比較 Active Directory Domain Services 與 Microsoft Entra ID
Active Directory Domain Services (AD DS) 是實體或虛擬伺服器上以 Windows 伺服器為基礎的 Active Directory 傳統部署。 Active Directory Domain Services (AD DS) 也包含 Active Directory 憑證服務 (AD CS)、Active Directory 輕量型目錄服務 (AD LS)、Active Directory 同盟服務 (AD FS),以及 Active Directory Rights Management Services (AD RMS)。
重要
雖然您可以在 Azure 虛擬機器中部署及管理 AD DS,但除非您的設定是以特別相依於 AD DS 的 IaaS 工作負載為目標,否則建議使用 Microsoft Entra ID。
使用 Microsoft Entra 而非 AD DS 時要考慮的事項
Microsoft Entra ID 類似於 AD DS,但有顯著的差異。 請務必了解使用 Microsoft Entra ID 進行設定不同於在 Azure 虛擬機器上部署 Active Directory 網域控制站,然後再將其新增至您的內部部署網域。
當規劃身分識別策略時,請考慮下列區分 Microsoft Entra ID 與 AD DS 的特性。
身分識別解決方案:AD DS 主要是目錄服務,而 Microsoft Entra ID 是完整的身分識別解決方案。 Microsoft Entra ID 是專為使用 HTTP 和 HTTPS 通訊的網際網路型應用程式所設計。 Microsoft Entra ID 的功能支援目標強式身分識別管理。
通訊協定:因為 Microsoft Entra ID 是以 HTTP/HTTPS 為基礎,所以不會使用 Kerberos 驗證。 Microsoft Entra ID 會實作 SAML、WS-同盟與 OpenID Connect 等 HTTP 及 HTTPS 通訊協定的驗證 (並使用 OAuth 進行授權)。
同盟服務:Microsoft Entra ID 包含同盟服務,以及許多第三方服務 (例如 Facebook)。
單層式結構:Microsoft Entra 使用者與群組以單層式結構建立。 Azure AD 沒有組織單位 (OU) 或群組原則物件 (GPO)。
受控服務:Microsoft Entra ID 是受控服務。 您只需管理使用者、群組和原則。 如果您使用 Azure 部署 AD DS 與虛擬機器,您可以管理許多其他工作,包括部署、設定、虛擬機器、修補和其他後端處理序。