Azure AD Active Directory

Microsoft 365, Azure AD, Cloud IAM – es ist viel los im Microsoft-Universum! Und an mancher Stelle ist der bevorstehende Umzug in die Cloud mit einer gewissen Unsicherheit verbunden: Kann Azure AD eigentlich das gleiche wie mein lokales Active Directory? Die kurze Fassung: Nein. Azure Active Directory (Azure AD) und die Active Directory Domain Services (AD DS) sehen zwar ähnlich aus, aber sie sind nicht austauschbar.

In der langen Fassung erfahren Sie, was Ihr lokales AD kann, was Azure Active Directory nicht kann. Außerdem schauen wir uns an, warum es sich für Unternehmen lohnen kann, auf eine hybride Lösung zu setzen, und wie Microsoft dies realisiert.

Inhalte (verbergen)

Was ist Azure AD?

Azure Active Directory (kurz Azure AD oder AAD) wird über die Cloud-Computing-Plattform Azure von Microsoft bereitgestellt. Es handelt sich um einen cloud-basierten Verzeichnisdienst, mit dem sich Zugriffsberechtigungen und Identitäten verwalten lassen.

Gemanaged werden etwa die Zugriffsmöglichkeiten und Berechtigungen von Anwendern auf Microsoft-Services wie Microsoft 365, Microsoft Dynamics oder Microsoft Intune. Neben Microsoft-Services lassen sich auch externe SaaS-Anwendungen (Software as a Service) und andere Ressourcen mittels Azure AD verwalten.

Im Gegensatz zu Ihrem lokal gehosteten Active Directory handelt es sich bei Azure AD um ein vollständig durch Microsoft gemanagtes PaaS-Angebot (Platform-as-a-Service), für das keine eigene Infrastruktur erforderlich ist.

Wie funktioniert Azure AD?

Azure AD ist in erster Linie ein Verzeichnisdienst für webbasierte Services. Für die Unterstützung externer Services sind REST-Schnittstellen vorgesehen. Anstelle von LDAP (Lightweight Directory Access Protocol) greift das AAD über HTTP-Anfragen auf Ressourcen zu und nutzt Protokolle und Standards wie SAML (Security Assertion Markup Language), OpenID und OAuth 2.0 (Open Authorization) für die Authentifizierung. Die Verwaltung von Azure AD erfolgt über eine grafische Weboberfläche oder alternativ über die PowerShell.

Entscheidet ein Unternehmen sich für einen der Microsoft Cloud-Dienste, wird es automatisch zu einem Abonnenten von Azure AD. Das bedeutet, dass das Unternehmen über das Azure-Portal auf das Azure Active Directory zugreifen und dort seine Mitarbeiter, Passwörter und Berechtigungen verwalten kann.

Azure Active Directory unterstützt Single Sign-on (SSO). Die Anwender können die verschiedenen Microsoft-365-Services also unmittelbar nach dem Login nutzen, ohne sich erneut anmelden zu müssen.

Azure AD

Ist Azure AD kostenlos?

Azure Active Directory steht in verschiedenen Versionen zur Verfügung, die jeweils einen unterschiedlichem Leistungsumfang haben. Aktuell unterscheidet Microsoft vier Versionen, von denen die erste kostenlos in Abonnements von Microsoft Cloud-Services wie Dynamics 365, Microsoft 365 oder Intune enthalten ist.

Neben der kostenlosen Version gibt es noch die Microsoft-365-Apps, die eine Reihe von Azure-AD-Features bündeln, die in Microsoft-365-Plänen wie E1, E3, E5, F1 und F3 enthalten sind. Die beiden Premium-Varianten von Azure Active Directory (P1 Premium und P2 Premium) bieten erweiterte Sicherheitsfunktionen, Self-Service-Features und Multi Factor Authentication (MFA).

P2 unterscheidet sich von P 1 durch zusätzliche Features im Bereich Identity Protection und Identity Governance. Eine vollständige Übersicht über Preise und Funktionen aller vier Azure-AD-Versionen finden Sie hier.

Azure AD vs AD

Wie funktioniert das lokale Active Directory?

Das lokale Active Directory dient der grundlegenden Verwaltung von Benutzern und Computern im Unternehmensnetzwerk. Es handelt sich um eine Kombination aus mehreren Diensten, unter denen die Active Directory Domain Services (AD DS) das Herzstück sind, weil sie die Verzeichnisdienste zur Verfügung stellen.

Das AD DS ist also die zentrale Datenbank, welche die Verwaltung von Benutzern und Ressourcen im Unternehmensnetzwerk überhaupt erst ermöglicht. Anders als Azure AD, das als Cloud-Dienst keine Infrastruktur auf Seiten des Anwenders voraussetzt, nutzt das lokale Active Directory ein hierarchisches Framework.

Identitätsmanagement im lokalen AD

Um Organisationen, Personen und andere Ressourcen, z.B. Dateien und Endgeräte, im Netzwerk zu identifizieren und zu managen, nutzt das AD Dienste wie DNS (Domain Name System) und das Lightweight Directory Access Protocol (LDAP). Letzteres ermöglicht nicht nur die Verwaltung der lokalen, sondern auch die Verwaltung von im Internet verfügbaren Verzeichnissen. Für die sichere Authentifizierung werden in der Regel Kerberos und der LAN Manager (NTLM) eingesetzt.

Identitätsmanagement im Azure AD

Im Azure Active Directory werden Identitäten via Internet über die Protokolle HTTP und HTTPS gemanaged. Anstelle von Kerberos arbeitet das Azure AD mit Authentifizierung über Benutzername und Passwort-Abfrage sowie mit verschiedenen Security-Protokollen (z.B. Security Assertion Markup Language/SAML und Open Authorization).

