מאמר זה יבחן פעילות היישום (AD), פעילות יישום של Azure (Azure AD), ויסביר איך הן שונות ויכולות להשלים זו את זו. נבצע גם השוואה בין פתרונות אלה של Microsoft לספקים אחרים רבים לזיהוי.
מאמר זה לא נועד להיות מקור בלתי נמנע ולא יספק הוראות שלב אחר שלב כיצד להטביע את השירותים אלה, אך פטרי מציגה מאמרים מעולים שמכסים נושאים אלה.
שרת Windows AD נגד Azure AD
I think it’s fair to start with the oldest of Microsoft’s current directory services siblings. Active Directory is Microsoft’s on-premises directory service, succeeding Windows NT Directory Services (NTDS), should you be old enough to remember it. NTDS was great at the time but had significant limitations regarding scalability, replication, administration, stability, etc.
פעילות היישום משמשת באופן נרחב על ידי רוב ארגוני הענק מאז השיקול שלה לשוק לפני שנתיים – נכנסה לייצור ב-15 בדצמבר 1999 והגיעה לזמינות כללית ב-17 בפברואר 2000.
המשתמשים שלך נהגים לשירותי פעילות היישום מבלי לדעת: הם פשוט מדליקים את המכשירים שלהם, מכניסים את שם המשתמש שלהם (בדרך כלל אך לא תמיד מאוחסן מראש) והסיסמה שלהם, וממשיכים עם פעילויותיהם העסקיות היומיומיות. פעילות היישום היא פשוטה, מהירה, בטוחה ומאובטחת אם כל ההגדרות מוגדרות ומתוחזקות כפי שאתה רוצה אותן.
A central identity provider
ה-DIY הפעיל כדי לשרת כספק הזהות המרכזי שלך, שרגיל להתרחש במספר יערות ותחומים, כאחד עם משתמשים ואחרים עם משאבים בלבד. הוא ניהול משתמשים ומחשבים (תחנות עבודה לקוח ושרתים) אך אינו ניהול מכשירים ניידים או טאבלטים באופן טבעי (iOS ו-Android) או אפליקציות Software-as-a-service (SaaS).
יש לארח את ה-DIY בעצמך, להגדיר אותו, לתחזק אותו, לטפל באבטחה, שיבוץ, גיבוי, זמינות גבוהה, גמישות וכו '. זה יכול להיות רק רשת של שני בקרי דומיין (DCs) או שיש לך יותר מ-100 DCs ברחבי המיקומים המשולבים עם DCs שקיבלו קריאה בלבד.
DCs שלך מריצים רק שירותים הקשורים לספרייה וגם DNS ואולי DHCP. זה תרגול טוב לא להפעיל יישומים אחרים עליהם כמו שרתי אינטרנט או מסדי נתונים, הן מנקודת מבצע ובעיקר מנקודת מבט בטחונית. זה גם עוזר לך בקביעת זמן השבתות לצורך הפעלת מחדש.
רישיון Active Directory
שונה מאחיו בענן, Active Directory אינו משתמש במודל רישוי מורכב. אתה מריש יישומי שלטי הדומיין שלך, שתמיד הם מכונת Windows Server ורצוי שתהיה עדכנית. כתזכורת, גרסת Windows Server 2022 יוצאת לשוק באוגוסט 2021.
כאשר מתנחל במרכזי נתוניך או בחדרי תקשורת האישיים שלך, אתה יכול לרכוש את הגרסה Datacenter של Windows Server המיועדת למרכזי נתונים וירטואליים, מאחר שהיא מאפשרת לך להפעיל מספר בלתי מוגבל של התקנות על חומרת הרישוי. וודא שאתה מבצע מחקר בנושא זה ומדבר עם המומחה ברישוי שלך, הרבים טועים ופוגעים בהסכם הרישוי בטעות.
מהו Azure Active Directory?
שירות זה של זיהוי מותג לעסקים של Azure Active Directory מספק התחברות יחידה (SSO), אימות מרובה גורמים (MFA), וגישה תנאיותית (CA) כמעט מתוך הארגז. בכנות, יש מעט עבודת הגדרה שיש לבצע (על ידי בעל ההשכרה או המנהל), אך זה הרבה פחות מורכב ותמים להשיג את השירותים הללו ב-Azure AD בהשוואה לאחסון שירותים אלה בעצמך.
משתמשייך יפעילו את המכשירים שלהם, שיכולים להיות בבעלות החברה ומנוהלים או מכשירים אישיים אם החברה שלך הקימה מדיניות של הבאת המכשיר האישי (BYOD). המשתמשים יצטרכו להזין את שמות המשתמשים והסיסמאות שלהם, במקווה שיתבקשו לאתגר MFA (אפילו אתגר SMS טוב מאין כלום), וכל מה שאתה מאשר להם להשתמש בו יהפוך להיות זמין עבורם.
