Partilhar via


Comparar o Ative Directory com o Microsoft Entra ID

O Microsoft Entra ID é a próxima evolução das soluções de gerenciamento de identidade e acesso para a nuvem. A Microsoft introduziu os Serviços de Domínio Ative Directory no Windows 2000 para dar às organizações a capacidade de gerenciar vários componentes e sistemas de infraestrutura local usando uma única identidade por usuário.

O Microsoft Entra ID leva essa abordagem para o próximo nível, fornecendo às organizações uma solução de Identidade como Serviço (IDaaS) para todos os seus aplicativos na nuvem e no local.

A maioria dos administradores de TI está familiarizada com os conceitos dos Serviços de Domínio Ative Directory. A tabela a seguir descreve as diferenças e semelhanças entre os conceitos do Ative Directory e o Microsoft Entra ID.

Conceito Windows Server Active Directory Microsoft Entra ID
Utilizadores
Provisionamento: usuários As organizações criam usuários internos manualmente ou usam um sistema de provisionamento interno ou automatizado, como o Microsoft Identity Manager, para integração com um sistema de RH. As organizações existentes do Ative Directory do Microsoft Windows Server usam o Microsoft Entra Connect para sincronizar identidades com a nuvem.
O Microsoft Entra ID adiciona suporte para criar automaticamente usuários a partir de sistemas de RH na nuvem.
O Microsoft Entra ID pode provisionar identidades em aplicativos de software como serviço (SaaS) habilitados para System for Cross-Domain Identity Management (SCIM) para fornecer automaticamente aos aplicativos os detalhes necessários para permitir o acesso dos usuários.
Provisionamento: identidades externas As organizações criam usuários externos manualmente como usuários regulares em uma floresta externa dedicada do Ative Directory do Microsoft Windows Server, resultando em sobrecarga de administração para gerenciar o ciclo de vida de identidades externas (usuários convidados) O Microsoft Entra ID fornece uma classe especial de identidade para suportar identidades externas. O Microsoft Entra B2B gerenciará o link para a identidade do usuário externo para garantir que eles sejam válidos.
Gestão de direitos e grupos Os administradores tornam os usuários membros de grupos. Em seguida, os proprietários de aplicativos e recursos dão aos grupos acesso a aplicativos ou recursos. Os grupos também estão disponíveis no Microsoft Entra ID e os administradores também podem usar grupos para conceder permissões a recursos. No Microsoft Entra ID, os administradores podem atribuir associação a grupos manualmente ou usar uma consulta para incluir dinamicamente usuários em um grupo.
Os administradores podem usar o gerenciamento de direitos no Microsoft Entra ID para dar aos usuários acesso a uma coleção de aplicativos e recursos usando fluxos de trabalho e, se necessário, critérios baseados em tempo.
Gestão de administradores As organizações usarão uma combinação de domínios, unidades organizacionais e grupos no Ative Directory do Microsoft Windows Server para delegar direitos administrativos para gerenciar o diretório e os recursos que ele controla. O Microsoft Entra ID fornece funções internas com seu sistema RBAC (controle de acesso baseado em função) do Microsoft Entra, com suporte limitado para a criação de funções personalizadas para delegar acesso privilegiado ao sistema de identidade, aos aplicativos e aos recursos que ele controla.
O gerenciamento de funções pode ser aprimorado com o Privileged Identity Management (PIM) para fornecer acesso just-in-time, com restrição de tempo ou baseado em fluxo de trabalho a funções privilegiadas.
Gestão de credenciais As credenciais no Ative Directory são baseadas em senhas, autenticação de certificado e autenticação de cartão inteligente. As senhas são gerenciadas usando políticas de senha baseadas no comprimento, validade e complexidade da senha. O Microsoft Entra ID usa proteção inteligente por senha para nuvem e local. A proteção inclui bloqueio inteligente, além de bloquear frases e substituições de senhas comuns e personalizadas.
O Microsoft Entra ID aumenta significativamente a segurança através da autenticação multifator e tecnologias sem senha, como FIDO2.
