Jämför Active Directory med Microsoft Entra-ID

Microsoft Entra ID är nästa utveckling av identitets- och åtkomsthanteringslösningar för molnet. Microsoft introducerade Active Directory Domain Services i Windows 2000 för att ge organisationer möjlighet att hantera flera lokala infrastrukturkomponenter och system med en enda identitet per användare.

Microsoft Entra ID tar den här metoden till nästa nivå genom att ge organisationer en IDaaS-lösning (Identity as a Service) för alla sina appar i molnet och lokalt.

De flesta IT-administratörer är bekanta med Active Directory Domain Services begrepp. I följande tabell beskrivs skillnaderna och likheterna mellan Active Directory-begrepp och Microsoft Entra-ID.

Koncept Active Directory (AD) Microsoft Entra ID
Användare
Etablering: användare Organisationer skapar interna användare manuellt eller använder ett internt eller automatiserat etableringssystem, till exempel Microsoft Identity Manager, för att integrera med ett HR-system. Befintliga AD-organisationer använder Microsoft Entra Connect för att synkronisera identiteter till molnet.
Microsoft Entra ID lägger till stöd för att automatiskt skapa användare från molnets HR-system.
Microsoft Entra ID kan etablera identiteter i SCIM-aktiverade SaaS-appar för att automatiskt ge appar nödvändig information för att tillåta åtkomst för användare.
Etablering: externa identiteter Organisationer skapar externa användare manuellt som vanliga användare i en dedikerad extern AD-skog, vilket resulterar i administrationskostnader för att hantera livscykeln för externa identiteter (gästanvändare) Microsoft Entra ID tillhandahåller en särskild identitetsklass för att stödja externa identiteter. Microsoft Entra B2B hanterar länken till den externa användaridentiteten för att kontrollera att de är giltiga.
Berättigandehantering och grupper Administratörer gör användare till medlemmar i grupper. App- och resursägare ger sedan grupper åtkomst till appar eller resurser. Grupper är också tillgängliga i Microsoft Entra ID och administratörer kan också använda grupper för att bevilja behörigheter till resurser. I Microsoft Entra ID kan administratörer tilldela medlemskap till grupper manuellt eller använda en fråga för att dynamiskt inkludera användare i en grupp.
Administratörer kan använda berättigandehantering i Microsoft Entra-ID för att ge användarna åtkomst till en samling appar och resurser med hjälp av arbetsflöden och, om det behövs, tidsbaserade kriterier.
Admin hantering Organisationer använder en kombination av domäner, organisationsenheter och grupper i AD för att delegera administrativa rättigheter för att hantera den katalog och de resurser som den kontrollerar. Microsoft Entra ID tillhandahåller inbyggda roller med sitt Microsoft Entra rollbaserade åtkomstkontrollsystem (Microsoft Entra RBAC), med begränsat stöd för att skapa anpassade roller för att delegera privilegierad åtkomst till identitetssystemet, apparna och resurserna som det styr.
Du kan förbättra hanteringen av roller med Privileged Identity Management (PIM) för att ge just-in-time, tidsbegränsad eller arbetsflödesbaserad åtkomst till privilegierade roller.
Hantering av autentiseringsuppgifter Autentiseringsuppgifterna i Active Directory baseras på lösenord, certifikatautentisering och smartkortsautentisering. Lösenord hanteras med hjälp av lösenordsprinciper som baseras på lösenordslängd, förfallodatum och komplexitet. Microsoft Entra ID använder intelligent lösenordsskydd för molnet och lokalt. Skydd omfattar smart utelåsning plus blockering av vanliga och anpassade lösenordsfraser och ersättningar.
Microsoft Entra ID ökar säkerheten avsevärt genom multifaktorautentisering och lösenordslösa tekniker, till exempel FIDO2.
Microsoft Entra ID minskar supportkostnaderna genom att ge användarna ett system för lösenordsåterställning via självbetjäning.
