Integrieren lokaler Active Directory-Domänen mit Microsoft Entra ID

Microsoft Entra ID
Azure Virtual Network
Azure Virtual Machines

Microsoft Entra ID ist ein cloudbasierter, mehrinstanzenfähiger Verzeichnis- und Identitätsdienst. Die folgende Referenzarchitektur zeigt bewährte Methoden zum Integrieren von lokalen Active Directory-Domänen mit Microsoft Entra ID, um die cloudbasierte Identitätsauthentifizierung zu ermöglichen.

Aufbau

Diagram of a hybrid cloud identity architecture that uses Microsoft Entra ID.

Greifen Sie über Microsoft 365 online auf das Visio-Diagramm zu. Beachten Sie, dass Sie über eine Visio Lizenz verfügen müssen, um auf dieses Diagramm zugreifen zu können. Laden Sie alternativ eine Visio-Datei dieser Architektur herunter (Visio-Registerkarte „Microsoft Entra ID“).

Hinweis

Der Einfachheit halber sind in diesem Diagramm nur die Verbindungen dargestellt, die sich direkt auf Microsoft Entra ID beziehen. Protokollbezogener Datenverkehr, der im Rahmen des Authentifizierungs- und Identitätsverbunds auftreten kann, ist nicht dargestellt. So kann es beispielsweise vorkommen, dass eine Webanwendung den Webbrowser umleitet, damit die Anforderung über Microsoft Entra ID authentifiziert wird. Sobald die Anforderung authentifiziert ist, kann sie mit den entsprechenden Identitätsinformationen an die Webanwendung zurückgegeben werden.

Weitere Überlegungen finden Sie unter Auswählen einer Lösung für die Integration einer lokalen Active Directory-Instanz in Azure.

Komponenten

Diese Architektur besteht aus den folgenden Komponenten.

  • Microsoft Entra-Mandant. Eine Instanz von Microsoft Entra ID, die von Ihrer Organisation erstellt wurde. Sie fungiert als ein Verzeichnisdienst für Cloudanwendungen, indem sie Objekte speichert, die aus dem lokalen Active Directory kopiert wurden, und stellt Identitätsdienste bereit.

  • Webschicht-Subnetz. Dieses Subnetz enthält virtuelle Computer, die eine Webanwendung ausführen. Microsoft Entra ID kann als Identitätsbroker für diese Anwendung fungieren.

  • Lokaler AD DS-Server. Eine lokaler Verzeichnis- und Identitätsdienst. Das AD DS-Verzeichnis kann mit Microsoft Entra ID synchronisiert werden, um die Authentifizierung lokaler Benutzer*innen zu ermöglichen.

  • Microsoft Entra Connect-Synchronisierungsserver: Ein lokaler Computer, auf dem der Microsoft Entra Connect-Synchronisierungsdienst ausgeführt wird. Dieser Dienst synchronisiert Informationen, die sich im lokalen Active Directory befinden, mit Microsoft Entra ID. Wenn Sie beispielsweise die Bereitstellung oder das Aufheben der Bereitstellung von Gruppen und Benutzer*innen lokal ausführen, werden diese Änderungen an Microsoft Entra ID weitergegeben.

    Hinweis

    Aus Sicherheitsgründen speichert Microsoft Entra ID Benutzerkennwörter als Hash. Ist für eine*n Benutzer*in eine Kennwortzurücksetzung erforderlich, muss diese lokal ausgeführt und der neue Hash an Microsoft Entra ID gesendet werden. Die Microsoft Entra ID-Editionen P1 und P2 enthalten Features, die es ermöglichen, dass Kennwortänderungen in der Cloud erfolgen und dann in lokale AD DS zurückgeschrieben werden.

  • Virtuelle Computer (VMs) für eine n-schichtige Anwendung. Weitere Informationen zu diesen Ressourcen finden Sie unter [Ausführen von Windows-VMs für eine n-schichtige Anwendung][implementing-a-multi-tier-architecture-on-Azure].

Szenariodetails

Mögliche Anwendungsfälle

Typische Einsatzmöglichkeiten für diese Referenzarchitektur sind:

  • Webanwendungen, die in Azure bereitgestellt werden und Zugriff für Remotebenutzer bereitstellen, die zu Ihrer Organisation gehören.
  • Implementieren von Self-Service-Funktionen für Endbenutzer, z.B. Zurücksetzen ihrer Kennwörter und Delegieren von Gruppenverwaltung. Hierfür ist Microsoft Entra ID P1 oder P2 erforderlich.
  • Architekturen, in denen das lokale Netzwerk und das Azure VNet der Anwendung nicht über eine VPN-Tunnel- oder ExpressRoute-Verbindung verbunden sind.

