Azure AD vs. Active Directory: Die wichtigsten Unterschiede

Microsoft 365, Azure Active Directory und neue Produkte wie Entra und Purview – Microsoft baut sein Cloud-Angebot laufend aus. Für Organisationen, die eine Active Directory Domäne betreiben, stellt sich dabei eine wesentliche Frage: Deckt Azure AD tatsächlich alle Funktionen und Anwendungsfälle des lokalen Active Directory ab?

In diesem Beitrag vergleichen wir Azure Active Directory mit den Active Directory Domain Services (AD DS) einer on-premise Installation und erklären die wichtigsten Unterschiede der beiden Verzeichnisdienste. Darüber hinaus erfahren Sie, wie sich mittels Azure AD Connect, Managed Domain Services oder einem Domänencontroller in Azure VMs eine hybride Umgebung aufsetzen lässt.

Was ist Azure AD?

Azure Active Directory (Azure AD bzw. AAD) ist ein Cloud-basierter Verzeichnisdienst und Teil von Microsofts Cloud-Computing Plattform Azure. Die Hauptaufgabe von Azure AD ist die Verwaltung der Online-Konten für die verschiedenen Microsoft 365 Apps: Azure AD ist die zentrale Plattform, über die Organisationen den Zugriff auf M365-Dienste wie Teams, OneDrive und SharePoint oder auch Office 365, Exchange Online und Intune steuern. Darüber hinaus kann Azure AD verwendet werden, um Zugänge in Drittsystemen zu verwalten.

Azure ADs Rolle als zentrale Plattform für Cloud-Identitäten hat mehrere Vorteile. Für Endanwender bildet der Dienst eine Single Sign-On (SSO) Lösung für Microsoft 365: Benutzer müssen sich nur einmal anmelden, um auf die unterschiedlichen M365-Apps zuzugreifen, und profitieren dabei von Sicherheits-Features wie Multi-Faktor-Authentifzierung und bedingtem Zugriff. Gleichzeitig können Admins alle Konten zentral verwalten.

Im Gegensatz zu Ihrem lokal gehosteten Active Directory handelt es sich bei Azure AD um ein vollständig durch Microsoft gemanagtes PaaS-Angebot (Platform-as-a-Service), für das keine eigene Infrastruktur erforderlich ist. Es lässt sich jedoch mit einem lokalen AD kombinieren.

Hinweis: Microsoft hat angekündigt, dass Azure Active Directory in Entra ID umbenannt wird, um den Namen an die Entra-Produktfamilie anzugleichen. Von dem neuen Namen abgesehen, soll dadurch keine Änderung der Funktionalität und auch kein Handlungsbedarf für Kunden entstehen.

Wie funktioniert Azure AD?

Azure AD ist ein Cloud-Verzeichnisdienst für webbasierte Services. Andere Dienste lassen sich über eine REST API anbinden. Anstelle von LDAP (Lightweight Directory Access Protocol) greift AAD über HTTP-Anfragen auf Ressourcen zu. Für die Authentifizierung und Autorisierung nutzt Azure AD Protokolle und Standards wie SAML (Security Assertion Markup Language), WS-Federation (Web Services Federation), OpenID und OAuth 2.0.

Meldet sich ein Unternehmen für einen der Microsoft Cloud-Dienste an, erhält es automatisch einen eigenen Azure AD Tenant, der über das Microsoft Entra Admin Center (ehemals Azure AD Admin Center) oder mittels PowerShell verwaltet werden kann. Azure Active Directory fungiert dabei als zentraler Identity Provider und Single Sign-On (SSO) Plattform für die Microsoft Cloud: Greifen Benutzer auf Dienste wie Teams, SharePoint und OneDrive zu, erfolgt die Anmeldung und Authentifizierung im Hintergrund über Azure AD.

Azure AD
Wer ist wer in der Cloud? Azure AD verwaltet Identitäten und Berechtigungen. Adobe Stock, (c) 1STunningART

Azure AD Kosten & Pläne: Gratis, M365 & Premium

Um Azure Active Directory zu nutzen, müssen sich Organisationen für einen von vier Plänen entscheiden, die sich hinsichtlich der enthaltenen Features und monatlichen Kosten unterscheiden:

  • 1

    Eine kostenlose Version (die in Abonnements von Azure, Intune oder Dynamics 365 enthalten ist).

