Azure AD (oficjalnie Microsoft Entra ID od lipca 2023) to chmurowa usługa tożsamości i zarządzania dostępem (IDaaS), natomiast Active Directory on-premises (AD DS) to lokalny serwer katalogowy działający na Windows Server — mimo podobnej nazwy są to dwie całkowicie różne technologie, które nie zastępują się wzajemnie, ale często współistnieją w środowisku hybrydowym.
W skrócie
- Azure AD / Entra ID = usługa chmurowa (SaaS), nie wymaga serwerów, używa protokołów SAML, OAuth 2.0, OpenID Connect, WS-Federation
- Active Directory on-premises = lokalny serwer katalogowy na Windows Server, wymaga własnej infrastruktury, używa LDAP, Kerberos, NTLM
- Azure AD nie jest "Active Directory w chmurze" — to osobny produkt, zaprojektowany od podstaw dla ery cloud-first
- AD on-prem zarządza komputerami przez Group Policy (GPO) i domeny; Azure AD zarządza dostępem przez Conditional Access i Intune
- W 2026 roku Microsoft rozwija wyłącznie linię Entra; Active Directory on-prem utrzymywane jest głównie dla kompatybilności wstecznej
- Obie technologie mogą i często działają razem — synchronizacja przez Microsoft Entra Connect (dawniej Azure AD Connect)
Werdykt: kiedy którą technologię wybrać?
| Scenariusz | Wybierz |
|---|---|
| Firma działa wyłącznie w chmurze (Microsoft 365, aplikacje SaaS, brak serwerów lokalnych) | Microsoft Entra ID |
| Firma ma fizyczne biuro z serwerami Windows, udziałami plików, drukarkami sieciowymi | Active Directory on-premises (+ Entra Connect do synchronizacji z chmurą) |
| Pracownicy zdalni na całym świecie, zero infrastruktury lokalnej | Microsoft Entra ID (z Intune do zarządzania urządzeniami) |
| Aplikacje legacy wymagające Kerberos/NTLM | Active Directory on-premises (lub Entra Domain Services w Azure) |
| Nowoczesne aplikacje webowe i SaaS (Salesforce, Slack, GitHub) | Microsoft Entra ID — natywne SSO przez SAML/OIDC |
| Potrzebujesz szczegółowych polityk haseł, OU, GPO dla setek stacji roboczych | Active Directory on-premises |
Porównanie techniczne — 15 kluczowych różnic
| Obszar | Azure AD (Microsoft Entra ID) | Active Directory on-premises (AD DS) |
|---|---|---|
| Model wdrożenia | SaaS — zarządzany przez Microsoft | On-premises — własne serwery, własna odpowiedzialność |
| Protokoły uwierzytelniania | SAML, OAuth 2.0, OpenID Connect, WS-Federation | LDAP, Kerberos, NTLM |
| Struktura organizacyjna | Płaska — katalog (tenant), grupy, jednostki administracyjne | Hierarchiczna — las, drzewa, domeny, OU (jednostki organizacyjne) |
| Zarządzanie urządzeniami | Intune (MDM), Microsoft Entra join / registered | Group Policy (GPO), domain join |
| Zapytania katalogowe | Microsoft Graph API (REST) | LDAP (port 389/636) |
| Zasady dostępu | Conditional Access (warunkowe: lokalizacja, ryzyko, urządzenie, MFA) | Logowanie na podstawie przynależności do domeny i grup |
| Uwierzytelnianie bezhasłowe | FIDO2, Windows Hello for Business, Microsoft Authenticator (natywne) | Ograniczone — karty smart, częściowe wsparcie przez AD FS |
| Zewnętrzni użytkownicy (goście) | Microsoft Entra B2B — natywna obsługa tożsamości zewnętrznych | Wymaga osobnego lasu AD lub ręcznego zakładania kont |
| Przywracanie hasła przez użytkownika | SSPR (samoobsługowe resetowanie hasła) — wbudowane | Tylko przez administratora (chyba że zewnętrzne narzędzia) |
| Replikacja i dostępność | Globalna, automatyczna — SLA 99,99% | Własny projekt topologii (site linki, replikacja między DC) |
| Integracja z aplikacjami SaaS | Galeria ~3000 pre-integrowanych aplikacji | Wymaga AD FS lub reverse proxy (Entra Application Proxy) |
| Licencjonowanie | Free / P1 / P2 — subskrypcja miesięczna na użytkownika | Licencja Windows Server (jednorazowa) + CAL na użytkownika/urządzenie |
| Schemat i rozszerzenia | Atrybuty niestandardowe, rozszerzenia katalogu (extension attributes) | Pełne rozszerzanie schematu (LDAP schema extensions) |
| Uwierzytelnianie aplikacji legacy (Kerberos) | Niedostępne natywnie — potrzebne Entra Domain Services na Azure | Natywne, pełne wsparcie |
| MFA | Wbudowane (Microsoft Authenticator, SMS, FIDO2, powiadomienia push) | Zewnętrzne (np. Azure MFA Server, DUO) lub przez AD FS |
Czym jest Active Directory on-premises (AD DS)?