Hinweis

Microsoft Entra ID kann die Identität von Benutzer*innen und Anwendungen authentifizieren, die im Verzeichnis einer Organisation enthalten sind. Einige Anwendungen und Dienste, z. B. SQL Server, erfordern möglicherweise Computerauthentifizierung. In diesem Fall ist diese Lösung nicht geeignet.

Empfehlungen

Die folgenden Empfehlungen gelten für die meisten Szenarios. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.

Konfigurieren des Microsoft Entra Connect-Synchronisierungsdiensts

Der Microsoft Entra Connect-Synchronisierungsdienst stellt sicher, dass Identitätsinformationen, die in der Cloud gespeichert sind, mit denjenigen konsistent sind, die lokal gespeichert sind. Sie installieren diesen Dienst mit der Microsoft Entra Connect-Software.

Bevor Sie vor Microsoft Entra Connect-Synchronisierung implementieren, müssen Sie die Synchronisierungsanforderungen Ihrer Organisation ermitteln. Dies umfasst beispielsweise, was, von welchen Domänen und wie oft synchronisiert werden muss. Weitere Informationen hierzu finden Sie unter Ermitteln der Anforderungen an die Verzeichnissynchronisierung.

Sie können den Microsoft Entra Connect-Synchronisierungsdienst auf einem virtuellen Computer oder auf einem lokal gehosteten Computer ausführen. Je nach Volatilität der Informationen in Ihrem Active Directory-Verzeichnis ist es unwahrscheinlich, dass die Auslastung des Microsoft Entra Connect-Synchronisierungsdiensts nach der Erstsynchronisierung mit Microsoft Entra ID hoch ist. Durch Ausführen des Diensts auf einem virtuellen Computer wird es einfacher, den Server bei Bedarf zu skalieren. Überwachen Sie die Aktivitäten auf dem virtuellen Computer, wie dies im Abschnitt „Überwachung“ beschrieben ist, um zu ermitteln, ob Skalierung erforderlich ist.

Wenn Sie mehrere lokale Domänen in einer Gesamtstruktur haben, empfiehlt es sich, die Informationen für die vollständige Gesamtstruktur im einem einzigen Microsoft Entra-Mandanten zu speichern und zu synchronisieren. Filtern Sie nach Informationen für Identitäten, die in mehreren Domänen vorkommen, sodass jede Identität nur einmal in Microsoft Entra ID vorhanden ist, statt dupliziert zu werden. Duplizierung kann zu Inkonsistenzen führen, wenn Daten synchronisiert werden. Weitere Informationen finden Sie im Abschnitt „Topologieempfehlungen“ weiter unten.

Verwenden Sie die Filterung, damit nur erforderliche Daten in Microsoft Entra ID gespeichert werden. Beispielsweise könnte es sein, dass Ihre Organisation keine Informationen über inaktive Konten in Microsoft Entra ID speichern möchte. Filterung kann nach Gruppen, Domänen, Organisationseinheiten oder Attributen erfolgen. Sie können Filter kombinieren, um komplexere Regeln zu erzeugen. Beispielsweise könnten Sie Objekte synchronisieren, die in einer Domäne gespeichert sind und einen bestimmten Wert in einem ausgewählten Attribut haben. Ausführliche Informationen finden Sie unter Microsoft Entra Connect Sync: Konfigurieren der Filterung.

Um hohe Verfügbarkeit für den AD Connect-Synchronisierungsdienst sicherzustellen, führen Sie einen sekundären Stagingserver aus. Weitere Informationen finden Sie in Abschnitt „Topologieempfehlungen“.

Hinweis

Die Microsoft Entra Connect-Cloudsynchronisierung ist ein neues Angebot von Microsoft, um Ihre Ziele in Bezug auf Hybrididentitäten für die Synchronisierung von Benutzer*innen, Gruppen und Kontakten mit Microsoft Entra ID zu erreichen. Bei der Microsoft Entra Connect-Cloudsynchronisierung wird die Bereitstellung von AD zu Microsoft Entra ID in Microsoft Online Services orchestriert.

Überprüfen der Sicherheitskonfiguration und -richtlinie

Verwaltung von Benutzerkennwörtern: Microsoft Entra ID P1 und P2 unterstützen das Kennwortrückschreiben, sodass Ihre lokalen Benutzer*innen die Möglichkeit haben, Self-Service-Kennwortzurücksetzungen über das Azure-Portal auszuführen. Diese Funktion sollte erst aktiviert werden, nachdem die Kennwortsicherheitsrichtlinien Ihrer Organisation überprüft wurden. Beispielsweise können Sie einschränken, welche Benutzer ihre Kennwörter ändern können, und Sie können die Oberfläche für die Kennwortverwaltung anpassen. Weitere Informationen hierzu finden Sie unter Anpassen der Kennwortverwaltung an die Anforderungen Ihrer Organisation.

