Comparar Active Directory con Microsoft Entra ID
Microsoft Entra ID es la próxima evolución de las soluciones de gestión de acceso e identidad para la nube. Microsoft presentó Active Directory Domain Services en Windows 2000 para ofrecer a las organizaciones la capacidad de administrar varios componentes y sistemas de infraestructura locales mediante una única identidad por usuario.
Microsoft Entra ID lleva este enfoque al siguiente nivel al brindar a las organizaciones una solución de identidad como servicio (IDaaS) para todas sus aplicaciones en la nube y en las instalaciones.
La mayoría de los administradores de TI están familiarizados con los conceptos de Active Directory Domain Services. La siguiente tabla describe las diferencias y similitudes entre los conceptos de Active Directory y Microsoft Entra ID.
| Concepto | Windows Server Active Directory | Microsoft Entra ID |
|---|---|---|
| Usuarios | ||
| Aprovisionamiento: usuarios | Las organizaciones crean usuarios internos manualmente o utilizan un sistema de aprovisionamiento interno o automatizado, como Microsoft Identity Manager, para integrarse en un sistema de recursos humanos. | Las organizaciones existentes de Microsoft Windows Server Active Directory usan Microsoft Entra Connect para sincronizar identidades con la nube. Microsoft Entra agrega compatibilidad para crear usuarios de forma automática a partir de sistemas de recursos humanos en la nube. Microsoft Entra ID puede aprovisionar identidades en System for Cross-Domain Identity Management (SCIM) habilitadas aplicaciones de software como servicio (SaaS) para proporcionar automáticamente las aplicaciones con los detalles necesarios para permitir el acceso a los usuarios. |
| Aprovisionamiento: identidades externas | Las organizaciones crean usuarios externos manualmente como usuarios normales en un bosque de Microsoft Windows Server Active Directory externo dedicado, lo que da lugar a una sobrecarga de administración para administrar el ciclo de vida de las identidades externas (usuarios invitados) | Microsoft Entra ID proporciona una clase especial de identidad para admitir identidades externas. Microsoft Entra B2B administrará el enlace a la identidad del usuario externo para asegurarse de que sea válido. |
| Administración de derechos y grupos | Los administradores nombran a los usuarios como miembros de grupos. Los propietarios de los recursos y las aplicaciones proporcionan a los grupos acceso a aplicaciones o recursos. | Los grupos también están disponibles en Microsoft Entra y los administradores pueden igualmente utilizar grupos para conceder permisos a recursos. En Microsoft Entra, los administradores pueden asignar la pertenencia a grupos de modo manual o usar una consulta para incluir a los usuarios de forma dinámica en un grupo. Los administradores pueden usar la administración de derechos en Microsoft Entra ID para brindar a los usuarios acceso a una colección de aplicaciones y recursos mediante flujos de trabajo y, si es necesario, criterios basados en el tiempo. |
| Administración de administradores | Las organizaciones usarán una combinación de dominios, unidades organizativas y grupos en Microsoft Windows Server Active Directory para delegar derechos administrativos para administrar el directorio y los recursos que controla. | Microsoft Entra proporciona roles integrados con su sistema de control de acceso basado en rol (RBAC) de Microsoft Entra, con compatibilidad limitada para crear roles personalizados para delegar el acceso con privilegios al sistema de identidades, las aplicaciones y los recursos que controla. La administración de roles se puede mejorar con Privileged Identity Management (PIM) para proporcionar acceso cuando sea necesario, restringido en el tiempo o basado en el flujo de trabajo a roles con privilegios. |
| Administración de credenciales | Las credenciales de Active Directory se basan en contraseñas, autenticación de certificados y autenticación de tarjeta inteligente. Las contraseñas se administran mediante directivas de contraseñas que se basan en la longitud, la expiración y la complejidad de las contraseñas. | Microsoft Entra usa la protección con contraseña inteligente para la nube y el entorno local. La protección incluye el bloqueo inteligente, además del bloqueo de frases y sustituciones de contraseñas comunes y personalizadas. Microsoft Entra ID aumenta significativamente la seguridadmediante la autenticación multifactor y tecnologías sin contraseña, como FIDO2. Microsoft Entra ID reduce los costes de soporte al brindar a los usuarios un sistema de autoservicio para restablecer contraseñas. |
