Dieser Artikel wird sich mit Active Directory (AD), Azure Active Directory (Azure AD) befassen und erklären, wie sie sich unterscheiden und sich ergänzen können. Wir werden auch diese Microsoft-Lösungen mit einigen der wichtigsten alternativen Identitätsanbieter vergleichen.
Dieser Artikel soll keine umfassende Ressource sein und wird keine schrittweisen Anleitungen zur Bereitstellung dieser Dienste bereitstellen, aber Petri hat exzellente Artikel, die diese Themen abdecken.
Windows Server AD vs Azure AD
I think it’s fair to start with the oldest of Microsoft’s current directory services siblings. Active Directory is Microsoft’s on-premises directory service, succeeding Windows NT Directory Services (NTDS), should you be old enough to remember it. NTDS was great at the time but had significant limitations regarding scalability, replication, administration, stability, etc.
Active Directory wird von der überwältigenden Mehrheit der Organisationen weit verbreitet genutzt, seit es vor über zwei Jahrzehnten veröffentlicht wurde – es wurde am 15. Dezember 1999 zur Herstellung freigegeben und erreichte am 17. Februar 2000 die allgemeine Verfügbarkeit.
Ihre Benutzer sind bereits an Active Directory gewöhnt, ohne es zu wissen: Sie schalten einfach ihre Clientgeräte ein, geben ihren Benutzernamen ein (typischerweise, aber nicht immer vorab zwischengespeichert) und ihr Passwort und setzen ihre täglichen Geschäftstätigkeiten fort. Active Directory ist unkompliziert, schnell, sicher und sicher, wenn es so eingerichtet und gewartet wird, wie Sie es möchten.
A central identity provider
Active Directory dient in der Regel als zentraler Identitätsanbieter, der häufig mehrere Forest und Domänen umfasst, einige mit Benutzern und andere nur mit Ressourcen. Es verwaltet Ihre Benutzer und Computer (Client-Arbeitsstationen und Server) kann jedoch nativ keine Mobilgeräte oder Tablets (iOS und Android) oder Software-as-a-Service (SaaS)-Apps verwalten.
Sie müssen Active Directory selbst hosten, konfigurieren, pflegen, sich um Sicherheit, Replikation, Backup, Hochverfügbarkeit, Skalierbarkeit usw. kümmern. Es könnte sich um ein einfaches Netzwerk mit zwei Domänencontrollern (DCs) handeln, oder Sie könnten mehr als 100 DCs an dutzenden Standorten haben, die mit schreibgeschützten DCs kombiniert sind.
Ihre DCs sollten idealerweise nur Dienste im Zusammenhang mit dem Verzeichnis sowie DNS und möglicherweise DHCP ausführen. Es ist ratsam, keine anderen Anwendungen auf ihnen zu betreiben wie Web- oder Datenbankserver, sowohl aus Leistungs- als auch (vor allem) aus Sicherheitsgründen. Das hilft Ihnen auch bei der Planung von Ausfallzeiten für Neustarts.
Aktive Directory-Lizenzierung
Im Gegensatz zu seinem Cloud-Geschwister, hat Active Directory kein komplexes Lizenzierungsmodell. Sie lizenzieren Ihre Domänen-Controller, immer eine Windows Server-Maschine und idealerweise eine aktuelle. Zur Erinnerung, Windows Server Version 2022 wurde im August 2021 veröffentlicht.
Wenn sie in Ihren eigenen Rechenzentren oder Kommunikationsräumen gehostet werden, könnten Sie eine einzige Windows Server Datacenter-Edition erwerben, die für virtualisierte Rechenzentren gedacht ist, da sie Ihnen erlaubt, unbegrenzte Instanzen auf der lizenzierten Hardware auszuführen. Stellen Sie sicher, dass Sie dieses Thema recherchieren und mit Ihrem Lizenzspezialisten sprechen, viele Menschen machen hier Fehler und verstoßen unbeabsichtigt gegen ihre Lizenzvereinbarung.
Was ist Azure Active Directory?
Azure Active Directory ist ein Enterprise-Identitätsdienst, der Single Sign-On (SSO), Multifaktor-Authentifizierung (MFA) und Bedingten Zugriff (CA) fast von Anfang an bietet. Um fair zu sein, muss von Ihnen als Mieterbesitzer oder Administrator etwas Konfigurationsarbeit erledigt werden, aber es ist wesentlich einfacher und geradliniger, diese Dienste in Azure AD zu nutzen im Vergleich zur Eigenhosting.
Ihre Benutzer starten ihre Geräte, die entweder geschäfts- oder privat genutzte Geräte sein können, sofern Ihr Unternehmen eine Bring-your-own-Device (BYOD)-Richtlinie eingerichtet hat. Die Benutzer müssen dann ihre Benutzernamen und Passwörter eingeben, hoffentlich zur Eingabe einer MFA-Herausforderung aufgefordert werden (selbst eine SMS-Herausforderung ist besser als nichts), und das, was Sie ihnen erlauben zu nutzen, wird für sie verfügbar gemacht.
