Vergleich zwischen Active Directory und Azure Active Directory

Bei Azure Active Directory handelt es sich um eine Identitäts- und Zugriffsverwaltungslösung, die für die Cloud weiterentwickelt wurde. Active Directory Domain Services wurden in Windows 2000 eingeführt, um Organisationen die Möglichkeit zu geben, mehrere lokale Infrastrukturkomponenten und Systeme mit einer einzelnen Identität pro Benutzer zu verwalten.

Mit Azure AD wird diese Funktionalität erweitert, indem Organisationen eine IDaaS-Lösung (Identity as a Service) bereitgestellt wird, mit der sich all ihre cloudbasierten und lokalen Apps verwalten lassen.

Die meisten IT-Administratoren sind mit den Konzepten von Active Directory Domain Services vertraut. Die folgende Tabelle zeigt die Unterschiede und Gemeinsamkeiten von Active Directory und Azure Active Directory.

Konzept Active Directory (AD) Azure Active Directory
Benutzer
Bereitstellung: Benutzer Organisationen erstellen interne Benutzer manuell oder verwenden ein internes oder automatisiertes Bereitstellungssystem (z.B. Microsoft Identity Manager) für die Integration mit einem HR-System. Vorhandene AD-Organisationen verwenden Azure AD Connect zur Synchronisierung von Identitäten in der Cloud.
Azure AD bietet Unterstützung für die automatische Erstellung von Benutzern aus cloud HR-Systemen.
Azure AD kann Identitäten in SCIM-fähigen SaaS-Anwendungen bereitstellen, um die Anwendungen automatisch mit den notwendigen Details zu versorgen, die den Zugriff für Benutzer ermöglichen.
Bereitstellung: externe Identitäten Organisationen erstellen externe Benutzer manuell als normale Benutzer in einer dedizierten externen AD-Gesamtstruktur. Die Folge ist ein großer Verwaltungsaufwand für den Lebenszyklus externer Identitäten (Gastbenutzer). Azure AD bietet eine spezielle Identitätsklasse für externe Identitäten. Um ihre Gültigkeit sicherzustellen, wird die Verknüpfung mit der externen Benutzeridentität über Azure AD B2B verwaltet.
Berechtigungsverwaltung und Gruppen Administratoren fügen Benutzer als Mitglieder von Gruppen hinzu. App- und Ressourcenbesitzer erteilen Gruppen anschließend Zugriff auf die Apps oder Ressourcen. Da Gruppen auch in Azure AD verfügbar sind, können Administratoren auch hier Gruppen verwenden, um Berechtigungen für Ressourcen zu erteilen. In Azure AD können Administratoren Gruppenmitgliedschaften manuell zuweisen oder eine Abfrage ausführen, um Benutzer dynamisch zu einer Gruppe hinzuzufügen.
Administratoren können die Berechtigungsverwaltung-Verwaltung in Azure AD nutzen, um Benutzern mithilfe von Workflows und ggf. zeitbasierten Kriterien Zugriff auf eine Sammlung von Anwendungen und Ressourcen zu geben.
Verwaltung von Administratorrechten Organisationen verwenden eine Kombination aus Domänen, Organisationseinheiten und Gruppen in AD, um Administratorrechte für die Verwaltung des Verzeichnisses und der zugehörigen Ressourcen zuzuweisen. Azure AD bietet mit seinem Azure AD rollenbasierten Zugriffskontrollsystem (Azure AD RBAC) fest eingebaute Rollen mit begrenzter Unterstützung für die Erstellung benutzerdefinierter Rollen, um privilegierten Zugriff auf das Identitätssystem, die Anwendungen und Ressourcen, die es kontrolliert, zu delegieren.
Die Verwaltung von Rollen kann mit Privileged Identity Management (PIM) erweitert werden, um just-in-time, zeitlich begrenzten oder workflowbasierten Zugriff auf privilegierte Rollen zu ermöglichen.
Verwaltung von Anmeldeinformationen Die Anmeldeinformationen in Active Directory basieren auf Kennwörtern, Zertifikatauthentifizierung und Smartcard-Authentifizierung. Kennwörter werden mithilfe von Kennwortrichtlinien verwaltet, die auf der Länge, auf dem Ablauf und auf der Komplexität der Kennwörter basieren. Azure AD verwendet sowohl in der Cloud als auch lokal einen intelligenten Kennwortschutz. Dieser Schutz umfasst einen intelligenten Sperrmechanismus sowie das Sperren gängiger und benutzerdefinierter Passphrases und Ersetzungen.
Azure AD erhöht die Sicherheit erheblich durch Multi-Faktor-Authentifizierung und passwortlose Technologien wie FIDO2.
Azure AD senkt die Supportkosten, indem es den Benutzern ein System zum Zurücksetzen von Kennwörtern per Selbstbedienung bietet.
