Membandingkan Active Directory dengan ID Microsoft Entra
ID Microsoft Entra adalah evolusi solusi manajemen identitas dan akses berikutnya untuk cloud. Microsoft memperkenalkan AD DS di Windows 2000 untuk menyediakan organisasi kemampuan untuk mengelola beberapa komponen dan sistem infrastruktur lokal menggunakan satu identitas per pengguna.
ID Microsoft Entra membawa pendekatan ini ke tingkat berikutnya dengan menyediakan solusi Identity as a Service (IDaaS) kepada organisasi untuk semua aplikasi mereka di seluruh cloud dan lokal.
Sebagian besar administrator TI sudah menguasai konsep AD DS. Tabel berikut menguraikan perbedaan dan kesamaan antara konsep Direktori Aktif dan ID Microsoft Entra.
| Konsep | Direktori Aktif (AD) | Microsoft Entra ID |
|---|---|---|
| Pengguna | ||
| Provisi: pengguna | Organisasi membuat pengguna internal secara manual atau menggunakan sistem penyediaan internal atau otomatis, seperti Microsoft Identity Manager, untuk berintegrasi dengan sistem SDM. | Organisasi AD yang ada menggunakan Microsoft Entra Connect untuk menyinkronkan identitas ke cloud. Microsoft Entra ID menambahkan dukungan untuk membuat pengguna secara otomatis dari sistem SDM cloud. id Microsoft Entra dapat menyediakan identitas di aplikasi SaaS yang diaktifkan SCIM untuk secara otomatis menyediakan aplikasi dengan detail yang diperlukan untuk memungkinkan akses bagi pengguna. |
| Provisi: identitas eksternal | Organisasi membuat pengguna eksternal secara manual sebagai pengguna reguler di forest AD eksternal khusus, yang mengakibatkan overhead administrasi untuk mengelola siklus hidup identitas eksternal (pengguna tamu) | Microsoft Entra ID menyediakan kelas identitas khusus untuk mendukung identitas eksternal. Microsoft Entra B2B akan mengelola tautan ke identitas pengguna eksternal untuk memastikannya valid. |
| Pengelolaan pemberian hak dan grup | Administrator menjadikan pengguna sebagai anggota grup. Pemilik aplikasi dan sumber daya kemudian memberi grup akses ke aplikasi atau sumber daya. | Grup juga tersedia di ID Microsoft Entra dan administrator juga dapat menggunakan grup untuk memberikan izin ke sumber daya. Dalam ID Microsoft Entra, administrator dapat menetapkan keanggotaan ke grup secara manual atau menggunakan kueri untuk menyertakan pengguna ke grup secara dinamis. Administrator dapat menggunakan Pengelolaan pemberian hak di ID Microsoft Entra untuk memberi pengguna akses ke kumpulan aplikasi dan sumber daya menggunakan alur kerja dan, jika perlu, kriteria berbasis waktu. |
| Manajemen admin | Organisasi akan menggunakan kombinasi domain, unit organisasi, dan grup dalam AD untuk mendelegasikan hak administratif untuk mengelola direktori dan sumber daya yang dikontrolnya. | Microsoft Entra ID menyediakan peran bawaan dengan sistem kontrol akses berbasis peran (Microsoft Entra RBAC) Microsoft Entra, dengan dukungan terbatas untuk membuat peran kustom untuk mendelegasikan akses istimewa ke sistem identitas, aplikasi, dan sumber daya yang dikontrolnya. Mengelola peran dapat ditingkatkan dengan Privileged Identity Management (PIM) untuk menyediakan akses tepat waktu, dibatasi waktu, atau berbasis alur kerja ke peran istimewa. |
| Manajemen info masuk yang kuat | Info masuk dalam Active Directory didasarkan pada kata sandi, autentikasi sertifikat, dan autentikasi smartcard. Kata sandi dikelola menggunakan kebijakan kata sandi yang berbasis panjang kata sandi, kedaluwarsa, dan kompleksitas. | ID Microsoft Entra menggunakan perlindungan kata sandi cerdas untuk cloud dan lokal. Perlindungan mencakup penguncian cerdas ditambah pemblokiran frasa kata sandi umum dan khusus, dan subtitusi. Microsoft Entra ID secara signifikan meningkatkan keamanan melalui autentikasi Multifaktor dan teknologi tanpa kata sandi, seperti FIDO2. ID Microsoft Entra mengurangi biaya dukungan dengan menyediakan sistem pengaturan ulang kata sandi mandiri kepada pengguna. |
| Aplikasi | ||