Mit SSO können sie eine extern gehostete App (Personalwesen, Finanzen usw.) nutzen, auf Schulungen zugreifen und vieles mehr, ohne jedes Mal ihre Anmeldedaten eingeben zu müssen. Dies wird die Produktivität, die Sicherheit und die Benutzerzufriedenheit erhöhen. Nur die Tatsache, dass Ihre Benutzer nicht mehrere Satz von Benutzernamen und Kennwörtern verwalten müssen, ist ein Lebensretter (nehmen Sie das von einem mürrischen IT-Mann).
A managed service
A major difference between Active Directory and Azure AD is that the latter is a managed service. You don’t set it up yourself and there are no servers to set up – there are some agents but they are optional to enable specific enhanced functionality. Microsoft hosts and manages it on your behalf.
Azure AD ist in einer Vielzahl von Microsofts Cloud-Diensten wie Office 365 vollständig integriert und bietet Ihnen ein zentrales Verzeichnis für Ihre Benutzer und Geräte. Es ermöglicht auch einfache Zusammenarbeit mit anderen Mandanten und externen Benutzern.
Azure AD zeichnet sich durch die Verwaltung von Mobilgeräten (es gibt native Unterstützung für iOS und Android) und SaaS-Apps aus. Es bietet großartige und optimierte Integrationen mit vielen Apps in verschiedenen Kategorien wie Geschäftsführung, Zusammenarbeit und Finanzen. Schauen Sie sich den Bereich „Azure Active Directory“ in der Azure Marketplace von Microsoft für weitere Beispiele an.
Microsoft bietet eine kostenlose Version von Azure AD namens Free an, aber es gibt auch drei weitere Editionen namens Office 365 Apps, Premium P1 und Premium P2 mit unterschiedlichen Unterschieden in Funktionen und Preisen. Sie werden tatsächlich ein Benutzer der Free-Tier von Azure AD, wenn Sie sich für eine Anzahl von Microsoft-Cloud-Diensten wie Azure, Office 365, Dynamics 365, Intune und Power Platform anmelden.
Als Beispiel, wie viel Zeit verbringt Ihre Organisation damit, die Passwörter Ihrer Benutzer zurückzusetzen? Allein die Funktion für das Selbstbedienungspasswort-Reset (SSPR) könnte ausreichen, um die Premium-Lizenz für Ihren Finanzleiter zu rechtfertigen. Schauen Sie sich Microsofts So funktioniert es: Azure AD Self-Service-Passwort-Reset für weitere Details an.
Stellen Sie sicher, dass Sie einen guten Blick auf die Premium-Funktionen werfen, um zu bestimmen, ob Sie sie wollen oder benötigen und ob der Preis für Premium es wert ist, zu zahlen. Ich versuche Ihnen keine Microsoft-Lizenzen zu verkaufen, aber angesichts des Zustands des Internets mit fast täglichen Berichten über große Organisationen, die gehackt werden (oft erfolgreich), könnte das Bezahlen für diese zusätzlichen Funktionen Sie einfach in Ihrem Job halten und Ihre Firma aus den Zeitungen heraushalten.
Schauen Sie sich die Azure Active Directory (Azure AD) Preisgestaltung von Microsoft an, um einen Überblick über die Azure AD-Preise zu erhalten, und besuchen Sie auch unseren Azure Active Directory Premium P1 vs. P2: Funktionsvergleich Artikel, um mehr über die verschiedenen Funktionen zu erfahren.
Verwenden von Active Directory und Azure Active Directory zusammen
Nun, da wir die beiden Hauptthemen behandelt haben und die Unterschiede zwischen Active Directory und Azure Active Directory verstehen, schauen wir uns an, wie wir sie am besten gemeinsam verwenden können.
Azure AD Connect
Microsofts Azure AD Connect ermöglicht es uns, eine hybride Identität zu erstellen, indem Objekte wie Benutzer aus unserem lokalen Active Directory mit unserem cloudbasierten Azure AD synchronisiert werden.
Mit der Passwort-Hash-Synchronisierung (PHS) synchronisiert Azure AD Connect auch einen Hash des Hashs des Passworts Ihrer Benutzer), ermöglicht Pass-Through-Authentifizierung (PTA), Active Directory Federation Services (AD FS) und mehr. Die Einrichtung kann für eine kleine Organisation sehr einfach sein und für eine komplexere Umgebung eher aufwendig.
Microsoft plant, die Versionen 1.x von Azure AD Connect am 31. August 2022 außer Dienst zu stellen, und einige ältere Versionen 2.x des Synchronisierungstools werden im März 2023 nicht mehr unterstützt. Sie können in einem separaten Beitrag mehr über welche Azure AD Connect-Versionen derzeit unterstützt werden erfahren.
