Azure AD vs. Active Directory: Die wichtigsten Unterschiede

Entra ID (ehemals Azure AD bzw. AAD) ist ein Cloud-basierter Verzeichnisdienst und Teil von Microsofts Cloud-Computing Plattform Azure. Die Hauptaufgabe von Entra ID bzw. Azure AD ist die Verwaltung der Online-Konten für die verschiedenen Microsoft 365 Apps: Azure AD ist die zentrale Plattform, über die Organisationen den Zugriff auf M365-Dienste wie Teams, OneDrive und SharePoint oder auch Office 365, Exchange Online und Intune steuern. Darüber hinaus kann Azure AD verwendet werden, um Zugänge in Drittsystemen zu verwalten.

Azure ADs Rolle als zentrale Plattform für Cloud-Identitäten hat mehrere Vorteile. Für Endanwender bildet der Dienst eine Single Sign-On (SSO) Lösung für Microsoft 365: Benutzer müssen sich nur einmal anmelden, um auf die unterschiedlichen M365-Apps zuzugreifen, und profitieren dabei von Sicherheits-Features wie Multi-Faktor-Authentifzierung und bedingtem Zugriff. Gleichzeitig können Admins alle Konten zentral verwalten.

Im Gegensatz zu Ihrem lokal gehosteten Active Directory handelt es sich bei Azure AD um ein vollständig durch Microsoft gemanagtes PaaS-Angebot (Platform-as-a-Service), für das keine eigene Infrastruktur erforderlich ist. Es lässt sich jedoch mit einem lokalen AD kombinieren.

Azure AD ist ein Cloud-Verzeichnisdienst für webbasierte Services. Andere Dienste lassen sich über eine REST API anbinden. Anstelle von LDAP (Lightweight Directory Access Protocol) greift AAD über HTTP-Anfragen auf Ressourcen zu. Für die Authentifizierung und Autorisierung nutzt Azure AD Protokolle und Standards wie SAML (Security Assertion Markup Language), WS-Federation (Web Services Federation), OpenID und OAuth 2.0.

Meldet sich ein Unternehmen für einen der Microsoft Cloud-Dienste an, erhält es automatisch einen eigenen Azure AD Tenant, der über das Microsoft Entra Admin Center (ehemals Azure AD Admin Center) oder mittels PowerShell verwaltet werden kann. Azure Active Directory fungiert dabei als zentraler Identity Provider und Single Sign-On (SSO) Plattform für die Microsoft Cloud: Greifen Benutzer auf Dienste wie Teams, SharePoint und OneDrive zu, erfolgt die Anmeldung und Authentifizierung im Hintergrund über Azure AD.

Um Azure Active Directory zu nutzen, müssen sich Organisationen für einen von vier Plänen entscheiden, die sich hinsichtlich der enthaltenen Features und monatlichen Kosten unterscheiden:

Die kostenlose Version von Azure AD deckt grundlegende Funktionen rund um die Verwaltung von Online-Identitäten ab: sichere Authentifizierung, die Föderation von Identitäten, Provisionierung von Konten und Synchronisierung mittels Azure AD Connect. Der Office 365 Plan enthält darüber hinaus Zugang zu den Apps des jeweiligen Abonnements sowie etwaigen zusätzlichen Features, die in den unterschiedlichen Office/M365 Plänen enthalten sind: E1, E3, E5. Dazu zählen etwa Vertraulichkeits-Labels und Microsoft Defender für M365.

Premium P1 und Premium P2 umfassen weitere Features für die Administration von Cloud-Identitäten, darunter etwa dynamische Gruppen, erweiterte Self-Service Funktionen und die Rezertfizierung von Berechtigungen. Auch Sicherheits-Features sind Teil der Premium-Pläne, zum Beispiel Richtlinien für bedingten Zugriff.

Der Unterschied zwischen Azure AD P1 und P2 macht sich neben einigen exklusiven Features wie risikobasierter Identity Protection auch in erweiterter Funktionalität bemerkbar, etwa einem längeren Aufbewahrungszeitraum für Audit Logs. Nähere Informationen finden Sie in der vollständigen Gegenüberstellung der Azure Active Directory Pläne.

Active Directory dient der grundlegenden Geräte- und Benutzerverwaltung in Windows Netzwerken. Es besteht aus mehreren Diensten, von denen die Active Directory Domain Services (AD DS) den Kern des Netzwerks bilden. Im Grunde handelt es sich bei AD DS um eine zentrale Datenbank, in der Informationen über Benutzer, Gruppen und Geräte in der lokalen Domäne gespeichert sind.

Active Directory nutzt diese Daten, um Benutzer beim Windows-Login zu authentifizieren, Gruppenrichtlinien anzuwenden und den Zugriff auf Ressourcen mithilfe von NTFS Berechtigungen, Freigabeberechtigungen und weiterer Einstellungen zu steuern. Genauer gesagt gleicht AD DS den Security Identifier des Users mit der Access Control List der unterschiedlichen Objekte ab.

Im Gegensatz zu Azure AD, das als Cloud-Dienst ohne lokale Infrastruktur auskommt, müssen Organisationen für den Betrieb eines Active Directory eine eigene Server-Umgebung aufsetzen. Active Directory folgt dabei einem hierarchischen Aufbau: Ein Computer im Netzwerk übernimmt die Rolle des Domain Controller (Domänencontroller) und agiert als zentrale Instanz für Authentifizierung und Administration. In der Praxis empfiehlt Microsoft, mindestens zwei Domain Controller zu verwenden, um Ausfälle zu vermeiden. Beide speichern die gleichen Informationen und dienen als gegenseitiges Backup. Mehr Informationen zum Deployment von Active Directory.

Um Organisationen, Personen und andere Ressourcen (z.B. Dateien und Endgeräte) im Netzwerk zu identifizieren und zu managen, nutzt das AD Dienste wie DNS (Domain Name System) und das Lightweight Directory Access Protocol (LDAP). Für die sichere Authentifizierung werden in der Regel Kerberos-Tickets eingesetzt. Um die Kompatibilität älterer Systeme zu gewährleisten unterstützt AD auch weiterhin den NT LAN Manager (NTLM), dieses anfällige Authentifizierungs-Protokoll gefährdet jedoch die Active Directory Sicherheit.

Anstelle von Kerberos verwendet Azure AD Sicherheitsprotokolle wie Security Assertion Markup Language/SAML und Open Authorization für die Authentifizierung von Benutzern. Zur Bestätigung der Identität unterstützt Azure AD verschiedene MFA-Methoden, wie die Verwendung der Microsoft Authenticator App, OAuth Tokens oder FIDO2 Security Keys. Die Verwaltung von Benutzern erfolgt ähnlich dem lokalen AD über Gruppen und Rollen.

Der größte Unterschied zwischen Active Directory und Azure AD liegt in ihrer Struktur: Während das lokale AD in mehrere Domänen, Trees und Forests aufgeteilt werden kann, verwendet Azure eine flache Hierarchie und erlaubt es nicht, mehrere Domains in einem Tenant einzurichten. Alle Azure AD Konten sind also zwangsläufig Teil der gleichen Domain. Das kann zu einem Problem für größere Organisationen werden, die unterschiedliche Standorte und Zweigstellen separat verwalten möchten.

Anders als Active Directory unterstützt Azure AD keine Organisationseinheiten (OUs) oder Gruppenrichtlinienobjekte (GPOs). Die Delegierung von Admin-Rechten ist stattdessen über Verwaltungseinheiten möglich, mit einigen Einschränkungen (keine Verschachtelung). Geräte-Einstellungen lassen sich über Microsoft Intune und den Endpoint Manager steuern.

Diese Komponenten decken aber nicht alle Funktionen ab, die Admins aus dem on-premise AD erwarten. Bei der parallelen Nutzung von Active Directory und Azure AD sorgt die korrekte Konfiguration beider Dienste somit für zusätzlichen Aufwand. In Verbindung mit der flachen Struktur von Azure AD können sich somit einige Probleme ergeben:

Azure AD Connect ist eine Utility, die es erlaubt, Daten aus dem lokalen Active Directory in Azure AD zu übertragen. Die Anwendung wird auf einem Server innerhalb der Domäne installiert und synchronisiert Benutzer, Geräte und Gruppen automatisch in AAD. So lässt sich das lokale Active Directory in die Cloud erweitern, ohne beide Verzeichnisdienste separat pflegen zu müssen. Dank Passthrough-Authentifizierung können Benutzer sogar das gleiche Passwort für ihr AD und Azure AD Konto verwenden. Damit Benutzer auf die richtigen M365-Ressourcen zugreifen können, müssen Admins aber dennoch einige Cloud-spezifische Einstellungen festlegen.

Azure AD Connect unterstützt unterschiedliche Anwendungsfälle und Topologien, etwa die Verbindung eines Forests zu einem AAD Tenant, mehrerer Forests zu einem Tenant oder eines Forests zu mehreren Tenants. Allerdings gibt es hier ein paar Einschränkungen zu beachten. Zum Beispiel kann nur ein Azure AD Tenant Daten in das lokale AD zurückschreiben (ausgenommen das Zurückschreiben von Passwörtern). Details zur Installation von Azure AD Connect.

Wie Azure AD Connect erlaubt auch Azure AD Connect Cloud Sync das Synchronisieren von Daten zwischen Active Directory und Azure AD. Anstatt einer lokalen Anwendung verwendet der Dienst jedoch den Bereitstellungsagenten (Provisioning Agent) von AAD. Somit ist keine lokale Installation erforderlich und die Synchronisierung verbraucht keine Server-Ressourcen auf Seiten der Organisation.

Darüber hinaus unterstützt Cloud Sync einige Szenarien, die von Azure AD Connect nicht abgedeckt werden. Zum Beispiel kann die Cloudsynchronisierung Daten aus mehreren, nicht miteinander verbundenen Forests zusammenführen. Das kann Organisationen betreffen, die sich kürzlich zusammengeschlossen, aber ihre IT-Umgebungen nicht integriert haben.

Bei Azure AD Domain Services (Azure AD DS) handelt es sich um eine Active Directory Domäne auf virtuellen Domaincontrollern, die von Microsoft bereitgestellt, betreut und gepatcht werden. Da Azure AD DS die Active Directory Domain Services in Cloud-VMs emuliert, bietet der Dienst alle Funktionen des lokalen AD: Organisationseinheiten, Gruppenrichtlinienobjekte, Domänenbeitritt, LDAP, Kerberos und NTLM.

Azure AD DS kann als reines Cloud-Deployment oder Teil einer hybriden Umgebung eingesetzt werden, in der AD DS und Azure AD DS über Azure AD Connect synchronisiert werden. Das AAD DS als Managed Service von Microsoft betrieben wird, hat Vorteile und Nachteile: Einerseits müssen sich Kunden nicht um Server-Wartung oder Sicherheitspatches kümmern. Andererseits haben Organisationen nur eingeschränkte Kontrolle über die bereitgestellte Domain. Beispielsweise erhält man keine Domänenadmin- bzw. Organisationsadmin-Rechte.

Trotz ihres ähnlichen Namens sind Azure AD und Azure AD DS zwei völlig unterschiedliche Produkte. Azure AD dient zwar als Verzeichnisdienst für Microsoft 365, unterscheidet sich aber in vielen Punkten von dem normalen Active Directory: seiner flachen Struktur, den fehlenden OUs und GPOs, den unterschiedlichen Authentifizierungs-Protokollen.

Bei Azure AD DS handelt es sich hingegen wortwörtlich um Active Directory in der Cloud. Azure AD DS hat also viel mehr mit dem klassischen AD als mit Azure AD gemeinsam. Als Managed Service ist Azure AD DS allerdings ebenso auf nur eine Domain beschränkt. Es gibt auch einige weitere Einschränkungen zu beachten: Kein Support für AD Certificate Services, Vertrauensstellungen zwischen Forests oder Schema-Erweiterungen.

Azure AD DS	Azure AD
Verzeichnisdienst für eigene Domain	Verzeichnisdienst für M365 Apps
Virtuelle Domain Controller in Azure	Tenant in Azure
Authentifizierung über Kerberos, NTLM	Authentifizierung über SAML, OAuth, OpenID
LDAP Support	Kein LDAP Support
Gruppenrichtlinienobjekte	Geräteeinstellungen über Intune und Endpoint Manager
Organisationseinheiten (OUs)	Verwaltungseinheiten (AUs)

Organisationen, die das eigene AD in die Cloud erweitern und die Kontrolle über die eigene Domain behalten möchten, können auch selbst einen Domain Controller auf einer virtuellen Maschine in Azure hosten. Hier gibt es mehrere Möglichkeiten: Man kann eine neue Domäne in der Cloud aufsetzen, den bestehenden Domänencontroller in die VM migrieren oder ihn in der virtuellen Maschine replizieren. Diese Vorgehensweise empfiehlt sich für Firmen, die sowohl lokale als auch Cloud-Ressourcen verwalten möchten, die über eine VPN-Verbindung oder Azure ExpressRoute angebunden werden können.

Ein Domänencontroller in einer virtuellen Maschine ist am ehesten mit einem klassischen AD-Deployment vergleichbar, da nur die zugrundeliegende Infrastruktur (in Form von Azure VMs) von Microsoft bereitgestellt wird. Anders als bei dem Managed Service Azure AD DS behalten Organisationen bei diesem Modell die volle Kontrolle über die eigene Domain. Mehr Kontrolle bedeutet aber auch mehr Verantwortung: Bei einem selbst gehosteten Domaincontroller muss man sich auch selbst um Serverwartung, Sicherheitsupdates und regelmäßige Backups kümmern.