consulta para incluir dinamicamente utilizadores num grupo.
Os administradores podem utilizar a Gestão de direitos no Microsoft Entra ID para dar aos utilizadores acesso a uma coleção de aplicações e recursos através de fluxos de trabalho e, se necessário, critérios baseados no tempo.
gestão de Administração As organizações utilizarão uma combinação de domínios, unidades organizacionais e grupos no AD para delegar direitos administrativos para gerir o diretório e os recursos que controla. Microsoft Entra ID fornece funções incorporadas com o respetivo sistema Microsoft Entra controlo de acesso baseado em funções (Microsoft Entra RBAC), com suporte limitado para criar funções personalizadas para delegar acesso privilegiado ao sistema de identidade, às aplicações e aos recursos que controla.
A gestão de funções pode ser melhorada com Privileged Identity Management (PIM) para fornecer acesso just-in-time, restrito no tempo ou baseado no fluxo de trabalho a funções privilegiadas.
Gestão de credenciais As credenciais no Active Directory baseiam-se em palavras-passe, autenticação de certificados e autenticação de smartcard. As palavras-passe são geridas através de políticas de palavra-passe baseadas no comprimento, expiração e complexidade da palavra-passe. Microsoft Entra ID utiliza proteção inteligente de palavras-passe para a cloud e no local. A proteção inclui bloqueio inteligente, além de bloquear expressões e substituições comuns e personalizadas de palavras-passe.
Microsoft Entra ID aumenta significativamente a segurança através da autenticação multifator e tecnologias sem palavra-passe, como FIDO2.
Microsoft Entra ID reduz os custos de suporte ao fornecer aos utilizadores um sistema de reposição personalizada de palavra-passe.
Aplicações
Aplicações de infraestrutura O Active Directory constitui a base para muitos componentes de infraestrutura no local, por exemplo, acesso DNS, DHCP, IPSec, Wi-Fi, NPS e VPN Num novo mundo da cloud, Microsoft Entra ID, é o novo plano de controlo para aceder a aplicações versus depender de controlos de rede. Quando os utilizadores se autenticam, o Acesso Condicional controla quais os utilizadores que têm acesso às aplicações em condições necessárias.
Aplicações tradicionais e legadas A maioria das aplicações no local utiliza LDAP, Autenticação Windows-Integrated (NTLM e Kerberos) ou Autenticação baseada em cabeçalhos para controlar o acesso aos utilizadores. Microsoft Entra ID pode fornecer acesso a estes tipos de aplicações no local com Microsoft Entra agentes proxy de aplicações em execução no local. Utilizar este método Microsoft Entra ID pode autenticar utilizadores do Active Directory no local com Kerberos enquanto migra ou precisa de coexistir com aplicações legadas.
Aplicações SaaS O Active Directory não suporta aplicações SaaS nativamente e requer um sistema de federação, como o AD FS. As aplicações SaaS que suportam a autenticação OAuth2, SAML e WS-* podem ser integradas para utilizar Microsoft Entra ID para autenticação.
Aplicações de linha de negócio (LOB) com autenticação moderna As organizações podem utilizar o AD FS com o Active Directory para suportar aplicações LOB que requerem autenticação moderna. As aplicações LOB que necessitam de autenticação moderna podem ser configuradas para utilizar Microsoft Entra ID para autenticação.
Serviços de camada média/Daemon Normalmente, os serviços em execução em ambientes no local utilizam contas de serviço do AD ou contas de serviço geridas de grupo (gMSA) para serem executados. Em seguida, estas aplicações herdarão as permissões da conta de serviço. Microsoft Entra ID fornece identidades geridas para executar outras cargas de trabalho na cloud. O ciclo de vida destas identidades é gerido por Microsoft Entra ID e está associado ao fornecedor de recursos e não pode ser utilizado para outras finalidades para obter acesso à backdoor.
Dispositivos
Móvel O Active Directory não suporta nativamente dispositivos móveis sem soluções de terceiros. A solução de gestão de dispositivos móveis da Microsoft, Microsoft Intune, está integrada com Microsoft Entra ID. Microsoft Intune fornece informações de estado do dispositivo ao sistema de identidade para avaliar durante a autenticação.
Ambientes de trabalho do Windows O Active Directory fornece a capacidade de associar um domínio a dispositivos Windows para os gerir com Política de Grupo, o System Center Configuration Manager ou outras soluções de terceiros. Os dispositivos Windows podem ser associados a Microsoft Entra ID. O Acesso Condicional pode verificar se um dispositivo está Microsoft Entra associado como parte do processo de autenticação. Os dispositivos Windows também podem ser geridos com Microsoft Intune. Neste caso, o Acesso Condicional irá considerar se um dispositivo está em conformidade (por exemplo, patches de segurança atualizados e assinaturas de vírus) antes de permitir o acesso às aplicações.
Servidores Windows O Active Directory fornece capacidades de gestão fortes para servidores Windows no local com Política de Grupo ou outras soluções de gestão. As máquinas virtuais dos servidores Windows no Azure podem ser geridas com Microsoft Entra Domain Services. As identidades geridas podem ser utilizadas quando as VMs precisam de acesso ao diretório ou recursos do sistema de identidade.
Cargas de trabalho Linux/Unix O Active Directory não suporta nativamente não windows sem soluções de terceiros, embora as máquinas Linux possam ser configuradas para autenticar com o Active Directory como um domínio Kerberos. As VMs linux/Unix podem utilizar identidades geridas para aceder ao sistema de identidade ou recursos. Algumas organizações migram estas cargas de trabalho para tecnologias de contentores na cloud, que também podem utilizar identidades geridas.

Passos seguintes