Apps
Infrastruktur-Apps Active Directory stellt die Grundlage vieler lokaler Infrastrukturkomponenten dar (z.B. DNS, DHCP, IPSec, WLAN, NPS und VPN-Zugriff). In der cloudbasierten Welt von heute stellt Azure AD die neue Kontroll- und Steuerungsebene für den Zugriff auf Apps dar, sodass Organisationen sich nicht länger nur auf Netzwerksteuerelemente verlassen müssen. Bei der Benutzerauthentifizierung steuert der bedingte Zugriff, welche Benutzer unter den erforderlichen Bedingungen Zugriff auf welche Apps erhalten.
Traditionelle Apps und Legacy-Apps Die meisten lokalen Apps verwenden die LDAP-Authentifizierung, die integrierte Windows-Authentifizierung (NTLM und Kerberos) oder die headerbasierte Authentifizierung, um den Zugriff auf Benutzer zu steuern. Bei Azure AD kann der Zugriff auf diese Art von lokalen Apps über Azure AD-Anwendungsproxy-Agents gewährt werden, die lokal ausgeführt werden. Auf diese Weise kann Azure AD Active Directory-Benutzer lokal mithilfe von Kerberos authentifizieren, während Sie eine Migration durchführen oder wenn beide Arten gleichzeitig verwendet werden müssen.
SaaS-Apps Active Directory bietet keine native Unterstützung für SaaS-Apps, und es wird ein Verbundsystem wie AD FS benötigt. SaaS-Anwendungen, die OAuth2-, SAML- und WS-*-Authentifizierung unterstützen, können integriert werden, um Azure AD für die Authentifizierung zu verwenden.
Branchenspezifische Apps mit moderner Authentifizierung Organisationen können AD FS mit Active Directory verwenden, um branchenspezifische Apps zu unterstützen, die eine moderne Authentifizierung erfordern. Branchenspezifische Apps, die eine moderne Authentifizierung erfordern, lassen sich so konfigurieren, dass sie Azure AD für die Authentifizierung verwenden.
Mid-Tier-Dienste/Daemon-Dienste Dienste, die in lokalen Umgebungen ausgeführt werden, verwenden für die Ausführung üblicherweise AD-Dienstkonten oder gruppenverwaltete Dienstkonten. In diesem Fall erben diese Apps die Berechtigungen des Dienstkontos. Für die Ausführung anderer Workloads in der Cloud bietet Azure AD verwaltete Identitäten. Der Lebenszyklus dieser Identitäten wird von Azure AD verwaltet und ist an den Ressourcenanbieter gebunden. Er kann nicht für andere Zwecke genutzt werden, um Hintertürzugriff zu erhalten.
Geräte
Mobile Active Directory bietet ohne Drittanbieterlösungen keine native Unterstützung für mobile Geräte. In Azure AD ist die Microsoft-Verwaltungslösung für mobile Geräte (Microsoft Intune) integriert. Microsoft Intune stellt Informationen zum Gerätezustand für das Identitätssystem bereit, die während der Authentifizierung ausgewertet werden.
Windows-Desktops In Active Directory können Windows-Geräte zu einer Domäne hinzugefügt werden, um sie über Gruppenrichtlinie, System Center Configuration Manager oder Drittanbieterlösungen zu verwalten. Windows-Geräte können zu Azure AD hinzugefügt werden. Mithilfe des bedingten Zugriffs kann im Rahmen des Authentifizierungsprozesses überprüft werden, ob ein Gerät zu Azure AD hinzugefügt wurde. Windows-Geräte können zudem mit Microsoft Intune verwaltet werden. In diesem Fall prüft der bedingte Zugriff, ob ein Gerät den Vorgaben entspricht (z.B. über aktuelle Sicherheitspatches und Virussignaturen verfügt), bevor es auf die Apps zugreifen darf.
Windows-Server Mit Gruppenrichtlinie oder anderen Verwaltungslösungen bietet Active Directory umfassende Verwaltungsfunktionen für lokale Windows-Server. Windows-Server-VMs in Azure können mit Azure AD Domain Services verwaltet werden. Verwaltete Identitäten können verwendet werden, wenn VMs Zugriff auf das Verzeichnis oder die Ressourcen des Identitätssystems benötigen.
Linux-/Unix-Workloads Active Directory bietet ohne Drittanbieterlösungen keine native Unterstützung für Nicht-Windows-Workloads. Linux-Computer lassen sich jedoch für die Authentifizierung mit Active Directory als Kerberos-Bereich konfigurieren. Linux-/Unix-VMs können verwaltete Identitäten verwenden, um auf das Identitätssystem oder Ressourcen zuzugreifen. Einige Organisationen migrieren diese Workloads zu Cloudcontainertechnologien, die auch verwaltete Identitäten verwenden können.

Nächste Schritte