Active Directory 的替代方案:Azure AD 可以替代嗎?
許多企業正在遷移到雲中,這是有充分理由的。雲基礎設施和應用程序可以使企業更加敏捷、更具成本效益和高效。
雲可以減少甚至消除對服務器的需求。然而,仍有一些業務功能保持了對服務器的需求。
主要情況之一是需要目錄服務,對於本地網絡來說,目錄服務通過 Active Directory 提供。Active Directory 需要服務器,除非組織使用 Azure Active Directory。
正在尋找 Active Directory 替代方案的組織通常會直接關注 Azure AD。
Active Directory 和 Azure AD 是兩個截然不同的平台,用途也截然不同。隨著組織尋求遷移到雲,有一個從傳統 Active Directory 到 Azure AD 的橋樑作為完全替代品。
但我們如何到達那裡呢?中央身份管理如何影響無服務器?
在這篇文章中,我們將探討企業如何從服務器上的 Active Directory 導航到 Azure AD。在某些情況下,這是不可能的,我們也會對此進行探討。
什麼是目錄服務?
目錄服務將用戶和設備映射到網絡中適當的地址。
本質上,它是網絡的數據庫,但它不僅僅是人員和電話號碼,還包括文件、文件夾、組、外圍設備等。
Active Directory 等目錄服務將所有信息以及每條信息或對象的唯一標識符存儲在單個網絡中。
通過存儲此信息,AD 可用於確定每個對象的訪問權限,定義每個其他用戶或設備可以訪問哪些信息。這些類型的功能是“目錄服務”中的服務的示例。
目錄服務為其組織提供了中央數據庫和管理系統的管理員。
用戶的生活變得更加輕鬆,他們與完成工作所需的一切和每個人都相互聯繫。對於可以加強網絡安全的組織來說,事情變得更加安全。
數據庫和服務器功能通過網絡上的服務器(稱為“域控制器”)進行處理。
Active Directory 為域控制器提供了便利,這是理解 AD 和 Azure AD 之間差異的第一步。
什麼是訪問控制?
訪問控制是條件訪問策略的管理- “如果,那麼”語句控制哪些用戶和設備有權訪問哪些數據。
例如,誰應該有權訪問組織的工資數據?人力資源?金融?最高管理層?如果您選擇,條件訪問策略將僅允許這些用戶進入您的工資文件夾。
這些控制措施可以為組織中任意數量的人員或資源實施,以創建盡可能安全的環境。
什麼是組策略?
組策略允許管理員將用戶組織到組中,例如上面列出的那些部門,並根據該詳細信息確定訪問權限。
無需逐個用戶分配訪問權限,只需單擊一下即可將用戶添加到類似工作職能的組中,從而提供相同級別的訪問權限。
管理員還可以根據其他詳細信息(例如設備或位置)確定組策略。
為什麼需要目錄服務?
目錄服務都是關於設備上的人或“用戶”。在任何組織中,這些人都需要訪問應用程序和數據。
這就是中央身份管理(一種目錄服務)發揮作用的地方。
目錄服務允許將訪問控制納入組策略中。這減少了未來出現人為錯誤的可能性,並將關鍵日期與中央身份管理聯繫起來。
如果沒有集中身份管理,就會出現兩個主要問題:用戶和密碼碎片化,以及離任和入職效率低下。
密碼碎片
想想您日常生活中擁有的所有密碼。您可能有一個用於您的電子郵件、您的銀行帳戶、您的抵押貸款、您的社交媒體網站,以及……您明白了。
同樣的事情也發生在工作中。用戶擁有其計算機本身、電子郵件、任何協作工具、任何其他應用程序(如 ERP 等)的密碼。
然而,組織內部的碎片化不僅令人煩惱,還帶來嚴重的風險。
當員工需要記住太多密碼時,他們就會開始依賴較弱的密碼。弱密碼只會隨著時間的推移而變得更弱,特別是如果您遵循安全最佳實踐並強制每 60 天更改一次密碼。
更重要的是,如果不集中管理身份,組織也會開始分割其 多重身份驗證 (MFA) 密鑰。如果沒有中央身份管理,不支持 MFA 的應用程序將毫無防備。
即使某些平台具有 MFA,但缺乏與設備的直接連接,而無需購買其他身份管理服務。這會讓您受到提供 MFA 的供應商的擺佈,無法保護其設備免受身份驗證。
沒有 MFA 的公司很容易遭受數據洩露,尤其是當碎片化促使用戶集體放鬆警惕時。
如果沒有中央身份管理平台,組織就必須增加支出以避免碎片化和犧牲安全性。
入職/離職效率低下
除了密碼之外,應用程序的碎片化也會浪費新員工的一整天時間。這也會讓他們感到沮喪並導致糟糕的第一印象。
相反,缺乏中央身份管理可能會導致離職失誤,導致離職員工被遺忘。如果沒有適當的離職,組織可能會為許可證浪費或專用於離職員工的未使用許可證付出代價。
分散的業務應用程序可能會導致運營效率低下,例如影子 IT。這是在內部 IT 不知情的情況下使用應用程序的情況,可能會繞過所有安全策略。
當組織構建需要額外工具來執行功能的系統時,應始終指定管理員。
關鍵業務線應用程序和數據的管理員應該始終是 IT,如果沒有適當的身份管理,這一稱號就會被忽視。
業務應用程序以及身份和設備管理平台具有太多的安全設置。如果組織認真對待設置安全策略,則需要有人掌握所有這些設置。
如果該安全策略要求每 60 天更改一次密碼,那麼應用程序、用戶名和密碼的碎片意味著您必須每 60 天更改 每個應用程序的密碼。
最後,組織必須記住,這些應用程序供應商很容易受到自己的網絡安全漏洞的影響。
由於用戶和密碼分佈在許多不同的應用程序中,這意味著您負責監控這些供應商。您希望負責多少封自動網絡安全回復電子郵件?