O Microsoft Entra ID reduz os custos de suporte fornecendo aos usuários um sistema de redefinição de senha de autoatendimento.
Aplicativos
Aplicativos de infraestrutura O Ative Directory forma a base para muitos componentes locais de infraestrutura, por exemplo, DNS, DHCP (Dynamic Host Configuration Protocol), IPSec (Internet Protocol Security), WiFi, NPS e acesso VPN Em um novo mundo de nuvem, o Microsoft Entra ID é o novo plano de controle para acessar aplicativos versus depender de controles de rede. Quando os usuários se autenticam, o Acesso Condicional controla quais usuários têm acesso a quais aplicativos sob as condições necessárias.
Aplicativos tradicionais e legados A maioria dos aplicativos locais usa LDAP, autenticação integrada do Windows (NTLM e Kerberos) ou autenticação baseada em cabeçalho para controlar o acesso aos usuários. A ID do Microsoft Entra pode fornecer acesso a esses tipos de aplicativos locais usando agentes de proxy de aplicativo do Microsoft Entra em execução no local. Usando esse método, o Microsoft Entra ID pode autenticar usuários do Ative Directory no local usando Kerberos enquanto você migra ou precisa coexistir com aplicativos herdados.
Aplicações SaaS O Ative Directory não suporta aplicativos SaaS nativamente e requer sistema de federação, como o AD FS. Os aplicativos SaaS que suportam autenticação OAuth2, SAML (Security Assertion Markup Language) e WS-* podem ser integrados para usar o Microsoft Entra ID para autenticação.
Aplicativos de linha de negócios (LOB) com autenticação moderna As organizações podem usar o AD FS com o Ative Directory para dar suporte a aplicativos LOB que exigem autenticação moderna. Os aplicativos LOB que exigem autenticação moderna podem ser configurados para usar a ID do Microsoft Entra para autenticação.
Serviços intermediários/Daemon Os serviços executados em ambientes locais normalmente usam contas de serviço do Ative Directory do Microsoft Windows Server ou contas de serviço gerenciado de grupo (gMSA) para serem executados. Esses aplicativos herdarão as permissões da conta de serviço. O Microsoft Entra ID fornece identidades gerenciadas para executar outras cargas de trabalho na nuvem. O ciclo de vida dessas identidades é gerenciado pelo Microsoft Entra ID e está vinculado ao provedor de recursos e não pode ser usado para outros fins para obter acesso backdoor.
Dispositivos
Móvel O Ative Directory não suporta nativamente dispositivos móveis sem soluções de terceiros. A solução de gestão de dispositivos móveis da Microsoft, o Microsoft Intune, está integrada com o Microsoft Entra ID. O Microsoft Intune fornece informações de estado do dispositivo ao sistema de identidade para avaliar durante a autenticação.
Ambientes de trabalho do Windows O Ative Directory oferece a capacidade de ingressar no domínio de dispositivos Windows para gerenciá-los usando a Diretiva de Grupo, o System Center Configuration Manager ou outras soluções de terceiros. Os dispositivos Windows podem ser associados ao Microsoft Entra ID. O Acesso Condicional pode verificar se um dispositivo ingressou no Microsoft Entra como parte do processo de autenticação. Os dispositivos Windows também podem ser geridos com o Microsoft Intune. Nesse caso, o Acesso Condicional considerará se um dispositivo é compatível (por exemplo, patches de segurança atualizados e assinaturas de vírus) antes de permitir o acesso aos aplicativos.
Servidores Windows O Ative Directory fornece fortes recursos de gerenciamento para servidores Windows locais usando a Diretiva de Grupo ou outras soluções de gerenciamento. As máquinas virtuais de servidores Windows no Azure podem ser gerenciadas com os Serviços de Domínio Microsoft Entra. As identidades gerenciadas podem ser usadas quando as VMs precisam acessar o diretório ou os recursos do sistema de identidade.
Cargas de trabalho Linux/Unix O Ative Directory não oferece suporte nativo a não-Windows sem soluções de terceiros, embora as máquinas Linux possam ser configuradas para autenticação com o Ative Directory como um território Kerberos. VMs Linux/Unix podem usar identidades gerenciadas para acessar o sistema de identidade ou recursos. Algumas organizações migram essas cargas de trabalho para tecnologias de contêiner em nuvem, que também podem usar identidades gerenciadas.

Próximos passos