Azure Active Directory: Was ist Azure AD?

Microsoft 365, Azure AD, Purview und Entra – es ist viel los in der Microsoft Cloud! Und an mancher Stelle ist der bevorstehende Umzug in die Cloud mit einer gewissen Unsicherheit verbunden: Kann Azure AD eigentlich das gleiche wie mein lokales Active Directory? Die kurze Fassung: Nein. Azure Active Directory (Azure AD) und die Active Directory Domain Services (AD DS) sehen zwar ähnlich aus, aber sie sind nicht austauschbar.

In der langen Fassung erfahren Sie, was Ihr lokales AD kann, was Azure Active Directory nicht kann. Außerdem schauen wir uns an, warum es sich für Unternehmen lohnen kann, auf eine hybride Lösung zu setzen, und wie Microsoft dies realisiert.

Was ist Azure AD?

Azure Active Directory (kurz Azure AD oder AAD) wird über die Cloud-Computing-Plattform Azure von Microsoft bereitgestellt. Es handelt sich um einen cloud-basierten Verzeichnisdienst, mit dem sich Zugriffsberechtigungen und Identitäten verwalten lassen. Azure AD ist seit 2022 Teil der Microsoft Entra Produktfamilie, zu der auch die Entra Berechtigungsverwaltung und Verified-ID-Lösung zählen.

Gemanaged werden etwa die Zugriffsmöglichkeiten und Berechtigungen von Anwendern auf Microsoft-Services wie Microsoft Dynamics, Microsoft Intune oder Microsoft 365 (Office-Suite, Exchange Online, Teams, OneDrive, SharePoint & Co.). Neben Microsoft-Services lassen sich auch externe SaaS-Anwendungen (Software as a Service) und andere Ressourcen mittels Azure AD verwalten.

Im Gegensatz zu Ihrem lokal gehosteten Active Directory handelt es sich bei Azure AD um ein vollständig durch Microsoft gemanagtes PaaS-Angebot (Platform-as-a-Service), für das keine eigene Infrastruktur erforderlich ist.

Wie funktioniert Azure AD?

Azure AD ist in erster Linie ein Verzeichnisdienst für webbasierte Services. Für die Unterstützung externer Services sind REST-Schnittstellen vorgesehen. Anstelle von LDAP (Lightweight Directory Access Protocol) greift das AAD über HTTP-Anfragen auf Ressourcen zu und nutzt Protokolle und Standards wie SAML (Security Assertion Markup Language), OpenID und OAuth 2.0 (Open Authorization) für die Authentifizierung und Autorisierung. Die Verwaltung von Azure AD erfolgt über eine grafische Weboberfläche oder alternativ über die PowerShell.

Entscheidet ein Unternehmen sich für einen der Microsoft Cloud-Dienste, wird es automatisch zu einem Abonnenten von Azure AD. Das bedeutet, dass das Unternehmen über das Azure-Portal auf das Azure Active Directory zugreifen und dort seine Mitarbeiter, Passwörter und Berechtigungen verwalten kann.

Azure Active Directory unterstützt Single Sign-on (SSO). Die Anwender können die verschiedenen Microsoft-365-Services also unmittelbar nach dem Login nutzen, ohne sich erneut anmelden zu müssen.

Azure AD
Wer ist wer in der Cloud? Azure AD verwaltet Identitäten und Berechtigungen. Adobe Stock, (c) 1STunningART

Ist Azure AD kostenlos?

Azure Active Directory steht in verschiedenen Versionen zur Verfügung, die jeweils einen unterschiedlichem Leistungsumfang haben. Aktuell unterscheidet Microsoft vier Versionen, von denen die erste kostenlos in Abonnements von Microsoft Cloud-Services wie Dynamics 365, Microsoft 365 oder Intune enthalten ist.

Neben der kostenlosen Version gibt es noch die Microsoft-365-Apps, die eine Reihe von Azure-AD-Features bündeln, die in Microsoft-365-Plänen wie E1, E3, E5, F1 und F3 enthalten sind. Die beiden Premium-Varianten von Azure Active Directory (P1 Premium und P2 Premium) bieten zusätzliche Self-Service-Features und Sicherheitsfunktionen wie bedingter Zugriff und Session-Timeouts.

