Этот статья рассмотрит Active Directory (AD), Azure Active Directory (Azure AD) и объяснит как они отличаются друг от друга и как могут дополнять друг друга. Мы также сравним эти решения Microsoft с некоторыми основными альтернативными поставщиками идентификаторов.
Эта статья не претендует на исчерпывающий исследовательский материал и не будет предоставлять пошаговые инструкции по развертыванию этих служб, но на Petri есть отличные статьи, посвященные этим темам.
Windows Server AD против Azure AD
I think it’s fair to start with the oldest of Microsoft’s current directory services siblings. Active Directory is Microsoft’s on-premises directory service, succeeding Windows NT Directory Services (NTDS), should you be old enough to remember it. NTDS was great at the time but had significant limitations regarding scalability, replication, administration, stability, etc.
Active Directory широко используется подавляющим большинством организаций с момента его выпуска более двух десятилетий назад – он был выпущен в производство 15 декабря 1999 года и стал общедоступным 17 февраля 2000 года.
Ваши пользователи привыкли использовать Active Directory, даже не зная об этом: они просто включают свои клиентские устройства, вводят свое имя пользователя (обычно, но не всегда, предварительно кэшированное) и пароль, и продолжают свою ежедневную деловую деятельность. Active Directory прост, быстр, безопасен и надежен, если все настроено и поддерживается так, как вам нужно.
A central identity provider
Active Directory обычно служит вашим центральным поставщиком удостоверений, часто охватывая несколько лесов и доменов, некоторые из которых содержат пользователей, а другие – только ресурсы. Он управляет вашими пользователями и компьютерами (рабочими станциями клиентов и серверами), но не управляет мобильными устройствами или планшетами (iOS и Android) или приложениями в качестве сервиса (SaaS) нативно.
Вам необходимо самостоятельно разместить Active Directory, настроить его, поддерживать, заботиться о безопасности, репликации, резервном копировании, высокой доступности, масштабируемости и т.д. Это может быть простая сеть с двумя контроллерами домена (DCs), или у вас может быть более 100 DCs в десятках местоположений в сочетании с контроллерами домена только для чтения.
Ваши DCs идеально должны запускать только сервисы, связанные с каталогом, а также DNS и, возможно, DHCP. Хорошей практикой является не запускать другие приложения на них, такие как веб- или базы данных серверов, как с точки зрения производительности, так и (особенно) безопасности. Это также помогает вам планировать время простоя для перезагрузок.
Лицензирование Active Directory
В отличие от своего облачного аналога, Active Directory не имеет сложной модели лицензирования. Вы лицензируете ваши контроллеры домена, всегда это машина с установленной Windows Server, и желательно последней версии. Напоминаю, что Windows Server версии 2022 был выпущен в августе 2021 года.
Если они размещены в ваших собственных центрах обработки данных или коммуникационных помещениях, вы можете приобрести единственное лицензионное издание Windows Server Datacenter, которое предназначено для виртуализированных центров обработки данных, так как позволяет запускать неограниченное количество экземпляров на лицензируемом оборудовании. Обязательно занимайтесь изучением этой темы и обратитесь к специалисту по лицензированию, многие ошибаются в этом и непреднамеренно нарушают свое лицензионное соглашение.
Что такое Azure Active Directory?
Azure Active Directory – это корпоративный сервис идентификации пользователей, который предоставляет однострочный вход (SSO), Многофакторную аутентификацию (MFA) и Условный доступ (CA) практически из коробки. Честно говоря, вам (владельцу или администратору арендатора) придется выполнить небольшую настройку, но гораздо проще и понятнее использовать эти сервисы в Azure AD по сравнению с самостоятельным хостингом.
Ваши пользователи включат свои устройства, которые могут быть как корпоративными, управляемыми устройствами, так и персональными, если ваша компания установила политику использования личных устройств (BYOD). Пользователям затем нужно будет ввести свои имена пользователей и пароли, надеюсь, что их попросят пройти через MFA-вызов (даже вызов по SMS лучше, чем ничего), и все, что вы разрешите им использовать, станет доступным для них.
С SSO они смогут использовать внешнее хостинговое приложение (HR, финансы и т. д.), получать доступ к обучению и многому другому, не вводя свои учетные данные каждый раз. Это повысит производительность, безопасность и удовлетворенность пользователей. Только тот факт, что ваши пользователи не должны управлять несколькими наборами имен пользователей и паролей, спасает им жизнь (поверьте этому измученному IT-специалисту).
A managed service
A major difference between Active Directory and Azure AD is that the latter is a managed service. You don’t set it up yourself and there are no servers to set up – there are some agents but they are optional to enable specific enhanced functionality. Microsoft hosts and manages it on your behalf.
Azure AD полностью интегрирован с рядом облачных сервисов Microsoft, таких как Office 365, предоставляя вам единую центральную директорию для ваших пользователей и устройств. Это также упрощает сотрудничество с другими арендаторами и внешними пользователями.
Azure AD отлично справляется с управлением мобильных устройств (поддерживаются iOS и Android) и SaaS-приложений. Он обеспечивает прекрасные и интегрированные взаимодействия с множеством приложений в различных категориях, таких как управление бизнесом, сотрудничество и финансы. Посмотрите на раздел Azure Active Directory в Azure Marketplace для получения дополнительных примеров.
Microsoft предлагает бесплатную версию Azure AD под названием Free, но также есть три дополнительных издания: Office 365 apps, Premium P1 и Premium P2, с различиями в функционале и ценах. Вы становитесь пользователем бесплатного уровня Azure AD, когда регистрируетесь на ряд облачных служб Microsoft, таких как Azure, Office 365, Dynamics 365, Intune и Power Platform.