如果供應商遭到破壞,他們要么會強迫每個用戶自行更改密碼,要么您的管理員必須強制執行。如果沒有管理員,您可能永遠不會聽說違規事件。
如果沒有中央身份管理和目錄服務,任何人都無法負責安全。您希望您的組織成為狂野西部嗎?
什麼是域控制器?
域控制器是用於處理域身份驗證請求的獨立服務器。
域本身是互聯網上某個位置的管理結構,就像將文本字符串映射到 IP 地址的標識符。
域控制器是處理這些請求的硬件,根據應用的安全策略允許或拒絕訪問。它還將存儲的數據庫複製到網絡中的其他域控制器。
Active Directory 等身份管理軟件是將安全策略應用到域控制器的方式。
一台域控制器服務器在技術上可以有效運行,儘管它們通常由其他服務器支持以確保可靠性。
什麼是活動目錄?
Active Directory 是 Microsoft 用於 Windows 網絡的目錄服務,在 Windows Server 上運行。
它用於利用域控制器對網絡內的用戶和計算機進行身份驗證和授權,將用戶與目標資源進行映射。
所提供的域服務允許管理員設置和實施安全策略,例如條件訪問和組策略。它還可以用於管理軟件。
什麼是 Azure Active Directory (Azure AD)?
Azure Active Directory(通常稱為 Azure AD)是 Microsoft 用於雲應用程序的 Active Directory 版本。
然而,Azure AD 不僅僅是“Active Directory,而是針對雲的”。這兩個平台及其功能之間存在一些差異。
雖然傳統 AD 和 Azure AD 在管理用戶方面相似,但 Azure AD 缺乏保護組織所需的身份驗證協議。
什麼是 Active Directory 域服務?
Active Directory 域服務 (AD DS) 將用戶和對象組織到 Active Directory 上的層次結構中。這允許管理員連接和管理對象的層次結構。
更簡單地說,AD DS 獲取 AD 中的數據,並使管理員更容易訪問這些數據。
AD DS 利用域控制器來執行身份驗證請求,而 Azure Active Directory 域服務 (AADDS) 就像與 Azure AD 集成的 SaaS 域控制器。
什麼是移動設備管理 (MDM)?
在最基本的層面上,移動設備管理 (MDM)是一個有助於將組織的硬件群保持在公司政策範圍內的概念。
使用正確的軟件,MDM 可以保持移動設備的更新和安全。
理想情況下,MDM 與 Active Directory 和/或 Azure AD 配合使用,可以最準確地映射用戶和設備,並將它們與各種策略連接起來。MDM 為管理員提供了更簡化的管理控制台來執行此操作。
Active Directory with MDM 配置設備對某些本地資源的訪問,而 Azure AD with MDM 配置對雲中資源和應用程序的訪問。
此外,通過將 MDM 解決方案與 Active Directory/Azure AD 配對,管理員可以查看每個設備的合規性級別。
MDM 還簡化了組織內設備的採購、部署、跟踪和報告。
什麼是微軟 Intune?
Microsoft Intune是 Microsoft 專有的 MDM 平台,但它還與除 Windows 之外的許多操作系統兼容。
Intune 是 Microsoft Endpoint Manager 的一半,另一半是 Microsoft Endpoint Configuration Manager。
Endpoint Configuration Manager 專注於本地設備,而 Intune 旨在管理移動設備,包括筆記本電腦。
除此之外,兩者實際上是相同的,Intune 具有面向移動設備的額外功能。
Active Directory 的替代方案:Azure AD 可以替代它嗎?
