So sánh AD DS và Azure AD – Hiểu đúng để triển khai đúng

Đây là một trong những câu hỏi mà rất nhiều anh em khi học Azure hay gặp:
“Azure AD có phải là bản cloud của Active Directory không?”

Câu trả lời ngắn gọn là: Không hoàn toàn đúng.
Hai hệ thống này phục vụ hai mục tiêu khác nhau, dù đều xoay quanh identity.

---

1. Sự khác biệt cốt lõi: On-Prem vs Cloud Identity

AD DS (Active Directory Domain Services):

• Được thiết kế cho môi trường on-premises
• Quản lý máy tính, user, domain trong mạng nội bộ
• Dựa vào các giao thức truyền thống:
  • LDAP (directory query)
  • Kerberos / NTLM (authentication)
• Có các thành phần quen thuộc:
  • Domain Controller
  • OU (Organizational Unit)
  • Group Policy (GPO)

Azure AD:

• Là dịch vụ identity trên cloud (IDaaS – Identity as a Service)
• Thiết kế cho:
  • SaaS (Office 365, Salesforce…)
  • Web app, API
• Sử dụng:
  • REST API
  • HTTP/HTTPS
  • OAuth2, OpenID Connect, SAML
• Không có:
  • OU
  • GPO
  • Domain join theo kiểu truyền thống (trừ Azure AD Join)

---

2. Khác biệt về cách quản lý (Điểm rất quan trọng trong thực tế)

AD DS trên VM (IaaS):

Khi bạn triển khai AD DS trên Azure VM:

• Bạn phải tự quản lý:
  • OS (Windows Server)
  • Patch
  • Backup
  • Replication
  • Domain Controller
• Đây vẫn là mô hình truyền thống, chỉ chuyển lên cloud

Azure AD:

• Là managed service của Microsoft
• Bạn chỉ cần quản lý:
  • User
  • Group
  • Policy (Conditional Access, MFA…)
• Microsoft lo:
  • High availability
  • Patch
  • Security nền tảng

Đây chính là sự khác biệt giữa:

• IaaS mindset (AD DS trên VM)
• SaaS/PaaS mindset (Azure AD)

---

3. Khác biệt về giao thức và tích hợp

AD DS:

• LDAP để query
• Kerberos để authenticate
• Chủ yếu dùng trong:
  • Domain-joined machine
  • Internal apps

Azure AD:

• REST API + token-based auth
• OAuth2 / OpenID Connect
• Tích hợp cực mạnh với:
  • SaaS apps (Google, Facebook, GitHub…)
  • API, Microservices
  • Mobile / Web apps

Nói đơn giản:

• AD DS → “Network-centric identity”
• Azure AD → “Internet-centric identity”

---

4. Cấu trúc và quản lý

AD DS:

• Có OU để phân cấp quản lý
• GPO để áp policy xuống máy
• Phù hợp môi trường doanh nghiệp truyền thống

Azure AD:

• Cấu trúc flat
• Không có OU/GPO
• Thay vào đó dùng:
  • RBAC
  • Conditional Access
  • Intune (MDM/MAM)

---

5. Vậy chúng giống nhau ở điểm nào?

Dù khác nhau, nhưng có một điểm chung quan trọng:

• Cả hai đều là Identity Provider (IdP)
• Đều quản lý:
  • User
  • Group
  • Authentication
• Đều có thể:
  • Kết hợp với nhau qua Azure AD Connect
  • Tạo mô hình Hybrid Identity

---

6. Khi nào dùng cái nào? (Kinh nghiệm thực tế)

Bạn nên dùng AD DS khi:

• Có hệ thống legacy
• Có ứng dụng cần LDAP/Kerberos
• Quản lý domain-joined machine

Bạn nên dùng Azure AD khi:

• Làm việc với:
  • Office 365
  • SaaS
  • Cloud-native app
• Cần:
  • SSO
  • MFA
  • Zero Trust

Trong thực tế doanh nghiệp:

• 90% sẽ đi theo hướng Hybrid Identity
  • AD DS + Azure AD + Azure AD Connect

---

Kết luận

Azure AD không phải là “AD trên cloud”
Mà là một hệ thống identity hoàn toàn mới, thiết kế cho:

• Internet
• Cloud
• API
• Zero Trust

Hiểu rõ sự khác biệt này sẽ giúp bạn:

• Thiết kế hệ thống đúng ngay từ đầu
• Tránh triển khai sai kiến trúc
• Tận dụng đúng sức mạnh của Azure

---

Nếu anh em đang học AZ-900, AZ-104 hoặc làm System/Cloud, đây là một trong những concept bắt buộc phải nắm thật chắc.
​