Active Directory ile Microsoft Entra Id karşılaştırması
Microsoft Entra ID, bulut için kimlik ve erişim yönetimi çözümlerinin bir sonraki gelişimidir. Microsoft, kuruluşlara kullanıcı başına tek bir kimlik kullanarak birden çok şirket içi altyapı bileşenini ve sistemini yönetme olanağı sağlamak için Windows 2000'de Active Directory Etki Alanı Hizmetleri'ni kullanıma sunms.
Microsoft Entra ID, kuruluşlara bulut ve şirket içindeki tüm uygulamaları için bir Hizmet Olarak Kimlik (IDaaS) çözümü sunarak bu yaklaşımı bir sonraki düzeye taşır.
BT yöneticilerinin çoğu Active Directory Etki Alanı Hizmetleri kavramları hakkında bilgi sahibidir. Aşağıdaki tabloda, Active Directory kavramlarıyla Microsoft Entra Id arasındaki farklar ve benzerlikler özetlenmiştir.
| Konsept | Windows Server Active Directory | Microsoft Entra Kimlik |
|---|---|---|
| Kullanıcılar | ||
| Sağlama: kullanıcılar | Kuruluşlar şirket içi kullanıcıları el ile oluşturur veya bir İk sistemiyle tümleştirmek için Microsoft Identity Manager gibi bir şirket içi veya otomatik sağlama sistemi kullanır. | Mevcut Microsoft Windows Server Active Directory kuruluşları, kimlikleri bulutla eşitlemek için Microsoft Entra Bağlan kullanır. Microsoft Entra ID, bulut İk sistemlerinden otomatik olarak kullanıcı oluşturmak için destek ekler. Microsoft Entra Id, Kullanıcılara erişim izni vermek için gerekli ayrıntıları içeren uygulamaları otomatik olarak sağlamak üzere, Etki Alanları Arası Kimlik Yönetimi (SCIM) özellikli hizmet olarak yazılım (SaaS) uygulamaları için Sistem'de kimlik sağlayabilir. |
| Sağlama: dış kimlikler | Kuruluşlar dış kullanıcıları ayrılmış bir dış Microsoft Windows Server Active Directory ormanında normal kullanıcılar olarak el ile oluşturur ve bu da dış kimliklerin (konuk kullanıcılar) yaşam döngüsünü yönetmek için yönetim yüküne neden olur | Microsoft Entra Id, dış kimlikleri desteklemek için özel bir kimlik sınıfı sağlar. Microsoft Entra B2B , geçerli olduklarından emin olmak için dış kullanıcı kimliği bağlantısını yönetir. |
| Yetkilendirme yönetimi ve grupları | Yönetici istrator'lar kullanıcıları grupların üyesi yapar. Uygulama ve kaynak sahipleri daha sonra gruplara uygulamalara veya kaynaklara erişim verir. | Gruplar Microsoft Entra Id'de de kullanılabilir ve yöneticiler kaynaklara izin vermek için grupları da kullanabilir. Microsoft Entra Id'de yöneticiler gruplara el ile üyelik atayabilir veya kullanıcıları bir gruba dinamik olarak eklemek için sorgu kullanabilir. Yönetici istrator'lar Kullanıcılara iş akışlarını ve gerekirse zamana dayalı ölçütleri kullanarak bir uygulama ve kaynak koleksiyonuna erişim vermek için Microsoft Entra Id'de yetkilendirme yönetimi. |
| Yönetici yönetimi | Kuruluşlar, microsoft Windows Server Active Directory'deki etki alanlarının, kuruluş birimlerinin ve grupların bir bileşimini kullanarak denetleyecekleri dizini ve kaynakları yönetmeye ilişkin yönetim haklarını temsil eder. | Microsoft Entra ID, Microsoft Entra rol tabanlı erişim denetimi (RBAC) sistemiyle yerleşik roller sağlar ve kimlik sistemine, uygulamalara ve denetledığı kaynaklara ayrıcalıklı erişim yetkisi vermek için özel roller oluşturmaya yönelik sınırlı destek sunar. Ayrıcalıklı rollere tam zamanında, zaman kısıtlı veya iş akışı tabanlı erişim sağlamak için, rolleri yönetme Privileged Identity Management (PIM) ile geliştirilebilir. |
| Kimlik bilgileri yönetimi | Active Directory'deki kimlik bilgileri parolalara, sertifika kimlik doğrulamasına ve akıllı kart kimlik doğrulamasına dayanır. Parolalar, parola uzunluğu, süre sonu ve karmaşıklık temelinde parola ilkeleri kullanılarak yönetilir. | Microsoft Entra ID, bulut ve şirket içi için akıllı parola koruması kullanır. Koruma, akıllı kilitlemenin yanı sıra yaygın ve özel parola tümceciklerini ve değiştirmeleri engellemeyi içerir. Microsoft Entra ID, FIDO2 gibi çok faktörlü kimlik doğrulaması ve parolasız teknolojiler aracılığıyla güvenliği önemli ölçüde artırır. Microsoft Entra ID, kullanıcılara self servis parola sıfırlama sistemi sağlayarak destek maliyetlerini azaltır. |
| Apps | ||