Schützen von lokalen Anwendungen, auf die extern zugegriffen werden kann. Verwenden Sie den Microsoft Entra-Anwendungsproxy, um externen Benutzer*innen kontrollierten Zugriff auf lokale Webanwendungen über Microsoft Entra ID zu ermöglichen. Nur Benutzer, die gültige Anmeldeinformationen in Ihrem Azure-Verzeichnis haben, sind berechtigt, die Anwendung zu verwenden. Weitere Informationen hierzu finden Sie im Artikel Aktivieren des Anwendungsproxys über das Azure-Portal.

Überwachen Sie Microsoft Entra ID aktiv auf Anzeichen verdächtiger Aktivitäten. Erwägen Sie die Verwendung der Microsoft Entra ID P2-Edition, die Microsoft Entra ID Protection enthält. Identity Protection nutzt adaptive Machine Learning-Algorithmen und heuristische Verfahren, um Anomalien und Risikoereignisse zu erkennen, die auf die Kompromittierung einer Identität hindeuten können. Beispielsweise kann Identity Protection potenziell ungewöhnliche Aktivitäten erkennen, etwa auffällige Anmeldeaktivitäten, Anmeldungen von unbekannten Quellen oder über IP-Adressen mit verdächtigen Aktivitäten oder Anmeldungen von Geräten, die möglicherweise infiziert sind. Mit diesen Daten generiert Identity Protection Berichte und Warnungen, damit Sie diese Risikoereignisse untersuchen und geeignete Aktionen durchführen können. Weitere Informationen finden Sie unter Microsoft Entra ID Protection.

Sie können die Berichtsfunktion von Microsoft Entra ID im Azure-Portal verwenden, um sicherheitsbezogene Aktivitäten zu überwachen, die in Ihrem System auftreten. Weitere Informationen zur Verwendung dieser Berichte finden Sie im Leitfaden zur Microsoft Entra ID-Berichterstellung.

Überprüfung der Netzwerktopologie

Konfigurieren Sie Microsoft Entra Connect so, dass eine Topologie implementiert wird, die den Anforderungen Ihrer Organisation am ehesten entspricht. Microsoft Entra Connect unterstützt unter anderem die folgenden Topologien:

  • Einzelne Gesamtstruktur, einzelner Microsoft Entra-Mandant: In dieser Topologie synchronisiert Microsoft Entra Connect Objekte und Identitätsinformationen aus einer oder mehreren Domänen in einer einzelnen lokalen Gesamtstruktur in einem einzelnen Microsoft Entra-Mandanten. Das ist die Standardtopologie, die durch die Expressinstallation von Microsoft Entra Connect implementiert wird.

    Hinweis

    Sofern Sie keinen Server im Stagingmodus ausführen (weiter unten beschrieben), sollten Sie nicht mehrere Microsoft Entra Connect-Synchronisierungsserver verwenden, um verschiedene Domänen in derselben lokalen Gesamtstruktur mit demselben Microsoft Entra-Mandanten zu verbinden.

  • Mehrere Gesamtstrukturen, einzelnes Microsoft Entra-Verzeichnis: In dieser Topologie synchronisiert Microsoft Entra Connect Objekte und Identitätsinformationen aus mehrere Gesamtstrukturen in einem einzelnen Microsoft Entra-Mandanten. Verwenden Sie diese Topologie, wenn Ihre Organisation mehrere lokale Gesamtstrukturen hat. Sie können Identitätsinformationen konsolidieren, sodass jede*r Benutzer*in im Microsoft Entra-Verzeichnis einmal repräsentiert ist, selbst wenn diese*r in mehreren Gesamtstrukturen vorhanden ist. Für alle Gesamtstrukturen wird derselbe Microsoft Entra Connect-Synchronisierungsserver verwendet. Der Microsoft Entra Connect-Synchronisierungsserver muss nicht zu einer der Domänen gehören, aber muss über alle Gesamtstrukturen erreichbar sein.

    Hinweis

    In dieser Topologie dürfen Sie keine separaten Microsoft Entra Connect-Synchronisierungsserver verwenden, um jede lokale Gesamtstruktur mit einem einzelnen Microsoft Entra-Mandanten zu verbinden. Dies kann zu doppelten Identitätsinformationen in Microsoft Entra ID führen, wenn Benutzer*innen in mehreren Gesamtstrukturen vorhanden sind.

