Authentifizierung und User-Management in der Cloud

Grundlagenwissen Azure Active Directory

| Autor / Redakteur: Thomas Joos / Andreas Donner

Microsoft Azure Active Directory, User-Management-Datenbank für Cloud-Systeme, zeigt seine vollen Leistungsfähigkeit im Zusammenspiel mit lokalen AD-Infrastrukturen.
Microsoft Azure Active Directory, User-Management-Datenbank für Cloud-Systeme, zeigt seine vollen Leistungsfähigkeit im Zusammenspiel mit lokalen AD-Infrastrukturen. (Bild: Microsoft)

Azure Active Directory stellt eine Authentifizierungsmöglichkeit für Cloudlösungen wie Microsoft Azure oder Office 365 dar. Auch für hybride Bereitstellungen ist Azure AD interessant, da sich Benutzerinformationen aus lokalen Netzwerken mit der Cloud synchronisieren lassen. Zudem lassen sich andere Clouddienste anbinden.

Die zentrale Aufgabe von Azure Active Directory (Azure AD) besteht darin, zusammen mit lokalen Active-Directory-Umgebungen in hybriden Netzwerken, Cloudlösungen oder auch in externen Cloudsystemen die Authentifizierung zu übernehmen. Azure AD soll lokale ADs nicht ersetzen, sondern um Cloudfunktionen ergänzen. Dazu lassen sich auch Daten zwischen einem lokalen Active Directory und Azure Active Directory synchronisieren. In einem Online-Video geht Microsoft auf die Funktionen und Möglichkeiten des Clouddienstes ein.

Der Vorteil von Azure AD ist, dass der Dienst überall verfügbar ist – auch für andere Clouddienste. Für Cloudienste, die Azure AD nicht von vorne herein unterstützen, bietet Microsoft Schnittstellen an. Die Verwaltung von Azure AD findet entweder über die PowerShell oder über das Webportal von Microsoft Azure statt. Das Azure Active Directory verfügt dazu über einen eigenen Bereich (siehe Abbildung 1). Diesen hat Microsoft in das neue Microsoft Azure-Portal eingebunden. Hier lassen sich alle Einstellungen von Azure Active Directory vornehmen und alle Tools und Agenten herunterladen, die notwendig sind.

Versionen und Funktionen von Azure Active Directory

Azure Active Directory steht in drei Versionen zur Verfügung. Die kostenlose „Free“-Version bietet eingeschränkte Authentifizierung für bis zu 10 Benutzer und erlaubt auch das Beitreten von Windows 10-Rechnern zur Azure-AD-Domäne.

Die Variante „Basic“ ist im Bereich der Benutzeranzahl und Computerkonten nicht eingeschränkt und bietet erweiterte Funktionen zur Anbindung von Anwendungen, dem Zurücksetzen von Kennwörtern und mehr.

Die beiden kleineren Versionen erlauben das Synchronisieren der Benutzerdaten von lokalen Netzwerken mit Active Directory zu Azure AD. Allerdings ist keine Synchronisierung aus der Cloud in lokale Active-Directory-Umgebungen möglich. Nur beim Einsatz der Premium-Version kann in beide Richtungen synchronisiert werden.

Die größere Variante „Premium“ bietet erweiterte Authentifizierungsmöglichkeiten wie Multifaktor-Authentifizierung und die Synchronisierung und Anbindung mehrerer Gesamtstrukturen in alle Richtungen. Diese Version ist nicht eingeschränkt in ihren Funktionen und bietet alle Möglichkeiten von Azure AD. Microsoft bietet eine 30 Tage-Testversion von Azure AD Premium an.

Office 365, Dynamics und Microsoft Intune effizienter nutzen

Auch andere Clouddienste von Microsoft wie Office 365, Intune oder auch Dynamics nutzen Azure Active Directory zur Authentifizierung. Es lassen sich aber auch Apps und Clouddienste von anderen Anbietern anbinden. Durch die Anmeldung eines Benutzers an Azure AD kann dieser alle Dienste nutzen, für die er freigeschaltet wurde – so wie bei einem lokal betriebenen Active Directory (SSO). Weitere Anmeldungen sind nicht notwendig. Auch erweiterte Sicherheitsfunktionen wie Multifaktor-Authentifizierung sind möglich. Die Einrichtung dazu erfolgt in der Weboberfläche von Microsoft Azure.