| Altyapı uygulamaları | Active Directory, DNS, Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP), İnternet Protokolü Güvenliği (IPSec), WiFi, NPS ve VPN erişimi gibi birçok şirket içi bileşenin temelini oluşturur | Yeni bir bulut dünyasında, Microsoft Entra ID, uygulamalara erişmeye ve ağ denetimlerine güvenmeye yönelik yeni denetim düzlemidir. Kullanıcılar kimlik doğrulaması yaparken Koşullu Erişim, gerekli koşullar altında hangi kullanıcıların hangi uygulamalara erişimi olduğunu denetler. |
| Geleneksel ve eski uygulamalar | Çoğu şirket içi uygulama, kullanıcılara erişimi denetlemek için LDAP, Windows Tümleşik Kimlik Doğrulaması (NTLM ve Kerberos) veya Üst bilgi tabanlı kimlik doğrulaması kullanır. | Microsoft Entra Id, şirket içinde çalışan Microsoft Entra uygulama ara sunucusu aracılarını kullanarak bu tür şirket içi uygulamalara erişim sağlayabilir. Microsoft Entra ID bu yöntemi kullanarak, geçiş yaparken veya eski uygulamalarla birlikte var olmanız gerektiğinde Kerberos kullanarak şirket içi Active Directory kullanıcılarının kimliğini doğrulayabilir. |
| SaaS uygulamaları | Active Directory, SaaS uygulamalarını yerel olarak desteklemez ve AD FS gibi federasyon sistemi gerektirir. | OAuth2, Güvenlik Onaylama İşaretleme Dili (SAML) ve WS-* kimlik doğrulamasını destekleyen SaaS uygulamaları, kimlik doğrulaması için Microsoft Entra Id kullanmak üzere tümleştirilebilir. |
| Modern kimlik doğrulaması ile iş kolu (LOB) uygulamaları | Kuruluşlar, modern kimlik doğrulaması gerektiren LOB uygulamalarını desteklemek için Active Directory ile AD FS kullanabilir. | Modern kimlik doğrulaması gerektiren LOB uygulamaları, kimlik doğrulaması için Microsoft Entra Id kullanacak şekilde yapılandırılabilir. |
| Orta katman/Daemon hizmetleri | Şirket içi ortamlarda çalışan hizmetler normalde çalıştırmak için Microsoft Windows Server Active Directory hizmet hesaplarını veya grup Yönetilen Hizmet Hesaplarını (gMSA) kullanır. Bu uygulamalar daha sonra hizmet hesabının izinlerini devralır. | Microsoft Entra ID, bulutta diğer iş yüklerini çalıştırmak için yönetilen kimlikler sağlar. Bu kimliklerin yaşam döngüsü Microsoft Entra Id tarafından yönetilir ve kaynak sağlayıcısına bağlıdır ve arka kapı erişimi elde etmek için başka amaçlarla kullanılamaz. |
| Aygıtları | ||
| Mobil | Active Directory, üçüncü taraf çözümler olmadan mobil cihazları yerel olarak desteklemez. | Microsoft'un mobil cihaz yönetimi çözümü Microsoft Intune, Microsoft Entra ID ile tümleşiktir. Microsoft Intune, kimlik doğrulaması sırasında değerlendirilecek cihaz durumu bilgilerini kimlik sistemine sağlar. |
| Windows masaüstleri | Active Directory, Grup İlkesi, System Center Configuration Manager veya diğer üçüncü taraf çözümleri kullanarak bunları yönetmek için Windows cihazlarına etki alanına katılma olanağı sağlar. | Windows cihazları Microsoft Entra Id'ye eklenebilir. Koşullu Erişim, bir cihazın kimlik doğrulama işleminin bir parçası olarak Microsoft Entra'ya katılmış olup olmadığını denetleyebilir. Windows cihazları Microsoft Intune ile de yönetilebilir. Bu durumda Koşullu Erişim, uygulamalara erişime izin vermeden önce bir cihazın uyumlu olup olmadığını (örneğin, güncel güvenlik düzeltme ekleri ve virüs imzaları) dikkate alır. |
| Windows sunucuları | Active Directory, Grup İlkesi veya diğer yönetim çözümlerini kullanarak şirket içi Windows sunucuları için güçlü yönetim özellikleri sağlar. | Azure'daki Windows sunucuları sanal makineleri Microsoft Entra Domain Services ile yönetilebilir. Vm'lerin kimlik sistemi dizinine veya kaynaklarına erişmesi gerektiğinde yönetilen kimlikler kullanılabilir. |
| Linux/Unix iş yükleri | Linux makineleri Kerberos bölgesi olarak Active Directory ile kimlik doğrulaması yapmak üzere yapılandırılabilir, ancak Active Directory, üçüncü taraf çözümler olmadan Windows dışı çözümleri yerel olarak desteklemez. | Linux/Unix VM'leri, kimlik sistemine veya kaynaklarına erişmek için yönetilen kimlikleri kullanabilir. Bazı kuruluşlar, bu iş yüklerini yönetilen kimlikleri de kullanabilen bulut kapsayıcı teknolojilerine geçirir. |