摘要：作为企业IT基础设施，Microsoft Active Directory（微软AD）主要用于管理网络中用户、计算机及其他资源的身份验证与访问授权，类似于公司的“资源电话簿”。它实现了对用户、计算机及设备的集中规范化管理，在企业信息化建设方面发挥着关键作用。微

作者/秋平

校对/Tina

策划/竹心

作为企业IT基础设施，Microsoft Active Directory（微软AD）主要用于管理网络中用户、计算机及其他资源的身份验证与访问授权，类似于公司的“资源电话簿”。它实现了对用户、计算机及设备的集中规范化管理，在企业信息化建设方面发挥着关键作用。微软AD作为身份访问和管理领域的最佳实践，一度是全球财富企业的最优选。

随着信创改造趋势加速，金融、央国企等办公基础设施正在向国产异构化的IT架构迁移，国外身份管理系统也面临着信创替代问题。而国产身份域控管理系统则乘势而起，经过多年技术沉淀，凭借快速响应的运维服务能力和在复杂场景下更优越的适应性，逐渐受到国内企业重视。

信创浪潮在各个细分行业的奔涌前进，政策也给出了具体的进度表。根据国资委2022年79号文要求，到2027年央国企需完成100%信创替代。距离2027年仅剩两年时间，政策推动信创改造的步伐越来越快。国产身份域管的替代节奏如何？市场正经历哪些变化？央国企又将如何平稳完成微软AD迁移？

01
技术和信创政策双重驱动微软AD替换

微软AD 由微软公司于 1999 年开发，作为 Windows 操作系统的核心组件，其关联场景众多且技术壁垒颇高，Windows 终端、Exchange、Sharepoint、虚拟化（如Citrix、VMware）、网络等 IT 资源与 AD深度绑定。

据统计，全球超 91% 的具规模企业将微软AD作为数字化身份管理的基础底座。可以说，微软AD 代表着企业身份验证标准。

但是微软AD“一招鲜”的时代正在国内渐行渐远，国产新玩家正在逐渐抢占市场份额。这其中既有政策驱动的因素，也是 IT 技术发展的必然。

从技术发展的角度来看，IT 领域经历了从局域网时代到云计算和移动化时代的变迁，目前正在向AI时代过渡。早期局域网时代，由于Windows系统的主导地位，企业的身份管理主要依托于微软AD或IBM等身份管理系统。

云计算和移动化时代，网络安全边界逐渐模糊，各种新兴业务场景涌现，例如Wi-Fi网络接入、IoT物联网设备/智能终端接入、SaaS应用服务等，同时日益严重的网络攻击使得企业对身份安全管理提出了新要求，MFA 多因素认证、泛终端准入控制、有线网与Wi-Fi网络的身份接入认证等能力，仅凭 AD 无法满足。因此，这一时期的身份管理服务主要是围绕微软AD的外围能力进行研发创新，拓展AD的应用场景与能力，让企业现有的AD更好用。

在技术演变进程中，信创政策的提出具有划时代的意义。微软 AD 与其他 IT 基础设施均将面临国产化改造，而国内身份管理厂商则异军突起。以宁盾为代表的国产化身份域管在兼容性、开放性、扩展性等方面优势逐渐显露，在信创领域愈发得到企业重视：

系统与应用兼容性：区域与 AD 与Windows生态深度绑定，国产身份域管对于Windows、麒麟、统信、中科方德等多种操作系统均可统一认证与管理，SaaS 应用和国产应用也可快速接入验证。

生态开放性：基于标准 LDAP 协议与上下游厂商产品兼容互认，增强了国产生态的竞争力和选择弹性。

扩展性能力：将LDAP、RADIUS、TACACS+、SSO等能力集于一身，解决了 AD 在 MFA 多因素认证、Wi-Fi网络认证等场景下需集成第三方组件的问题，提升身份管理系统的灵活性与安全能力。

更重要的是，在信创背景下，建设国产化身份域管可以帮助金融、央国企等在国产化IT架构中确立统一身份标准，降低后续产品选型和接入成本以及运维压力，从而加速国产化改造，确保信创路径更加明确，避免未来IT建设少走弯路。

