Azure AD 和 Azure AD DS 之间有什么区别？

什么是 Microsoft Azure？

微软一直致力于为用户和学习者提供最新的技术资讯和一流的技术服务。Microsoft Azure 是一个拥有无限潜力的公共云计算平台，提供基础设施即服务 (IaaS)、平台即服务 (PaaS) 和软件即服务 (SaaS) 等解决方案。这些服务涵盖分析、虚拟计算、存储和网络等多种功能。Microsoft Azure 还可以作为其他本地服务器的替代方案。

Azure 云平台提供 200 多种产品和云服务，可用于解决各种相关挑战。这些产品涵盖但不限于生产和运营管理，并可使用您选择的工具和设计执行所有相关活动。根据不同的需求，各种程序和服务可以将数据安全地保存并转换为可用的格式。

您可能在任何组织中都见过员工、团队和资源的唯一标识。Azure 目录服务用于创建这些独特的虚拟标识。简单来说，Active Directory 是组织中个人、组或资源的数据库。

什么是目录？

云目录本质上是一个基于图形的自定义目录存储库，它是开发人员的基础构建元素。Azure Active Directory 服务就是一个目录。每个目录中可以包含一个或多个域，并且可以关联多个订阅，但始终只能属于一个租户。

Azure AD 和 Azure AD DS 有什么区别？

Microsoft Azure 的三大主要目录服务是 Active Directory 域服务 (AD DS)、Azure Active Directory (Azure AD) 和 Azure Active Directory 域服务。这三者都拥有多项先进功能和显著特性，使其各具特色。

让我们逐一了解，以便更好地理解这个主题。

在 Azure 中，有三种典型的方法可以利用基于 Active Directory 的服务，为应用程序、服务或设备提供集中式或唯一标识。这些标识解决方案可以帮助您了解并选择最适合公司需求的目录。如果您主要管理使用移动设备的纯云客户，那么自行设计和管理 Active Directory 域服务 (AD DS) 身份解决方案可能并不划算，因为这会耗费大量时间和人力。您可以直接使用 Azure Active Directory。

尽管这三种基于 Active Directory 的身份解决方案名称和技术几乎相同，但它们旨在满足不同的客户需求。这些身份解决方案和分类方法主要如下：

Active Directory 域服务 (AD DS)： 一种企业级轻量级目录访问协议 (LDAP) 服务器，包含身份验证、计算机对象治理、组策略和信任关系等功能。许多拥有本地 IT 环境的公司使用 AD DS 来提供主要用户配置文件验证和计算机管理功能。

Azure Active Directory： Azure AD 是一种虚拟化的身份和移动设备管理服务，用于管理 Microsoft 365、Azure 门户和 SaaS 应用的用户帐户和身份验证。

通过将 Azure AD 与本地 AD DS 系统同步，用户可以拥有一个可在云端原生运行的单一身份。

Azure Active Directory 域服务 (Azure AD DS)： AD DS 提供托管域服务，并包含一系列专为 AD DS 功能设计的子集，例如网络加入、组策略、LDAP 和 Kerberos/NTLM 身份验证。Azure AD DS 与 Azure AD 协同工作，后者可以与本地 AD DS 安装同步。作为对迁移策略的支持，此功能将集中式身份的使用实例扩展到安装在 Azure 中的标准 Internet 应用程序。

Microsoft Azure Active Directory 域服务 (AAD DS) 提供基于云的服务，包括域组、组策略、DNS 服务、LDAP、Kerberos/NTLM 身份验证等。事实上，AAD 凭借其关键功能（例如基于云的访问控制）彻底改变了云。Microsoft 创建 AAD 的目的是帮助企业管理本地基础架构组件和系统。

Azure AD 和 Azure AD DS 在基本概念和结构基础上相似，但在操作和应用方面仍存在一些差异。就设备而言，AD 要求任何第三方软件都只能在 Android 设备上运行，而 Azure AD DS 可以与微软的移动设备管理解决方案同步，并且 Microsoft Intune 可以帮助进行身份验证。Windows 设备可以同时加入这两个平台。

在 Azure AD 中，组织可以通过 Azure 门户访问它，该门户有助于管理员工的凭据、密码以及所需的权限。经过身份验证后，用户只能访问平台提供的各种服务，但由于 Azure AD 的一些结构限制，无法配置访问权限。

为了解决上述每个组织普遍面临的问题以及 Azure AD 的其他缺点，微软推出了 Azure AD 域服务 (AAD DS)。AAD DS 是 Azure 的一款产品，它在两个域控制器上提供 Active Directory 域。

以下列出了一些主要功能，可以帮助您了解 Azure AD 和 Azure AD DS 之间的区别。

Azure AD

• 基于云的身份解决方案

• 多租户（基于租户或与注册绑定）

• 不支持 GPO

• 适用于 Office 365 和 Azure 用户管理

• 提供与用户、应用程序、组和安全原则相关的服务

• 不可扩展

• 可通过 Graph API 进行管理

• 提供移动设备管理选项

• 提供四种许可选项：免费版、基础版、高级版 1 和高级版 2（这些高级版本提供高级安全功能、自助服务功能和多重身份验证 (MFA)）。

Azure AD DS

• 作为组织的核心组件

• 基于云的目录服务

• 本地身份和身份验证

• 支持组策略

• 可处理传统的目录感知应用程序，例如 SaaS

• 可使用 GPO

• 提供托管域和自管理域两种选择

• 使用 Kerberos 进行身份验证

这些服务的最大优势在于它们可以用于协作。为任何公司带来协同效应。将三种不同的事物结合起来使用，从而获得三者共赢，这真是一个绝妙的想法。