Azure AD vs AD – Strukturelle Unterschiede

Der größte Unterschied zwischen dem lokalen Active Directory und Azure AD ist struktureller Natur. Während das lokale AD die Nutzung von Organizational Units (OUs) und Gruppenrichtlinien-Objekten (Group Policy Objects, GPOs) unterstützt und es dem Administrator ermöglicht, das Unternehmen in der Gesamtheit seiner Bestandteile und Untereinheiten abzubilden und zu organisieren, werden Organizational Units und Gruppenrichtlinien-Objekte im Azure Active Directory NICHT unterstützt. Für Cloud-only-User kann dies u.a. folgende Schwierigkeiten mit sich bringen:

  • fehlende Organisationseinheiten: Im Azure AD ist es nicht möglich, dieselben Domains, Trees und Forests zu erstellen, wie Sie es als Admin aus dem AD DS gewohnt sind.

  • größerer Administrationsaufwand: Aufgrund der fehlenden Organisationseinheiten ist es im Azure AD schwieriger, administrative Aufgaben zu delegieren bzw. ein gewisses Maß an Standardisierung und/oder Automatisierung umzusetzen.

  • keine detaillierte Steuerung: Aufgrund der fehlenden Gruppenrichtlinien ist es im Azure AD nicht möglich, Gerätefunktionen und Einstellungen detailliert zu steuern.

Weniger Funktionsumfang als das lokale AD

Das Azure Active Directory wurde geschaffen, um moderne Cloud-Anwendungen zu integrieren. Aufgrund seiner flachen Struktur fehlen ihm jedoch einige Funktionen, die sich in der traditionellen AD-Umgebung bewährt haben. Vor allem die fehlende Unterstützung für GPOs und OUs ist ein Problem, da insbesondere größere Unternehmen mit vielen Mitarbeitern und verschiedenen Standorten die Verwaltung über Gruppenrichtlinien und Organisationseinheiten  für ein zuverlässiges Identitäts- und Rechtemanagement benötigen.

Aus diesem Grund entscheiden sich viele Unternehmen z.B. dafür, ihr Identitätsmanagement weiterhin über das lokale AD zu betreiben und das Azure AD lediglich für die Steuerung der Cloud-Dienste zu verwenden. Wer das Beste aus beiden Lösungen für sich nutzbar machen möchte, kann Azure AD auch mit einem lokalen Active Directory verbinden. Hierfür gibt es verschiedene Möglichkeiten.

Lokales AD und Azure AD verbinden

Azure AD Connect

Über Azure AD Connect können Sie Azure AD mit dem traditionellen Active Directory verbinden. Azure AD Connect nutzt einen auf einem Server installierten Agenten mit Verbindung zur Domäne und synchronisiert automatisch die relevanten Daten vom lokalen AD nach Azure AD. Wie  Sie Azure AD Connect einrichten und betreiben, erfahren Sie hier.

Azure AD

Azure AD Domain Services

Das Problem mit Azure AD ist, dass es jede Organisation wie eine Art “Mieter” behandelt, der über das Azure-Portal auf Azure AD zugreift, um dort seine Mitarbeiter, Passwörter und Berechtigungen zu verwalten. Azure AD bietet dem User nach der Authentifizierung Zugriff auf die verschiedenen Services, aber Sie können nicht darüber entscheiden, wie z.B. die Zugriffsrechte im Detail konfiguriert sind. Hierfür bietet das Azure Ad nicht die notwendigen strukturellen Voraussetzungen.

Dieses Problem löst Microsoft mit den Azure AD Domain Services (AAD DS). AAD DS ist ein Azure-Produkt, das eine von Microsoft verwaltete Active Directory Domain auf zwei Domain- Controllern bereitstellt. Die Domain-Controller unterstützen u.a. LDAP, Domain Joining und die Authentifizierung via Kerberos und NTLM. Auch die Nutzung von Organisationseinheiten und Gruppenrichtlinien ist in dieser Version des Azure Active Directorys möglich.

Achtung! Die vollständige Verwaltung von Azure AD Domain Services durch Microsoft bedeutet zwar, dass Sie sich nicht um das Patch-Management kümmern müssen, aber dafür sind die Möglichkeiten zur Verwaltung der Domain auch eingeschränkt. Sie erhalten beispielsweise keine Domänenadministrator-Berechtigungen. Detaillierte Informationen zu den Azure AD Domain Services finden Sie hier.

Domänencontroller in der Cloud (IaaS)

Eine weitere Möglichkeit, lokales AD und Azure AD gemeinsam zu nutzen, besteht darin, das lokale AD DS nach Azure zu erweitern. Um dies zu erreichen, migrieren Sie den bisherigen Domänencontroller in eine Virtuelle Maschine (VM) in Azure. Sie führen also gleichsam Ihr eigenes Deployment einer AD-Infrastruktur auf Azure VMs durch. Diese Lösung eignet sich v.a. für Unternehmen, die sowohl mit lokalen als auch mit Cloud-basierten Ressourcen arbeiten, die via VPN oder einer Azure ExpressRoute miteinander verknüpft sind.

Diese Variante ist dem On-Premise Active Directory am ähnlichsten, da lediglich die Infrastruktur (in Form von Windows Servern auf Azure VMs) von Microsoft bereitgestellt ist. Anders als bei Azure AD DS haben Sie bei dieser Variante die volle Kontrolle über die Domain. Das bedeutet natürlich auch, dass Sie für deren Pflege (Patches und Updates, Backups, etc.) verantwortlich sind.

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download