Сравнение идентификатора записи Майкрософт и служб домен Active Directory

  • 2 мин

Вы можете просто просмотреть идентификатор Microsoft Entra как облачный пользователь AD DS; однако, в то время как идентификатор Microsoft Entra и AD DS используют некоторые общие характеристики, существует несколько существенных различий между ними.

Характеристики AD DS

Доменные службы Active Directory (AD DS) — традиционное развертывание Active Directory на основе Windows Server на физическом или виртуальном сервере. Хотя AD DS обычно считается службой каталогов, это только один компонент набора технологий Windows Active Directory, который также включает службы сертификатов Active Directory (AD CS), Active Directory Упрощенные службы каталогов (AD LDS), службы федерации Active Directory (AD FS) (AD FS) и службы Active Directory Rights Management (AD RMS).

При сравнении AD DS с идентификатором Microsoft Entra важно отметить следующие характеристики AD DS:

  • AD DS — это истинная служба каталогов с иерархической структурой X.500.
  • AD DS использует систему доменных имен (DNS) для поиска ресурсов, таких как контроллеры домена.
  • Вы можете запрашивать AD DS и управлять ими с помощью вызовов протокола LDAP.
  • AD DS в основном использует протокол Kerberos для проверки подлинности.
  • AD DS использует подразделения и объекты групповой политики для управления.
  • AD DS включает объекты компьютера, представляющие компьютеры, которые присоединяются к домену Active Directory.
  • AD DS использует отношения доверия между доменами для делегированного управления.

Вы можете развернуть AD DS на виртуальной машине Azure, чтобы обеспечить масштабируемость и доступность для локальной службы AD DS. Однако развертывание AD DS на виртуальной машине Azure не использует идентификатор Microsoft Entra.

Примечание.

Для развертывания AD DS на виртуальной машине Azure требуется один или несколько дополнительных дисков данных Azure, так как не следует использовать диск C для хранилища AD DS. Эти диски необходимы для хранения базы данных AD DS, журналов и папки sysvol. Параметр предпочтения кэша узлов для этих дисков должен иметь значение None.

Характеристики идентификатора Microsoft Entra

Хотя идентификатор Microsoft Entra id имеет много сходство с AD DS, существует также много различий. Важно понимать, что использование Microsoft Entra не совпадает с развертыванием контроллера домена Active Directory на виртуальной машине Azure и добавлением его в локальный домен.

При сравнении идентификатора Microsoft Entra с AD DS важно отметить следующие характеристики идентификатора Microsoft Entra ID:

  • Идентификатор Microsoft Entra в основном является решением для удостоверений и предназначен для интернет-приложений с помощью http (порт 80) и HTTPS (порт 443).
  • Идентификатор Microsoft Entra — это служба каталогов с несколькими клиентами.
  • Пользователи и группы Microsoft Entra создаются в неструктурированной структуре, и нет подразделений или объектов групповой политики.
  • Не удается запросить идентификатор Microsoft Entra с помощью LDAP; Вместо этого идентификатор Microsoft Entra использует REST API по протоколу HTTP и HTTPS.
  • Идентификатор Microsoft Entra не использует проверку подлинности Kerberos; Вместо этого он использует протоколы HTTP и HTTPS, такие как SAML, WS-Federation и OpenID Connect для проверки подлинности, и использует OAuth для авторизации.
  • Идентификатор Microsoft Entra включает службы федерации, а многие сторонние службы, такие как Facebook, федеративны и доверяют идентификатору Microsoft Entra.