Active Directory Domain Services to lokalna usługa katalogowa, która pojawiła się w Windows 2000 Server i przez ponad 25 lat była kręgosłupem tożsamości w sieciach korporacyjnych. AD DS działa na kontrolerach domeny (Domain Controllers) — fizycznych lub wirtualnych serwerach z Windows Server — i przechowuje w swojej bazie dane o użytkownikach, komputerach, grupach i zasobach sieciowych.
Co definiuje AD on-prem?
- Hierarchiczna struktura: Las → Drzewo → Domena → Jednostka organizacyjna (OU). Każdy poziom może mieć własne polityki i delegacje uprawnień.
- Protokoły LDAP i Kerberos: Aplikacje i komputery odpytują AD przez LDAP (port 389) lub LDAPS (636), a uwierzytelnianie odbywa się przez Kerberos (bilety TGT i ST) lub starszy NTLM.
- Group Policy (GPO): Mechanizm wymuszania ustawień na setkach/tysiącach komputerów w domenie — od tapety pulpitu po złożone reguły firewalla i instalację certyfikatów.
- Domain join: Komputer z Windows dołączony do domeny jest w pełni zarządzany — użytkownik loguje się raz (SSO), a wszystkie zasady, drukarki i udziały sieciowe są automatycznie dostępne.
AD on-premises sprawdza się doskonale w środowiskach, gdzie firma kontroluje fizyczną infrastrukturę: serwerownię, switche, stacje robocze w biurze i lokalne serwery plików. Jego największą zaletą jest szczegółowość kontroli — możesz ustawić dosłownie tysiące polityk przez GPO i delegować uprawnienia na poziomie pojedynczego OU.
Czym jest Azure AD / Microsoft Entra ID?
Microsoft Entra ID (dawniej Azure Active Directory) to usługa tożsamości w chmurze — nie instalujesz jej na żadnym serwerze, nie zarządzasz replikacją ani bazą danych. To Microsoft odpowiada za dostępność, skalowanie i aktualizacje. Entra ID została stworzona z myślą o nowoczesnej autoryzacji: aplikacje webowe, mobilne, API, SaaS — wszystko oparte na standardach internetowych, a nie protokołach sieci LAN.
Co definiuje Entra ID?
- Płaska struktura katalogu (tenant): Każda organizacja ma jednego tenanta (np.
firma.onmicrosoft.com). Nie ma lasów, drzew ani domen — strukturę zapewniają grupy, role RBAC i jednostki administracyjne. - Nowoczesne protokoły: SAML 2.0, OAuth 2.0, OpenID Connect — to standardy internetowe używane przez każdą nowoczesną aplikację SaaS (Salesforce, M365, Workday, GitHub).
- Conditional Access: Reguły dostępu uwzględniające kontekst — z jakiego urządzenia, skąd (geolokalizacja), z jakim ryzykiem (Identity Protection), czy urządzenie jest zgodne z polityką Intune. To fundament modelu Zero Trust.
- Licencjonowanie: Free (w pakiecie z M365/Azure), P1 (Conditional Access, grupy dynamiczne), P2 (Identity Protection, PIM — Privileged Identity Management).
- Przebrandowanie 2023: W lipcu 2023 Microsoft zmienił nazwę Azure AD na Microsoft Entra ID, aby odróżnić usługę chmurową od Active Directory on-premises i podkreślić jej przynależność do rodziny produktów Entra.
Ważne: Entra ID nie potrafi wszystkiego co AD
Entra ID nie obsługuje natywnie Kerberos, Group Policy ani domain join w tradycyjnym sensie. Jeśli Twoja firma działa na aplikacjach wymagających protokołów LDAP/NTLM, musisz albo utrzymać AD on-prem, albo skorzystać z Microsoft Entra Domain Services — zarządzanej usługi w Azure, która emuluje kontroler domeny w chmurze.
Synchronizacja hybrydowa — jak to działa razem?
Większość firm nie wybiera "albo-albo", tylko łączy oba światy przez Microsoft Entra Connect (dawniej Azure AD Connect). To narzędzie synchronizujące tożsamości z lokalnego AD do Entra ID:
- Użytkownicy są tworzeni w AD on-prem i replikowani do chmury
- Hasła mogą być synchronizowane (Password Hash Sync) lub przekazywane przez uwierzytelnianie przelotowe (PTA)
- Federacja (AD FS) pozwala Entra ID przekierowywać żądania logowania do lokalnego AD
Model hybrydowy daje to, co najlepsze z obu światów: szczegółową kontrolę nad zasobami lokalnymi przez AD i nowoczesne SSO z Conditional Access dla aplikacji chmurowych przez Entra ID.
Częste pytania
Czy Azure AD (Entra ID) zastąpiło Active Directory on-premises?
Nie. Entra ID nie jest następcą AD DS — to osobny produkt dla ery cloud-first. Microsoft nadal rozwija Active Directory w Windows Server 2025, ale kierunek strategiczny jest jasny: nowe inwestycje idą w Entra ID, a AD on-prem utrzymywane jest głównie dla kompatybilności. Firmy, które już w pełni przeszły na chmurę, mogą całkowicie zrezygnować z lokalnego AD, ale wymaga to przepisania aplikacji legacy na nowoczesne protokoły.
Dlaczego Microsoft zmienił nazwę Azure AD na Entra ID?
Zmiana z lipca 2023 miała na celu wyeliminowanie powszechnego nieporozumienia, że Azure AD to "Active Directory postawione w chmurze". Nowa nazwa podkreśla, że Entra ID to coś zupełnie innego — nowoczesna platforma tożsamości zbudowana od podstaw na protokołach internetowych, a nie ewolucja AD DS. Zmiana nazwy nie wpłynęła na funkcjonalność ani ceny.
Czy potrzebuję licencji Windows Server, żeby używać Entra ID?
Nie. Entra ID nie wymaga żadnych serwerów lokalnych. Podstawowa wersja (Free) jest dostępna z każdą subskrypcją Microsoft 365 lub Azure. Płatne wersje P1 i P2 to dodatkowa opłata miesięczna za użytkownika — kupujesz tylko to, czego potrzebujesz, bez kosztów infrastruktury i utrzymania serwerów.
Czy mogę używać Group Policy (GPO) z Microsoft Entra ID?
Nie bezpośrednio. Group Policy to mechanizm AD on-premises i nie istnieje w Entra ID. Odpowiednikiem w chmurze jest Microsoft Intune — usługa MDM (Mobile Device Management), która przez "policies" konfiguruje urządzenia z Windows, macOS, iOS i Android. Intune oferuje podobny poziom kontroli co GPO, ale działa przez chmurę i nie wymaga domain join.
Co się stanie z moimi aplikacjami Kerberos, jeśli przeniosę się tylko do Entra ID?
Aplikacje wymagające Kerberos lub NTLM nie zadziałają z samym Entra ID. Masz dwie opcje: (1) utrzymać lokalny AD i zsynchronizować tożsamości do Entra ID (model hybrydowy) lub (2) skorzystać z Microsoft Entra Domain Services — zarządzanej usługi w Azure, która zapewnia kontroler domeny w chmurze z pełnym wsparciem Kerberos, LDAP i NTLM, bez konieczności utrzymywania własnych serwerów.
Które rozwiązanie jest bezpieczniejsze — AD on-prem czy Entra ID?
Entra ID oferuje znacznie więcej wbudowanych mechanizmów bezpieczeństwa: Conditional Access, Identity Protection (ryzyko logowania w czasie rzeczywistym), MFA natywne bez dodatkowych serwerów, Privileged Identity Management (JIT) i inteligentną ochronę przed atakami brute-force. AD on-prem może być równie bezpieczne po odpowiedniej konfiguracji, ale wymaga to znacznie więcej pracy własnej: wdrożenia AD FS, serwera MFA, monitoringu i segmentacji sieci. Obiektywnie — w 2026 roku model Zero Trust Microsoftu opiera się w 100% na Entra ID.
Czy mogę przejść całkowicie na Entra ID i wyłączyć swój AD?
Tak, i coraz więcej firm to robi. Warunek: wszystkie Twoje aplikacje i urządzenia muszą być gotowe na pracę bez Kerberos/NTLM i domain join. Urządzenia z Windows 10/11 można dołączyć bezpośrednio do Entra ID (Microsoft Entra join), a zarządzanie odbywa się przez Intune. To tzw. strategia cloud-native endpoint, która eliminuje koszty serwerów AD, CAL-i i utrzymania kontrolerów domeny.
Potrzebujesz nowoczesnego środowiska Microsoft bez przepłacania?
Niezależnie od tego, czy budujesz infrastrukturę hybrydową (AD + Entra ID), czy przechodzisz w pełni na chmurę — podstawą jest legalny i aktywowany system Windows Server oraz licencje dostępowe. W KluczeSoft.pl znajdziesz klucze do Windows Server 2022 i 2025 oraz Windows 10/11 Pro w znacznie niższych cenach niż w oficjalnym sklepie Microsoft — w pełni legalne na europejskim rynku wtórnym (zgodnie z wyrokiem UsedSoft).
→ Sprawdź licencje Windows Server — od 199 zł → Microsoft Windows 11 Professional — klucz licencyjny
KluczeSoft.pl działa niezależnie od Microsoft Corporation. Microsoft, Windows, Active Directory, Entra ID i Azure są zastrzeżonymi znakami towarowymi Microsoft.