簡單地說,不。Azure AD 無法完全取代 Active Directory。
特定於雲的 Azure AD 可以適用於零本地基礎設施的組織,但不會失去安全性。僅在 Azure AD 上運行還包括許多額外的步驟。
最值得注意的是,Azure AD 不像 Active Directory 那樣與域控制器交互,它也不僅僅是託管在雲中的目錄。
Active Directory 用於管理用戶,而 Azure AD 則管理用戶對雲應用程序的訪問。
由於 Azure AD 旨在管理 Azure 和 Microsoft 365 上的用戶和設備,因此它不會管理嘗試訪問云外部資源或應用程序的用戶和設備。
以共享硬盤為例。Azure AD 依賴 Active Directory 來記錄這些對象。
在這種情況下,用戶使用 AD 上的憑據在網絡上對自己進行身份驗證。他們需要此網絡訪問權限才能使用 Azure AD 在 Microsoft 365 上對自己進行身份驗證,除非企業完全通過 Microsoft 365 運營。
儘管可以使用名為 Azure AD Connect 的軟件將兩組憑據融合在一起,但它們並未綁定在一起。
由於並非所有應用程序或資源都可以在雲中復制,特別是通過 Microsoft 365,因此許多組織無法獨立於本地網絡運行。
如果組織堅持僅通過 Azure AD 運行,他們將需要運行自己的虛擬機來託管無法通過雲和域控制器中的軟件即服務 (SaaS) 提供的任何應用程序天藍色。
如果用於運行應用程序的虛擬機需要加入組織的域,則需要通過 Azure 運行域控制器,或使用 Azure AD 的域服務。
否則,Azure AD 不包含組策略。這些策略基於在傳統 Active Directory 中列為對象的用戶和設備。
Azure AD 還缺乏對許多保證數據安全的身份驗證協議的支持。Azure AD 無法識別 LDAP 等常見身份驗證協議。
管理非 Microsoft 設備時,事情開始變得更加複雜。考慮到移動設備的市場份額明顯有利於非 Microsoft 設備,Azure AD 需要 Active Directory 的支持。
在某些情況下,可以用 Azure AD 替換 Active Directory,但由於 Azure AD 中缺乏身份驗證協議,這永遠不是理想的選擇。這樣做需要在安全性方面做出一些讓步,並且最終需要做大量的額外工作。
現實生活中的問題
放棄服務器並轉向僅 Azure AD 設置的可能性可能很誘人。如前所述,許多組織都願意這樣做。
最壞的情況是放棄您的服務器卻發現您仍然需要或想要它們。以下是您可能需要本地 LDAP 服務器和 Active Directory 的幾種情況。
企業無線網絡
對於某些組織來說,企業 Wi-Fi 解決方案可以創造奇蹟。企業 Wi-Fi 具有更快的速度、更好的覆蓋範圍和更好的安全性,使本地團隊能夠盡可能提高工作效率。
然而,企業需要設備向服務器進行身份驗證才能訪問互聯網,因此無法通過互聯網登錄互聯網。
據我們所知,Azure AD 身份驗證僅確定對基於雲的資源的訪問,這不能用作本地 Wi-Fi 的域控制器。
企業 Wi-Fi 解決方案需要網絡策略服務器 (NPS) 進行連接身份驗證。
大規模文件編輯
在 Google Docs 中處理文檔是一回事,而媒體公司實時編輯大量超高清視頻則是另一回事。
對於這些公司來說,一天上傳和下載數 TB 的數據是現實的,如果沒有本地服務器,那么生產就會陷入停滯。
對快速文件共享的需求意味著這些團隊需要本地身份驗證和文件訪問,這可以通過本地服務器和目錄服務來實現。
結論
除了完全基於雲的操作之外,沒有真正的方法可以用 Azure AD 替換 Active Directory,因為 Azure AD 在很大程度上依賴於 Active Directory。
Active Directory 創建了組織域的基礎,使 Azure AD 能夠有效地對雲中的用戶進行身份驗證。
對於在雲之外擁有任何資源的組織,Azure AD 的身份管理將無法完全對用戶進行授權或身份驗證。
對於可以完全在雲中運行的組織來說,Azure AD 在增加一些頭痛的同時仍然犧牲了一些安全性。
Azure AD 與非 Windows 設備配對的能力還存在進一步的限制。
Azure AD 並不遜色於 Active Directory,而是作為完全不同的平台存在。它們的用途不同,因此很難真正比較。
然而,與 Azure AD Connect 一起,Active Directory 和 Azure AD 可以結合起來,為本地和雲中的所有用戶和設備創建一個高度受保護的環境。
最佳身份管理的路徑可能會令人困惑。無論您是在尋找本地域、純雲域還是混合域,IT 支持人員都可以提供幫助。
如果您在優化 Active Directory 和/或 Azure AD 方面需要專家幫助,請立即與我們致電。
-文章作者Alex Hooper
