Azure AD vs. Active Directory: Die wichtigsten Unterschiede
Microsoft 365, Azure Active Directory und neue Produkte wie Entra und Purview โ Microsoft baut sein Cloud-Angebot laufend aus. Fรผr Organisationen, die eine Active Directory Domรคne betreiben, stellt sich dabei eine wesentliche Frage: Deckt Azure AD tatsรคchlich alle Funktionen und Anwendungsfรคlle des lokalen Active Directory ab?
In diesem Beitrag vergleichen wir Azure Active Directory mit den Active Directory Domain Services (AD DS) einer on-premise Installation und erklรคren die wichtigsten Unterschiede der beiden Verzeichnisdienste. Darรผber hinaus erfahren Sie, wie sich mittels Azure AD Connect, Managed Domain Services oder einem Domรคnencontroller in Azure VMs eine hybride Umgebung aufsetzen lรคsst.
Was ist Azure AD?
Entra ID (ehemals Azure AD bzw. AAD) ist ein Cloud-basierter Verzeichnisdienst und Teil von Microsofts Cloud-Computing Plattform Azure. Die Hauptaufgabe von Entra ID bzw. Azure AD ist die Verwaltung der Online-Konten fรผr die verschiedenen Microsoft 365 Apps: Azure AD ist die zentrale Plattform, รผber die Organisationen den Zugriff auf M365-Dienste wie Teams, OneDrive und SharePoint oder auch Office 365, Exchange Online und Intune steuern. Darรผber hinaus kann Azure AD verwendet werden, um Zugรคnge in Drittsystemen zu verwalten.
Azure ADs Rolle als zentrale Plattform fรผr Cloud-Identitรคten hat mehrere Vorteile. Fรผr Endanwender bildet der Dienst eine Single Sign-On (SSO) Lรถsung fรผr Microsoft 365: Benutzer mรผssen sich nur einmal anmelden, um auf die unterschiedlichen M365-Apps zuzugreifen, und profitieren dabei von Sicherheits-Features wie Multi-Faktor-Authentifzierung und bedingtem Zugriff. Gleichzeitig kรถnnen Admins alle Konten zentral verwalten.
Im Gegensatz zu Ihrem lokal gehosteten Active Directory handelt es sich bei Azure AD um ein vollstรคndig durch Microsoft gemanagtes PaaS-Angebot (Platform-as-a-Service), fรผr das keine eigene Infrastruktur erforderlich ist. Es lรคsst sich jedoch mit einem lokalen AD kombinieren.
Hinweis: Azure Active Directory wurde von Microsoft in Entra ID umbenannt, um den Namen an die Entra-Produktfamilie anzugleichen. Von dem neuen Namen abgesehen, gibt es dadurch keine รnderung der Funktionalitรคt.
Wie funktioniert Azure AD?
Azure AD ist ein Cloud-Verzeichnisdienst fรผr webbasierte Services. Andere Dienste lassen sich รผber eine REST API anbinden. Anstelle von LDAP (Lightweight Directory Access Protocol) greift AAD รผber HTTP-Anfragen auf Ressourcen zu. Fรผr die Authentifizierung und Autorisierung nutzt Azure AD Protokolle und Standards wie SAML (Security Assertion Markup Language), WS-Federation (Web Services Federation), OpenID und OAuth 2.0.
Meldet sich ein Unternehmen fรผr einen der Microsoft Cloud-Dienste an, erhรคlt es automatisch einen eigenen Azure AD Tenant, der รผber das Microsoft Entra Admin Center (ehemals Azure AD Admin Center) oder mittels PowerShell verwaltet werden kann. Azure Active Directory fungiert dabei als zentraler Identity Provider und Single Sign-On (SSO) Plattform fรผr die Microsoft Cloud: Greifen Benutzer auf Dienste wie Teams, SharePoint und OneDrive zu, erfolgt die Anmeldung und Authentifizierung im Hintergrund รผber Azure AD.
Azure AD Kosten & Plรคne: Gratis, M365 & Premium
Um Azure Active Directory zu nutzen, mรผssen sich Organisationen fรผr einen von vier Plรคnen entscheiden, die sich hinsichtlich der enthaltenen Features und monatlichen Kosten unterscheiden:
Eine kostenlose Version (die in Abonnements von Azure, Intune oder Dynamics 365 enthalten ist).
Die Office 365 Version (in Verbindung mit einem Microsoft 365 Abo)
Azure AD Premium P1
Azure AD Premium P2
Die kostenlose Version von Azure AD deckt grundlegende Funktionen rund um die Verwaltung von Online-Identitรคten ab: sichere Authentifizierung, die Fรถderation von Identitรคten, Provisionierung von Konten und Synchronisierung mittels Azure AD Connect. Der Office 365 Plan enthรคlt darรผber hinaus Zugang zu den Apps des jeweiligen Abonnements sowie etwaigen zusรคtzlichen Features, die in den unterschiedlichen Office/M365 Plรคnen enthalten sind: E1, E3, E5. Dazu zรคhlen etwa Vertraulichkeits-Labels und Microsoft Defender fรผr M365.
Premium P1 und Premium P2 umfassen weitere Features fรผr die Administration von Cloud-Identitรคten, darunter etwa dynamische Gruppen, erweiterte Self-Service Funktionen und die Rezertfizierung von Berechtigungen. Auch Sicherheits-Features sind Teil der Premium-Plรคne, zum Beispiel Richtlinien fรผr bedingten Zugriff.
Der Unterschied zwischen Azure AD P1 und P2 macht sich neben einigen exklusiven Features wie risikobasierter Identity Protection auch in erweiterter Funktionalitรคt bemerkbar, etwa einem lรคngeren Aufbewahrungszeitraum fรผr Audit Logs. Nรคhere Informationen finden Sie in der vollstรคndigen Gegenรผberstellung der Azure Active Directory Plรคne.
Best Practices fรผr das M365 Access Management
Inkludierte Tools, effiziente Verwaltung und Datensicherheit in der Cloud: Alles zum Berechtigungsmanagement in Microsoft 365!
Azure AD vs AD
Wie funktioniert das lokale Active Directory?
Active Directory dient der grundlegenden Gerรคte- und Benutzerverwaltung in Windows Netzwerken. Es besteht aus mehreren Diensten, von denen die Active Directory Domain Services (AD DS) den Kern des Netzwerks bilden. Im Grunde handelt es sich bei AD DS um eine zentrale Datenbank, in der Informationen รผber Benutzer, Gruppen und Gerรคte in der lokalen Domรคne gespeichert sind.
Active Directory nutzt diese Daten, um Benutzer beim Windows-Login zu authentifizieren, Gruppenrichtlinien anzuwenden und den Zugriff auf Ressourcen mithilfe von NTFS Berechtigungen, Freigabeberechtigungen und weiterer Einstellungen zu steuern. Genauer gesagt gleicht AD DS den Security Identifier des Users mit der Access Control List der unterschiedlichen Objekte ab.
Im Gegensatz zu Azure AD, das als Cloud-Dienst ohne lokale Infrastruktur auskommt, mรผssen Organisationen fรผr den Betrieb eines Active Directory eine eigene Server-Umgebung aufsetzen. Active Directory folgt dabei einem hierarchischen Aufbau: Ein Computer im Netzwerk รผbernimmt die Rolle des Domain Controller (Domรคnencontroller) und agiert als zentrale Instanz fรผr Authentifizierung und Administration. In der Praxis empfiehlt Microsoft, mindestens zwei Domain Controller zu verwenden, um Ausfรคlle zu vermeiden. Beide speichern die gleichen Informationen und dienen als gegenseitiges Backup. Mehr Informationen zum Deployment von Active Directory.
Identitรคtsmanagement im lokalen AD
Um Organisationen, Personen und andere Ressourcen (z.B. Dateien und Endgerรคte) im Netzwerk zu identifizieren und zu managen, nutzt das AD Dienste wie DNS (Domain Name System) und das Lightweight Directory Access Protocol (LDAP). Fรผr die sichere Authentifizierung werden in der Regel Kerberos-Tickets eingesetzt. Um die Kompatibilitรคt รคlterer Systeme zu gewรคhrleisten unterstรผtzt AD auch weiterhin den NT LAN Manager (NTLM), dieses anfรคllige Authentifizierungs-Protokoll gefรคhrdet jedoch die Active Directory Sicherheit.
Identitรคtsmanagement im Azure AD
Anstelle von Kerberos verwendet Azure AD Sicherheitsprotokolle wie Security Assertion Markup Language/SAML und Open Authorization fรผr die Authentifizierung von Benutzern. Zur Bestรคtigung der Identitรคt unterstรผtzt Azure AD verschiedene MFA-Methoden, wie die Verwendung der Microsoft Authenticator App, OAuth Tokens oder FIDO2 Security Keys. Die Verwaltung von Benutzern erfolgt รคhnlich dem lokalen AD รผber Gruppen und Rollen.
Azure AD vs AD โ Strukturelle Unterschiede
Der grรถรte Unterschied zwischen Active Directory und Azure AD liegt in ihrer Struktur: Wรคhrend das lokale AD in mehrere Domรคnen, Trees und Forests aufgeteilt werden kann, verwendet Azure eine flache Hierarchie und erlaubt es nicht, mehrere Domains in einem Tenant einzurichten. Alle Azure AD Konten sind also zwangslรคufig Teil der gleichen Domain. Das kann zu einem Problem fรผr grรถรere Organisationen werden, die unterschiedliche Standorte und Zweigstellen separat verwalten mรถchten.
Azure AD vs AD โ Fehlende Features
Anders als Active Directory unterstรผtzt Azure AD keine Organisationseinheiten (OUs) oder Gruppenrichtlinienobjekte (GPOs). Die Delegierung von Admin-Rechten ist stattdessen รผber Verwaltungseinheiten mรถglich, mit einigen Einschrรคnkungen (keine Verschachtelung). Gerรคte-Einstellungen lassen sich รผber Microsoft Intune und den Endpoint Manager steuern.
Diese Komponenten decken aber nicht alle Funktionen ab, die Admins aus dem on-premise AD erwarten. Bei der parallelen Nutzung von Active Directory und Azure AD sorgt die korrekte Konfiguration beider Dienste somit fรผr zusรคtzlichen Aufwand. In Verbindung mit der flachen Struktur von Azure AD kรถnnen sich somit einige Probleme ergeben:
Andere Struktur: Es ist nicht mรถglich, in Azure AD die gleichen Domains, Trees und Forests zu entwerfen wie im normalen AD.
Hรถherer Verwaltungsaufwand: Trotz vorhandener Migrations- und Synchronisierungstools erschwert die parallele Pflege von Organisationseinheiten und Verwaltungseinheiten das User Management.
Weniger Kontrolle: Nicht alle Einstellungen der lokalen Gruppenrichtlinien sind รผber Intune und Cloudrichtlinien verfรผgbar.
Hinter den Kulissen von Teams & OneDrive: Das geheime Leben geteilter Daten
Lokales AD und Azure AD verbinden
Azure AD Connect
Azure AD Connect ist eine Utility, die es erlaubt, Daten aus dem lokalen Active Directory in Azure AD zu รผbertragen. Die Anwendung wird auf einem Server innerhalb der Domรคne installiert und synchronisiert Benutzer, Gerรคte und Gruppen automatisch in AAD. So lรคsst sich das lokale Active Directory in die Cloud erweitern, ohne beide Verzeichnisdienste separat pflegen zu mรผssen. Dank Passthrough-Authentifizierung kรถnnen Benutzer sogar das gleiche Passwort fรผr ihr AD und Azure AD Konto verwenden. Damit Benutzer auf die richtigen M365-Ressourcen zugreifen kรถnnen, mรผssen Admins aber dennoch einige Cloud-spezifische Einstellungen festlegen.
Azure AD Connect unterstรผtzt unterschiedliche Anwendungsfรคlle und Topologien, etwa die Verbindung eines Forests zu einem AAD Tenant, mehrerer Forests zu einem Tenant oder eines Forests zu mehreren Tenants. Allerdings gibt es hier ein paar Einschrรคnkungen zu beachten. Zum Beispiel kann nur ein Azure AD Tenant Daten in das lokale AD zurรผckschreiben (ausgenommen das Zurรผckschreiben von Passwรถrtern). Details zur Installation von Azure AD Connect.
Azure AD Connect Cloud Sync
Wie Azure AD Connect erlaubt auch Azure AD Connect Cloud Sync das Synchronisieren von Daten zwischen Active Directory und Azure AD. Anstatt einer lokalen Anwendung verwendet der Dienst jedoch den Bereitstellungsagenten (Provisioning Agent) von AAD. Somit ist keine lokale Installation erforderlich und die Synchronisierung verbraucht keine Server-Ressourcen auf Seiten der Organisation.
Darรผber hinaus unterstรผtzt Cloud Sync einige Szenarien, die von Azure AD Connect nicht abgedeckt werden. Zum Beispiel kann die Cloudsynchronisierung Daten aus mehreren, nicht miteinander verbundenen Forests zusammenfรผhren. Das kann Organisationen betreffen, die sich kรผrzlich zusammengeschlossen, aber ihre IT-Umgebungen nicht integriert haben.
Azure AD Domain Services
Bei Azure AD Domain Services (Azure AD DS) handelt es sich um eine Active Directory Domรคne auf virtuellen Domaincontrollern, die von Microsoft bereitgestellt, betreut und gepatcht werden. Da Azure AD DS die Active Directory Domain Services in Cloud-VMs emuliert, bietet der Dienst alle Funktionen des lokalen AD: Organisationseinheiten, Gruppenrichtlinienobjekte, Domรคnenbeitritt, LDAP, Kerberos und NTLM.
Azure AD DS kann als reines Cloud-Deployment oder Teil einer hybriden Umgebung eingesetzt werden, in der AD DS und Azure AD DS รผber Azure AD Connect synchronisiert werden. Das AAD DS als Managed Service von Microsoft betrieben wird, hat Vorteile und Nachteile: Einerseits mรผssen sich Kunden nicht um Server-Wartung oder Sicherheitspatches kรผmmern. Andererseits haben Organisationen nur eingeschrรคnkte Kontrolle รผber die bereitgestellte Domain. Beispielsweise erhรคlt man keine Domรคnenadmin- bzw. Organisationsadmin-Rechte.
Azure AD vs Azure AD DS
Trotz ihres รคhnlichen Namens sind Azure AD und Azure AD DS zwei vรถllig unterschiedliche Produkte. Azure AD dient zwar als Verzeichnisdienst fรผr Microsoft 365, unterscheidet sich aber in vielen Punkten von dem normalen Active Directory: seiner flachen Struktur, den fehlenden OUs und GPOs, den unterschiedlichen Authentifizierungs-Protokollen.
Bei Azure AD DS handelt es sich hingegen wortwรถrtlich um Active Directory in der Cloud. Azure AD DS hat also viel mehr mit dem klassischen AD als mit Azure AD gemeinsam. Als Managed Service ist Azure AD DS allerdings ebenso auf nur eine Domain beschrรคnkt. Es gibt auch einige weitere Einschrรคnkungen zu beachten: Kein Support fรผr AD Certificate Services, Vertrauensstellungen zwischen Forests oder Schema-Erweiterungen.
Azure AD DS | Azure AD |
---|---|
Verzeichnisdienst fรผr eigene Domain | Verzeichnisdienst fรผr M365 Apps |
Virtuelle Domain Controller in Azure | Tenant in Azure |
Authentifizierung รผber Kerberos, NTLM | Authentifizierung รผber SAML, OAuth, OpenID |
LDAP Support | Kein LDAP Support |
Gruppenrichtlinienobjekte | Gerรคteeinstellungen รผber Intune und Endpoint Manager |
Organisationseinheiten (OUs) | Verwaltungseinheiten (AUs) |
Domรคnencontroller in Azure Cloud VMs
Organisationen, die das eigene AD in die Cloud erweitern und die Kontrolle รผber die eigene Domain behalten mรถchten, kรถnnen auch selbst einen Domain Controller auf einer virtuellen Maschine in Azure hosten. Hier gibt es mehrere Mรถglichkeiten: Man kann eine neue Domรคne in der Cloud aufsetzen, den bestehenden Domรคnencontroller in die VM migrieren oder ihn in der virtuellen Maschine replizieren. Diese Vorgehensweise empfiehlt sich fรผr Firmen, die sowohl lokale als auch Cloud-Ressourcen verwalten mรถchten, die รผber eine VPN-Verbindung oder Azure ExpressRoute angebunden werden kรถnnen.
Ein Domรคnencontroller in einer virtuellen Maschine ist am ehesten mit einem klassischen AD-Deployment vergleichbar, da nur die zugrundeliegende Infrastruktur (in Form von Azure VMs) von Microsoft bereitgestellt wird. Anders als bei dem Managed Service Azure AD DS behalten Organisationen bei diesem Modell die volle Kontrolle รผber die eigene Domain. Mehr Kontrolle bedeutet aber auch mehr Verantwortung: Bei einem selbst gehosteten Domaincontroller muss man sich auch selbst um Serverwartung, Sicherheitsupdates und regelmรครige Backups kรผmmern.
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthรคlt eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.