Porovnání Active Directory s Microsoft Entra ID
Microsoft Entra ID je dalším vývojem řešení pro správu identit a přístupu pro cloud. Společnost Microsoft zavedla v systému Windows 2000 služby Doména služby Active Directory Services, která organizacím umožňuje spravovat více místních komponent infrastruktury a systémů pomocí jedné identity na uživatele.
Microsoft Entra ID používá tento přístup k další úrovni tím, že organizacím poskytuje řešení Identity jako služba (IDaaS) pro všechny své aplikace v cloudu i v místním prostředí.
Většina správců IT zná koncepty Doména služby Active Directory Services. Následující tabulka popisuje rozdíly a podobnosti mezi koncepty služby Active Directory a ID Microsoft Entra.
| Koncepce | Windows Server Active Directory | Microsoft Entra ID |
|---|---|---|
| Uživatelé | ||
| Zřizování: uživatelé | Organizace vytvářejí interní uživatele ručně nebo používají interní nebo automatizovaný systém zřizování, jako je Microsoft Identity Manager, k integraci se systémem personálního oddělení. | Existující organizace služby Active Directory microsoft Windows Serveru používají k synchronizaci identit do cloudu Připojení Microsoft Entra. Microsoft Entra ID přidává podporu pro automatické vytváření uživatelů z cloudových personálních systémů. Microsoft Entra ID může zřizovat identity v systému pro aplikace SCIM (Cross-Domain Identity Management) s podporou softwaru jako služby (SaaS), aby automaticky poskytovaly aplikace s potřebnými podrobnostmi pro povolení přístupu uživatelům. |
| Zřizování: externí identity | Organizace vytvářejí externí uživatele ručně jako běžné uživatele ve vyhrazené externí doménové struktuře služby Active Directory systému Microsoft Windows Server, což vede ke režii při správě životního cyklu externích identit (uživatelů typu host). | Microsoft Entra ID poskytuje speciální třídu identity pro podporu externích identit. Microsoft Entra B2B bude spravovat odkaz na identitu externího uživatele, aby se ujistil, že jsou platné. |
| Správa nároků a skupiny | Správa istrátory umožňují uživatelům vytvářet členy skupin. Vlastníci aplikací a prostředků pak udělují skupinám přístup k aplikacím nebo prostředkům. | Skupiny jsou také k dispozici v Microsoft Entra ID a správci můžou skupiny také použít k udělení oprávnění k prostředkům. V Microsoft Entra ID mohou správci přiřadit členství do skupin ručně nebo pomocí dotazu dynamicky zahrnout uživatele do skupiny. Správa istrátory mohou používat Správa nároků v Microsoft Entra ID, která uživatelům umožní přístup ke kolekci aplikací a prostředků pomocí pracovních postupů a v případě potřeby na základě časových kritérií. |
| správa Správa | Organizace budou používat kombinaci domén, organizačních jednotek a skupin ve službě Microsoft Windows Server Active Directory k delegování práv správce ke správě adresáře a prostředků, které řídí. | Microsoft Entra ID poskytuje předdefinované role se systémem řízení přístupu na základě role (RBAC) Microsoft Entra s omezenou podporou pro vytváření vlastních rolí pro delegování privilegovaného přístupu k systému identit, aplikacím a prostředkům, které řídí. Správu rolí je možné vylepšit službou Privileged Identity Management (PIM) tak, aby poskytovala přístup k privilegovaným rolím podle časového limitu nebo pracovního postupu. |
| Správa přihlašovacích údajů | Přihlašovací údaje ve službě Active Directory jsou založené na heslech, ověřování certifikátů a ověřování čipových karet. Hesla se spravují pomocí zásad hesel založených na délce hesla, vypršení platnosti a složitosti. | Microsoft Entra ID používá inteligentní ochranu heslem pro cloud a místní prostředí. Ochrana zahrnuje inteligentní uzamčení a blokování běžných a vlastních hesel frází a nahrazení. Microsoft Entra ID výrazně zvyšuje zabezpečení prostřednictvím vícefaktorového ověřování a bez hesel technologií, jako je FIDO2. Microsoft Entra ID snižuje náklady na podporu tím, že uživatelům poskytuje samoobslužný systém resetování hesla. |
