Tweet
Từ Active Directory đến Microsoft Entra ID: Hành trình hiện đại hóa Identity Management diễn ra như thế nào?
Rất nhiều doanh nghiệp đang hỏi: Có thể “di cư” hoàn toàn từ Active Directory (AD) on-premise lên Microsoft Entra ID (Azure AD trước đây) không?
Câu trả lời là có, nhưng thường không phải kiểu “big bang migration”, mà là một lộ trình nhiều giai đoạn, đúng như góc nhìn Microsoft mô tả trong hình này.
Đây không đơn thuần là migrate directory, mà là chuyển dịch mô hình quản trị danh tính (Identity Operating Model). Giai đoạn 1 — AD vẫn là nguồn quyền lực chính (Authoritative Source)
Ban đầu, mọi hoạt động quản trị định danh CRUD đều diễn ra trong Active Directory:
AD on-prem đóng vai trò source of truth.
Microsoft Entra Connect (trước đây Azure AD Connect) chỉ làm nhiệm vụ đồng bộ:
Ở giai đoạn này:
Đây là trạng thái của rất nhiều enterprise hiện nay.
Giai đoạn 2 — Chuyển CRUD sang Entra ID
Đây là bước quan trọng nhất.
Doanh nghiệp bắt đầu dịch chuyển tác vụ quản trị danh tính sang cloud:
Lúc này AD vẫn còn tồn tại, nhưng thường chỉ phục vụ:
Điểm đáng chú ý trong hình:
Có những user chỉ tồn tại trên cloud và không còn hiện diện on-prem.
Đây là bước chuyển từ:
Thường giai đoạn này sẽ đi kèm các dịch vụ:
Lúc này Identity bắt đầu giống một control plane hiện đại.
Giai đoạn 3 — Không còn Active Directory on-prem
Đây là trạng thái “cloud-native identity”.
Không còn Domain Controller on-prem.
Entra ID trở thành hệ thống danh tính chính thức cho:
AD biến mất.
Điều này chỉ khả thi khi đã xử lý hết:
Thông thường đi kèm:
Đây thực ra là lộ trình “Identity Modernization”
Nhiều người nghĩ đây chỉ là migrate directory.
Thực chất đây là chuyển dịch:
Identity trở thành security control plane.
Góc nhìn kiến trúc đáng lưu ý
Mô hình này giống cách nhiều tổ chức đang làm:
Step 1
AD-centric Hybrid
Step 2
Entra-centric Hybrid
Step 3
Cloud-native Identity
Không nhảy thẳng Step 1 → Step 3.
Phần lớn enterprise đi qua Step 2 trong nhiều năm.
Đây cũng là xu hướng DevSecOps cần quan tâm
Khi Identity dịch chuyển lên cloud, automation cũng thay đổi:
Identity bắt đầu được quản lý như code.
Đó chính là hướng của Identity as Code (IaC cho IAM).
Một câu đáng suy nghĩ
“Cloud migration” nhiều khi không bắt đầu từ server hay network…
…mà bắt đầu từ identity.
Và trong rất nhiều kiến trúc Zero Trust, Identity chính là perimeter mới.
Rất nhiều doanh nghiệp đang hỏi: Có thể “di cư” hoàn toàn từ Active Directory (AD) on-premise lên Microsoft Entra ID (Azure AD trước đây) không?
Câu trả lời là có, nhưng thường không phải kiểu “big bang migration”, mà là một lộ trình nhiều giai đoạn, đúng như góc nhìn Microsoft mô tả trong hình này.
Đây không đơn thuần là migrate directory, mà là chuyển dịch mô hình quản trị danh tính (Identity Operating Model). Giai đoạn 1 — AD vẫn là nguồn quyền lực chính (Authoritative Source)
Ban đầu, mọi hoạt động quản trị định danh CRUD đều diễn ra trong Active Directory:
- Create user
- Read / tra cứu đối tượng
- Update thuộc tính, nhóm, policy
- Delete / deprovision tài khoản
AD on-prem đóng vai trò source of truth.