Mandanten ohne die nötige Lizenz können durch die Aktivierung der Azure AD Sicherheitsstandards grundlegende Schutzmaßnahmen wie Multi-Faktor-Authentifizierung (MFA) ohne zusätzliche Kosten nutzen. Die Einstellungen können in diesem Fall aber nicht im Detail angepasst werden.

P2 unterscheidet sich von P1 durch zusätzliche Features im Bereich Identity Protection und Identity Governance. Eine vollständige Übersicht über Preise und Funktionen aller vier Azure-AD-Versionen finden Sie hier.

Azure AD vs AD

Wie funktioniert das lokale Active Directory?

Das lokale Active Directory dient der grundlegenden Verwaltung von Benutzern und Computern im Unternehmensnetzwerk. Es handelt sich um eine Kombination aus mehreren Diensten, unter denen die Active Directory Domain Services (AD DS) das Herzstück sind, weil sie die Verzeichnisdienste zur Verfügung stellen.

Das AD DS ist also die zentrale Datenbank, welche die Verwaltung von Benutzern und Ressourcen im Unternehmensnetzwerk überhaupt erst ermöglicht. Anders als Azure AD, das als Cloud-Dienst keine Infrastruktur auf Seiten des Anwenders voraussetzt, nutzt das lokale Active Directory ein hierarchisches Framework für die lokale Verwaltung. Ein Server-Computer fungiert dabei als Domain Controller (Domänencontroller) und ist für die Benutzer-Authentifizierung in der Domäne verantwortlich.

Identitätsmanagement im lokalen AD

Um Organisationen, Personen und andere Ressourcen (z.B. Dateien und Endgeräte) im Netzwerk zu identifizieren und zu managen, nutzt das AD Dienste wie DNS (Domain Name System) und das Lightweight Directory Access Protocol (LDAP). Letzteres ermöglicht nicht nur die Verwaltung der lokalen, sondern auch die Verwaltung von im Internet verfügbaren Verzeichnissen. Für die sichere Authentifizierung wird in der Regel Kerberos eingesetzt.

Um die Kompatibilität älterer Systeme zu gewährleisten unterstützt AD auch weiterhin den LAN Manager (NTLM), dieses anfällige Authenfizierungs-Protokoll gefährdet jedoch die Active Directory Sicherheit.

Identitätsmanagement im Azure AD

Im Azure Active Directory werden Identitäten via Internet über die Protokolle HTTP und HTTPS gemanaged. Anstelle von Kerberos arbeitet das Azure AD mit Authentifizierung über Benutzername und Passwort-Abfrage sowie mit verschiedenen Security-Protokollen (z.B. Security Assertion Markup Language/SAML und Open Authorization).

Azure AD vs AD – Strukturelle Unterschiede

Der größte Unterschied zwischen dem lokalen Active Directory und Azure AD ist struktureller Natur. Während das lokale AD die Nutzung von Organizational Units (OUs) und Gruppenrichtlinien-Objekten (Group Policy Objects, GPOs) unterstützt und es dem Administrator ermöglicht, das Unternehmen in der Gesamtheit seiner Bestandteile und Untereinheiten abzubilden und zu organisieren, werden Organizational Units und Gruppenrichtlinien-Objekte im Azure Active Directory NICHT unterstützt. Für Cloud-only-User kann dies u.a. folgende Schwierigkeiten mit sich bringen:

  • fehlende Organisationseinheiten: Im Azure AD ist es nicht möglich, dieselben DomainsTrees und Forests zu erstellen, wie Sie es als Admin aus dem AD DS gewohnt sind.

  • größerer Administrationsaufwand: Aufgrund der fehlenden Organisationseinheiten ist es im Azure AD schwieriger, administrative Aufgaben zu delegieren bzw. ein gewisses Maß an Standardisierung und/oder Automatisierung umzusetzen.

  • keine detaillierte Steuerung: Aufgrund der fehlenden Gruppenrichtlinien ist es im Azure AD nicht möglich, Gerätefunktionen und Einstellungen detailliert zu steuern.

Weniger Funktionsumfang als das lokale AD

Das Azure Active Directory wurde geschaffen, um moderne Cloud-Anwendungen zu integrieren. Aufgrund seiner flachen Struktur fehlen ihm jedoch einige Funktionen, die sich in der traditionellen AD-Umgebung bewährt haben. Vor allem die fehlende Unterstützung für GPOs und OUs ist ein Problem, da insbesondere größere Unternehmen mit vielen Mitarbeitern und verschiedenen Standorten die Verwaltung über Gruppenrichtlinien und Organisationseinheiten für ein zuverlässiges Identitäts- und Rechtemanagement benötigen.