  • 2

    Die Office 365 Version (in Verbindung mit einem Microsoft 365 Abo)

  • 3

    Azure AD Premium P1

  • 4

    Azure AD Premium P2

Die kostenlose Version von Azure AD deckt grundlegende Funktionen rund um die Verwaltung von Online-Identitäten ab: sichere Authentifizierung, die Föderation von Identitäten, Provisionierung von Konten und Synchronisierung mittels Azure AD Connect. Der Office 365 Plan enthält darüber hinaus Zugang zu den Apps des jeweiligen Abonnements sowie etwaigen zusätzlichen Features, die in den unterschiedlichen Office/M365 Plänen enthalten sind: E1, E3, E5. Dazu zählen etwa Vertraulichkeits-Labels und Microsoft Defender für M365.

Premium P1 und Premium P2 umfassen weitere Features für die Administration von Cloud-Identitäten, darunter etwa dynamische Gruppen, erweiterte Self-Service Funktionen und die Rezertfizierung von Berechtigungen. Auch Sicherheits-Features sind Teil der Premium-Pläne, zum Beispiel Richtlinien für bedingten Zugriff.

Der Unterschied zwischen Azure AD P1 und P2 macht sich neben einigen exklusiven Features wie risikobasierter Identity Protection auch in erweiterter Funktionalität bemerkbar, etwa einem längeren Aufbewahrungszeitraum für Audit Logs. Nähere Informationen finden Sie in der vollständigen Gegenüberstellung der Azure Active Directory Pläne.

Whitepaper

Best Practices für das M365 Access Management

Inkludierte Tools, effiziente Verwaltung und Datensicherheit in der Cloud: Alles zum Berechtigungsmanagement in Microsoft 365!

Azure AD vs AD

Wie funktioniert das lokale Active Directory?

Active Directory dient der grundlegenden Geräte- und Benutzerverwaltung in Windows Netzwerken. Es besteht aus mehreren Diensten, von denen die Active Directory Domain Services (AD DS) den Kern des Netzwerks bilden. Im Grunde handelt es sich bei AD DS um eine zentrale Datenbank, in der Informationen über Benutzer, Gruppen und Geräte in der lokalen Domäne gespeichert sind.

Active Directory nutzt diese Daten, um Benutzer beim Windows-Login zu authentifizieren, Gruppenrichtlinien anzuwenden und den Zugriff auf Ressourcen mithilfe von NTFS Berechtigungen, Freigabeberechtigungen und weiterer Einstellungen zu steuern. Genauer gesagt gleicht AD DS den Security Identifier des Users mit der Access Control List der unterschiedlichen Objekte ab.

Im Gegensatz zu Azure AD, das als Cloud-Dienst ohne lokale Infrastruktur auskommt, müssen Organisationen für den Betrieb eines Active Directory eine eigene Server-Umgebung aufsetzen. Active Directory folgt dabei einem hierarchischen Aufbau: Ein Computer im Netzwerk übernimmt die Rolle des Domain Controller (Domänencontroller) und agiert als zentrale Instanz für Authentifizierung und Administration. In der Praxis empfiehlt Microsoft, mindestens zwei Domain Controller zu verwenden, um Ausfälle zu vermeiden. Beide speichern die gleichen Informationen und dienen als gegenseitiges Backup. Mehr Informationen zum Deployment von Active Directory.

Identitätsmanagement im lokalen AD

Um Organisationen, Personen und andere Ressourcen (z.B. Dateien und Endgeräte) im Netzwerk zu identifizieren und zu managen, nutzt das AD Dienste wie DNS (Domain Name System) und das Lightweight Directory Access Protocol (LDAP). Für die sichere Authentifizierung werden in der Regel Kerberos-Tickets eingesetzt. Um die Kompatibilität älterer Systeme zu gewährleisten unterstützt AD auch weiterhin den NT LAN Manager (NTLM), dieses anfällige Authentifizierungs-Protokoll gefährdet jedoch die Active Directory Sicherheit.

Identitätsmanagement im Azure AD

Anstelle von Kerberos verwendet Azure AD Sicherheitsprotokolle wie Security Assertion Markup Language/SAML und Open Authorization für die Authentifizierung von Benutzern. Zur Bestätigung der Identität unterstützt Azure AD verschiedene MFA-Methoden, wie die Verwendung der Microsoft Authenticator App, OAuth Tokens oder FIDO2 Security Keys. Die Verwaltung von Benutzern erfolgt ähnlich dem lokalen AD über Gruppen und Rollen.

