Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Идентификатор Microsoft Entra — это следующая эволюция решений по управлению удостоверениями и доступом для облака. Корпорация Майкрософт представила доменные службы Active Directory в Windows 2000, чтобы организации смогли управлять несколькими локальными компонентами и системами инфраструктуры с помощью одного удостоверения для каждого пользователя.
Идентификатор Microsoft Entra принимает этот подход к следующему уровню, предоставляя организациям решение identity as a Service (IDaaS) для всех своих приложений в облаке и локальной среде.
Большинство ИТ-администраторов знакомы с концепциями доменных служб Active Directory. В следующей таблице описаны различия и сходство между понятиями Active Directory и идентификатором Microsoft Entra.
| Понятие | Windows Server Active Directory | Майкрософт Ентра айди |
|---|---|---|
| Пользователи | ||
| Настройка пользователей | Организации создают внутренних пользователей вручную или используют встроенную или автоматическую систему подготовки, например Microsoft Identity Manager, для интеграции с системой управления персоналом. | Существующие организации Microsoft Windows Server Active Directory используют Microsoft Entra Connect для синхронизации удостоверений с облаком.
Идентификатор Microsoft Entra добавляет поддержку для автоматического создания пользователей из облачных систем управления персоналом. Идентификатор Microsoft Entra может подготавливать удостоверения в программных приложениях как услуга (SaaS), которые поддерживают управление междоменных удостоверений (SCIM), чтобы автоматически предоставлять приложениям необходимые данные для обеспечения доступа пользователей. |
| Подготовка: внешние удостоверения | Организации создают внешних пользователей вручную в качестве обычных пользователей в выделенном внешнем лесу Microsoft Windows Server Active Directory, что приводит к дополнительной нагрузке на администрирование для управления жизненным циклом внешних идентификаций (гостевых пользователей) | Идентификатор Microsoft Entra предоставляет специальный класс удостоверений для поддержки внешних идентичностей. Microsoft Entra B2B будет управлять ссылкой на внешнее удостоверение пользователя, чтобы убедиться, что они действительны. |
| Управление правами и группы | Администраторы делают пользователей членами групп. Владельцы приложений и ресурсов затем предоставляют группам доступ к приложениям или ресурсам. |
Группы также доступны в идентификаторе Microsoft Entra, а администраторы также могут использовать группы для предоставления разрешений ресурсам. В идентификаторе Microsoft Entra администраторы могут назначать членство группам вручную или использовать запрос для динамического включения пользователей в группу.
Администраторы могут использовать управление правами в идентификаторе Microsoft Entra, чтобы предоставить пользователям доступ к коллекции приложений и ресурсов с помощью рабочих процессов и при необходимости условий на основе времени. |
| Административное управление | Организации будут использовать сочетание доменов, организационных подразделений и групп в Microsoft Windows Server Active Directory для делегирования прав администратора для управления каталогом и ресурсами, которыми он управляет. | Идентификатор Microsoft Entra предоставляет встроенные роли через систему управления доступом на основе ролей (RBAC) Microsoft Entra с ограниченной поддержкой создания собственных ролей для делегирования привилегированного доступа к системе идентификации, приложениям и управляемым ресурсам. Управление ролями можно улучшить с помощью управления привилегированными удостоверениями (PIM), чтобы обеспечивать доступ по требованию, с временными ограничениями или предоставлять доступ на основе рабочего процесса к привилегированным ролям. |
| Управление учетными данными | Учетные данные в Active Directory основаны на паролях, проверке подлинности сертификата и проверке подлинности смарт-карт. Пароли управляются с помощью политик паролей, основанных на длине пароля, истечении срока действия и сложности. | Идентификатор Microsoft Entra использует интеллектуальную защиту паролей для облака и локальной среды. Защита включает смарт-блокировку, а также блокирует распространенные и пользовательские фразы паролей и замены.
