比較 Active Directory 與Microsoft Entra識別碼
Microsoft Entra識別碼是雲端身分識別和存取管理解決方案的下一個演進。 Microsoft 在 Windows 2000 引進 Active Directory Domain Services,讓組織能夠使用每位使用者的單一身分識別來管理多個內部部署基礎結構元件和系統。
Microsoft Entra識別碼會將身分識別即服務 (IDaaS) 解決方案提供給組織跨雲端和內部部署的所有應用程式,以達到下一個層級。
大部分的 IT 管理員都熟悉 Active Directory Domain Services 概念。 下表概述 Active Directory 概念與Microsoft Entra識別碼之間的差異和相似性。
| 概念 | Active Directory (AD) | Microsoft Entra 識別碼 |
|---|---|---|
| 使用者 | ||
| 佈建:使用者 | 組織手動建立內部使用者,或使用內部或自動佈建系統 (例如 Microsoft Identity Manager) 與 HR 系統整合。 | 現有的 AD 組織會使用Microsoft Entra Connect將身分識別同步至雲端。 Microsoft Entra識別碼新增支援,以自動從雲端 HR 系統建立使用者。 Microsoft Entra識別碼可以在已啟用 SCIM的 SaaS 應用程式中布建身分識別,以自動提供應用程式所需的詳細資料,以允許使用者存取。 |
| 佈建:外部身分識別 | 組織在外部專用的 AD 樹系中,手動將外部使用者建立為一般使用者,導致管理外部身分識別 (來賓使用者) 生命週期的管理負擔 | Microsoft Entra識別碼提供特殊類別的身分識別,以支援外部身分識別。 Microsoft Entra B2B會管理外部使用者身分識別的連結,以確保它們有效。 |
| 權利管理和群組 | 管理員將使用者變成群組的成員。 然後,應用程式和資源擁有者將應用程式或資源的存取權授與群組。 | 群組也可以在Microsoft Entra識別碼中使用,系統管理員也可以使用群組來授與資源的許可權。 在Microsoft Entra識別碼中,系統管理員可以手動將成員資格指派給群組,或使用查詢來動態包含群組的使用者。 系統管理員可以使用Microsoft Entra識別碼中的權利管理,讓使用者能夠使用工作流程存取應用程式和資源的集合,並視需要以時間為基礎的準則。 |
| 管理員管理 | 組織會在 AD 中使用網域、組織單位和群組的組合,委派管理員權限以管理其控制的目錄和資源。 | Microsoft Entra識別碼提供內建角色及其Microsoft Entra角色型存取控制, (Microsoft Entra RBAC) 系統,並僅支援建立自訂角色,以委派對身分識別系統、應用程式及其控制資源的特殊許可權存取。 管理角色可以透過Privileged Identity Management (PIM) 來增強,以提供特殊許可權角色的 Just-In-Time、time 限制或工作流程型存取。 |
| 認證管理 | Active Directory 中的認證以密碼、憑證驗證和智慧卡驗證為基礎。 密碼使用根據密碼長度、到期日和複雜度的密碼原則來管理。 | Microsoft Entra識別碼會針對雲端和內部部署使用智慧型密碼保護。 保護措施包括智慧鎖定,再加上封鎖常見和自訂的密碼片語和替代字元。 Microsoft Entra識別碼透過多重要素驗證和無密碼技術大幅提升安全性,例如 FIDO2。 Microsoft Entra識別碼可讓使用者提供自助式密碼重設系統,以減少支援成本。 |
| 應用程式 | ||
| 基礎結構應用程式 | Active Directory 奠定許多基礎結構內部部署元件的基礎,例如 DNS、DHCP、IPSec、WiFi、NPS 和 VPN 存取 | 在新雲端世界中,Microsoft Entra識別碼是存取應用程式與依賴網路控制的新控制平面。 當使用者進行驗證時, 條件式存取 會控制哪些使用者可在必要情況下存取哪些應用程式。 |
| 傳統和舊版應用程式 | 大部分的內部部署應用程式使用 LDAP、Windows 整合式驗證 (NTLM 和 Kerberos) 或標頭型驗證來控制使用者的存取權。 | Microsoft Entra識別碼可以使用Microsoft Entra執行內部部署的應用程式 Proxy代理程式,來存取這些類型的內部部署應用程式。 當您移轉或需要與繼承應用程式共存時,使用此方法Microsoft Entra識別碼可以使用 Kerberos 在內部部署中驗證 Active Directory 使用者。 |
| SaaS 應用程式 | Active Directory 不會以原生方式支援 SaaS 應用程式,而且需要同盟系統,例如 AD FS。 | 支援 OAuth2、SAML 和 WS-* 驗證的 SaaS 應用程式可以整合,以使用Microsoft Entra識別碼進行驗證。 |
| 使用新式驗證的企業營運 (LOB) 應用程式 | 組織可以使用 AD FS 搭配 Active Directory,支援需要新式驗證的 LOB 應用程式。 | 需要新式驗證的 LOB 應用程式可以設定為使用Microsoft Entra識別碼進行驗證。 |
| 中介層/精靈服務 | 在內部部署環境中執行的服務通常會使用 AD 服務帳戶或群組受管理的服務帳戶 (gMSA) 執行。 然後,這些應用程式會繼承服務帳戶的權限。 | Microsoft Entra識別碼提供受控識別,以在雲端中執行其他工作負載。 這些身分識別的生命週期由Microsoft Entra識別碼管理,並系結至資源提供者,且無法用於其他用途來取得備份程式存取權。 |
| 裝置 | ||
| 行動 | Active Directory 原本就不支援沒有協力廠商解決方案的行動裝置。 | Microsoft 的行動裝置管理解決方案Microsoft Intune與Microsoft Entra識別碼整合。 Microsoft Intune 會將裝置狀態資訊提供給身分識別系統,以便在驗證期間進行評估。 |
| Windows 桌上型電腦 | Active Directory 可讓您將 Windows 裝置加入網域,使用群組原則、System Center Configuration Manager 或其他協力廠商解決方案來管理這些裝置。 | Windows 裝置可以加入Microsoft Entra識別碼。 條件式存取可以檢查裝置是否Microsoft Entra加入驗證程式的一部分。 您也可以使用 Microsoft Intune 管理 Windows 的裝置。 在此情況下,條件式存取會考慮裝置是否符合規範 (,例如,最新的安全性修補程式和病毒簽章) ,再允許存取應用程式。 |
| Windows 伺服器 | Active Directory 使用群組原則或其他管理解決方案,為內部部署 Windows 伺服器提供強大的管理功能。 | 您可以使用Microsoft Entra Domain Services來管理 Azure 中的 Windows 伺服器虛擬機器。 當 VM 需要存取身分識別系統的目錄或資源時,可以使用受控識別。 |
| Linux/Unix 工作負載 | Active Directory 在沒有協力廠商解決方案的情況下,原本就不支援非 Windows 系統,不過可以設定 Linux 機器將 Active Directory 當成是 Kerberos 領域而進行驗證。 | Linux/Unix VM 可以使用受控識別來存取身分識別系統或資源。 有些組織會將這些工作負載移轉至雲端容器技術,這些組織也可以使用受控識別。 |