Azure AD 与传统 Active Directory 的深度解析

1. 初识身份管理：什么是 Azure AD？

Azure Active Directory（简称 Azure AD）是微软提供的基于云的身份和访问管理服务。它并非传统 Windows Active Directory 的简单“上云”版本，而是为现代应用架构设计的认证中心。

• 支持 OAuth 2.0、OpenID Connect 和 SAML 等标准协议
• 提供单点登录（SSO）能力，适用于 SaaS 应用如 Microsoft 365、Salesforce 等
• 集成多因素认证（MFA）、条件访问策略等高级安全功能
• 原生支持 RESTful API，便于自动化与第三方系统集成

其核心目标是实现跨设备、跨网络边界的用户身份统一管理和安全访问控制。

2. 回顾基础：传统 Active Directory 架构概述

传统 Active Directory（AD）是部署在本地数据中心的目录服务，依赖于域控制器（Domain Controller）来管理用户、计算机和服务账户。

传统 AD 强调对网络资源的集中管理，尤其适合封闭式企业内网环境。

3. 核心差异对比：从架构到功能定位

尽管名称相似，Azure AD 与传统 AD 在底层架构和使用场景上有本质区别：

1. 数据模型不同：Azure AD 使用扁平化的对象模型（用户、组、应用），而传统 AD 基于树状 OU 结构。
2. 协议支持差异：Azure AD 主要使用 HTTPS 上的现代身份协议；传统 AD 依赖 Kerberos/LDAP，通常要求在同一网络段。
3. 权限模型分离：Azure AD 中的 RBAC（基于角色的访问控制）用于云资源，而传统 AD 使用 DACL 和 GPO 控制本地权限。
4. 同步机制存在但非替代：通过 Azure AD Connect 可将本地 AD 用户同步至云端，但这不意味着功能等价。
5. 管理粒度不同：GPO 在传统 AD 中可精细控制客户端策略，Azure AD 则依赖 Intune 实现移动设备管理（MDM）。
6. 身份生命周期管理：Azure AD 支持 B2B 外部协作邀请、B2C 客户身份管理，这是传统 AD 不具备的能力。
7. 审计与合规能力：Azure AD 提供 Sign-in Logs、Audit Logs 并集成 Microsoft Defender for Identity。
8. 灾备机制：Azure AD 具备全球冗余，传统 AD 需复杂规划才能实现异地容灾。
9. 成本结构：Azure AD 按订阅计费（免费版、P1/P2），传统 AD 需承担硬件、许可和维护成本。
10. 混合部署挑战：时间同步、密码哈希同步、SSO 配置等均需专业运维介入。

4. 常见误区分析：为何不能将 Azure AD 视为传统 AD 替代品？

// 示例：尝试通过 Azure AD 直接管理本地文件服务器权限（错误做法）
// ❌ 错误逻辑
if (user.isAuthenticatedViaAzureAD()) {
    grantAccessToLocalFileServer(); // 此操作无法直接完成
}
// ✅ 正确路径应结合 AD DS + Azure AD Connect + 条件访问

许多企业在迁移过程中误认为只要启用 Azure AD 就能完全取代本地 AD，导致以下问题：

• 无法登录域加入的 PC（除非配置 Hybrid Azure AD Join）
• 组策略失效，因 GPO 仍依赖本地 AD 推送
• 某些遗留应用仅支持 NTLM 认证，无法与 Azure AD 原生集成
• 权限继承混乱，特别是在混合环境中未明确划分职责边界

5. 混合环境部署实践：如何正确整合两者？

推荐的最佳实践包括：

• 使用 Azure AD Connect 实现用户属性同步，并启用密码哈希同步或直通认证
• 配置混合 Azure AD 加入设备，使域控与云身份共存
• 利用条件访问策略实施零信任原则，例如“仅允许已注册设备访问 Exchange Online”
• 逐步将应用迁移到基于 OAuth 的认证模式，减少对 NTLM/LDAP 的依赖
• 建立清晰的身份治理流程，区分云原生用户与同步用户的责任归属