עם SSO, הם יכולים להשתמש ביישום מאוחר בן מארח (של המשרד, כלכלה, ועוד), להתחבר להכשרה, והרבה מעבר לכך בלי להזינן את הרשימות שלהם בכל פעם. זה ישפר את היעילות, הבטיחות והסיפור המשתמש הזה. רק העובדה שלמשתמשיך שלכם לא צריכים לנהל מספר קבוצות של שמות משתמש וסיסמאות היא מצילה (קחו את זה מאדם חניכה בני-תקשורת).
A managed service
A major difference between Active Directory and Azure AD is that the latter is a managed service. You don’t set it up yourself and there are no servers to set up – there are some agents but they are optional to enable specific enhanced functionality. Microsoft hosts and manages it on your behalf.
Azure AD מוגדר באופן מקיף בין מספר שירותים לא מקומיים של מיקרוסופט כמו Office 365, ומעניק לך ישון מרכזי למשתמשים והמכשירים שלך. הוא גם מקל לשיתוף פעולה עם השכיחים אחרים ומשתמשים חיצוניים.
Azure AD מצליח במנהל מכשירי הסלולרי ואפליקציות SaaS. הוא מספק יישומים טובים וסדרונים עם רבים מהיישומים במגוון קטגוריות כמו ניהול עסקים, שיתוף פעולה, וכלכלה. הביטו בחלק של Azure Active Directory של הAzure Marketplace של מיקרוסופט עבור דוגמאות נוספות.
מיקרוסופט מציעה גרסה בחינם של Azure AD בשם Free, אך ישנן גם שלושה גרסאות נוספות בשמות Office 365 apps, Premium P1, ו־Premium P2, עם הבדלים שונים בתכולת התכונות והמחירים. בעצם, אתה מתחיל להשתמש בגרסת החינם של Azure AD כאשר נרשמים למספר שירותי הענן של מיקרוסופט כמו Azure, Office 365, Dynamics 365, Intune, ו־Power Platform.
לדוגמה, כמה זמן אתה כארגון מוקצה באיפוס הסיסמאות של המשתמשים שלך? התכונה לאיפוס סיסמה באמצעות שירות עצמי (SSPR) עשויה להיות מספיקה להצדיק את הרישיון הפרימיום למנהל הכספים שלך. כדאי להציץ במאמר של מיקרוסופט איך זה עובד: איפוס סיסמה באמצעות שירות עצמי של Azure AD למידע נוסף.
ודא שאתה מבין את תכונות הפרימיום כדי לקבוע האם אתה רוצה או זקוק אליהם ואם מחיר הפרימיום שווה לשלם עליו. אני לא מנסה למכור לך רשיונות של Microsoft, אך בהתחשב במצב האינטרנט עם דיווחים כמעט יומיים על ארגונים ראשיים שנפרצים (לעיתים רבות בהצלחה), לשלם על תכונות נוספות אלו יכול לשמור עליך בתפקיד שלך ועל החברה שלך בזירות המידע. בקר באתר
מחירי Microsoft ל־Active Directory ב־Azure (Azure AD) כדי לקבל סקירה של מחירי Azure AD, וניתן גם לבקר במאמר השוואתי P1 נגד P2: השוואת תכונות ל־Azure Active Directory Premium שלנו כדי ללמוד עוד על התכונות השונות.
שימוש משולב ב־Active Directory ו־Azure Active Directory
עכשיו שכיסינו את שני נושאים העיקריים ומבינים את ההבדלים בין Active Directory ו־Azure Active Directory, בוא נביט בצורה הכי יעילה להשתמש בהם ביחד.
חיבור Azure AD
כלי Azure AD Connect של Microsoft מאפשר לנו ליצור זהות היברידית על ידי סנכרון אובייקטים כמו משתמשים מ Active Directory במערכתית המקומית שלנו ל- Azure AD המבוססת ענן.
עם סנכרון גיליון סיסמאות (PHS), ארגון של Azure AD יסנכרן גם האש, של האש, של סיסמאת המשתמש שלכם), תאפשר גם אימות עבר מעבר (PTA), שירותי הפדרציה של Active Directory (AD FS), ועוד. ההגדרה יכולה להיות פשוטה מאוד עבור ארגון קטן ועשויה להיות מורכבת יותר עבור סביבה מורכבת יותר.
מיקרוסופט מתכננת לפרוש מגירה גרסאות 1.x של Azure AD Connect ב-31 באוגוסט 2022, וגרסאות עבריות 2.x מסוימות של כלי הסינכרון יצאו מתמידיות במרץ 2023. איזו גרסה של Azure AD Connect נתמכת כרגע תוכלו ללמוד על זה בפוסט נפרד שלנו.