Microsoft Entra Connect (trước đây Azure AD Connect) chỉ làm nhiệm vụ đồng bộ:
- User objects
- Groups
- Password Hash Sync / Pass-through Authentication
- Hybrid Identity federation nếu dùng ADFS
Ở giai đoạn này:
- Identity vẫn “on-prem first”
- Cloud chủ yếu là phần mở rộng (extension)
- Mô hình phổ biến là Hybrid Identity
Đây là trạng thái của rất nhiều enterprise hiện nay.
Giai đoạn 2 — Chuyển CRUD sang Entra ID
Đây là bước quan trọng nhất.
Doanh nghiệp bắt đầu dịch chuyển tác vụ quản trị danh tính sang cloud:
- Provision user trực tiếp trên Entra ID
- Quản trị lifecycle trên cloud
- Dùng Conditional Access thay GPO cho nhiều use case hiện đại
- Chuyển authentication từ Kerberos/NTLM sang SAML, OIDC, OAuth
- Áp dụng Zero Trust access model
Lúc này AD vẫn còn tồn tại, nhưng thường chỉ phục vụ:
- Legacy applications
- Legacy LDAP dependencies
- Kerberos constrained workloads
- Domain-joined systems cũ
Điểm đáng chú ý trong hình:
Có những user chỉ tồn tại trên cloud và không còn hiện diện on-prem.
Đây là bước chuyển từ:
- Hybrid Directory
sang - Cloud-first Identity
Thường giai đoạn này sẽ đi kèm các dịch vụ:
- Microsoft Entra ID Governance
- Privileged Identity Management (PIM)
- Passwordless (FIDO2, Windows Hello, Passkeys)
- Identity Protection
- SCIM provisioning cho SaaS apps
Lúc này Identity bắt đầu giống một control plane hiện đại.
Giai đoạn 3 — Không còn Active Directory on-prem
Đây là trạng thái “cloud-native identity”.
Không còn Domain Controller on-prem.
Entra ID trở thành hệ thống danh tính chính thức cho:
- Authentication
- Authorization
- Policy
- Governance
- Lifecycle management
AD biến mất.
Điều này chỉ khả thi khi đã xử lý hết:
- Legacy applications phụ thuộc LDAP/Kerberos
- Domain Join truyền thống
- GPO dependencies
- File shares / legacy SMB auth
- Service accounts cũ
Thông thường đi kèm:
- Entra Joined devices
- Intune thay Group Policy
- SaaS-first application model
- Zero Trust architecture trưởng thành
Đây thực ra là lộ trình “Identity Modernization”
Nhiều người nghĩ đây chỉ là migrate directory.
Thực chất đây là chuyển dịch:
- Từ Perimeter Security → Zero Trust
- Từ On-prem IAM → Cloud IAM
- Từ Domain-centric → Identity-centric Security
Identity trở thành security control plane.
Góc nhìn kiến trúc đáng lưu ý
Mô hình này giống cách nhiều tổ chức đang làm:
Step 1
AD-centric Hybrid
Step 2
Entra-centric Hybrid
Step 3
Cloud-native Identity
Không nhảy thẳng Step 1 → Step 3.
Phần lớn enterprise đi qua Step 2 trong nhiều năm.
Đây cũng là xu hướng DevSecOps cần quan tâm
Khi Identity dịch chuyển lên cloud, automation cũng thay đổi:
- Terraform quản trị Entra objects
- Microsoft Graph API cho identity automation
- Policy as Code cho Conditional Access
- CI/CD cho IAM changes
- JIT / PIM workflows tự động hóa
Identity bắt đầu được quản lý như code.
Đó chính là hướng của Identity as Code (IaC cho IAM).
Một câu đáng suy nghĩ
“Cloud migration” nhiều khi không bắt đầu từ server hay network…
…mà bắt đầu từ identity.
Và trong rất nhiều kiến trúc Zero Trust, Identity chính là perimeter mới.
Attached Files