Azure Active Directory: Was ist Azure AD?

Azure Active Directory (kurz Azure AD oder AAD) wird über die Cloud-Computing-Plattform Azure von Microsoft bereitgestellt. Es handelt sich um einen cloud-basierten Verzeichnisdienst, mit dem sich Zugriffsberechtigungen und Identitäten verwalten lassen. Azure AD ist seit 2022 Teil der Microsoft Entra Produktfamilie, zu der auch die Entra Berechtigungsverwaltung und Verified-ID-Lösung zählen.

Gemanaged werden etwa die Zugriffsmöglichkeiten und Berechtigungen von Anwendern auf Microsoft-Services wie Microsoft Dynamics, Microsoft Intune oder Microsoft 365 (Office-Suite, Exchange Online, Teams, OneDrive, SharePoint & Co.). Neben Microsoft-Services lassen sich auch externe SaaS-Anwendungen (Software as a Service) und andere Ressourcen mittels Azure AD verwalten.

Azure AD ist in erster Linie ein Verzeichnisdienst für webbasierte Services. Für die Unterstützung externer Services sind REST-Schnittstellen vorgesehen. Anstelle von LDAP (Lightweight Directory Access Protocol) greift das AAD über HTTP-Anfragen auf Ressourcen zu und nutzt Protokolle und Standards wie SAML (Security Assertion Markup Language), OpenID und OAuth 2.0 (Open Authorization) für die Authentifizierung und Autorisierung. Die Verwaltung von Azure AD erfolgt über eine grafische Weboberfläche oder alternativ über die PowerShell.

Entscheidet ein Unternehmen sich für einen der Microsoft Cloud-Dienste, wird es automatisch zu einem Abonnenten von Azure AD. Das bedeutet, dass das Unternehmen über das Azure-Portal auf das Azure Active Directory zugreifen und dort seine Mitarbeiter, Passwörter und Berechtigungen verwalten kann.

Azure Active Directory unterstützt Single Sign-on (SSO). Die Anwender können die verschiedenen Microsoft-365-Services also unmittelbar nach dem Login nutzen, ohne sich erneut anmelden zu müssen.

Azure Active Directory steht in verschiedenen Versionen zur Verfügung, die jeweils einen unterschiedlichem Leistungsumfang haben. Aktuell unterscheidet Microsoft vier Versionen, von denen die erste kostenlos in Abonnements von Microsoft Cloud-Services wie Dynamics 365, Microsoft 365 oder Intune enthalten ist.

Neben der kostenlosen Version gibt es noch die Microsoft-365-Apps, die eine Reihe von Azure-AD-Features bündeln, die in Microsoft-365-Plänen wie E1, E3, E5, F1 und F3 enthalten sind. Die beiden Premium-Varianten von Azure Active Directory (P1 Premium und P2 Premium) bieten zusätzliche Self-Service-Features und Sicherheitsfunktionen wie bedingter Zugriff und Session-Timeouts.

Mandanten ohne die nötige Lizenz können durch die Aktivierung der Azure AD Sicherheitsstandards grundlegende Schutzmaßnahmen wie Multi-Faktor-Authentifizierung (MFA) ohne zusätzliche Kosten nutzen. Die Einstellungen können in diesem Fall aber nicht im Detail angepasst werden.

P2 unterscheidet sich von P1 durch zusätzliche Features im Bereich Identity Protection und Identity Governance. Eine vollständige Übersicht über Preise und Funktionen aller vier Azure-AD-Versionen finden Sie hier.

Das lokale Active Directory dient der grundlegenden Verwaltung von Benutzern und Computern im Unternehmensnetzwerk. Es handelt sich um eine Kombination aus mehreren Diensten, unter denen die Active Directory Domain Services (AD DS) das Herzstück sind, weil sie die Verzeichnisdienste zur Verfügung stellen.

Das AD DS ist also die zentrale Datenbank, welche die Verwaltung von Benutzern und Ressourcen im Unternehmensnetzwerk überhaupt erst ermöglicht. Anders als Azure AD, das als Cloud-Dienst keine Infrastruktur auf Seiten des Anwenders voraussetzt, nutzt das lokale Active Directory ein hierarchisches Framework für die lokale Verwaltung. Ein Server-Computer fungiert dabei als Domain Controller (Domänencontroller) und ist für die Benutzer-Authentifizierung in der Domäne verantwortlich.

Um Organisationen, Personen und andere Ressourcen (z.B. Dateien und Endgeräte) im Netzwerk zu identifizieren und zu managen, nutzt das AD Dienste wie DNS (Domain Name System) und das Lightweight Directory Access Protocol (LDAP). Letzteres ermöglicht nicht nur die Verwaltung der lokalen, sondern auch die Verwaltung von im Internet verfügbaren Verzeichnissen. Für die sichere Authentifizierung wird in der Regel Kerberos eingesetzt.

Um die Kompatibilität älterer Systeme zu gewährleisten unterstützt AD auch weiterhin den LAN Manager (NTLM), dieses anfällige Authenfizierungs-Protokoll gefährdet jedoch die Active Directory Sicherheit.

Im Azure Active Directory werden Identitäten via Internet über die Protokolle HTTP und HTTPS gemanaged. Anstelle von Kerberos arbeitet das Azure AD mit Authentifizierung über Benutzername und Passwort-Abfrage sowie mit verschiedenen Security-Protokollen (z.B. Security Assertion Markup Language/SAML und Open Authorization).

Der größte Unterschied zwischen dem lokalen Active Directory und Azure AD ist struktureller Natur. Während das lokale AD die Nutzung von Organizational Units (OUs) und Gruppenrichtlinien-Objekten (Group Policy Objects, GPOs) unterstützt und es dem Administrator ermöglicht, das Unternehmen in der Gesamtheit seiner Bestandteile und Untereinheiten abzubilden und zu organisieren, werden Organizational Units und Gruppenrichtlinien-Objekte im Azure Active Directory NICHT unterstützt. Für Cloud-only-User kann dies u.a. folgende Schwierigkeiten mit sich bringen:

Das Azure Active Directory wurde geschaffen, um moderne Cloud-Anwendungen zu integrieren. Aufgrund seiner flachen Struktur fehlen ihm jedoch einige Funktionen, die sich in der traditionellen AD-Umgebung bewährt haben. Vor allem die fehlende Unterstützung für GPOs und OUs ist ein Problem, da insbesondere größere Unternehmen mit vielen Mitarbeitern und verschiedenen Standorten die Verwaltung über Gruppenrichtlinien und Organisationseinheiten für ein zuverlässiges Identitäts- und Rechtemanagement benötigen.

Aus diesem Grund entscheiden sich viele Unternehmen z.B. dafür, ihr Identitätsmanagement weiterhin über das lokale AD zu betreiben und das Azure AD lediglich für die Steuerung der Cloud-Dienste zu verwenden. Wer das Beste aus beiden Lösungen für sich nutzbar machen möchte, kann Azure AD auch mit einem lokalen Active Directory verbinden. Für ein solches Hybrid-Setup gibt es verschiedene Möglichkeiten.

Über Azure AD Connect können Sie Azure AD mit dem traditionellen Active Directory verbinden. Azure AD Connect nutzt einen auf einem Server installierten Agenten mit Verbindung zur Domäne und synchronisiert automatisch die relevanten Daten vom lokalen AD nach Azure AD. Wie Sie Azure AD Connect einrichten und betreiben, erfahren Sie hier.

Das Problem mit Azure AD ist, dass es jede Organisation wie eine Art “Mieter” behandelt, der über das Azure-Portal auf Azure AD zugreift, um dort seine Mitarbeiter, Passwörter und Berechtigungen zu verwalten. Azure AD bietet dem User nach der Authentifizierung Zugriff auf die verschiedenen Services, aber Sie können nicht darüber entscheiden, wie z.B. die Zugriffsrechte im Detail konfiguriert sind. Hierfür bietet das Azure Ad nicht die notwendigen strukturellen Voraussetzungen.

Dieses Problem löst Microsoft mit den Azure AD Domain Services (AAD DS). AAD DS ist ein Azure-Produkt, das eine von Microsoft verwaltete Active Directory Domain auf zwei Domain- Controllern bereitstellt. Die Domain-Controller unterstützen u.a. LDAP, Domain Joining und die Authentifizierung via Kerberos und NTLM. Auch die Nutzung von Organisationseinheiten und Gruppenrichtlinien ist in dieser Version des Azure Active Directorys möglich.

Eine weitere Möglichkeit, lokales AD und Azure AD gemeinsam zu nutzen, besteht darin, das lokale AD DS nach Azure zu erweitern. Um dies zu erreichen, migrieren Sie den bisherigen Domänencontroller in eine Virtuelle Maschine (VM) in Azure. Sie führen also gleichsam Ihr eigenes Deployment einer AD-Infrastruktur auf Azure VMs durch. Diese Lösung eignet sich v.a. für Unternehmen, die sowohl mit lokalen als auch mit Cloud-basierten Ressourcen arbeiten, die via VPN oder einer Azure ExpressRoute miteinander verknüpft sind.

Diese Variante ist dem On-Premise Active Directory am ähnlichsten, da lediglich die Infrastruktur (in Form von Windows Servern auf Azure VMs) von Microsoft bereitgestellt ist. Anders als bei Azure AD DS haben Sie bei dieser Variante die volle Kontrolle über die Domain. Das bedeutet natürlich auch, dass Sie für deren Pflege (Patches und Updates, Backups, etc.) verantwortlich sind.