Porovnání služby Active Directory s ID Microsoft Entra
Microsoft Entra ID je dalším vývojem řešení pro správu identit a přístupu pro cloud. Společnost Microsoft zavedla Active Directory Domain Services ve Windows 2000, která organizacím umožňuje spravovat více komponent a systémů místní infrastruktury pomocí jedné identity na uživatele.
Microsoft Entra ID posouvá tento přístup na vyšší úroveň tím, že organizacím poskytuje řešení Identity as a Service (IDaaS) pro všechny jejich aplikace v cloudu i v místním prostředí.
Většina správců IT zná koncepty Active Directory Domain Services. Následující tabulka popisuje rozdíly a podobnosti mezi koncepty služby Active Directory a ID Microsoft Entra.
| Koncepce | Active Directory (AD) | Microsoft Entra ID |
|---|---|---|
| Uživatelé | ||
| Zřizování: uživatelé | Organizace vytvářejí interní uživatele ručně nebo k integraci se systémem lidských zdrojů používají interní nebo automatizovaný zřizovací systém, jako je Microsoft Identity Manager. | Stávající organizace AD používají Microsoft Entra Connect k synchronizaci identit do cloudu. Microsoft Entra ID přidává podporu pro automatické vytváření uživatelů z cloudových hrových systémů. Microsoft Entra ID může v aplikacích SaaS s podporou SCIM zřizovat identity, aby aplikace automaticky poskytovaly potřebné podrobnosti pro povolení přístupu uživatelům. |
| Zřizování: externí identity | Organizace vytvářejí externí uživatele ručně jako běžní uživatelé ve vyhrazené externí doménové struktuře AD, což vede ke správě nákladů na správu životního cyklu externích identit (uživatelů typu host). | Microsoft Entra ID poskytuje speciální třídu identity pro podporu externích identit. Microsoft Entra B2B bude spravovat odkaz na identitu externího uživatele, aby se ujistil, že jsou platné. |
| Správa nároků a skupiny | Správci z uživatelů dělají členy skupin. Vlastníci aplikací a prostředků pak skupinám udělují přístup k aplikacím nebo prostředkům. | Skupiny jsou k dispozici také v id Microsoft Entra a správci můžou také pomocí skupin udělovat oprávnění k prostředkům. V Microsoft Entra ID můžou správci přiřadit členství do skupin ručně nebo pomocí dotazu dynamicky zahrnout uživatele do skupiny. Správci můžou pomocí správy nároků v id Microsoft Entra uživatelům udělit přístup ke kolekci aplikací a prostředků pomocí pracovních postupů a v případě potřeby i kritérií založených na čase. |
| správa Správa | Organizace budou používat kombinaci domén, organizačních jednotek a skupin ve službě AD k delegování práv správce ke správě adresáře a prostředků, které řídí. | Microsoft Entra ID poskytuje předdefinované role se svým Microsoft Entra systémem řízení přístupu na základě role (Microsoft Entra RBAC) s omezenou podporou vytváření vlastních rolí pro delegování privilegovaného přístupu na systém identit, aplikace a prostředky, které řídí. Správu rolí je možné vylepšit pomocí Privileged Identity Management (PIM) a poskytovat přístup k privilegovaným rolím za běhu, časově omezený nebo na základě pracovního postupu. |
| Správa přihlašovacích údajů | Přihlašovací údaje ve službě Active Directory jsou založené na heslech, ověřování certifikátů a ověřování pomocí čipových karet. Hesla se spravují pomocí zásad hesel, které jsou založené na délce, vypršení platnosti a složitosti hesla. | Microsoft Entra ID používá inteligentní ochranu heslem pro cloud a místní prostředí. Ochrana zahrnuje inteligentní uzamčení a blokování běžných a vlastních heslových frází a náhrad. Microsoft Entra ID výrazně zvyšuje zabezpečení prostřednictvím vícefaktorového ověřování a technologií bez hesel, jako je FIDO2. Microsoft Entra ID snižuje náklady na podporu tím, že uživatelům poskytuje samoobslužný systém pro resetování hesla. |
| Aplikace | ||
