Comparar o Active Directory com a ID do Microsoft Entra

A ID do Microsoft Entra é a próxima evolução das soluções de gerenciamento de identidades e acesso para a nuvem. A Microsoft introduziu o Active Directory Domain Services no Windows 2000 para permitir que as organizações gerenciem vários sistemas e componentes de infraestrutura localmente usando uma única identidade por usuário.

A ID do Microsoft Entra leva essa abordagem para o próximo nível, fornecendo às organizações uma solução de IDaaS (identidade como serviço) para todos os seus aplicativos locais e de nuvem.

A maioria dos administradores de TI está familiarizada com os conceitos do Active Directory Domain Services. A tabela a seguir descreve as diferenças e as semelhanças entre os conceitos do Active Directory e a ID do Microsoft Entra.

Conceito Windows Server Active Directory Microsoft Entra ID
Usuários
Provisionar: usuários As organizações criam usuários internos manualmente ou usam um sistema de provisionamento interno ou automatizado, como o Microsoft Identity Manager, para integrarem-se a um sistema de RH. As organizações existentes do Microsoft Windows Server Active Directory usam Microsoft Entra Connect para sincronizar identidades com a nuvem.
A ID do Microsoft Entra adiciona o suporte para criar automaticamente usuários com base em sistemas de RH na nuvem.
Microsoft Entra ID pode provisionar identidades no SCIM (System for Cross-Domain Identity Management) habilitado para aplicativos SaaS (software como serviço) para fornecer automaticamente aos aplicativos os detalhes necessários para permitir o acesso aos usuários.
Provisionamento: identidades externas As organizações criam usuários externos manualmente como usuários regulares em uma floresta externa dedicada do Microsoft Windows Server Active Directory, resultando em sobrecarga de administração para gerenciar o ciclo de vida de identidades externas (usuários convidados) A ID do Microsoft Entra fornece uma classe especial de identidade para dar suporte a identidades externas. O Microsoft Entra B2B vai gerenciar o link da identidade do usuário externo para verificar se ela é válida.
Gerenciamento de direitos e grupos Os administradores fazem os usuários membros de grupos. Os proprietários de aplicativos e recursos permite o acesso de grupos a aplicativos ou recursos. Também há grupos disponíveis na ID do Microsoft Entra, e os administradores também podem usar os grupos para conceder permissões aos recursos. Na ID do Microsoft Entra, os administradores podem atribuir a associação a grupos manualmente ou usar uma consulta para incluir usuários em um grupo de maneira dinâmica.
Os administradores podem usar o gerenciamento de direitos na ID do Microsoft Entra para permitir aos usuários o acesso a uma coleção de aplicativos e recursos usando fluxos de trabalho e, se necessário, critérios baseados em tempo.
Gerenciamento de administração As organizações usarão uma combinação de domínios, unidades organizacionais e grupos no Microsoft Windows Server Active Directory para delegar direitos administrativos para gerenciar o diretório e os recursos que controla. Microsoft Entra ID fornece funções internas com seu sistema RBAC (controle de acesso baseado em função) do Microsoft Entra, com suporte limitado para criar funções personalizadas delegar acesso privilegiado ao sistema de identidade, aos aplicativos e aos recursos que controla.O
gerenciamento de funções pode ser aprimorado com PIM (Privileged Identity Management) para fornecer acesso just-in-time, restrito ao tempo ou baseado em fluxo de trabalho a funções privilegiadas.
Gerenciamento de credenciais As credenciais no Active Directory são baseadas em senhas, autenticação de certificado e autenticação de cartão inteligente. As senhas são gerenciadas usando políticas de senha baseadas no comprimento, na expiração e na complexidade da senha. A ID do Microsoft Entra usa a proteção de senha inteligente local e na nuvem. A proteção inclui o bloqueio inteligente, além de bloquear frases e substituições de senha comuns e personalizadas.
Microsoft Entra ID aumenta significativamente a segurança por meio de autenticação multifator e tecnologias de sem senha, como FIDO2.
A ID do Microsoft Entra reduz os custos de suporte fornecendo aos usuários um sistema de redefinição de senha self-service.
