比較 Active Directory 與 Microsoft Entra ID
Microsoft Entra ID 是新一代的雲端身分識別和存取管理解決方案。 Microsoft 在 Windows 2000 引進 Active Directory Domain Services,讓組織能夠使用每位使用者的單一身分識別來管理多個內部部署基礎結構元件和系統。
Microsoft Entra ID 將此方法提升更上一層樓,為組織提供身分識別即服務 (IDaaS) 解決方案,適用於跨雲端和內部部署的所有應用程式。
大部分的 IT 管理員都熟悉 Active Directory Domain Services 概念。 下表概述 Active Directory 概念和 Microsoft Entra ID 之間的差異和相似性。
| 概念 | Windows Server Active Directory | Microsoft Entra ID |
|---|---|---|
| 使用者 | ||
| 佈建:使用者 | 組織會手動建立內部使用者,或使用內部或自動化的佈建系統 (例如 Microsoft Identity Manager) 和 HR 系統整合。 | 現有的 Microsoft Windows Server Active Directory 組織會使用 Microsoft Entra Connect 來將身分識別同步至雲端。 Microsoft Entra ID 新增從雲端 HR 系統自動建立使用者的支援。 Microsoft Entra ID 可在已啟用跨網域身分識別管理 (SCIM) 的軟體即服務 (SaaS) 應用程式中佈建身分識別,以自動向應用程式提供必要的詳細資料以允許使用者存取。 |
| 佈建:外部身分識別 | 組織在外部專用的 Microsoft Windows Server Active Directory 樹系中,手動將外部使用者建立為一般使用者,導致管理外部身分識別 (來賓使用者) 生命週期的管理負擔 | Microsoft Entra ID 會提供特殊的身分識別類別來支援外部身分識別。 Microsoft Entra B2B 管理外部使用者身分識別的連結以確保其有效性。 |
| 權利管理和群組 | 系統管理員讓使用者成為群組的成員。 然後,應用程式和資源擁有者會將應用程式或資源的存取權授與群組。 | 群組也可在 Microsoft Entra ID 中使用,而且管理員也可以使用群組來授與資源權限。 在 Microsoft Entra ID 中,系統管理員可以手動指派成員資格給群組,或使用查詢動態地將使用者納入群組。 管理員可以在 Microsoft Entra ID 中使用權利管理,讓使用者能夠使用工作流程和以時間為基礎的準則 (如有需要),存取應用程式和資源的集合。 |
| 系統管理員管理 | 組織會在 Microsoft Windows Server Active Directory 中使用網域、組織單位和群組的組合,委派管理員權限以管理其控制的目錄和資源。 | Microsoft Entra ID 提供內建角色及其 Microsoft Entra 角色型存取控制 (RBAC) 系統,搭配有限的建立自訂角色支援,將特殊權限存取委派給其控制的身分識別系統、應用程式和資源。 管理角色可以使用 Privileged Identity Management (PIM) 來增強其功能,將即時型、時限型或工作流程型的存取權授與特殊權限角色。 |
| 認證管理 | Active Directory 中的認證以密碼、憑證驗證和智慧卡驗證為基礎。 密碼的管理會使用根據密碼長度、到期日和複雜度的密碼原則。 | Microsoft Entra ID 使用智慧型密碼保護,適用於雲端和內部部署。 保護包括智慧型鎖定,並會封鎖一般和自訂的複雜密碼和替代。 Microsoft Entra ID 透過多重要素驗證和無密碼技術 (如 FIDO2),大幅提高安全性。 Microsoft Entra ID 透過提供自助式密碼重設系統給使用者,降低支援成本。 |
| 應用程式 | ||
| 基礎結構應用程式 | Active Directory 構成了許多基礎結構內部部署元件的基礎,例如 DNS、動態主機設定通訊協定 (DHCP)、網際網路通訊協定安全性 (IPSEC)、WiFi、NPS 和 VPN 存取 | 在新的雲端世界中,相對於依賴網路控制,Microsoft Entra ID 是用來存取應用程式的新控制平面。 使用者進行驗證時,條件式存取會控制哪些使用者在所需條件下有哪些應用程式的存取權。 |
| 傳統和舊版應用程式 | 大部分的內部部署應用程式使用 LDAP、Windows 整合式驗證 (NTLM 和 Kerberos) 或標頭型驗證來控制使用者的存取權。 | Microsoft Entra ID 可以使用在內部部署執行的 Microsoft Entra 應用程式 Proxy,提供這些內部部署應用程式類型的存取權。 透過使用此方法,Microsoft Entra ID 可以在您移轉或需要與舊版應用程式並存時,使用 Kerberos 驗證內部部署的 Active Directory 使用者。 |
| SaaS 應用程式 | Active Directory 不會以原生方式支援 SaaS 應用程式,而且需要同盟系統,例如 AD FS。 | 可以整合支援 OAuth2、安全性聲明標記語言 (SAML) 和 WS-* 驗證的 SaaS 應用程式,以使用 Microsoft Entra ID 進行驗證。 |
| 使用新式驗證的企業營運 (LOB) 應用程式 | 組織可以使用 AD FS 搭配 Active Directory,支援需要新式驗證的 LOB 應用程式。 | 需要新式驗證的 LOB 應用程式可以設定為使用 Microsoft Entra ID 進行驗證。 |
| 中介層/精靈服務 | 在內部部署環境中執行的服務通常會使用 Microsoft Windows Server Active Directory 服務帳戶或群組受管理的服務帳戶 (gMSA) 執行。 然後,這些應用程式會繼承服務帳戶的權限。 | Microsoft Entra ID 提供受控識別來執行雲端中的其他工作負載。 這些身分識別的生命週期由 Microsoft Entra ID 管理,並且繫結至資源提供者,因此不能用於其他用途以取得後門程式存取權。 |
| 裝置 | ||
| 行動 | Active Directory 原本就不支援沒有協力廠商解決方案的行動裝置。 | Microsoft 的行動裝置管理解決方案 (Microsoft Intune) 已與 Microsoft Entra ID 整合。 Microsoft Intune 會將裝置狀態資訊提供給身分識別系統,以便在驗證期間進行評估。 |
| Windows 桌上型電腦 | Active Directory 可讓您將 Windows 裝置加入網域,使用群組原則、System Center Configuration Manager 或其他協力廠商解決方案來管理這些裝置。 | Windows 裝置可以加入 Microsoft Entra ID。 條件式存取可以檢查裝置是否在驗證程序期間加入 Microsoft Entra。 您也可以使用 Microsoft Intune 管理 Windows 的裝置。 在此案例中,條件式存取會考慮裝置是否符合規範 (例如,最新的安全性修補程式和病毒簽章),然後才允許存取應用程式。 |
| Windows 伺服器 | Active Directory 使用群組原則或其他管理解決方案,為內部部署 Windows 伺服器提供強大的管理功能。 | 您可以使用 Microsoft Entra Domain Services 管理 Azure 中的 Windows 伺服器虛擬機器。 當 VM 需要存取身分識別系統的目錄或資源時,可以使用受控識別。 |
| Linux/Unix 工作負載 | Active Directory 在沒有協力廠商解決方案的情況下,原本就不支援非 Windows 系統,不過可以設定 Linux 機器將 Active Directory 當成是 Kerberos 領域而進行驗證。 | Linux/Unix VM 可以使用受控識別來存取身分識別系統或資源。 有些組織會將這些工作負載移轉至雲端容器技術,這些組織也可以使用受控識別。 |