| Aplikasi infrastruktur | Direktori Aktif membentuk dasar untuk berbagai komponen infrastruktur lokal, misalnya DNS, DHCP, IPSec, WiFi, NPS, dan akses VPN | Di dunia cloud baru, Microsoft Entra ID, adalah sarana kontrol baru untuk mengakses aplikasi versus mengandalkan kontrol jaringan. Saat pengguna mengautentikasi, Akses Bersyarat mengontrol pengguna mana yang memiliki akses ke aplikasi mana dalam kondisi yang diperlukan. |
| Aplikasi tradisional dan warisan | Sebagian besar aplikasi lokal menggunakan LDAP, Windows-Integrated Authentication (NTLM dan Kerberos), atau autentikasi berbasis Header untuk mengontrol akses ke pengguna. | Microsoft Entra ID dapat menyediakan akses ke jenis aplikasi lokal ini menggunakan agen proksi aplikasi Microsoft Entra yang berjalan secara lokal. Menggunakan metode ini Microsoft Entra ID dapat mengautentikasi pengguna Active Directory lokal menggunakan Kerberos saat Anda bermigrasi atau perlu hidup berdampingan dengan aplikasi lama. |
| Aplikasi SaaS | Direktori Aktif tidak mendukung aplikasi SaaS secara native dan memerlukan sistem federasi, seperti Layanan Federasi Direktori Aktif. | Aplikasi SaaS yang mendukung autentikasi OAuth2, SAML, dan WS-* dapat diintegrasikan untuk menggunakan ID Microsoft Entra untuk autentikasi. |
| Aplikasi lini bisnis (LOB) dengan autentikasi modern | Organisasi dapat menggunakan Layanan Federasi Direktori Aktif dengan Direktori Aktif untuk mendukung aplikasi LOB yang memerlukan autentikasi modern. | Aplikasi LOB yang memerlukan autentikasi modern dapat dikonfigurasi untuk menggunakan ID Microsoft Entra untuk autentikasi. |
| Layanan tingkat menengah/Daemon | Layanan yang berjalan di lingkungan lokal biasanya menggunakan akun layanan AD atau Akun Layanan Terkelola grup (gMSA) untuk dijalankan. Aplikasi ini kemudian akan mewarisi izin dari akun layanan. | Microsoft Entra ID menyediakan identitas terkelola untuk menjalankan beban kerja lain di cloud. Siklus hidup identitas ini dikelola oleh ID Microsoft Entra dan terkait dengan penyedia sumber daya dan tidak dapat digunakan untuk tujuan lain untuk mendapatkan akses backdoor. |
| Perangkat | ||
| Seluler | Direktori Aktif tidak secara native mendukung perangkat seluler tanpa solusi pihak ketiga. | Solusi manajemen perangkat seluler Microsoft, Microsoft Intune, terintegrasi dengan ID Microsoft Entra. Microsoft Intune menyediakan informasi status perangkat ke sistem identitas untuk dievaluasi selama autentikasi. |
| Desktop Windows | Direktori Aktif menyediakan kemampuan untuk bergabung ke domain dengan perangkat Windows untuk mengelola menggunakan Kebijakan Grup, Manajer Konfigurasi Pusat Sistem, atau solusi pihak ketiga lainnya. | Perangkat Windows dapat digabungkan ke ID Microsoft Entra. Akses Bersyar dapat memeriksa apakah perangkat Microsoft Entra digabungkan sebagai bagian dari proses autentikasi. Perangkat Windows juga dapat dikelola dengan Microsoft Intune. Dalam hal ini, Akses Bersyar, akan mempertimbangkan apakah perangkat mematuhi (misalnya, patch keamanan terbaru dan tanda tangan virus) sebelum mengizinkan akses ke aplikasi. |
| Server Windows | Direktori Aktif menyediakan kemampuan manajemen yang kuat untuk server Windows lokal, menggunakan Kebijakan Grup atau solusi manajemen lainnya. | Komputer virtual server Windows di Azure dapat dikelola dengan Microsoft Entra Domain Services. Identitas terkelola dapat digunakan ketika VM membutuhkan akses ke direktori atau sumber daya sistem identitas. |
| Beban kerja Linux/Unix | Direktori Aktif tidak secara native mendukung non-Windows tanpa solusi pihak ketiga, meskipun komputer Linux dapat dikonfigurasi untuk mengautentikasi dengan Direktori Aktif sebagai realm Kerberos. | VM Linux/Unix dapat menggunakan identitas terkelola untuk mengakses sistem identitas atau sumber daya. Beberapa organisasi, memigrasikan beban kerja ini ke teknologi kontainer cloud, yang juga dapat menggunakan identitas terkelola. |