Dela via


Jämför Active Directory med Microsoft Entra-ID

Microsoft Entra ID är nästa utveckling av identitets- och åtkomsthanteringslösningar för molnet. Microsoft introducerade Active Directory-domän Services i Windows 2000 för att ge organisationer möjlighet att hantera flera lokala infrastrukturkomponenter och system med en enda identitet per användare.

Microsoft Entra ID tar den här metoden till nästa nivå genom att ge organisationer en IDaaS-lösning (Identity as a Service) för alla sina appar i molnet och lokalt.

De flesta IT-administratörer är bekanta med begreppen Active Directory-domän Services. I följande tabell beskrivs skillnaderna och likheterna mellan Active Directory-begrepp och Microsoft Entra-ID.

Koncept Windows Server Active Directory Microsoft Entra ID
Användare
Etablering: användare Organisationer skapar interna användare manuellt eller använder ett internt eller automatiserat etableringssystem, till exempel Microsoft Identity Manager, för att integrera med ett HR-system. Befintliga Microsoft Windows Server Active Directory-organisationer använder Microsoft Entra Anslut för att synkronisera identiteter till molnet.
Microsoft Entra ID lägger till stöd för att automatiskt skapa användare från molnets HR-system.
Microsoft Entra-ID kan etablera identiteter i SCIM-aktiverade saaS-appar (System for Cross-Domain Identity Management) för att automatiskt ge appar nödvändig information för att tillåta åtkomst för användare.
Etablering: externa identiteter Organisationer skapar externa användare manuellt som vanliga användare i en dedikerad extern Microsoft Windows Server Active Directory-skog, vilket resulterar i administrationskostnader för att hantera livscykeln för externa identiteter (gästanvändare) Microsoft Entra ID tillhandahåller en särskild identitetsklass för att stödja externa identiteter. Microsoft Entra B2B hanterar länken till den externa användaridentiteten för att se till att de är giltiga.
Berättigandehantering och -grupper Administratörer gör användare till medlemmar i grupper. App- och resursägare ger sedan grupper åtkomst till appar eller resurser. Grupper är också tillgängliga i Microsoft Entra-ID och administratörer kan också använda grupper för att bevilja behörigheter till resurser. I Microsoft Entra-ID kan administratörer tilldela medlemskap till grupper manuellt eller använda en fråga för att dynamiskt inkludera användare i en grupp.
Administratörer kan använda Berättigandehantering i Microsoft Entra-ID för att ge användarna åtkomst till en samling appar och resurser med hjälp av arbetsflöden och, om det behövs, tidsbaserade kriterier.
Administratörshantering Organisationer använder en kombination av domäner, organisationsenheter och grupper i Microsoft Windows Server Active Directory för att delegera administrativa rättigheter för att hantera den katalog och de resurser som den kontrollerar. Microsoft Entra ID tillhandahåller inbyggda roller med sitt RBAC-system (Microsoft Entra role-based access control), med begränsat stöd för att skapa anpassade roller för att delegera privilegierad åtkomst till identitetssystemet, apparna och resurserna som det styr.
Hantering av roller kan utökas med Privileged Identity Management (PIM) för att ge just-in-time, tidsbegränsad eller arbetsflödesbaserad åtkomst till privilegierade roller.
Hantering av autentiseringsuppgifter Autentiseringsuppgifterna i Active Directory baseras på lösenord, certifikatautentisering och smartkortautentisering. Lösenord hanteras med hjälp av lösenordsprinciper som baseras på lösenordslängd, förfallodatum och komplexitet. Microsoft Entra ID använder intelligent lösenordsskydd för molnet och lokalt. Skydd omfattar smart utelåsning plus blockering av vanliga och anpassade lösenordsfraser och ersättningar.
Microsoft Entra ID ökar säkerheten avsevärt genom multifaktorautentisering och lösenordslösa tekniker, till exempel FIDO2.
