比较 Microsoft Entra ID 和 Azure Active Directory 域服务
可以将 Microsoft Entra ID 简单地视为 AD DS 的基于云的对应项;但是,虽然 Microsoft Entra ID 和 AD DS 有一些共同的特征,但两者之间存在一些重要差异。
AD DS 的特征
AD DS 是基于 Windows Server 的 Active Directory 在物理或虚拟服务器上的传统部署。 虽然 AD DS 通常大都被认为是一种目录服务,但它只是 Windows Active Directory 技术套件的一个组件,该套件中还包括 Active Directory 证书服务 (AD CS)、Active Directory 轻型目录服务 (AD LDS)、Active Directory 联合身份验证服务 (AD FS) 和 Active Directory Rights Management Services (AD RMS)。
将 AD DS 与 Microsoft Entra ID 进行比较时,请务必注意 AD DS 的以下特征:
- AD DS 是一种真正的目录服务,具有基于 X.500 的分层结构。
- AD DS 使用域名系统 (DNS) 来查找域控制器等资源。
- 可以使用轻型目录访问协议 (LDAP) 调用来查询和管理 AD DS。
- AD DS 主要使用 Kerberos 协议进行身份验证。
- AD DS 使用 OU 和 GPO 进行管理。
- AD DS 包括表示加入 Active Directory 域的计算机的计算机对象。
- AD DS 使用域之间的信任来进行委派管理。
可以在 Azure 虚拟机上部署 AD DS,以实现本地 AD DS 的可伸缩性和可用性。 但是,在 Azure 虚拟机上部署 AD DS 不会使用 Microsoft Entra ID。
注意
在 Azure 虚拟机上部署 AD DS 需要一个或多个额外的 Azure 数据磁盘,因为不应将驱动器 C 用于 AD DS 存储。 需要使用这些磁盘来存储 AD DS 数据库、日志和 sysvol 文件夹。 这些磁盘的“主机缓存首选项”设置必须设置为“无”。
Microsoft Entra ID 的特征
尽管 Microsoft Entra ID 与 AD DS 有很多相似之处,但也存在许多差异。 必须意识到使用 Microsoft Entra 不同于在 Azure 虚拟机上部署 Active Directory 域控制器并将其添加到本地域。
将 Microsoft Entra ID 与 AD DS 进行比较时,请务必注意 Microsoft Entra ID 的以下特征:
- Microsoft Entra ID 主要是一种标识解决方案,使用 HTTP(端口 80)、HTTPS(端口 443)通信,专用于基于 Internet 的应用程序。
- Microsoft Entra ID 是多租户目录服务。
- Microsoft Entra 用户和组是在平面结构中创建的,且没有 OU 或 GPO。
- 无法使用 LDAP 查询 Microsoft Entra ID,相反,Microsoft Entra ID 通过 HTTP 和 HTTPS 使用 REST API。
- Microsoft Entra ID 不使用 Kerberos 身份验证;而是使用 HTTP 和 HTTPS 协议(如 SAML、WS 联合身份验证和 OpenID Connect)进行身份验证,并使用 OAuth 进行授权。
- Microsoft Entra ID 包括联合身份验证服务,许多第三方服务(例如 Facebook)信任 Microsoft Entra ID 并与之联合。