Например, сколько времени ваша организация тратит на сброс паролей пользователей? Функция самообслуживания сброса пароля (SSPR) одна по себе может быть достаточной для обоснования премиум-лицензии вашему финансовому директору. Ознакомьтесь с Как это работает: самообслуживание сброса пароля Azure AD от Microsoft для получения дополнительных сведений.
Убедитесь, что вы внимательно ознакомитесь с премиальными функциями, чтобы определить, нужны они вам или нет, и стоит ли платить премиум-цену. Я не пытаюсь продать вам лицензии Microsoft, но учитывая состояние Интернета с почти ежедневными сообщениями о успешных взломах крупных организаций, дополнительные функции могут помочь вам сохранить свою работу и избежать попадания вашей компании в прессу.
Ознакомьтесь с сайтом ценообразования Azure Active Directory (Azure AD) от Microsoft, чтобы получить обзор цен на Azure AD, а также прочитайте нашу статью Сравнение функций Azure Active Directory Premium P1 и P2, чтобы узнать больше о различных функциях.
Использование Active Directory и Azure Active Directory вместе
Теперь, когда мы рассмотрели две основные темы и понимаем разницу между Active Directory и Azure Active Directory, давайте посмотрим, как лучше всего использовать их вместе.
Azure AD Connect
Microsoft Azure AD Connect позволяет создавать гибридную идентичность, синхронизируя объекты, такие как пользователи, из нашего локального каталога Active Directory с нашим облачным Azure AD.
С синхронизацией хеша пароля (PHS) Azure AD Connect также синхронизирует хеш, хеша пароля ваших пользователей), активирует прохождение аутентификации (PTA), службы федерации Active Directory (AD FS) и многое другое. Настройка может быть очень простой для небольшой организации и довольно сложной для более сложной среды.
Microsoft планирует вывести из эксплуатации версии 1.x Azure AD Connect 31 августа 2022 года, а некоторые более старые версии 2.x инструмента синхронизации также выйдут из поддержки в марте 2023 года. В нашей отдельной публикации вы можете узнать больше о какие версии Azure AD Connect в настоящее время поддерживаются.
Active Directory Federation Services (AD FS)
AD FS – это служба единого входа (SSO) для идентификации, которая позволяет делиться информацией об идентификации с партнерами за пределами вашей организации. AD FS использует аутентификацию контроля доступа на основе утверждений.
Хотя AD FS по-прежнему широко используется, особенно более зрелыми и крупными организациями, Microsoft в настоящее время считает его устаревшей службой. Для ясности, Microsoft может не называть его устаревшим, но недавние тенденции определенно подтверждают это утверждение.
AD FS требует значительных инвестиций и тщательного планирования инфраструктуры в локальной среде, а также очень сильной зависимости от ваших внешних партнеров – если они изменят настройки (по хорошему, плохому или без причины), это повлияет на вашу среду до такой степени, что сразу же сломает все). Я успешно использовал AD FS много раз, но сегодня я бы не рекомендовал его для новой или существующей установки без серьезного размышления.
Azure Active Directory Domain Services (AADDS)
Службы доменов Azure Active Directory (AADDS) – это самое новое дополнение к семейству служб каталогов Microsoft. AADDS – это управляемое предложение Microsoft по Active Directory, полностью размещенное в облаке Azure.
Одним из основных преимуществ AADDS является возможность запуска устаревших приложений в облаке, которые не могут использовать современные методы аутентификации. Ваше старое, но все еще критически важное приложение для управления персоналом или финансами, любимое вашими пользователями, которые знают его вдоль и поперек и делают все возможное, чтобы сопротивляться изменениям, получит еще пару лет использования, пока вы не подготовите его замену. Вы можете перенести эти устаревшие приложения из вашей собственной среды в управляемый домен AADDS без необходимости управлять доменом в облаке.
Существуют некоторые ограничения по сравнению с запуском собственного Active Directory: Групповые политики (GPO) не синхронизируются с вашего локального домена на управляемый домен. В установленной среде это может быть довольно проблематично, поскольку многие вещи обрабатываются через GPO.
То же самое происходит с вашими организационными единицами (ОУ), они также не передаются. Посмотрите на информацию Microsoft о synchronization of objects and credentials in an Azure Active Directory Domain Services managed domain для получения дополнительной информации.
Третьих сторонние провайдеры идентификации
Ваши индивидуальные требования могут требовать, чтобы вы рассмотрели другие провайдеры идентификации в дополнение к Azure AD. Возможно, уже используете один из них и довольны им, или можете предпочтить добавление дополнительного слоя безопасности. Also often a reason to separate your identity provider from the rest of your infrastructure.
Использование сторонних поставщиков идентификации в сочетании с Azure AD также работает. Все крупные поставщики публикуют руководства по интеграции и будут рады поддержать вас в развертывании, особенно учитывая, что им выгодно сохранить вас в качестве клиента. Некоторые из крупных поставщиков в этой области включают Okta, PingIdentity, OneLogin, Auth0, ZScaler и CyberArk.
Заключение
В области каталожных служб Microsoft обслуживает большинство, если не все возможные сценарии. Чисто локальная среда, которая становится все более редкой, все еще будет хорошо работать только с Active Directory.
Организации с облачной стратегией, имеющие распределенную рабочую силу, которые позволяют пользователям использовать личные или корпоративные устройства и доступать к on-prem и облачным базируемым ресурсам SaaS, лучше всего будут обслужены с помощью Azure AD. Благодаря этому важно увеличить инвестиции в cybersecurity.
Никакая из двух решений не полностью соответствует всем потребностям. Самый очевидный выбор для многих сред скорее всего будет гибридным решением управления идентичностью между Active Directory и Azure AD. И наконец, вы не должны игнорировать управляемые Microsoft AADDS и всеми третьими сторонами идентификационные провайдеры.
Связанная статья: