2025年，信創(chuàng)戰(zhàn)略在政策引導與市場需求的雙重驅動下加速推進。

在國資委79號文設定的“全面替換”、“應替就替”、“能替就替”三類改造范疇中，OA、門戶、郵箱等辦公基礎系統(tǒng)被列為“全面替換”的最高優(yōu)先級。而支撐這些系統(tǒng)運行的“神經(jīng)中樞”——身份信息管理系統(tǒng)，尤其是長期被微軟Active Directory（AD）域所主導的身份認證基座，自然成為了“應換盡換”的核心范疇。

長期以來，全球有超過90%的具規(guī)模企業(yè)將微軟AD作為其管理數(shù)字化身份的基礎底座。它不僅管理著Windows系統(tǒng)和Exchange等微軟生態(tài)應用，還廣泛兼容了OA、ERP、云桌面等關鍵業(yè)務系統(tǒng)，是企業(yè)網(wǎng)絡的“守門人”。

然而，時至今日，這個昔日“霸主”不僅在信創(chuàng)替換浪潮下面臨“身份”尷尬，其自身的技術局限性也日益凸顯，已難以滿足現(xiàn)代企業(yè)的身份管理需求。替換微軟AD，既是信創(chuàng)建設的必由之路，也是企業(yè)升級身份管理體系、重塑安全基座的必然選擇。

微軟AD為何“非換不可”？

隨著網(wǎng)絡安全和業(yè)務環(huán)境的持續(xù)變化，越來越多的國內(nèi)企業(yè)開始主動推動微軟AD的替換，以滿足安全和業(yè)務上的雙重剛需。微軟AD的局限性，主要體現(xiàn)在以下幾個方面：

1.安全短板凸顯，已成核心攻擊靶點

在數(shù)字化時代，身份即邊界。微軟AD作為企業(yè)身份認證的核心，自然也成為了黑客攻擊的主要目標。一旦AD域被攻破，攻擊者就等于拿到了企業(yè)內(nèi)網(wǎng)的“萬能鑰匙”。

從全球范圍看，因微軟AD被攻擊而導致的網(wǎng)絡安全事件屢見不鮮，給企業(yè)帶來了巨大威脅。在實戰(zhàn)化的紅藍攻防演練中，微軟AD往往是攻擊方的首選突破口，一旦被“打穿”，防守方將被直接扣分。

此外，AD域本身的認證方式相對單一，面對日益復雜的攻擊手段，其安全性已顯不足。同時，AD域在數(shù)據(jù)傳輸中存在使用非加密通道的安全隱患，這些都使其成為企業(yè)IT架構中的薄弱點。

2.生態(tài)封閉僵化，難以兼容多元化IT環(huán)境

微軟AD的強大，是建立在對微軟自身生態(tài)的深度依賴之上的。然而，現(xiàn)代企業(yè)的IT環(huán)境早已不是Windows“一家獨大”的局面。

隨著數(shù)字化轉型的深入，企業(yè)IT系統(tǒng)中的操作系統(tǒng)、業(yè)務應用類型正爆炸式增長。一方面，以Linux、CentOS為代表的非Windows操作系統(tǒng)在服務器端占據(jù)主流；另一方面，以企業(yè)微信、釘釘、飛書為代表的SaaS應用成為辦公新常態(tài)。

更重要的是，在信創(chuàng)背景下，統(tǒng)信UOS、麒麟KylinOS等國產(chǎn)操作系統(tǒng)，以及各類國產(chǎn)應用正在加速普及。面對這些異構的、多元化的IT生態(tài)，微軟AD“水土不服”，兼容性不足的問題日益突出，無法滿足企業(yè)對新型應用和國產(chǎn)化系統(tǒng)的統(tǒng)一身份管理需求。

芯盾時代OIAM，平滑替換微軟AD

面對替換微軟AD的“合規(guī)剛需”與“業(yè)務剛需”，企業(yè)普遍心存疑慮：替換過程是否復雜？是否會影響現(xiàn)有業(yè)務？能否管好新增的國產(chǎn)化系統(tǒng)？

芯盾時代作為領先的零信任業(yè)務安全產(chǎn)品方案提供商，推出了具有完全自主知識產(chǎn)權、滿足信創(chuàng)要求的操作系統(tǒng)用戶身份與訪問管理平臺（OIAM），不但能幫助企業(yè)“無感”替換AD域，還全面支持各種標準身份協(xié)議和組件，能夠兼容各種操作系統(tǒng)、應用、設備。

芯盾時代憑借完備的身份安全產(chǎn)品線、豐富的身份安全項目經(jīng)驗，能夠幫助企業(yè)將操作系統(tǒng)用戶管理與認證納入IAM統(tǒng)一管理范疇，實現(xiàn)業(yè)務域與辦公域統(tǒng)一身份管理，全面提升身份管理能力。

借助芯盾時代OIAM，企業(yè)能夠一站式實現(xiàn)以下功能：

1.無感替換微軟AD，保障業(yè)務連續(xù)性

芯盾時代OIAM具備微軟AD的所有核心能力。它內(nèi)置了域名解析服務（DNS）、密鑰分發(fā)中心服務（KDC）、活動目錄服務（AD）等核心組件，完全兼容Windows Server 2008 R2 AD DC規(guī)格。

在兼容性上，芯盾時代OIAM不但支持AD協(xié)議，還全面支持LDAP、RSAT、Samba等標準協(xié)議和組件，能夠無縫接入各種操作系統(tǒng)（Windows、Ubuntu、CentOS、RedHat、各種國產(chǎn)OS等），以及郵箱、VPN、云桌面、SaaS應用、有線網(wǎng)絡設備等各類支持LDAP協(xié)議的異構應用和設備。

對于企業(yè)現(xiàn)有的Windows系統(tǒng)用戶，芯盾時代OIAM可以無縫實現(xiàn)加域、賬號認證、組策略管理等功能。企業(yè)無需對現(xiàn)有Windows終端做大量改造，即可平滑完成AD替換。對于使用微軟AD管理身份信息的業(yè)務應用，芯盾時代OIAM能夠無縫對接，并保持原身份信息、組織信息不變，不影響員工正常登錄，保障業(yè)務的連續(xù)性。

2.兼容國產(chǎn)軟硬件，滿足信創(chuàng)合規(guī)要求

作為一款為信創(chuàng)而生的產(chǎn)品，芯盾時代OIAM擁有完全自主知識產(chǎn)權，全面支持國產(chǎn)密碼算法，并能適配全體系的國產(chǎn)化軟硬件及系統(tǒng)。

芯盾時代OIAM支持國產(chǎn)統(tǒng)信UOS、麒麟KylinOS等操作系統(tǒng)的賬號管理與認證功能，滿足了國家信創(chuàng)合規(guī)的核心要求。這使得企業(yè)在推進信創(chuàng)建設時，不必再為國產(chǎn)操作系統(tǒng)與原有身份體系的“兩張皮”問題而煩惱。

3.打通業(yè)務域與辦公域，身份信息一體化管理

在替換微軟AD的基礎上，芯盾時代更進一步，將OIAM接入企業(yè)IAM（用戶身份與訪問管理）平臺。

在信息管理上，企業(yè)可以統(tǒng)一管理辦公域和業(yè)務域的身份信息，打破信息壁壘，全面提升身份管理和身份認證的效率。在IT運維上，企業(yè)無需維護多套員工身份、組織架構信息，還可以借助IAM強大的身份管理能力，提升對OIAM的管理效果。在員工體驗上，員工在登錄辦公設備時只需完成一次身份認證，即可借助單點登錄功能，在統(tǒng)一應用門戶內(nèi)直接登錄權限內(nèi)的應用，真正做到“一次認證，全網(wǎng)通行”。

4.自研底層技術支撐，身份認證更加安全

針對微軟AD認證方式單一、安全性不足的問題，芯盾時代憑借在身份安全領域深厚的技術積累，賦予了OIAM強大的安全性能。

基于芯盾時代自研的移動認證技術、統(tǒng)一終端安全技術，OIAM支持密碼、App掃碼、短信驗證碼、動態(tài)口令、指紋識別、人臉識別等多種認證方式，解決微軟AD認證方式單一、安全性不足的問題。借助智能終端密碼模塊，OIAM能夠實現(xiàn)敏感數(shù)據(jù)的加密存儲，消除微軟AD使用非加密通道帶來的安全隱患。

芯盾時代操作系統(tǒng)用戶身份與訪問管理平臺（OIAM），憑借AD核心能力全兼容、信創(chuàng)生態(tài)全適配、辦公業(yè)務全打通、安全認證全升級四大核心優(yōu)勢，能夠幫助企業(yè)平滑替換微軟AD，更能夠為企業(yè)的信創(chuàng)體系構筑堅實的身份安全基座，讓信創(chuàng)建設行穩(wěn)致遠，讓數(shù)字化業(yè)務更加安全可控。