Сравнение служб домен Active Directory с идентификатором Microsoft Entra
Доменные службы Active Directory (AD DS) — традиционное развертывание Active Directory на основе Windows Server на физическом или виртуальном сервере. службы домен Active Directory (AD DS) также включают службы сертификатов Active Directory (AD CS), службы упрощенного каталога Active Directory (AD LDS), службы федерации Active Directory (AD FS) (AD FS) и службы Active Directory Rights Management (AD RMS).
Важно!
Хотя вы можете развернуть AD DS и управлять ими в Azure Виртуальные машины, рекомендуется использовать идентификатор Microsoft Entra, если ваша конфигурация не предназначена для рабочих нагрузок IaaS, зависящих от AD DS.
Что следует учитывать при использовании Microsoft Entra, а не AD DS
Идентификатор Microsoft Entra похож на AD DS, но существуют значительные различия. Важно понимать, что использование идентификатора Microsoft Entra для конфигурации отличается от развертывания контроллера домена Active Directory на виртуальной машине Azure, а затем добавления его в локальный домен.
При планировании стратегии идентификации рассмотрите следующие характеристики, которые отличают идентификатор Microsoft Entra от AD DS.
Решение для удостоверений: AD DS в основном является службой каталогов, а идентификатор Microsoft Entra — это полное решение для удостоверений. Идентификатор Microsoft Entra предназначен для интернет-приложений, использующих обмен данными HTTP и HTTPS. Функции и возможности Идентификатора Microsoft Entra поддерживают строгое управление удостоверениями.
Протоколы связи: поскольку идентификатор Microsoft Entra основан на HTTP и HTTPS, он не использует проверку подлинности Kerberos. Идентификатор Microsoft Entra реализует протоколы HTTP и HTTPS, такие как SAML, WS-Federation и OpenID Подключение для проверки подлинности (и OAuth для авторизации).
Службы федерации: Идентификатор Microsoft Entra включает службы федерации и многие сторонние службы, такие как Facebook.
Неструктурированные структуры: пользователи и группы Microsoft Entra создаются в неструктурированной структуре. Подразделения или объекты групповой политики отсутствуют.
Управляемая служба: идентификатор Microsoft Entra — это управляемая служба. Вы управляете только пользователями, группами и политиками. Когда вы развертываете AD DS с виртуальными машинами с помощью Azure вы управляете множеством других задач, включая развертывание, настройку, виртуальные машины, исправления и другие внутренние процессы.