Aplicativos
Dispositivos de Infraestrutura O Active Directory forma a base para muitos componentes locais de infraestrutura, por exemplo, DNS, DHCP (Dynamic Host Configuration Protocol), IPSec (Internet Protocol Security), WiFi, NPS e acesso VPN Em um novo mundo na nuvem, a ID do Microsoft Entra é o novo painel de controle para acessar aplicativos comparado aos controles de rede. Quando os usuários se autenticam, o Acesso Condicional controla quais deles terão acesso a certos aplicativos sob as condições necessárias.
Aplicativos tradicionais e herdados A maioria dos aplicativos locais usa LDAP, autenticação NTLM e Kerberos (Windows-Integrated) ou autenticação baseada em cabeçalho para controlar o acesso aos usuários. A ID do Microsoft Entra pode fornecer acesso a esses tipos de aplicativos locais usando os agentes do proxy de aplicativo do Microsoft Entra em execução no local. Usando esse método, a ID do Microsoft Entra pode autenticar usuários do Active Directory no local usando o Kerberos, enquanto você migra ou precisa coexistir com os aplicativos herdados.
Aplicativos SaaS O Active Directory não dá suporte a aplicativos SaaS de forma nativa e requer o sistema de federação, como o AD FS. Aplicativos SaaS compatíveis com OAuth2, SAML (Security Assertion Markup Language) e autenticação WS-* podem ser integrados para usar o Microsoft Entra ID para autenticação.
Aplicativos LOB (linha de negócios) com autenticação moderna As organizações podem usar o AD FS com o Active Directory para dar suporte a aplicativos LOB que exigem autenticação moderna. Os aplicativos LOB que necessitam de autenticação moderna podem ser configurados para usar a ID do Microsoft Entra para autenticação.
Serviços de camada intermediária/Daemon Os serviços em execução em ambientes locais normalmente usam contas de serviço do Microsoft Windows Server Active Directory ou gMSA (Contas de Serviço Gerenciado) do grupo para execução. Esses aplicativos herdarão as permissões da conta de serviço. A ID do Microsoft Entra fornece identidades gerenciadas para executar outras cargas de trabalho na nuvem. O ciclo de vida dessas identidades é gerenciado pela ID do Microsoft Entra e está vinculado ao provedor de recursos, não podendo ser usado para outras finalidades para obter acesso ao backdoor.
Dispositivos
Dispositivos móveis Active Directory não oferece suporte de forma nativa a dispositivos móveis sem soluções de terceiros. A solução de gerenciamento de dispositivo móvel da Microsoft, Microsoft Intune, é integrada o Microsoft Entra ID. O Microsoft Intune fornece informações do estado do dispositivo ao sistema de identidade para avaliar durante a autenticação.
Áreas de trabalho do Windows O Active Directory fornece a capacidade de ingressar no domínio em dispositivos Windows para gerenciá-los usando a Política de Grupo, o System Center Configuration Manager ou outras soluções de terceiros. Os dispositivos Windows podem ser ingressados na ID do Microsoft Entra. O acesso condicional pode verificar se um dispositivo foi ingressado no Microsoft Entra como parte do processo de autenticação. Os dispositivos Windows também podem ser gerenciados com o Microsoft Intune. Nesse caso, o Acesso Condicional considerará se um dispositivo está em conformidade (por exemplo, patches de segurança atualizados e assinaturas de vírus) antes de permitir o acesso aos aplicativos.
Servidores Windows O Active Directory fornece funcionalidades de gerenciamento robustas para servidores Windows locais usando a Política de Grupo ou outras soluções de gerenciamento. As máquinas virtuais do Windows Server no Azure podem ser gerenciadas com o Microsoft Entra Domain Services. As Identidades gerenciadas podem ser usadas quando as VMs precisam acessar os recursos ou o diretório do sistema de identidade.
Cargas de trabalho do Linux/Unix O Active Directory não oferece suporte de forma nativa fora do Windows sem soluções de terceiros, embora os computadores Linux possam ser configurados para autenticar com Active Directory como um realm do Kerberos. As VMs Linux/Unix podem usar identidades gerenciadas para acessar o sistema de identidade ou os recursos. Algumas organizações, migram essas cargas de trabalho para tecnologias de contêiner de nuvem, que também podem usar identidades gerenciadas.

Próximas etapas