Synchronisierung mit Active Directory und Active-Directory-Verbunddiensten

Administratoren können in Azure AD selbst Benutzer anlegen, aber auch mit Diensten wie den Azure-Active-Directory-Verbunddiensten und lokalen Active-Directory-Gesamtstrukturen ist eine Synchronisierung möglich. Die Verwaltung der Benutzer nehmen Administratoren über das Webportal vor.

Dazu steht über den Menüpunkt "Azure Active Directory" der Bereich "Benutzer und Gruppen" zur Verfügung. Hier können Administratoren schnell und einfach neue Benutzer und Gruppen anlegen (siehe Abbildung 2) und sehen synchronisierte Benutzer aus lokalen Domänen. An dieser Stelle der Weboberfläche von Azure AD lassen sich auch die anderen Bereiche schnell und einfach verwalten. Durch einen Klick auf einen Benutzer lassen sich beispielsweise dessen Informationen anzeigen und Einstellungen verwalten.

Eigene Domänen in Azure Active Directory anlegen

Natürlich können in Azure AD auch eigene Domänen angelegt werden. Die Synchronisierung der Daten mit lokalen AD-Strukturen ist keine Voraussetzung, sondern eine optionale Möglichkeit. Neue Domänen lassen sich in der AD-Verwaltungsoberfläche von Microsoft Azure über den Bereich "Schnellstart" anlegen, sobald der Azure-AD-Bereich aufgerufen wurde. Hier sind auch zahlreiche Hilfen, Videos und Informationen zum Umgang mit Azure AD zu finden. Bereits vorhandene Domänen sind über den Menüpunkt "Domänennamen" erreichbar. Durch einen Klick auf die vorhandenen Domänen ist zu erkennen, ob diese funktionieren und zur Anmeldung genutzt werden können. Auch die Steuerung der Synchronisierung kann hier vorgenommen werden (siehe Abbildung 3).

Mit Microsoft Azure AD Connect Daten synchronisieren

Die Synchronisierung mit lokalen AD-Strukturen findet über das Tool Azure AD Connect statt (siehe Abbildung 3). Mit einem Agenten lassen sich die Anmeldedaten der Benutzer zu Azure AD synchronisieren, in der Premium-Version auch aus der Cloud in lokale Netzwerke. Microsoft stellt den Agenten dazu kostenlos zur Verfügung.

Azure AD Connect kann Benutzernamen und Informationen zu den Benutzern übertragen. Optional ist auch die Synchronisierung der Kennwörter möglich. Das erlaubt es Anwendern, mit den Anmeldeinformationen an ihrem PC auch auf Clouddienste zuzugreifen, ohne sich erneut authentifizieren zu müssen, also Single-Sign-On (SSO). Die Einrichtung von Azure AD Connect erfolgt über einen einfach zu bedienenden Assistenten (siehe Abbildung 4).

Im Rahmen der Einrichtung der Synchronisierung stellt der Assistent eine Verbindung mit dem Azure AD und dem lokalen AD her, um die Daten zu synchronisieren. Sobald die Verbindung hergestellt wurde, beginnt die Synchronisierung. Dazu installiert Azure AD Connect einen Dienst und Agenten auf einem Server im Netzwerk, der eine Verbindung zur Domäne hat (siehe Abbildung 5). Es sollte sich dabei um keinen Domänencontroller handeln, da dieser durch die Synchronisierung stark belastet werden kann. Im Azure-Portal stehen über "Sicherheit und Identität" zahlreiche weitere Ergänzungen zur Verfügung, mit denen Administratoren die Funktionen von Azure AD erweitern können (siehe Abbildung 6).

Active Directory mit Azure AD Connect Health überwachen

Der Microsoft-Clouddienst "Azure AD Connect Health" ermöglicht die Überwachung größerer und verteilter Infrastrukturen mit Active Directory. Auch für Hybrid-Bereitstellungen, zum Beispiel zusammen mit Azure Active Directory, ist der Clouddienst ein Mittel zur Überwachung. Der Schwerpunkt liegt klar in der Zusammenarbeit zwischen lokalen (On-Premise) Active-Directory-Infrastrukturen und der Synchronisierung mit Azure Active Directory.

Für Unternehmen, die Microsoft Azure und Azure Active Directory nicht nutzen, macht der Dienst weniger Sinn. Im Fokus liegen bei der Überwachung vor allem die Azure-AD-Connect-Server, die Daten aus dem Active Directory mit Microsoft Azure synchronisieren. Im Rahmen der Überwachung werden aber auch Informationen und Leistungsdaten lokaler Domänencontroller überwacht und übersichtlich in der Weboberfläche angezeigt (siehe Abbildung 8).

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44501344 / Benutzer und Identitäten)