Azure AD vs AD – Strukturelle Unterschiede

Der größte Unterschied zwischen Active Directory und Azure AD liegt in ihrer Struktur: Während das lokale AD in mehrere Domänen, Trees und Forests aufgeteilt werden kann, verwendet Azure eine flache Hierarchie und erlaubt es nicht, mehrere Domains in einem Tenant einzurichten. Alle Azure AD Konten sind also zwangsläufig Teil der gleichen Domain. Das kann zu einem Problem für größere Organisationen werden, die unterschiedliche Standorte und Zweigstellen separat verwalten möchten.

Azure AD vs AD – Fehlende Features

Anders als Active Directory unterstützt Azure AD keine Organisationseinheiten (OUs) oder Gruppenrichtlinienobjekte (GPOs). Die Delegierung von Admin-Rechten ist stattdessen über Verwaltungseinheiten möglich, mit einigen Einschränkungen (keine Verschachtelung). Geräte-Einstellungen lassen sich über Microsoft Intune und den Endpoint Manager steuern.

Diese Komponenten decken aber nicht alle Funktionen ab, die Admins aus dem on-premise AD erwarten. Bei der parallelen Nutzung von Active Directory und Azure AD sorgt die korrekte Konfiguration beider Dienste somit für zusätzlichen Aufwand. In Verbindung mit der flachen Struktur von Azure AD können sich somit einige Probleme ergeben:

  • Andere Struktur: Es ist nicht möglich, in Azure AD die gleichen Domains, Trees und Forests zu entwerfen wie im normalen AD.

  • Höherer Verwaltungsaufwand: Trotz vorhandener Migrations- und Synchronisierungstools erschwert die parallele Pflege von Organisationseinheiten und Verwaltungseinheiten das User Management.

  • Weniger Kontrolle: Nicht alle Einstellungen der lokalen Gruppenrichtlinien sind über Intune und Cloudrichtlinien verfügbar.

Gratis Webinar

Hinter den Kulissen von Teams & OneDrive: Das geheime Leben geteilter Daten

Lokales AD und Azure AD verbinden

Azure AD Connect

Azure AD Connect ist eine Utility, die es erlaubt, Daten aus dem lokalen Active Directory in Azure AD zu übertragen. Die Anwendung wird auf einem Server innerhalb der Domäne installiert und synchronisiert Benutzer, Geräte und Gruppen automatisch in AAD. So lässt sich das lokale Active Directory in die Cloud erweitern, ohne beide Verzeichnisdienste separat pflegen zu müssen. Dank Passthrough-Authentifizierung können Benutzer sogar das gleiche Passwort für ihr AD und Azure AD Konto verwenden. Damit Benutzer auf die richtigen M365-Ressourcen zugreifen können, müssen Admins aber dennoch einige Cloud-spezifische Einstellungen festlegen.

Azure AD Connect unterstützt unterschiedliche Anwendungsfälle und Topologien, etwa die Verbindung eines Forests zu einem AAD Tenant, mehrerer Forests zu einem Tenant oder eines Forests zu mehreren Tenants. Allerdings gibt es hier ein paar Einschränkungen zu beachten. Zum Beispiel kann nur ein Azure AD Tenant Daten in das lokale AD zurückschreiben (ausgenommen das Zurückschreiben von Passwörtern). Details zur Installation von Azure AD Connect.

Azure AD Connect Cloud Sync

Wie Azure AD Connect erlaubt auch Azure AD Connect Cloud Sync das Synchronisieren von Daten zwischen Active Directory und Azure AD. Anstatt einer lokalen Anwendung verwendet der Dienst jedoch den Bereitstellungsagenten (Provisioning Agent) von AAD. Somit ist keine lokale Installation erforderlich und die Synchronisierung verbraucht keine Server-Ressourcen auf Seiten der Organisation.

Darüber hinaus unterstützt Cloud Sync einige Szenarien, die von Azure AD Connect nicht abgedeckt werden. Zum Beispiel kann die Cloudsynchronisierung Daten aus mehreren, nicht miteinander verbundenen Forests zusammenführen. Das kann Organisationen betreffen, die sich kürzlich zusammengeschlossen, aber ihre IT-Umgebungen nicht integriert haben.