政策加码驱动信创改造加速，金融、央企和军工等行业尤为明显。政策引导下的成功试水以及国产软硬件在功能和产品成熟度上的稳步提升，给了国产替换前进的信心。

但国产替换并非一帆风顺，实施层面的掣肘也让企业面临许多挑战。

迁移路径无可靠参考，替换路径不够明确。从Windows、Intel架构向国产异构化的 IT架构过渡并没有现成清晰路径可以借鉴，而是需要自主创新。此外，由于IT技术的快速发展，包括云服务、移动化技术和未来AI时代的适应性问题，都在不断演变，导致许多企事业单位当前关于微软AD替换方案的规划和路径不够明确。

规模化市场检验程度不足，生态系统不完善。许多国产中间件和操作系统产品尚未经过大规模应用的检验，导致软件成熟度和项目管理能力不足。再加上，纯国产IT生态系统也还不够完善，多重因素影响势必会对整个替代进程构成挑战。

确保业务连续性、AD管理的连续性和AD服务的可持续性是构建国产身份域管、推进信创建设的前提，国产身份域管的建设和生态联动是企业信创改造的基础保障。

02
宁盾何以进入国产身份域管赛道

宁盾从 2009 年成立至今，始终围绕身份域管进行技术和解决方案研发创新。从围绕 AD 外围能力增强进行研发逐渐深入到国产身份域管，覆盖身份、网络、终端、应用层及数据库层等五大核心场景，目前已累计服务约3000家企业客户，在身份认证领域的可靠性和兼容性方面取得丰硕成果。

前瞻性布局，15年AD技术栈积累

宁盾在国产化替代方面介入较早。2019年，宁盾嗅到信创替代先机，决定试水国产身份目录服务。近五年来，宁盾在与众多大型金融客户合作中，逐步构建了完备的以 LDAP 身份目录服务为核心的一体化解决方案，积累了国产身份域管替换AD的大量洞察与实践。

首先，宁盾国产化身份域管通过兼容AD、IBM、OpenLDAP等多种目录服务的Schema，简化了新旧业务系统的迁移和对接流程，同时保持与AD的关键能力、管理运维一致性，确保管理人员能够轻松上手，实现便捷管理。

此外，针对金融和央国企行业对国产化、等保合规、密评等安全性需求，宁盾国产身份域管还提供了MFA多因素认证、网络设备AAA等能力，帮助企业国产化改造建设过程中业务保持安全合规。

在实践中，宁盾提炼出了微软AD替换的最优实施路径。首先是身份基础迁移，主要完成账号和口令的迁移，这是替换的起点；接下来是终端和基础架构管理，包括云桌面的迁移、存量终端的管理以及网络部分的整合；最后是应用层管理，涵盖存量应用的适配与增量应用的接入。通过这三个阶段的实施，确保从基础设施到应用层的全面替换。

国产化改造非一日之功，需循序渐进

金融、央国企等信创用户并不建议在短期内全面中断微软AD或迁移核心业务。可实行“先兼容后替代”的策略：先通过三个核心场景测试验证，接管增量场景，与现有微软AD双轨运行，确保身份互通。在信任建立基础上，最终实现由边缘业务向核心业务的平稳迁移。

微软AD替换的核心目标是帮助客户构建一个端到端的身份管理架构。从终端到网络，再到存量和增量应用，各环节实现无缝衔接，彻底解决企业身份管理割裂的问题。这不是简单的国产替换，更是推动企业身份管理体系全面升级的重要契机。

身份管理系统具有长周期属性，这要求服务商具备长期稳定运行的能力。宁盾通过15年的持续深耕，展现了在经营确定性和产品服务稳定性方面的优势。

在信创改造节奏上，宁盾给出了大致周期。例如，超大型客户的信创替换周期通常在三到六个月之间，较长则需要一到三年。若企业从2025年开始启动调研选型与验证，则基本能够赶上2027年底信息化系统100%国产化的目标。

拓宽信创产品生态圈，赋能信创建设

身份管理系统是IT基础设施之一，是保障信创资产能否“真替真用”的前提。因此，加强与各类信创软硬件产品的兼容适配，提升产品的交付体验、使用体验，才是真正地为客户着想，为客户创造价值，更是为自身产品赋能。宁盾深谙信创用户的需求，积极拓宽身份域管的生态圈，前后与数十家信创厂商完成产品兼容互认证，如深信服、中兴、华为、新华三、升腾威讯、天翼云、麒麟、统信、中科方德、达梦、东方通等，为信创企事业单位信创建设打造健壮的国产身份基础设施，实现IT架构的国产化安全过渡。

