什么是 Azure 活动目录？ Azure AD 与 Windows AD

COVID-19 大流行显着加速了 Microsoft 基于云的服务的采用。例如，Microsoft Teams 的每日用户数在一个月内激增 70%。同样，Office 365 生态系统的重要组成部分 Microsoft Azure AD (Azure Active Directory) 的采用率也有所提高。 Azure AD 通过分配单个用户名和密码来访问所有 Azure 服务，从而简化了用户登录管理。这对于拥有数千名员工的大型组织来说尤其有利，因为它消除了管理多个用户登录的麻烦。 Azure AD 还充当 Microsoft 基于云的身份和访问管理解决方案的支柱，并且可以与本地 Active Directory 环境同步。此外，它还通过 OAuth 为其他基于云的系统提供安全身份验证。

什么是 Azure 活动目录？

Azure Active Directory (AAD) 是一种基于云的目录服务，可为在多租户环境中运营的组织提供集中身份管理。借助 AAD，用户可以使用单点登录流程无缝访问各种服务。此外，AAD 还有助于员工的入职和持续管理，使他们能够从任何位置安全地访问服务。 AAD 的主要功能包括能够记录用户信息并定义对内部和外部资源的访问权限。它还提供增强的安全措施，因为 Active Directory 环境中的漏洞可能会在网络攻击中被利用。

AAD 与 Active Directory 不同，Active Directory 运行称为域控制器 (DC) 的本地服务器，其中包含授权用户和计算机的目录，并使用 Kerberos 或 NTLM 对它们进行身份验证。虽然 AAD 和 Active Directory 可以在混合环境中协同工作，但 AAD 是一个单独的解决方案，是 Microsoft Azure 公共云平台的一部分。

Windows 和 Azure AD 之间的区别

在 Windows Active Directory (AD) 和 Azure AD 之间进行选择时，决策取决于组织的现有基础架构和未来计划。对于完善的企业网络，Windows AD 仍然是管理本地基础设施的首选。另一方面，希望采用纯云方法的组织会发现 Azure AD 更适合其完整的基于云的基础设施。在管理和安全方面，Windows AD 和 Azure AD 都提供了相当水平的可配置性和安全性。然而，对于拥有超过 100 个用户的组织来说，这两个平台都需要专业知识才能进行有效管理。然而，Azure AD 由于其基于云的性质，为小型组织提供了简化的管理。资源有限的组织可能会发现 Azure AD 是一个更易于访问和管理的选项。

以下是 Windows AD 和 Azure AD 之间的一些最显着的差异：

功能：通讯

Windows Active Directory：使用轻量级目录访问协议 (LDAP) 进行客户端-服务器通信

Azure AD：利用 REST API 与 Web 应用程序进行通信

功能：身份验证

Windows Active Directory：通过 Kerberos 和 NTLM 协议验证用户凭据

Azure AD：使用 OAuth2、SAML 和 WS-Security 进行安全用户身份验证

特征：层次结构

Windows Active Directory：以包含林、域和组织单位的分层结构进行组织

Azure AD：“租户”内用户和组的分层组织

功能：访问管理

Windows Active Directory：向用户授予权限并将其分配给控制网络资源访问的组

Azure AD：组用于向应用程序和资源授予权限

功能：设备管理

Windows Active Directory：仅限于 Windows 桌面和服务器，不包括移动设备

Azure AD：与 Microsoft Intune 集成以管理移动设备

功能：桌面管理

Windows Active Directory：通过组策略 (GPO) 在 Windows 桌面上实施策略和设置

Azure AD：允许 Windows 桌面通过 Microsoft Intune 加入 Azure AD

功能：服务器管理

Windows Active Directory：使用组策略或本地服务器管理系统控制和管理服务器

Azure AD：通过 Azure AD 域服务管理 Azure 云中的服务器

Azure Active Directory 如何工作？

Azure Active Directory 使用 REST API 进行无缝数据传输。 Azure AD 在单个租户内的扁平结构提供了便利，但限制了对租户边界之外的数据的控制。

Azure AD 中的基本构建块是用户和组，可实现有组织的权限管理。可以添加内部和外部用户，增强安全性。添加用户和组的方法有多种，包括从 Windows AD 同步、手动创建、PowerShell 脚本编写和 Azure AD Graph API。

设置正确的身份验证和密码策略、最大程度地减少不必要的用户添加、限制特权访问、利用组进行资源分配以及将用户连接到其设备以进行有效的用户管理至关重要。此外，Azure AD 允许配置自定义域，从而减少用户的挫败感并提高品牌认知度。

On-Prem AD 和 Azure AD 如何协同工作？

混合 AD 环境将本地 Active Directory (AD) 与 Azure AD 相结合。 Microsoft 的 Azure AD Connect 将身份数据从本地 AD 同步到 Azure AD，使用户能够使用本地凭据对 SharePoint Online 和 Teams 等云资源进行身份验证。

IT专业人员主要通过本地AD管理用户、组和权限，AD自动同步到云端。这消除了单独的身份和权限管理的需要，从而最大限度地减少了潜在的错误。

除了与本地 AD 同步之外，混合 AD 环境还管理纯云对象和属性。其中包括外部用户的 B2B 和 B2C 用户帐户以及仅限云的属性，例如 Office 365 应用程序的“许可证类型”属性。保持这些仅限云的元素同步需要除本地工具之外的额外管理、安全、迁移和报告解决方案。

无法维持此同步可能会影响用户对 Office 365 应用程序的访问，因为删除用户对象后“许可证类型”属性可能会丢失。

Azure Active Directory 的优点和局限性

AAD 提供了众多优势，包括与多个身份提供商的无缝集成、与各种应用程序的兼容性以及强大的安全措施，例如多因素身份验证、条件访问和特权身份管理 (PAM)。它通过其分布式架构提供高可用性，确保一致的性能。

此外，AAD 还促进与业务合作伙伴和外部客户的协作。然而，AAD 有一定的局限性。它提供的 MFA 方法选择有限，并且缺乏对组策略的支持。

它还不支持 NTLM 或 Kerberos 身份验证协议，并且 OAuth 支持有限。此外，AAD 不允许创建自定义应用程序，并且对设备、位置和基于时间的访问策略有限制。

尽管存在这些限制，Azure Active Directory 仍然是身份和访问管理的强大工具，提供了许多增强安全性和可用性的优势。

Azure Active Directory 身份验证组件

Azure Active Directory 通过其两个主要组件在身份验证中发挥着关键作用：

• 服务提供商：Azure Active Directory 促进用户和身份提供商之间的通信。它承担管理身份验证过程并向用户返回身份验证令牌的责任。
• 身份提供商：Azure Active Directory 对用户的凭据进行身份验证，验证其身份。经过身份验证后，Azure Active Directory 会向服务提供商提供身份验证令牌，使用户能够访问所需的资源或应用程序。