Azure Active Directory

Wer sich mit den Identitäten hinter Microsoft 365 beschäftigt, stößt sehr schnell auf Azure Active Directory (kurz AAD).

Vorstellung und Erklärung

Obwohl der Name vermuten lässt, dass es etwas mit dem bekannten Active Directory zu tun hat, handelt es sich um zwei technisch unterschiedliche Verzeichnisdienste.

Wichtig ist zu verstehen, dass die nahtlose Verbindung zwischen Active Directory und Azure Active Directory nicht von heute auf morgen hergestellt werden kann. Ihre modernisierte, lokale AD Umgebung ist der Anker für die zukünftige erfolgreiche Implementierung von Azure AD. 

Was genau ist Azure AD?

Azure AD ist ein mandantenfähiger Cloud Directory Service von Microsoft und für die Nutzung von Microsoft Cloud-Diensten wie Microsoft 365 konzipiert. Als cloudbasierter Verzeichnis- und Identitätsverwaltungsdienst wird Azure AD von Microsoft weltweit in über 28 Datencentern betreut. Mehrere Kunden (Mandanten) können auf einem Server bedient werden, aber nur ihre eigenen Daten sehen und bearbeiten.

Gründe für Einführung von Azure AD

• Einfachheit
  Active Directory hat in vielen Unternehmen über Jahre an Größe und Komplexität zugenommen; Azure AD bietet die Möglichkeit, ein schlankes AD einzuführen
• Flache Strukturen
  Azure AD konsolidiert die Verwaltung der Benutzer und Gruppen
• Geringere Kosten
  Statt Geld für Hardware und Netzwerk auszugeben, können Unternehmen zu monatlichen Betriebskosten auf Basis der Benutzerzahl wechseln
• Weniger Ressourcen

Azure AD vs. Active Directory

Der wesentliche technische Unterschied zu einem klassischen Directory Service besteht darin, dass die Zugriffs- und Nutzungstechnologien unterschiedlich sind.

Anwender werden viele Basisfunktionen des klassischen AD, wie z.B. die Aufteilung der Nutzer in Organisationseinheiten im Azure AD nicht wiederfinden. Dies ist nicht mehr möglich, da im AAD eine flache, vereinfachte Struktur bevorzugt wird.

Folgende Dienste sind mit AAD außerdem nicht bzw. nur eingeschränkt möglich:

• LDAP-Schnittstelle
• Kerberos- oder NTLM-Authentifizierung
• OU-Struktur (AAD verwendet administrative Einheiten)
• Group Policy Objects
• Limitierte Anzahl administrativer Rollen

Dafür gibt es viele neue Lösungen, die als Alternative zur Verfügung stehen. Kontaktieren Sie uns, um Klarheit zu erlangen.

Authentifizierung mit Azure AD OAuth

Aus der klassischen Directory-Welt kennt man die Zugriffsprotokolle LDAP oder den Authentifizierungsservice Kerberos. In der Cloud kommen folgende Technologien zum Einsatz:

• OAuth
• OpenID
• SAML

Diese Technologien sind vor allem aus den Web-Bereichen bekannt. Azure AD wird anstelle des LDAP mit einer REST-API namens „AD Graph-API“ verwaltet. All diese Komponenten arbeiten mit HTTP und HTTPS.

Azure AD ist für Cloud-Anwendungen konzipiert. Für Anwendungsentwickler ist es vergleichsweise einfach, den Cloud Directory Service Azure AD via OAuth zu nutzen. Dies wird dazu führen, dass mehr und mehr Anwendungen ein Cloud Directory als Identity Provider voraussetzen. Grundsätzlich ist Microsoft 365 mit all seinen Diensten auch nichts anderes als eine Cloud-Anwendung, welche OAuth zur Autorisierung der Anwender einsetzt.

AAD und SAML-Authentifizierung

Microsoft führt Kunden geschickt in die Cloud. Sie können Ihre Identitäten und Gruppen (Verteilerlisten) relativ einfach mit AAD Connect ins Azure AD überführen. Erst wenn Ihre Benutzerkonten in Azure AD vorliegen, können Sie Cloud-Anwendungen nutzen.

Mittels SAML (ADFS) können Sie die Passwörter aus Ihrer eigenen Active Directory Domain nutzen. Dies gibt vielen Kunden ein Gefühl der Sicherheit, da sie die Passwörter nicht herausgeben.

Lesen Sie hier mehr über SAML und ADFS.

AAD, LDAP und Azure AD Domain Services

Wie bereits beschrieben, kennt Azure AD von sich aus kein LDAP. Hieraus ergeben sich zwei Fragen:

1. Wie können Sie LDAP-Anwendungen in Azure AD integrieren?
2. Wie können klassische Windows-Server oder Endgeräte in das Azure AD eingebunden werden?