| Apps | ||
| Aplikace infrastruktury | Služba Active Directory tvoří základ pro mnoho místních komponent infrastruktury, například DNS, PROTOKOL DHCP (Dynamic Host Configuration Protocol), Internet Protocol Security (IPSec), WiFi, NPS a přístup k síti VPN. | V novém cloudovém světě je Microsoft Entra ID novou řídicí rovinou pro přístup k aplikacím a spoléhání se na síťové ovládací prvky. Při ověřování uživatelů řídí podmíněný přístup , kteří uživatelé mají přístup ke kterým aplikacím za požadovaných podmínek. |
| Tradiční a starší aplikace | Většina místních aplikací používá protokol LDAP, integrované ověřování systému Windows (NTLM a Kerberos) nebo ověřování založené na hlavičce k řízení přístupu uživatelům. | ID Microsoft Entra umožňuje přístup k těmto typům místních aplikací pomocí agentů proxy aplikací Microsoft Entra spuštěných místně. Pomocí této metody může Microsoft Entra ID ověřovat uživatele služby Active Directory místně pomocí protokolu Kerberos během migrace nebo potřebujete, aby spoluexistovali se staršími aplikacemi. |
| Aplikace SaaS | Služba Active Directory nativně nepodporuje aplikace SaaS a vyžaduje federační systém, jako je služba AD FS. | Aplikace SaaS podporující OAuth2, SAML (Security Assertion Markup Language) a ověřování WS-* je možné integrovat, aby k ověřování používaly ID Microsoft Entra. |
| Obchodní aplikace s moderním ověřováním | Organizace můžou používat službu AD FS se službou Active Directory k podpoře obchodních aplikací vyžadujících moderní ověřování. | Obchodní aplikace vyžadující moderní ověřování je možné nakonfigurovat tak, aby pro ověřování používaly ID Microsoft Entra. |
| Služby démona střední úrovně | Služby spuštěné v místních prostředích obvykle používají účty služby Active Directory systému Microsoft Windows Server nebo účty spravované služby (gMSA) ke spuštění. Tyto aplikace pak zdědí oprávnění účtu služby. | Microsoft Entra ID poskytuje spravované identity pro spouštění dalších úloh v cloudu. Životní cyklus těchto identit spravuje ID Microsoft Entra a je svázaný s poskytovatelem prostředků a nedá se použít k jiným účelům k získání přístupu k zadnímu vrátku. |
| Zařízení | ||
| Mobilní | Služba Active Directory nativně nepodporuje mobilní zařízení bez řešení třetích stran. | Řešení pro správu mobilních zařízení Microsoftu, Microsoft Intune, je integrované s Microsoft Entra ID. Microsoft Intune poskytuje systému identit informace o stavu zařízení k vyhodnocení během ověřování. |
| Stolní počítače s Windows | Služba Active Directory umožňuje připojit zařízení s Windows k doméně a spravovat je pomocí zásad skupiny, nástroje System Center Configuration Manager nebo jiných řešení třetích stran. | Zařízení s Windows se dají připojit k Microsoft Entra ID. Podmíněný přístup může zkontrolovat, jestli je zařízení připojené k Microsoft Entra v rámci procesu ověřování. Zařízení s Windows je možné spravovat také pomocí Microsoft Intune. V takovém případě bude podmíněný přístup před povolením přístupu k aplikacím zvážit, jestli zařízení dodržuje předpisy (například aktuální opravy zabezpečení a antivirové podpisy). |
| Servery s Windows | Služba Active Directory poskytuje silné možnosti správy pro místní servery s Windows pomocí zásad skupiny nebo jiných řešení pro správu. | Virtuální počítače s Windows servery v Azure je možné spravovat pomocí služby Microsoft Entra Domain Services. Spravované identity je možné použít, když virtuální počítače potřebují přístup k adresáři nebo prostředkům systému identit. |
| Linux/Unix – úlohy | Služba Active Directory nativně nepodporuje systém Windows bez řešení třetích stran, i když počítače s Linuxem je možné nakonfigurovat tak, aby se ověřily ve službě Active Directory jako sféra Kerberos. | Virtuální počítače se systémy Linux/Unix můžou používat spravované identity pro přístup k systému identit nebo prostředkům. Některé organizace migrují tyto úlohy do cloudových technologií kontejnerů, které můžou také používat spravované identity. |