对于建设信创生态圈的，宁盾始终秉持着三个原则。

一是建立客户意识：始终专注于身份管理产品，实现与不同企业应用的深度对接。因此，宁盾也会将生态伙伴视为客户，清晰认识到对方产品价值的提升将直接反映在宁盾的产品上。这是宁盾能收获众多合作伙伴的基础。

二是采用项目驱动合作模式：在大型项目业务场景中对接，激发双方合作动力。在这个过程中，与对方共同优化、精进，最终实现价值最大化。

三是遵循AD标准：在构建生态时，宁盾会尽可能遵循AD标准，确保身份管理产品在数据结构设计上支持客户现有业务的无缝迁移。这大大降低了客户迁移到宁盾国产化身份域管的阻力和成本。

宁盾始终围绕实现价值共创、保持产品兼容、共享合作效益三个核心点，实现国产身份域管生态建设。

03
国产身份域管替换将往何处去

微软AD在国内或将不再一枝独秀，但国产身份域管成为下一代主流的企业身份基础设施仍旧道阻且长，将会经历三个阶段。

一是头部企业试点阶段：具有创新精神和行业影响力的龙头企业将率先进行试点，这些企业可能来自金融、央国企、能源、电信运营商或军工等关键领域，通过打造行业范本来引领行业变革。

二是中腰部企业推广阶段：在第一阶段成功的基础上，这些最佳实践将逐步扩展至垂直领域的龙头企业的子公司和关联企业，实现技术的更广泛应用。

三是全行业普及阶段：那些之前对AD技术需求不强，甚至已经弃用的企业，他们可能会依赖前两个阶段的成功示范，重新考虑并采纳这项技术。

国内身份管理的发展路径也必然将与国外有显著差异，并呈现出多样化趋势。随着微软AD逐步被替代，国内有望诞生类似微软AD的、更为先进的标准化身份管理企业，这些企业将以标准化产品为基础，满足广泛市场需求。

同时，一些服务商则会专注于为大型客户提供定制化身份管理解决方案，以适配复杂业务场景。此外，互联网巨头如阿里、腾讯和字节跳动也正在通过钉钉、企业微信、飞书等新型办公工具，为SaaS企业提供身份服务。这种新型身份管理方式有助于满足企业对灵活性和高效性的需求，并且与其他两类企业的服务模式形成协作，而非简单的市场竞争。

伴随中国企业日益加速的国际化步伐，以及大模型和生成式AI的迅猛发展，身份管理依然在持续面临新的挑战。

中资企业出海如何建立多方协作身份域管

当前国内许多企业纷纷拓展海外市场，而许多中资企业在海外业务中采用基于微软架构的系统（如Microsoft 365和Azure AD），在国内则依赖本土身份管理系统。这种双架构模式需要确保国内系统的高效运行，同时实现与海外系统的无缝联动与同步。

在此背景下，国内身份管理企业不仅需要与阿里、腾讯等互联网厂商紧密协作，还需与定制化解决方案供应商及全球身份管理服务商（如微软和Okta）建立合作关系，以共同解决中国企业出海及外资企业在中国和全球市场运营中面临的身份管理难题。

无论是中资企业出海还是外资企业入华，都必须有一个“主身份源”作为核心。中资企业出海时，国内身份系统可能作为主身份源，为海外云身份系统提供配合支持。而外资企业在中国，则可能以微软身份为主，同时借助国内身份管理系统作为辅助解决增量需求。

未雨绸缪，洞察AI时代企业身份安全需求

随着物联网、具身智能、大模型和生成式AI代理等新技术的崛起，身份管理面临着组织形态和生产力主体的双重变革。这些技术的快速发展不仅改变了生产力对象和组织结构，也对身份管理提出了新的挑战。

对此，宁盾也正在积极布局，通过升级现有身份管理系统来应对未来的各种变化。未来身份管理仍然聚焦三个核心要素：首先，确保身份鉴别的可信性；其次，确保访问权限的合规性，保证用户仅能访问相关数据；最后，强化访问行为的可追溯性，便于监管和审计。通过这些措施为企业提供安全、稳定、可靠的身份管理体系。

技术变革、政策更替，建立一套强健、安全的身份管理系统可以支撑企业业务敏捷与快速扩张，应对重重挑战，这是宁盾作为数字身份基础设施提供商的使命。未来，宁盾将不断拓展身份管理的应用场景和能力，持续推动国产可信身份标准的建设。

来源：第一新声