Microsoft Entra ID 是云的标识和访问管理解决方案的下一个演变。 Microsoft Windows 2000 中引入了 Active Directory 域服务,使组织能够使用每个用户的单个标识管理多个本地基础结构组件和系统。
Microsoft Entra ID 通过为组织提供跨云和本地的所有应用提供标识即服务(IDaaS)解决方案,从而将此方法提升到下一级别。
大多数 IT 管理员都熟悉 Active Directory 域服务概念。 下表概述了 Active Directory 概念与 Microsoft Entra ID 之间的差异和相似性。
| 概念 | Windows Server Active Directory | Microsoft Entra ID |
|---|---|---|
| Users | ||
| 预配:用户 | 组织手动创建内部用户或使用内部或自动化预配系统(如 Microsoft Identity Manager)与 HR 系统集成。 | 现有Microsoft Windows Server Active Directory 组织使用 Microsoft Entra Connect 将标识同步到云。 |
| 预配:外部标识 | 组织在专用的外部Microsoft Windows Server Active Directory 森林中手动创建外部用户,导致额外管理负担来处理外部身份(来宾用户)的生命周期。 | Microsoft Entra ID 提供了一类特殊的标识来支持外部标识。 Microsoft Entra B2B 将管理指向外部用户标识的链接,以确保它们有效。 |
| 权限管理和用户组 | 管理员使用户成为组成员。 然后,应用和资源所有者授予组对应用或资源的访问权限。 | Microsoft Entra ID 中也提供了组,管理员还可以使用组向资源授予权限。 在Microsoft Entra ID 中,管理员可以手动将成员身份分配给组,或使用查询动态将用户添加到组。
管理员可以在 Microsoft Entra ID 中使用 权利管理 ,以允许用户使用工作流访问应用和资源集合,并在必要时使用基于时间的条件。 |
| 管理员管理 | 组织将使用Microsoft Windows Server Active Directory 中的域、组织单位和组的组合来委托管理权限来管理其控制的目录和资源。 | Microsoft Entra ID 为其Microsoft Entra 基于角色的访问控制 (RBAC) 系统提供 内置角色 ,并有限地支持 创建自定义角色 来委托对标识系统、应用及其控制的资源的特权访问。 可以使用 Privileged Identity Management(PIM) 增强管理角色,以提供对特权角色的实时、时间限制或基于工作流的访问。 |
| 凭据管理 | Active Directory 中的凭据基于密码、证书身份验证和智能卡身份验证。 密码使用基于密码长度、过期和复杂性的密码策略进行管理。 | Microsoft Entra ID 对云和本地使用智能 密码保护 。 保护措施包括智能锁定机制,以及阻止常见和自定义的密码短语和替换方式。
Microsoft Entra ID 通过多重身份验证 和 无密码 技术显著提高安全性。 Microsoft Entra ID 通过为用户提供 自助密码重置 系统来降低支持成本。 |
| 应用 | ||
| 基础设施应用 | Active Directory 构成了许多基础结构本地组件的基础,例如 DNS、动态主机配置协议(DHCP)、Internet 协议安全性(IPSec)、WiFi、NPS 和 VPN 访问 | 在新的云环境中,Microsoft Entra ID 作为访问应用程序的新控制平面,相较于依赖网络控制,实现了更有效的访问管理。 当用户进行身份验证时, 条件访问 控制哪些用户有权访问所需条件下哪些应用。 |
| 使用新式身份验证的业务线(LOB)应用 | 组织可以将 AD FS 与 Active Directory 配合使用来支持需要新式身份验证的 LOB 应用。 | 需要新式身份验证的 LOB 应用可配置为使用 Microsoft Entra ID 进行身份验证。 |
| 中间层/守护程序服务 | 在本地环境中运行的服务通常使用Microsoft Windows Server Active Directory 服务帐户或组托管服务帐户(gMSA)运行。 然后,这些应用将继承服务帐户的权限。 | Microsoft Entra ID 提供 托管标识 ,用于在云中运行其他工作负荷。 这些标识的生命周期由 Microsoft Entra ID 管理,并绑定到资源提供程序,不能用于其他目的来获取后门访问权限。 |
| Devices | ||
| 手机 | 在没有第三方解决方案的情况下,Active Directory 本身不支持移动设备。 | Microsoft的移动设备管理解决方案Microsoft Intune 与 Microsoft Entra ID 集成。 Microsoft Intune 向标识系统提供设备状态信息,用于在身份验证期间进行评估。 |
| Windows 桌面 | Active Directory 提供将 Windows 设备加入域的功能,以使用组策略、System Center Configuration Manager 或其他第三方解决方案对其进行管理。 | Windows 设备可以 加入 Microsoft Entra ID。 条件访问可以检查设备是否已加入 Microsoft Entra,作为身份验证过程的一部分。 还可以使用 Microsoft Intune 管理 Windows 设备。 在这种情况下,条件访问会在允许访问应用之前考虑设备是否符合要求,例如,是否安装了最新的安全修补程序和拥有最新的病毒签名。 |
| Windows 服务器 | Active Directory 使用组策略或其他管理解决方案为本地 Windows 服务器提供强大的管理功能。 | 可以使用 Microsoft Entra 域服务来管理 Azure 中的 Windows 服务器虚拟机。 当 VM 需要访问标识系统目录或资源时,可以使用托管标识。 |
| Linux/Unix 工作负载 | 在没有第三方解决方案的情况下,Active Directory 本身不支持非 Windows,尽管可以将 Linux 计算机配置为使用 Active Directory 作为 Kerberos 领域进行身份验证。 | Linux/Unix VM 可以使用 托管标识 来访问标识系统或资源。 某些组织将这些工作负载迁移到云容器技术,这些技术也可以使用托管标识。 |