Aus diesem Grund entscheiden sich viele Unternehmen z.B. dafür, ihr Identitätsmanagement weiterhin über das lokale AD zu betreiben und das Azure AD lediglich für die Steuerung der Cloud-Dienste zu verwenden. Wer das Beste aus beiden Lösungen für sich nutzbar machen möchte, kann Azure AD auch mit einem lokalen Active Directory verbinden. Für ein solches Hybrid-Setup gibt es verschiedene Möglichkeiten.

Lokales AD und Azure AD verbinden

Azure AD Connect

Über Azure AD Connect können Sie Azure AD mit dem traditionellen Active Directory verbinden. Azure AD Connect nutzt einen auf einem Server installierten Agenten mit Verbindung zur Domäne und synchronisiert automatisch die relevanten Daten vom lokalen AD nach Azure AD. Wie Sie Azure AD Connect einrichten und betreiben, erfahren Sie hier.

Azure AD
Es ist möglich, Azure AD und Ihr lokales AD gemeinsam zu verwenden. Azure AD Connect hilft. Adobe Stock, (c) Blue Planet Studio

Azure AD Domain Services

Das Problem mit Azure AD ist, dass es jede Organisation wie eine Art “Mieter” behandelt, der über das Azure-Portal auf Azure AD zugreift, um dort seine Mitarbeiter, Passwörter und Berechtigungen zu verwalten. Azure AD bietet dem User nach der Authentifizierung Zugriff auf die verschiedenen Services, aber Sie können nicht darüber entscheiden, wie z.B. die Zugriffsrechte im Detail konfiguriert sind. Hierfür bietet das Azure Ad nicht die notwendigen strukturellen Voraussetzungen.

Dieses Problem löst Microsoft mit den Azure AD Domain Services (AAD DS). AAD DS ist ein Azure-Produkt, das eine von Microsoft verwaltete Active Directory Domain auf zwei Domain- Controllern bereitstellt. Die Domain-Controller unterstützen u.a. LDAP, Domain Joining und die Authentifizierung via Kerberos und NTLM. Auch die Nutzung von Organisationseinheiten und Gruppenrichtlinien ist in dieser Version des Azure Active Directorys möglich.

Achtung! Die vollständige Verwaltung von Azure AD Domain Services durch Microsoft bedeutet zwar, dass Sie sich nicht um das Patch-Management kümmern müssen, aber dafür sind die Möglichkeiten zur Verwaltung der Domain auch eingeschränkt. Sie erhalten beispielsweise keine Domänenadministrator-Berechtigungen. Detaillierte Informationen zu den Azure AD Domain Services finden Sie hier.

Domänencontroller in der Cloud (IaaS)

Eine weitere Möglichkeit, lokales AD und Azure AD gemeinsam zu nutzen, besteht darin, das lokale AD DS nach Azure zu erweitern. Um dies zu erreichen, migrieren Sie den bisherigen Domänencontroller in eine Virtuelle Maschine (VM) in Azure. Sie führen also gleichsam Ihr eigenes Deployment einer AD-Infrastruktur auf Azure VMs durch. Diese Lösung eignet sich v.a. für Unternehmen, die sowohl mit lokalen als auch mit Cloud-basierten Ressourcen arbeiten, die via VPN oder einer Azure ExpressRoute miteinander verknüpft sind.

Diese Variante ist dem On-Premise Active Directory am ähnlichsten, da lediglich die Infrastruktur (in Form von Windows Servern auf Azure VMs) von Microsoft bereitgestellt ist. Anders als bei Azure AD DS haben Sie bei dieser Variante die volle Kontrolle über die Domain. Das bedeutet natürlich auch, dass Sie für deren Pflege (Patches und Updates, Backups, etc.) verantwortlich sind.

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Verfasst von: Nele Nikolaisen

Nele Nikolaisen ist Spezialistin für Conversion-Content und Suchmaschinenoptimierung. Außerdem ist sie Bücherfreundin mit Thomas-Mann-Faible, Cineastin mit Horror-Spleen und leidenschaftliche Kuriositätensammlerin.