שירותי קבלת זהות פעילים של Active Directory (AD FS)
AD FS היא שירות זהות SSO המאפשר לך לשתף את מידע הזהות שלך עם שותפים מחוץ לארגון שלך. AD FS משתמש באישורי גישה מבוססי תביעות.
למרות שAD FS עדיין בשימוש נרחב, במיוחד על ידי ארגונים בוגרים וגדולים יותר, מיקרוסופט בתחילת המאה מחשיבה אותו כשירות מוחלט. רק כדי להבהיר, מיקרוסופט עשוי לא לקרוא לזה מוחלט אבל המגמות האחרונות בהחלט תומכות בטענה זו.
AD FS דורש השקעה ניכרת ותכנון נכון במבנה מקומי, כמו גם הסתמכות מאוד משמעותית על שותפים חיצוניים שלך – אם הם משנים הגדרה (לטובה, לרעה או בלי סיבה), זה ישפיע על הסביבה שלך עד כדי שבורת דברים מיידית). ביצעתי שימוש מוצלח בAD FS פעמים רבות, אך כיום לא הייתי ממליץ עליו בקלות להתקנה חדשה או קיימת.
שירותי דומיין פעילים של Azure Active Directory (AADDS)
שירותי דומיין של Azure Active Directory (AADDS) הם התוספת האחרונה של מיקרוסופט למשפחת שירותי הדירוג שלה. AADDS הוא הצעה של מיקרוסופט לניהול ה Active Directory, המאחסנת באופן מלא בענן ה- Azure שלה.
אחד מהנקודות החזקות של AADDS הוא שהוא מאפשר לך להפעיל יישומים מקרות בענן שאינם יכולים להשתמש בשיטות אימות מודרניות. היישום הקלאסי של המשאבי אנוש שלך או היישום הכלכלי שעדיין חיוני, אהוב על ידי המשתמשים שמכירים אותו מהלב ומנסים להתנגד לשינוי, יקבל עוד שנתיים של שימוש בזמן שאתה מכין החלפה עבורו. אתה יכול להעביר את היישומים מקרות אלה מהסביבת השרתים שלך לתחום AADDS מנוהל מבלי לצריך לנהל את הדומיין בענן.
קיימות מספר מגבלות בהשוואה להפעלת ה Active Directory שלך: מדיניות קבוצה (GPOs) אינן מסונכרנות מהדומיין בשרתים שלך לדומיין הניהולי שלך. בסביבה מוכרת, זה יכול להיות בעיה די גדולה מאחר כי הרבה דברים יהיו מנוהלים על ידי GPOs.
אותו הדבר גם ליחידות הארגון שלך (OU), הן לא מועברות. תצפה ב־איך עצמים ופרטי הזיהוי מסונכרנים בדומיין שנמצא בניהול שירותי הדומיין הפעילים בזירת Azure של Microsoft למידע נוסף.
ספקי זהות מצד שלישי
דרישות האישיות שלך עשויות לדרוש ממך לשקול ספקי זהות נוספים מלבד Azure AD. ייתכן וכבר משתמש באחד מהם ומרוצה ממנו, או שאתה עשוי להעדיף שכבת אבטחה נוספת. תקימה היא גם תירוץ נפוץ להפריד את ספק הזהות משאר התשתיות שלך.
שימוש בספקים משמרים מידע שלישיים בשיתוף פעולה עם Azure AD גם מתקרב. כל ספקים המפותרים מפרסמים מדריך האינtegrציה ויש להם את הרצון לספק תמיכה בהגעתך, בעיקר בגלל שזה מאפשר להם לשמור על הלקוח הזה. חלק מהספקים הגדולים בתחום הזה כוללים Okta, PingIdentity, OneLogin, Auth0, ZScaler, וCyberArk.
סיכום
בתחום של שירותי מנהל מפת, מיקרוסופт מעניק פתרונות לרוב או לכל הסיטואציות האפשריות. סביבת הספק טהורה על מקום שפעם נהייתה נדירה עדיין תעבד בעלות ספק רק למערכת Active Directory.
ארגונים המתמקדים בענן ומשתמשים בעובדים מתפקדים, המאפשרים למשתמשים שלהם להתחבר באמצעות התקנים אישיים או בבעלות החברה ולגשת למשאבים המבוססים בפרימיסות ובענן, ישתמשו ב-Azure AD יותר טוב. עקב החשיפה, יידרשו גם השקעות נוספות בסייברבטיקה.
אין פתרון אחד שמתאים לכל הצרכים. התקנת מזהה היברידי בין Active Directory ל-Azure AD תהיה הבחירה הכי ברורה עבור רבים מהסביבות. בנוסף, לא יש להתעלם מ-AADDS של Microsoft ומספקי מזהה מתוך הצד השלישי.
מאמר קשור: