Confronto tra Microsoft Entra ID e Active Directory Domain Services
Microsoft Entra ID può essere considerato semplicemente come la controparte basata sul cloud di Active Directory Domain Services; tuttavia, anche se Microsoft Entra ID eActive Directory Domain Services condividono alcune caratteristiche in comune, le differenze sono significative.
Caratteristiche di Active Directory Domain Services
Active Directory Domain Services è la distribuzione tradizionale di Active Directory basata su Windows Server in un server fisico o virtuale. Sebbene Active Directory Domain Services venga comunemente considerato principalmente un servizio directory, è solo un componente della famiglia di tecnologie Windows Active Directory, che include anche Servizi certificati Active Directory, Active Directory Lightweight Directory Services (AD LDS), Active Directory Federation Services (AD FS) e Active Directory Rights Management Services (AD RMS).
Quando si confronta AD DS con Microsoft Entra ID, è importante notare le caratteristiche di Active Directory Domain Services seguenti:
- Servizi di dominio Active Directory è un vero servizio directory, con una struttura gerarchica basata su X.500.
- Servizi di dominio Active Directory usa Domain Name System (DNS) per l'individuazione di risorse come i controller di dominio.
- È possibile eseguire query e gestire Servizi di dominio Active Directory usando chiamate LDAP (Lightweight Directory Access Protocol).
- Active Directory Domain Services usa principalmente il protocollo Kerberos per l'autenticazione.
- Active Directory Domain Services usa unità organizzative e oggetti Criteri di gruppo per la gestione.
- Servizi di dominio Active Directory include oggetti computer, che rappresentano i computer che si aggiungono a un dominio di Active Directory.
- Active Directory Domain Services usa trust tra domini per la gestione delegata.
È possibile distribuire Servizi di dominio Active Directory in una macchina virtuale di Azure per abilitare la scalabilità e la disponibilità per un'istanza di Active Directory Domain Services locale. Tuttavia, la distribuzione di Active Directory Domain Services in una macchina virtuale di Azure non fa uso di Microsoft Entra ID.
Nota
La distribuzione di Servizi di dominio Active Directory in una macchina virtuale di Azure richiede uno o più dischi dati di Azure aggiuntivi perché non è consigliabile usare l'unità C per l'archiviazione di Active Directory Domain Services. Questi dischi sono necessari per archiviare il database, i log e la cartella sysvol di Active Directory Domain Services. L'impostazione Preferenza cache host per questi dischi deve essere impostata su Nessuno.
Caratteristiche di Microsoft Entra ID
Anche se Microsoft Entra ID presenta molte analogie con Active Directory Domain Services, le differenze sono tante. È importante comprendere che l’uso di Microsoft Entra non equivale alla distribuzione di un controller di dominio di Active Directory in una macchina virtuale di Azure e all’aggiunta al dominio locale.
Quando si confronta Microsoft Entra ID con Active Directory Domain Services, è importante notare le caratteristiche di Microsoft Entra ID seguenti:
- Microsoft Entra ID è principalmente una soluzione di identità ed è progettata per applicazioni basate su Internet tramite comunicazioni HTTP (porta 80) e HTTPS (porta 443).
- Microsoft Entra ID è un servizio di directory multi-tenant.
- Gli utenti e i gruppi di Microsoft Entra vengono creati in una struttura piatta e non sono presenti unità organizzative od oggetti Criteri di gruppo.
- Non è possibile eseguire query su Microsoft Entra ID usando LDAP; Microsoft Entra ID usa invece l'API REST su HTTP e HTTPS.
- Microsoft Entra ID non usa l'autenticazione Kerberos, usa invece protocolli HTTP e HTTPS come SAML, WS-Federation e OpenID Connect per l'autenticazione e usa OAuth per l'autorizzazione.
- Microsoft Entra ID include servizi federati e molti servizi di terze parti, come ad esempio Facebook, sono federati e considerano attendibile Microsoft Entra ID.