Идентификатор Microsoft Entra значительно повышает безопасность с помощью многофакторной проверки подлинности и технологий без пароля , таких как FIDO2. Идентификатор Microsoft Entra снижает затраты на поддержку, предоставляя пользователям систему самостоятельного сброса пароля . |
| Приложения | ||
| Приложения инфраструктуры | Active Directory формирует основу для многих локальных компонентов инфраструктуры, например DNS, протокола конфигурации динамических узлов (DHCP), безопасности протокола Интернета (IPSec), Wi-Fi, NPS и VPN-доступа | В новом облачном мире Microsoft Entra ID является новой плоскостью управления для доступа к приложениям вместо использования традиционных сетевых элементов управления. Во время аутентификации условный доступ контролирует, какие пользователи имеют доступ к каким приложениям при необходимых условиях. |
| Традиционные и устаревшие приложения | Большинство локальных приложений используют ПРОТОКОЛ LDAP, Windows-Integrated аутентификацию (NTLM и Kerberos) или проверку подлинности на основе заголовков для управления доступом пользователей. | Идентификатор Microsoft Entra может предоставить доступ к этим типам локальных приложений с помощью агентов прокси приложения Microsoft Entra , работающих локально. С помощью этого метода Идентификатор Microsoft Entra может выполнять проверку подлинности пользователей Active Directory в локальной среде с помощью Kerberos во время миграции или необходимости совместного использования устаревших приложений. |
| Приложения SaaS | Active Directory не поддерживает приложения SaaS в собственном коде и требует системы федерации, например AD FS. | Приложения SaaS, поддерживающие OAuth2, язык разметки утверждений безопасности (SAML) и проверку подлинности WS-* можно интегрировать для использования идентификатора Microsoft Entra для проверки подлинности. |
| Бизнес-приложения с современной проверкой подлинности | Организации могут использовать AD FS с Active Directory для поддержки современных бизнес-приложений, требующих проверки подлинности. | Бизнес-приложения, требующие современной проверки подлинности, можно настроить для использования идентификатора Microsoft Entra для проверки подлинности. |
| Службы среднего уровня/демона | Службы, работающие в локальных средах, обычно используют учетные записи службы Microsoft Windows Server Active Directory или группы управляемых учетных записей служб (gMSA) для запуска. Затем эти приложения наследуют разрешения учетной записи службы. | Идентификатор Microsoft Entra предоставляет управляемые удостоверения для выполнения других рабочих нагрузок в облаке. Жизненный цикл этих удостоверений управляется Microsoft Entra ID и связан с поставщиком ресурсов, и их нельзя использовать для других целей, чтобы получить несанкционированный доступ. |
| Устройства | ||
| мобильное устройство | Active Directory не поддерживает мобильные устройства без сторонних решений. | Решение по управлению мобильными устройствами Майкрософт, Microsoft Intune, интегрировано с идентификатором Microsoft Entra. Microsoft Intune предоставляет сведения о состоянии устройства системе удостоверений для оценки во время проверки подлинности. |
| Настольные компьютеры Windows | Active Directory предоставляет возможность присоединения устройств Windows к домену для управления ими с помощью групповой политики, System Center Configuration Manager или других сторонних решений. | Устройства Windows можно присоединить к идентификатору Microsoft Entra. Условный доступ может проверить, присоединено ли устройство к Microsoft Entra в рамках процесса проверки подлинности. Устройства Windows также можно управлять с помощью Microsoft Intune. В этом случае Условный Доступ будет учитывать, соответствует ли устройство (например, дата установки up-toисправлений безопасности и сигнатур вирусов) перед разрешением доступа к приложениям. |
| Серверы Windows | Active Directory предоставляет надежные возможности управления для локальных серверов Windows с помощью групповой политики или других решений по управлению. | Виртуальные машины windows server в Azure можно управлять с помощью доменных служб Microsoft Entra. Управляемые удостоверения можно использовать, если виртуальные машины нуждаются в доступе к каталогу системы удостоверений или ресурсам. |
| Рабочие нагрузки Linux и Unix | Active Directory изначально не поддерживает не Windows без сторонних решений, хотя компьютеры Linux можно настроить для проверки подлинности с помощью Active Directory в домене Kerberos. | Виртуальные машины Linux и Unix могут использовать управляемые удостоверения для доступа к системе удостоверений или ресурсам. Некоторые организации переносят эти рабочие нагрузки в технологии облачных контейнеров, которые также могут использовать управляемые удостоверения. |