Unternehmen oder Behörden nutzen hier häufig noch klassische AD Domain Controller, die diese Funktionalität bereitstellen. Microsoft bietet nun eine Zusatzfunktion zum Azure AD an, die eine solche Aufgabe eingeschränkt übernehmen kann: die Azure AD Domain Services.

Diese kann man sich als Emulator eines AD Domain Controllers (AD DC) vorstellen. Es ist jedoch darauf zu achten, dass die meisten Funktionen nur einen lesenden Zugriff zulassen. Dieses gilt im Besonderen für LDAP. Insofern ist genau zu prüfen, ob diese Funktion ausreicht oder doch ein vollwertiger AD DC betrieben werden muss.

Datenintegration mit Azure AD Connect

Mit Azure AD Connect (AAD Connect) werden lokale AD Daten in den Azure Betrieb integriert. So muss nicht mehr zwischen Daten aus dem eigenen Rechenzentrum und der Cloud unterschieden werden. Es wird nur eine Identity benötigt, die bei verschiedenen Anwendungen, wie Microsoft 365, zur Anmeldung eingesetzt wird. Diese sogenannte Hybrid Identity kommt vor allem bei größeren Unternehmen zum Einsatz.

• Unidirektionale Synchronisierung
  Daten werden nur von der lokalen AD Umgebung ins AAD mittels Push übertragen
• Bidirektionale Synchronisierung
  Änderungen, die in AAD vorgenommen werden, können in Ihr lokales AD zurück übertragen werden

Das bedeutet, dass Kollegen ganz einfach mit ihren Standard-Login-Daten berechtigt sind, die verschiedenen Programme und SaaS-Anwendungen zu nutzen. Dabei ist Azure AD Connect ein sehr hilfreiches Tool. Es ermöglicht die Synchronisierung Ihrer OnPremise-AD-Daten mit Azure AD. Damit werden Vorgängerversionen dieser Azure AD Management-Lösungen weitestgehend überflüssig, da ADFS und Sync Services in Azure AD Connect integriert sind.

Es wird ersichtlich, wie viele Möglichkeiten es bei einer Transition zu Azure AD gibt. Ob hybrider Ansatz oder Cloud-only, ein vernünftiges Azure AD Management ist unerlässlich.

Windows Azure AD Pricing

Wie bei den meisten Softwareprodukten hat auch Microsoft verschiedene Versionen seines Dienstes im Angebot. Diese sind Free, Basic, Premium P1, Premium P2. Sie unterscheiden sich stark im Funktionsumfang: Während die Free-Version einen ersten Eindruck liefert, überzeugt Basic durch die Performance bei Alltagsaufgaben. Mit den Premiumversionen wird das Spektrum an Features deutlich breiter.

Hinsichtlich der Azure AD Preise gibt es gewaltige Unterschiede. Sie reichen von 0,88€ über 5,06€ bis hin zu 7,59€. Hierbei sollte beachtet werden, dass es sich um den monatlichen Preis pro User mit jährlicher Laufzeit handelt. Versionsunterschiede und das Azure Active Directory Pricing sind überschaubar, unterliegen aber regelmäßigen Änderungen. (Stand: Juli 2017)

Klicken Sie hier für die Microsoft Azure Preisübersicht.

Zusammenfassung Azure AD

Nahezu jedes Unternehmen wird zukünftig neben den Active Directory Domain Services auch eine Instanz innerhalb des Azure AD betreiben. Sobald Services wie Microsoft 365, Exchange Online oder andere Services aus der Microsoft Cloud genutzt werden, ist die hybride Umgebung überall. War der Identity Service in der Vergangenheit häufig das Active Directory, wird es zukünftig Azure AD sein. Microsoft möchte damit eine ebenso starke Rolle im IDaaS-Markt (Identity as a Service) besetzen, wie das im klassischen Directory-Markt mit Active Directory bereits der Fall ist.

Ähnlich, wie man ein Active Directory-Konzept haben sollte, ist es ratsam auch ein Azure AD-Konzept bzw. eine Strategie zu erarbeiten. Diese muss nicht gleich vollständig ausgearbeitet sein, sollte jedoch die Basis für die nächsten 2-3 Jahre legen.

Das Azure AD Consulting der FirstAttribute unterstützt Sie von Anfang an.

Brauchen Sie Hilfe beim Thema Azure AD und möchten Sie Ihr Identitätsmanagement optimieren? Dann freuen wir uns über Ihre Kontaktaufnahme.

Kontaktieren