Microsoft Entra ID是云的标识和访问管理解决方案的下一个演变。 Microsoft在 2000 Windows 中引入了Active Directory 域服务,使组织能够使用每个用户的单个标识管理多个本地基础结构组件和系统。
Microsoft Entra ID为组织提供跨云和本地的所有应用的标识即服务(IDaaS)解决方案,从而将此方法提升到下一级别。
大多数 IT 管理员都熟悉Active Directory 域服务概念。 下表概述了Active Directory概念与Microsoft Entra ID之间的差异和相似之处。
| 概念 | Windows Server Active Directory | Microsoft Entra ID |
|---|---|---|
| Users | ||
| 预配:用户 | 组织手动创建内部用户或使用内部或自动化预配系统(例如Microsoft Identity Manager)与 HR 系统集成。 | 现有Microsoft Windows Server Active Directory组织使用 Microsoft Entra Connect 将标识同步到云。
Microsoft Entra ID添加了从云人力资源系统自动创建用户的支持。 Microsoft Entra ID可以在支持跨域标识管理(SCIM)的软件即服务(SaaS)应用中预配标识,以自动为应用提供允许用户访问所需的详细信息。 |
| 预配:外部标识 | 组织在专用的外部Microsoft Windows Server Active Directory林中手动创建来宾用户,从而带来管理外部身份生命周期的开销。 | Microsoft Entra ID提供特殊的标识类来支持外部标识。 Microsoft Entra B2B将管理指向外部用户标识的链接,以确保它们有效。 |
| 权限管理和用户组 | 管理员使用户成为组成员。 然后,应用和资源所有者授予组对应用或资源的访问权限。 |
Groups也可用于Microsoft Entra ID,管理员还可以使用组向资源授予权限。 在Microsoft Entra ID中,管理员可以手动将成员身份分配给组,或使用查询动态将用户添加到组。
管理员可以在 Microsoft Entra ID 中使用 权限管理,以便用户借助工作流访问一系列应用和资源,并在必要时根据时间条件管理访问。 |
| 管理员管理 | 组织将使用Microsoft Windows Server Active Directory中的域、组织单位和组的组合来委托管理权限来管理其控制的目录和资源。 | Microsoft Entra ID 提供内置角色及其 Microsoft Entra 基于角色的访问控制 (RBAC) 系统,并对创建自定义角色的支持有限,以委派标识系统、应用程序及其控制的资源的特权访问权限。角色的管理可以通过特权标识管理 (PIM) 增强,以提供即时、时间限制或基于工作流的特权角色访问。 |
| 凭据管理 | Active Directory中的凭据基于密码、证书身份验证和智能卡身份验证。 密码使用基于密码长度、过期和复杂性的密码策略进行管理。 | Microsoft Entra ID对云和本地使用智能 password 保护。 保护措施包括智能锁定机制,以及阻止常见和自定义的密码短语和替换方式。
Microsoft Entra ID显著提高了安全性,通过多因素身份验证技术。 Microsoft Entra ID通过为用户提供自助服务密码重置系统来降低支持成本。 |
| 应用 | ||
| 基础设施应用 | Active Directory构成了许多基础结构本地组件的基础,例如 DNS、动态主机配置协议(DHCP)、Internet 协议安全性(IPSec)、WiFi、NPS 和 VPN 访问 | 在新云世界中,Microsoft Entra ID是用于访问应用的新控制平面,而不是依赖于网络控制。 当用户进行身份验证时, 条件访问 控制哪些用户有权访问所需条件下哪些应用。 |
| 传统应用和旧式应用 | 大多数本地应用使用 LDAP、Windows集成身份验证(NTLM 和 Kerberos)或基于标头的身份验证来控制对用户的访问。 | Microsoft Entra ID可以使用本地运行的 Microsoft Entra 应用程序代理代理来访问这些类型的本地应用。 使用此方法Microsoft Entra ID可以在迁移或需要与旧版应用共存时使用 Kerberos 在本地Active Directory用户进行身份验证。 |
| SaaS 应用程序 | Active Directory 并不原生支持 SaaS 应用,需要使用联合身份验证系统,例如 AD FS。 | 可以集成支持 OAuth2、安全断言标记语言(SAML)和 WS-* 身份验证的 SaaS 应用,以使用Microsoft Entra ID进行身份验证。 |
| 使用新式身份验证的业务线(LOB)应用 | 组织可以将 AD FS 与Active Directory配合使用来支持需要新式身份验证的 LOB 应用。 | 需要新式身份验证的 LOB 应用可配置为使用Microsoft Entra ID进行身份验证。 |
| 中间层/守护程序服务 | 在本地环境中运行的服务通常使用Microsoft Windows Server Active Directory服务帐户或组托管服务帐户(gMSA)运行。 然后,这些应用将继承服务帐户的权限。 | Microsoft Entra ID提供托管标识来运行云中的其他工作负荷。 这些标识的生命周期由Microsoft Entra ID管理,并绑定到资源提供程序,不能用于其他目的来获取后门访问权限。 |
| Devices | ||
| 手机 | 在没有第三方解决方案的情况下,Active Directory本身不支持移动设备。 | Microsoft的移动设备管理解决方案Microsoft Intune与Microsoft Entra ID集成。 Microsoft Intune向标识系统提供设备状态信息,以在身份验证期间进行评估。 |
| Windows桌面 | Active Directory提供将Windows设备域加入的功能,以便使用组策略、System Center Configuration Manager或其他第三方解决方案来管理这些设备。 | Windows 设备可以加入 Microsoft Entra ID。 条件访问可以检查设备在身份验证过程中是否已加入Microsoft Entra。 也可以使用 Microsoft Intune 管理Windows设备。 在这种情况下,条件访问会在允许访问应用之前考虑设备是否符合要求,例如,是否安装了最新的安全修补程序和拥有最新的病毒签名。 |
| Windows服务器 | Active Directory使用组策略或其他管理解决方案为本地Windows服务器提供强大的管理功能。 | 可以使用 Microsoft Entra 域服务 管理Azure中的Windows服务器虚拟机。 当 VM 需要访问标识系统目录或资源时,可以使用托管标识。 |
| Linux/Unix 工作负载 | 在没有第三方解决方案的情况下,Active Directory本身不支持非Windows,尽管可以将 Linux 计算机配置为使用 Active Directory 作为 Kerberos 领域进行身份验证。 | Linux/Unix VM 可以使用 托管标识 来访问标识系统或资源。 某些组织将这些工作负载迁移到云容器技术,这些技术也可以使用托管标识。 |