Appar
Infrastrukturappar Active Directory utgör grunden för många lokala infrastrukturkomponenter, till exempel DNS, DHCP, IPSec, WiFi, NPS och VPN-åtkomst I en ny molnvärld, Microsoft Entra ID, är det nya kontrollplanet för åtkomst till appar jämfört med att förlita sig på nätverkskontroller. När användarna autentiserar styr villkorsstyrd åtkomst vilka användare som har åtkomst till vilka appar under nödvändiga villkor.
Traditionella och äldre appar De flesta lokala appar använder LDAP, Windows-Integrated-autentisering (NTLM och Kerberos) eller rubrikbaserad autentisering för att styra åtkomsten till användare. Microsoft Entra ID kan ge åtkomst till dessa typer av lokala appar med hjälp av Microsoft Entra programproxyagenter som körs lokalt. Med den här metoden kan Microsoft Entra ID autentisera Active Directory-användare lokalt med kerberos när du migrerar eller behöver samexistera med äldre appar.
SaaS-appar Active Directory stöder inte SaaS-appar internt och kräver federationssystem, till exempel AD FS. SaaS-appar som stöder OAuth2-, SAML- och WS-*-autentisering kan integreras för att använda Microsoft Entra-ID för autentisering.
Verksamhetsspecifika appar (LOB) med modern autentisering Organisationer kan använda AD FS med Active Directory för att stödja verksamhetsspecifika appar som kräver modern autentisering. LOB-appar som kräver modern autentisering kan konfigureras för att använda Microsoft Entra-ID för autentisering.
Tjänster på mellannivå/daemon Tjänster som körs i lokala miljöer använder normalt AD-tjänstkonton eller grupphanterade tjänstkonton (gMSA) för att köra. Dessa appar ärver sedan behörigheterna för tjänstkontot. Microsoft Entra ID tillhandahåller hanterade identiteter för att köra andra arbetsbelastningar i molnet. Livscykeln för dessa identiteter hanteras av Microsoft Entra-ID och är kopplad till resursprovidern och kan inte användas för andra ändamål för att få bakdörrsåtkomst.
Egenskaper
Mobilt Active Directory har inte inbyggt stöd för mobila enheter utan lösningar från tredje part. Microsofts lösning för hantering av mobila enheter, Microsoft Intune, är integrerad med Microsoft Entra-ID. Microsoft Intune tillhandahåller information om enhetstillstånd till identitetssystemet som ska utvärderas under autentiseringen.
Windows-skrivbord Active Directory ger möjlighet att domänansluta Windows-enheter för att hantera dem med hjälp av grupprincip, System Center Configuration Manager eller andra lösningar från tredje part. Windows-enheter kan anslutas till Microsoft Entra-ID. Villkorlig åtkomst kan kontrollera om en enhet är Microsoft Entra ansluten som en del av autentiseringsprocessen. Windows-enheter kan också hanteras med Microsoft Intune. I det här fallet kommer villkorsstyrd åtkomst att överväga om en enhet är kompatibel (till exempel uppdaterade säkerhetskorrigeringar och virussignaturer) innan den tillåter åtkomst till apparna.
Windows-servrar Active Directory tillhandahåller starka hanteringsfunktioner för lokala Windows-servrar med hjälp av grupprincip eller andra hanteringslösningar. Virtuella Windows-servrar i Azure kan hanteras med Microsoft Entra Domain Services. Hanterade identiteter kan användas när virtuella datorer behöver åtkomst till identitetssystemets katalog eller resurser.
Linux/Unix-arbetsbelastningar Active Directory har inte inbyggt stöd för icke-Windows utan lösningar från tredje part, även om Linux-datorer kan konfigureras för att autentisera med Active Directory som en Kerberos-sfär. Virtuella Linux-/Unix-datorer kan använda hanterade identiteter för att komma åt identitetssystemet eller resurserna. Vissa organisationer migrerar dessa arbetsbelastningar till molncontainertekniker, som också kan använda hanterade identiteter.

Nästa steg