| Aplikace infrastruktury | Služba Active Directory tvoří základ pro řadu místních komponent infrastruktury, například DNS, DHCP, IPSec, WiFi, NPS a přístup vpn. | V novém cloudovém světě je Microsoft Entra ID novou řídicí rovinou pro přístup k aplikacím a spoléhání se na síťové ovládací prvky. Při ověřování uživatelů řídí podmíněný přístup , kteří uživatelé mají přístup ke kterým aplikacím za požadovaných podmínek. |
| Tradiční a starší aplikace | Většina místních aplikací používá k řízení přístupu k uživatelům ověřování pomocí protokolu LDAP, ověřování Windows-Integrated (NTLM a Kerberos) nebo ověřování na základě hlaviček. | Microsoft Entra ID může poskytnout přístup k těmto typům místních aplikací pomocí Microsoft Entra agentů proxy aplikací spuštěných v místním prostředí. Pomocí této metody Microsoft Entra ID můžete ověřovat uživatele služby Active Directory v místním prostředí pomocí protokolu Kerberos, zatímco migrujete nebo potřebujete současně existovat se staršími aplikacemi. |
| Aplikace SaaS | Služba Active Directory nativně nepodporuje aplikace SaaS a vyžaduje federační systém, například AD FS. | Aplikace SaaS podporující ověřování OAuth2, SAML a WS-* je možné integrovat tak, aby k ověřování používaly id Microsoft Entra. |
| Obchodní aplikace s moderním ověřováním | Organizace můžou používat službu AD FS se službou Active Directory k podpoře obchodních aplikací vyžadujících moderní ověřování. | Obchodní aplikace vyžadující moderní ověřování je možné nakonfigurovat tak, aby k ověřování používaly ID Microsoft Entra. |
| Služby střední vrstvy a démona | Služby spuštěné v místních prostředích obvykle používají ke spuštění účty služby AD nebo skupiny účtů spravované služby (gMSA). Tyto aplikace pak zdědí oprávnění účtu služby. | Microsoft Entra ID poskytuje spravované identity pro spouštění dalších úloh v cloudu. Životní cyklus těchto identit se spravuje pomocí id Microsoft Entra a je svázaný s poskytovatelem prostředků a nedá se použít k jiným účelům k získání přístupu zadními vrátky. |
| Zařízení | ||
| Mobilní | Služba Active Directory nativně nepodporuje mobilní zařízení bez řešení třetích stran. | Řešení pro správu mobilních zařízení od Microsoftu, Microsoft Intune, je integrované s id Microsoft Entra. Microsoft Intune poskytuje systému identit informace o stavu zařízení k vyhodnocení během ověřování. |
| Plochy s Windows | Služba Active Directory umožňuje připojit zařízení s Windows k doméně a spravovat je pomocí Zásady skupiny, Configuration Manager System Center nebo jiných řešení třetích stran. | Zařízení s Windows je možné připojit k Microsoft Entra ID. Podmíněný přístup může zkontrolovat, jestli je zařízení Microsoft Entra připojeno v rámci procesu ověřování. Zařízení s Windows je také možné spravovat pomocí Microsoft Intune. V takovém případě podmíněný přístup před povolením přístupu k aplikacím zváží, jestli zařízení vyhovuje předpisům (například aktuální opravy zabezpečení a antivirové podpisy). |
| Windows servery | Služba Active Directory poskytuje silné možnosti správy pro místní servery s Windows pomocí Zásady skupiny nebo jiných řešení pro správu. | Virtuální počítače se servery s Windows v Azure je možné spravovat pomocí služby Microsoft Entra Domain Services. Spravované identity je možné použít, když virtuální počítače potřebují přístup k adresáři nebo prostředkům systému identit. |
| Úlohy pro Linux/Unix | Služba Active Directory nativně nepodporuje jiné systémy než Windows bez řešení třetích stran, i když počítače s Linuxem je možné nakonfigurovat tak, aby se ověřovaly ve službě Active Directory jako sféra protokolu Kerberos. | Virtuální počítače s Linuxem nebo Unixem můžou používat spravované identity pro přístup k systému identit nebo prostředkům. Některé organizace migrují tyto úlohy do cloudových kontejnerových technologií, které můžou také používat spravované identity. |