Active Directory Federation Services (AD FS)
AD FS ist ein SSO-Identitätsdienst (Single Sign-On), der es Ihnen ermöglicht, Ihre Identitätsinformationen mit Partnern außerhalb Ihrer Organisation auszutauschen. AD FS verwendet eine anspruchsbasierte Zugriffskontrollauthentifizierung.
Obwohl AD FS nach wie vor weit verbreitet ist, insbesondere bei etablierteren und größeren Organisationen, betrachtet Microsoft es heute als veralteten Dienst. Um es klarzustellen, Microsoft nennt es zwar vielleicht nicht direkt veraltet, aber die aktuellen Trends unterstützen diese Aussage sicherlich.
AD FS erfordert ein erhebliches Investition und eine sorgfältige Planung in die lokale Infrastruktur, sowie eine sehr wichtige Abhängigkeit von Ihren externen Partnern – wenn sie eine Einstellung ändern (aus gutem, schlechtem oder keinem Grund), wird es sich auf Ihre Umgebung auswirken, sodass Dinge sofort kaputt gehen). Ich habe AD FS mehrere Male erfolgreich eingesetzt, aber heute würde ich es für eine neue oder bestehende Einrichtung nicht leichtfertig empfehlen.
Azure Active Directory Domain Services (AADDS)
Der Azure Active Directory-Domänendienst (AADDS) ist Microsofts neueste Ergänzung zu seiner Verzeichnisdienste-Familie. AADDS ist Microsofts verwalteter Active Directory-Service, der vollständig in der Azure-Cloud gehostet wird.
Einer der Hauptverkaufspunkte von AADDS ist, dass es Ihnen ermöglicht, Legacy-Anwendungen in der Cloud auszuführen, die moderne Authentifizierungsmethoden nicht verwenden können. Ihre alte, aber immer noch kritische HR- oder Finanzanwendung, von Ihren Benutzern geliebt, die sie in- und auswendig kennen und ihr Bestes tun, um Änderungen zu widerstehen, wird weitere zwei Jahre lang genutzt, während Sie einen Ersatz dafür vorbereiten. Sie können diese Legacy-Anwendungen aus Ihrer lokal gehosteten Umgebung in eine verwaltete AADDS-Domäne verschieben, ohne die Domäne in der Cloud verwalten zu müssen.
Es gibt einige Einschränkungen im Vergleich zum Betrieb Ihres eigenen Active Directory: Gruppenrichtlinien (GPOs) werden nicht von Ihrer lokal gehosteten Domäne auf Ihre verwaltete Domäne synchronisiert. In einer bereits etablierten Umgebung kann dies ein Problem darstellen, da vieles über GPOs geregelt wird.
Das Gleiche gilt für Ihre Organisationseinheiten (OUs), sie werden auch nicht übertragen. Werfen Sie einen Blick auf Microsofts Wie Objekte und Anmeldeinformationen in einer von Azure Active Directory Domain Services verwalteten Domäne synchronisiert werden für weitere Informationen.
Drittanbieter-Identitätsanbieter
Ihre individuellen Anforderungen könnten erfordern, dass Sie neben Azure AD auch andere Identitätsanbieter in Betracht ziehen. Möglicherweise verwenden Sie bereits einen von ihnen und sind damit voll zufrieden, oder Sie bevorzugen eine zusätzliche Sicherheitsebene. Die Einhaltung von Vorschriften ist oft ein Grund, Ihren Identitätsanbieter vom Rest Ihrer Infrastruktur zu trennen.
Die Verwendung von Drittanbieter-Identitätsanbietern in Kombination mit Azure AD funktioniert auch. Alle großen Anbieter veröffentlichen Integrationsleitfäden und unterstützen Sie gerne bei Ihrer Implementierung, insbesondere da es in ihrem Interesse liegt, Sie als Kunden zu behalten. Einige der führenden Anbieter in diesem Bereich sind Okta, PingIdentity, OneLogin, Auth0, ZScaler und CyberArk.
Fazit
Im Bereich der Verzeichnisdienste bietet Microsoft die passende Lösung für nahezu alle Szenarien. Eine reine lokale Umgebung, die langsam, aber sicher zur Seltenheit wird, funktioniert immer noch einwandfrei mit nur Active Directory.
Organisationen, die Cloud-First-Ansätze mit einem verteilten Mitarbeiterstamm verfolgen und ihren Benutzern ermöglichen, sich mit ihren persönlichen oder unternehmenseigenen Geräten zu verbinden und auf lokale und Cloud-basierte SaaS-Ressourcen zuzugreifen, werden mit Azure AD besser bedient sein. Aufgrund der Exposition erfordert dies auch eine größere Investition in die Cybersicherheit.
Nicht eine Lösung passt für alle Bedürfnisse. Ein hybrides Identitätssetup zwischen Active Directory und Azure AD wird für viele Umgebungen die naheliegendste Wahl sein. Zu guter Letzt sollten Sie Microsofts verwalteten AADDS und alle Drittanbieter-Identitätsprovider nicht außer Acht lassen.
Verwandter Artikel: