Bài 2: So sánh Microsoft Entra ID và Active Directory Domain Services
Giới thiệu
Trong quản trị hệ thống, Active Directory Domain Services (AD DS)1 đã từ lâu là nền tảng cho việc xác thực, phân quyền và quản lý người dùng trong mạng nội bộ. Tuy nhiên, với sự phát triển mạnh mẽ của cloud computing, Microsoft Entra ID2 (tiền thân là Azure AD) xuất hiện như một giải pháp quản lý danh tính hiện đại, phù hợp với môi trường ứng dụng web và dịch vụ SaaS.
Bài viết này sẽ phân tích sự khác biệt chính giữa Microsoft Entra ID và Active Directory, giúp bạn – những quản trị viên hệ thống và sinh viên CNTT – hiểu rõ khi nào nên triển khai từng giải pháp.
Đặc điểm của Active Directory Domain Services (AD DS)
- Được triển khai trên Windows Server (on-premises hoặc máy ảo Azure).
- Là một dịch vụ thư mục thực sự, sử dụng cấu trúc phân cấp X.500-based.
- Sử dụng DNS để định vị domain controllers.
- Cho phép truy vấn bằng LDAP (Lightweight Directory Access Protocol).
- Sử dụng giao thức Kerberos 3để xác thực.
- Hỗ trợ Organizational Units (OUs)4 và Group Policy Objects (GPOs)5 để quản lý.
- Hỗ trợ computer objects, đại diện cho máy tính tham gia domain.
- Quản lý domain thông qua trusts giữa các domain.
👉 AD DS thường được sử dụng trong các hệ thống nội bộ, phù hợp với doanh nghiệp cần kiểm soát chi tiết, bảo mật nội bộ, và quản lý tập trung.
Đặc điểm của Microsoft Entra ID
- Là giải pháp quản lý danh tính cloud-native, được thiết kế cho ứng dụng web và SaaS.
- Là dịch vụ multi-tenant, phục vụ nhiều tổ chức trên cùng hạ tầng.
- Không có OU hoặc GPO, người dùng và nhóm được tạo theo cấu trúc phẳng.
- Không hỗ trợ LDAP; thay vào đó dùng REST API6 qua HTTP/HTTPS.
- Không dùng Kerberos, mà hỗ trợ các chuẩn hiện đại: SAML, WS-Federation, OpenID Connect, OAuth.7
- Tích hợp mạnh với các ứng dụng Microsoft 365, Intune, và dịch vụ bên thứ ba (ví dụ: Facebook, Salesforce).
👉 Microsoft Entra ID phù hợp cho doanh nghiệp chuyển dịch lên cloud, sử dụng SaaS, làm việc từ xa, và cần tích hợp nhiều ứng dụng hiện đại.
So sánh Microsoft Entra ID và Active Directory
| Tiêu chí | Active Directory Domain Services (AD DS) | Microsoft Entra ID |
|---|---|---|
| Môi trường | On-premises hoặc máy ảo Azure | Cloud (PaaS) |
| Cấu trúc | Phân cấp (OU, GPO) | Phẳng (flat) |
| Giao thức | LDAP, Kerberos | SAML, OpenID, OAuth |
| Quản lý máy tính | Có (computer objects, GPOs) | Không hỗ trợ trực tiếp |
| Xác thực | Kerberos | HTTPS-based protocols |
| Ứng dụng phù hợp | Nội bộ (LAN, doanh nghiệp truyền thống) | Cloud apps, SaaS |
Một số câu hỏi thường gặp
Định nghĩa thuật ngữ (Glossary)
- AD DS (Active Directory Domain Services): Dịch vụ quản lý danh tính và xác thực trong Windows Server. ↩︎
- Microsoft Entra ID: Dịch vụ quản lý danh tính cloud-native, thay thế Azure AD. ↩︎
- Kerberos: Giao thức xác thực chính trong AD DS. ↩︎
- OU (Organizational Unit): Đơn vị tổ chức trong AD DS để sắp xếp người dùng, nhóm, máy tính. ↩︎
- GPO (Group Policy Object): Tập hợp chính sách quản trị áp dụng cho user và computer trong AD DS. ↩︎
- REST API: Giao diện lập trình ứng dụng dựa trên HTTP, được Entra ID sử dụng thay cho LDAP. ↩︎
- OAuth / OpenID Connect / SAML: Các chuẩn xác thực và ủy quyền hiện đại trong cloud. ↩︎
Kết luận
Cả Microsoft Entra ID và Active Directory Domain Services đều đóng vai trò quan trọng trong quản trị hệ thống. AD DS phù hợp cho doanh nghiệp truyền thống với hạ tầng nội bộ, trong khi Entra ID lý tưởng cho doanh nghiệp cloud-first.
👉 Lời khuyên: Doanh nghiệp hiện đại nên xem xét mô hình hybrid để tận dụng điểm mạnh của cả hai công nghệ.
📩 Hãy đăng ký nhận bản tin để không bỏ lỡ kiến thức mới về quản trị hệ thống!
💬 Hoặc để lại bình luận bên dưới để trao đổi thêm!
🔗 Link tham khảo
Bạn có thể tham khảo thêm tại: Microsoft Entra Documentation
Bài liên quan: Bài 1.