Azure Active Directory

Hintergrund

Azure Active Directory, oder Azure AD, ist ein cloud-basierter Dienst für die Authentifizierung und Autorisierung von Benutzern für Microsoft Office 365 Dienste und eine Vielzahl von anderen internen und externen Anwendungen und Diensten.

Verwechslungsgefahr

Die Namensgleichheit mit Active Directory ist etwas unglücklich gewählt. Es handelt sich vermutlich primär um eine Marketingentscheidung, denn auf technischer Ebene sind Active Directory (und dessen Bestandteile wie Domain Services) dem Azure Active Directory so gut wie gar nicht ähnlich. Nachdem es hier in der Vergangenheit immer zu massiven Verwechslungen gekommen ist, muss ganz klar gesagt werden: Azure Active Directory ist NICHT Active Directory aus der Cloud.
Mit modernen Microsoft-Betriebssystemen (Windows 10 oder später) ist es möglich, einem Azure Active Directory beizutreten, ohne dabei Mitglied einer lokalen, klassischen Active Directory Domain Services (AD DS) Domäne zu sein.

Vor- und Nachteile

Das bringt unter anderem den Vorteil mit sich, dass keine aufwändige, lokale Active Directory Infrastruktur aufgesetzt und verwaltet werden muss. Geographisch verstreute Benutzer sind ebenso einfacher handhabbar, wie auch BYOD-Szenarien. Diese Vorteile sind abgestimmt mit der strikten Cloud-Only-Strategie, die Microsoft verfolgt.
Der Einsatz eines reinen Azure AD bringt aber auch Nachteile mit sich, untere anderem:

  • Die Objekte in Azure AD werden nicht in Organisationseinheiten verwaltet, die Delegation der Administration wird somit schwieriger.
  • Azure AD kennt keine Gruppenrichtlinien. Die detaillierte Steuerung von Gerätefunktionen und Einstellungen ist somit nicht möglich. Über MDM kann ein Teil dieser Möglichkeiten auch in Azure AD abgebildet werden.
  • In Azure AD gibt es keine Unterstützung für LDAP. Zugriff auf das Benutzer- und Gruppenverzeichnis wird nur über REST API und PowerShell angeboten.
  • Es existiert in Azure AD keine Unterstützung für traditionelle Authentifizierungsprotokolle wie NTLM oder Kerberos. Es werden nur neuartige Methoden wie OAuth unterstützt.

Azure AD ist somit ein Dienst, der für die Integration von modernen Cloud-Anwendungen geschaffen wurde. Viele Elemente einer traditionellen Active Directory Umgebung fehlen hingegen. Um auf diese Elemente dennoch nicht verzichten zu müssen, gibt es nachfolgende Alternativen zu einem einfachen Azure AD Join.

Azure AD Connect

Über Azure AD Connect lässt sich ein Hybridbetrieb zwischen einem traditionellen Active Directory und Azure AD realisieren. Azure AD Connect synchronisiert dabei automatisch die relevanten Daten vom lokalen Active Directory nach Azure AD.
Für Details zu Azure AD Connect siehe LINK: Azure AD Connect.

Azure AD Domain Services

Azure AD Domain Services (kurz: AAD DS) ist ein Produkt von Azure, welches eine von Microsoft verwaltete Active Directory Domain auf zwei Domain Controllern bereitstellt. Über diese Domain ist die Nutzung von Organisationseinheiten und Gruppenrichtlinien möglich. Auch LDAP kann für Verbindungen zum Verzeichnisdienst genutzt werden.
Die Domain Controller werden dabei von Microsoft verwaltet, was unter anderem auch automatisches Patch-Management bedeutet. Andererseits ist die Möglichkeit zur Verwaltung der Domain eingeschränkt, man erhält beispielsweise keine Domänenadministrator-Berechtigungen.

Domain Controller auf Azure (als IaaS)

Eine zweite Alternative ist ein eigenes Deployment einer Active Directory Infrastruktur auf Azure VMs durchzuführen. Bei dieser Option hat man die volle Kontrolle über die Domain, allerdings ist man auch alleine für deren Pflege (Patches und Updates, Backups, etc.) verantwortlich. Diese Option ist einem traditionellen, On-Premises Active Directory am ähnlichsten. Lediglich die Infrastruktur in Form von Windows Servern auf Azure VMs wird von Microsoft bereitgestellt.

Zusammenfassung

Für eine Organisation, die einen Cloud-First- oder Cloud-Only-Ansatz verfolgt und die Einschränkungen gegenüber einem lokalen Active Directory (oder Hybridbetrieb) akzeptieren kann, bietet Azure Active Directory eine gute, zukunftsorientierte Alternative.
Hängt die Organisation jedoch von den Funktionalitäten eines traditionellen Active Directory ab, so bietet Azure AD keinen Ersatz hierfür. Die Azure-Plattform bietet aber trotzdem cloud-basierte Ansätze, mit denen sich eine derartige Umgebung realisieren lässt (Domain Controller auf Azure und Azure AD Domain Services).

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

Go to Top