| Aplicaciones | ||
| Aplicaciones de infraestructura | Active Directory constituye la base de muchos componentes locales de infraestructura, por ejemplo, DNS, Protocolo de configuración dinámica de host (DHCP), Seguridad del protocolo de Internet (IPSec), WiFi, NPS y acceso VPN | En un nuevo mundo de la nube, Microsoft Entra ID es el nuevo plano de control para acceder a aplicaciones en lugar de depender de los controles de red. Cuando los usuarios se autentican, el acceso condicional controla qué usuarios tendrán acceso a las aplicaciones en las condiciones requeridas. |
| Aplicaciones tradicionales y heredadas | La mayoría de las aplicaciones locales usan LDAP, la autenticación integrada de Windows (NTLM y Kerberos) o la autenticación basada en encabezados para controlar el acceso a los usuarios. | Microsoft Entra ID puede proporcionar acceso a estos tipos de aplicaciones locales mediante agentes proxy de aplicaciones de Microsoft Entra que se ejecutan localmente. Con este método, Microsoft Entra ID puede autenticar a los usuarios de Active Directory localmente utilizando Kerberos mientras migra o necesita coexistir con aplicaciones heredadas. |
| Aplicaciones SaaS | Active Directory no es compatible de forma nativa con aplicaciones SaaS y requiere un sistema de federación, como AD FS. | Las aplicaciones SaaS que admiten OAuth2, el Lenguaje de Marcado para Confirmaciones de Seguridad (SAML) y la autenticación WS-* se pueden integrar para usar Microsoft Entra ID para la autenticación. |
| Aplicaciones de línea de negocio (LOB) con autenticación moderna | Las organizaciones pueden usar AD FS con Active Directory para admitir aplicaciones LOB que requieran autenticación moderna. | Las aplicaciones LOB que requieren autenticación moderna se pueden configurar para usar Microsoft Entra ID para la autenticación. |
| Servicios de nivel medio/demonio | Los servicios que se ejecutan en entornos locales normalmente usan cuentas de servicio de Active Directory de Microsoft Windows Server o cuentas de servicio administradas de grupo (gMSA) para ejecutarse. Estas aplicaciones heredarán los permisos de la cuenta de servicio. | Microsoft Entra ID proporciona identidades administradas para ejecutar otras cargas de trabajo en la nube. El ciclo de vida de estas identidades lo administra Microsoft Entra ID y está vinculado al proveedor de recursos y no se puede utilizar para otros fines para obtener acceso de puerta trasera. |
| Dispositivos | ||
| Móvil | Active Directory no es compatible de forma nativa con dispositivos móviles sin soluciones de terceros. | La solución de administración de dispositivos móviles de Microsoft, Microsoft Intune, se integra con el Microsoft Entra ID. Microsoft Intune proporciona información sobre el estado del dispositivo al sistema de identidades que se va a evaluar durante la autenticación. |
| Escritorios de Windows | Active Directory proporciona la capacidad de unir a un dominio dispositivos Windows para administrarlos mediante directiva de grupo, System Center Configuration Manager u otras soluciones de terceros. | Los dispositivos Windows se pueden unir a Microsoft Entra ID. El acceso condicional puede verificar si un dispositivo está unido a Microsoft Entra como parte del proceso de autenticación. Los dispositivos Windows también se pueden administrar con Microsoft Intune. En este caso, el acceso condicional tendrá en cuenta si un dispositivo es compatible (por ejemplo, revisiones de seguridad y firmas de virus actualizadas) antes de permitir el acceso a las aplicaciones. |
| Servidores Windows | Active Directory proporciona unas funcionalidades de administración seguras para servidores Windows locales mediante directivas de grupo u otras soluciones de administración. | Las máquinas virtuales de Windows Servers en Azure se pueden administrar con Microsoft Entra Domain Services. Se pueden utilizar identidades administradas cuando las máquinas virtuales necesitan tener acceso al directorio o a los recursos del sistema de identidades. |
| Cargas de trabajo Linux/Unix | Active Directory no es compatible de forma nativa con aplicaciones que no son de Windows sin soluciones de terceros, aunque se pueden configurar máquinas Linux para autenticarse con Active Directory como un dominio Kerberos. | Las máquinas virtuales Linux/Unix pueden usar identidades administradas para acceder al sistema de identidades o a los recursos. Algunas organizaciones migran estas cargas de trabajo a tecnologías de contenedor en la nube, que también pueden utilizar identidades administradas. |