Azure AD
Es ist möglich, Azure AD und Ihr lokales AD gemeinsam zu verwenden. Azure AD Connect hilft. Adobe Stock, (c) Blue Planet Studio

Azure AD Domain Services

Bei Azure AD Domain Services (Azure AD DS) handelt es sich um eine Active Directory Domäne auf virtuellen Domaincontrollern, die von Microsoft bereitgestellt, betreut und gepatcht werden. Da Azure AD DS die Active Directory Domain Services in Cloud-VMs emuliert, bietet der Dienst alle Funktionen des lokalen AD: Organisationseinheiten, Gruppenrichtlinienobjekte, Domänenbeitritt, LDAP, Kerberos und NTLM.

Azure AD DS kann als reines Cloud-Deployment oder Teil einer hybriden Umgebung eingesetzt werden, in der AD DS und Azure AD DS über Azure AD Connect synchronisiert werden. Das AAD DS als Managed Service von Microsoft betrieben wird, hat Vorteile und Nachteile: Einerseits müssen sich Kunden nicht um Server-Wartung oder Sicherheitspatches kümmern. Andererseits haben Organisationen nur eingeschränkte Kontrolle über die bereitgestellte Domain. Beispielsweise erhält man keine Domänenadmin- bzw. Organisationsadmin-Rechte.

Azure AD vs Azure AD DS

Trotz ihres ähnlichen Namens sind Azure AD und Azure AD DS zwei völlig unterschiedliche Produkte. Azure AD dient zwar als Verzeichnisdienst für Microsoft 365, unterscheidet sich aber in vielen Punkten von dem normalen Active Directory: seiner flachen Struktur, den fehlenden OUs und GPOs, den unterschiedlichen Authentifizierungs-Protokollen.

Bei Azure AD DS handelt es sich hingegen wortwörtlich um Active Directory in der Cloud. Azure AD DS hat also viel mehr mit dem klassischen AD als mit Azure AD gemeinsam. Als Managed Service ist Azure AD DS allerdings ebenso auf nur eine Domain beschränkt. Es gibt auch einige weitere Einschränkungen zu beachten: Kein Support für AD Certificate Services, Vertrauensstellungen zwischen Forests oder Schema-Erweiterungen.

Azure AD DSAzure AD
Verzeichnisdienst für eigene DomainVerzeichnisdienst für M365 Apps
Virtuelle Domain Controller in AzureTenant in Azure
Authentifizierung über Kerberos, NTLMAuthentifizierung über SAML, OAuth, OpenID
LDAP SupportKein LDAP Support
GruppenrichtlinienobjekteGeräteeinstellungen über Intune und Endpoint Manager
Organisationseinheiten (OUs)Verwaltungseinheiten (AUs)

Domänencontroller in Azure Cloud VMs

Organisationen, die das eigene AD in die Cloud erweitern und die Kontrolle über die eigene Domain behalten möchten, können auch selbst einen Domain Controller auf einer virtuellen Maschine in Azure hosten. Hier gibt es mehrere Möglichkeiten: Man kann eine neue Domäne in der Cloud aufsetzen, den bestehenden Domänencontroller in die VM migrieren oder ihn in der virtuellen Maschine replizieren. Diese Vorgehensweise empfiehlt sich für Firmen, die sowohl lokale als auch Cloud-Ressourcen verwalten möchten, die über eine VPN-Verbindung oder Azure ExpressRoute angebunden werden können.

Ein Domänencontroller in einer virtuellen Maschine ist am ehesten mit einem klassischen AD-Deployment vergleichbar, da nur die zugrundeliegende Infrastruktur (in Form von Azure VMs) von Microsoft bereitgestellt wird. Anders als bei dem Managed Service Azure AD DS behalten Organisationen bei diesem Modell die volle Kontrolle über die eigene Domain. Mehr Kontrolle bedeutet aber auch mehr Verantwortung: Bei einem selbst gehosteten Domaincontroller muss man sich auch selbst um Serverwartung, Sicherheitsupdates und regelmäßige Backups kümmern.

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Verfasst von: Joe Köller

Als tenfolds Content Manager verantwortet Joe Köller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitäten tiefgehend beleuchtet. Komplexe Materie verständlich zu erklären ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergründe der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre über Games und digitale Medien berichtet.