Microsoft Entra ID minskar supportkostnaderna genom att ge användarna ett system för lösenordsåterställning via självbetjäning.
Apps
Infrastrukturappar Active Directory utgör grunden för många lokala infrastrukturkomponenter, till exempel DNS, DHCP (Dynamic Host Configuration Protocol), Internet Protocol Security (IPSec), WiFi, NPS och VPN-åtkomst I en ny molnvärld är Microsoft Entra ID det nya kontrollplanet för åtkomst till appar jämfört med att förlita sig på nätverkskontroller. När användarna autentiserar styr villkorsstyrd åtkomst vilka användare som har åtkomst till vilka appar under nödvändiga villkor.
Traditionella och äldre appar De flesta lokala appar använder LDAP, Windows-integrerad autentisering (NTLM och Kerberos) eller rubrikbaserad autentisering för att styra åtkomsten till användare. Microsoft Entra-ID kan ge åtkomst till dessa typer av lokala appar med hjälp av Microsoft Entra-programproxyagenter som körs lokalt. Med den här metoden kan Microsoft Entra-ID autentisera Active Directory-användare lokalt med kerberos när du migrerar eller behöver samexistera med äldre appar.
SaaS-appar Active Directory stöder inte SaaS-appar internt och kräver federationssystem, till exempel AD FS. SaaS-appar som stöder OAuth2- och SAML-autentisering (Security Assertion Markup Language) och WS-*-autentisering kan integreras för att använda Microsoft Entra-ID för autentisering.
Verksamhetsspecifika appar (LOB) med modern autentisering Organisationer kan använda AD FS med Active Directory för att stödja verksamhetsspecifika appar som kräver modern autentisering. LOB-appar som kräver modern autentisering kan konfigureras för att använda Microsoft Entra-ID för autentisering.
Tjänster på mellannivå/daemon Tjänster som körs i lokala miljöer använder normalt Microsoft Windows Server Active Directory-tjänstkonton eller grupphanterade tjänstkonton (gMSA) för att köra. Dessa appar ärver sedan behörigheterna för tjänstkontot. Microsoft Entra ID tillhandahåller hanterade identiteter för att köra andra arbetsbelastningar i molnet. Livscykeln för dessa identiteter hanteras av Microsoft Entra-ID och är knuten till resursprovidern och kan inte användas för andra ändamål för att få bakdörrsåtkomst.
Enheter
Mobilt Active Directory har inte inbyggt stöd för mobila enheter utan lösningar från tredje part. Microsofts lösning för hantering av mobila enheter, Microsoft Intune, är integrerad med Microsoft Entra-ID. Microsoft Intune tillhandahåller information om enhetstillstånd till identitetssystemet som ska utvärderas under autentiseringen.
Windows-skrivbord Active Directory ger möjlighet att domänansluta Windows-enheter för att hantera dem med hjälp av grupprincip, System Center Configuration Manager eller andra lösningar från tredje part. Windows-enheter kan anslutas till Microsoft Entra-ID. Villkorlig åtkomst kan kontrollera om en enhet är Microsoft Entra-ansluten som en del av autentiseringsprocessen. Windows-enheter kan också hanteras med Microsoft Intune. I det här fallet kommer villkorlig åtkomst att överväga om en enhet är kompatibel (till exempel uppdaterade säkerhetskorrigeringar och virussignaturer) innan du tillåter åtkomst till apparna.
Windows-servrar Active Directory tillhandahåller starka hanteringsfunktioner för lokala Windows-servrar med grupprincip eller andra hanteringslösningar. Virtuella Windows-servrar i Azure kan hanteras med Microsoft Entra Domain Services. Hanterade identiteter kan användas när virtuella datorer behöver åtkomst till identitetssystemets katalog eller resurser.
Linux/Unix-arbetsbelastningar Active Directory har inte inbyggt stöd för icke-Windows utan lösningar från tredje part, även om Linux-datorer kan konfigureras för att autentisera med Active Directory som en Kerberos-sfär. Virtuella Linux-/Unix-datorer kan använda hanterade identiteter för att komma åt identitetssystemet eller resurserna. Vissa organisationer migrerar dessa arbetsbelastningar till molncontainertekniker, som också kan använda hanterade identiteter.

Nästa steg