比較 Microsoft Entra ID 和 Active Directory Domain Services
您可以直接將 Microsoft Entra ID 視為 AD DS 的雲端式對應;不過,雖然 Microsoft Entra ID 和 AD DS 共用一些常見的特性,但兩者之間有數個顯著差異。
AD DS 的特性
AD DS 是實體或虛擬伺服器上以 Windows 伺服器為基礎的 Active Directory 傳統部署。 雖然 AD DS 通常被視為目錄服務,但其實只是 Windows Active Directory 技術套件的一個元件,套件中還包含了 Active Directory 憑證服務 (AD CS)、Active Directory 輕量型目錄服務 (AD LDS)、Active Directory 同盟服務 (AD FS),以及 Active Directory Rights Management Services (AD RMS)。
比較 AD DS 與 Microsoft Entra ID 時,請務必注意下列 AD DS 特性:
- AD DS 是真正的目錄服務,具有階層式 X.500 型結構。
- AD DS 使用網域名稱系統 (DNS) 來尋找網域控制站等資源。
- 您可以使用輕量型目錄存取通訊協定 (LDAP) 呼叫來查詢和管理 AD DS。
- AD DS 主要使用 Kerberos 通訊協定進行驗證。
- AD DS 使用 OU 和 GPO 來進行管理。
- AD DS 包含電腦物件,代表加入 Active Directory 網域的電腦。
- AD DS 使用網域之間的信任進行委派管理。
您可以在 Azure 虛擬機器上部署 AD DS,以為內部部署 AD DS 啟用可擴縮性和可用性。 不過,在 Azure 虛擬機器上部署 AD DS 並不會使用 Microsoft Entra ID。
注意
在 Azure 虛擬機器上部署 AD DS 需要一或多個額外的 Azure 資料磁碟,因為您不應該將磁碟機 C 用於 AD DS 儲存體。 需要這些磁碟,才能儲存 AD DS 資料庫、記錄和 sysvol 資料夾。 這些磁碟的主機快取喜好設定必須設定為 [無]。
Microsoft Entra ID 的特性
雖然 Microsoft Entra ID 與 AD DS 有許多相似之處,但也有許多差異。 請務必了解使用 Microsoft Entra 不同於在 Azure 虛擬機器上部署 Active Directory 網域控制站,並將其新增至您的內部部署網域。
比較 Microsoft Entra ID 與 AD DS 時,請務必留意 Microsoft Entra 的下列特性:
- Microsoft Entra ID 主要是身分識別解決方案,專為網際網路型應用程式而設計,其使用 HTTP (連接埠 80) 與 HTTPS (連接埠 443) 通訊。
- Microsoft Entra ID 是多租用戶目錄服務。
- Microsoft Entra 使用者與群組以扁平結構建立,沒有任何 OU 或 GPO。
- 您無法使用 LDAP 查詢 Microsoft Entra ID;而是 Microsoft Entra ID 會於 HTTP 和 HTTPS 使用 REST API。
- Microsoft Entra ID 不使用 Kerberos 驗證,而是使用 SAML、Web 服務同盟與 OpenID Connect 等 HTTP 與 HTTPS 通訊協定來進行驗證,並使用 OAuth 進行授權。
- Microsoft Entra ID 包含同盟服務,而且有許多第三方服務 (例如 Facebook) 都與 Microsoft Entra ID 同盟並信任之。