  • Mehrere Gesamtstrukturen, separate Topologien. In dieser Topologie werden Identitätsinformationen aus separaten Gesamtstrukturen in einem einzelnen Microsoft Entra-Mandanten zusammengeführt, wobei alle Gesamtstrukturen als separate Entitäten behandelt werden. Diese Topologie ist nützlich, wenn Sie Gesamtstrukturen aus verschiedenen Organisationen kombinieren und die Identitätsinformationen für jeden Benutzer nur in einer Gesamtstruktur gespeichert werden.

    Hinweis

    Wenn die globalen Adresslisten (GAL) in jeder Gesamtstruktur synchronisiert werden, kann ein Benutzer aus einer Gesamtstruktur in einer anderen als Kontakt vorhanden sein. Dies kann passieren, wenn Ihre Organisation GALSync mit Forefront Identity Manager 2010 oder Microsoft Identity Manager 2016 implementiert hat. In diesem Szenario können Sie angeben, dass Benutzer über ihr Mail-Attribut identifiziert werden sollen. Außerdem können Sie Identitäten mithilfe der Attribute ObjectSID und MsExchMasterAccountSID abgleichen. Dies ist nützlich, wenn Sie mindestens eine Ressourcengesamtstruktur mit deaktivierten Konten haben.

  • Stagingserver. In dieser Konfiguration wird eine zweite Instanz des Microsoft Entra Connect-Synchronisierungsservers parallel zur ersten ausgeführt. Diese Struktur unterstützt Szenarien wie die folgenden:

    • Hochverfügbarkeit.

    • Testen und Bereitstellen einer neuen Konfiguration des Microsoft Entra Connect-Synchronisierungsservers

    • Einführen eines neuen Servers und Außerbetriebnahme einer alten Konfiguration.

      In diesen Szenarien wird die zweite Instanz im Stagingmodus ausgeführt. Der Server zeichnet importierte Objekte und Synchronisierungsdaten in seiner Datenbank auf, übergibt die Daten jedoch nicht an Microsoft Entra ID Wenn Sie den Stagingmodus deaktivieren, beginnt der Server damit, Daten in Microsoft Entra ID zu schreiben sowie ggf. Kennwörter in die lokalen Verzeichnisse rückzuschreiben. Weitere Informationen hierzu finden Sie unter Microsoft Entra Connect Sync: Operative Aufgaben und Überlegungen.

  • Mehrere Microsoft Entra-Verzeichnisse: Es wird empfohlen, ein einzelnes Microsoft Entra-Verzeichnis für eine Organisation zu erstellen. In manchen Situationen müssen Sie jedoch Informationen über separate Microsoft Entra-Verzeichnisse verteilen. In diesem Fall können Sie Synchronisierungs- und Kennwortrückschreibungsprobleme vermeiden, indem Sie sicherstellen, dass jedes Objekt aus der lokalen Gesamtstruktur nur einmal im Microsoft Entra-Verzeichnis vorhanden ist. Um dieses Szenario zu implementieren, konfigurieren Sie separate Microsoft Entra Connect-Synchronisierungsserver für jedes Microsoft Entra-Verzeichnis, und verwenden Sie die Filterung, sodass jeder Microsoft Entra Connect-Synchronisierungsserver sich gegenseitig ausschließende Objekte verwaltet.

Weitere Informationen zu diesen Topologien finden Sie unter Topologien für Microsoft Entra Connect.

Konfigurieren Sie die Benutzerauthentifizierungsmethode

Standardmäßig konfiguriert der Microsoft Entra Connect-Synchronisierungsserver die Kennworthashsynchronisierung zwischen der lokalen Domäne und Microsoft Entra ID. Der Microsoft Entra-Dienst geht davon aus, dass Benutzer*innen sich authentifizieren, indem sie dasselbe Kennwort angeben, das sie lokal verwenden. Für viele Organisationen ist dies geeignet, Sie sollten aber die vorhandenen Richtlinien und die vorhandene Infrastruktur Ihres Unternehmens berücksichtigen. Beispiel:

  • Die Sicherheitsrichtlinie Ihrer Organisation könnte verhindern, dass Kennworthashes in der Cloud synchronisiert werden. In diesem Fall sollte Ihre Organisation die Pass-Through-Authentifizierung in Erwägung ziehen.
  • Sie könnten fordern, dass für Benutzer nahtloses einmaligen Anmelden verwendet wird, wenn sie im Unternehmensnetzwerk von Computern, die zur Domäne gehören, auf Cloudressourcen zugreifen.
  • Ihre Organisation hat möglicherweise bereits Active Directory-Verbunddienste (AD FS) oder einen Drittanbieter-Verbundanbieter bereitgestellt. Sie können Microsoft Entra ID so konfigurieren, dass statt der in der Cloud gespeicherten Kennwortinformationen diese Infrastruktur zum Implementieren von Authentifizierung und SSO verwendet wird.

Weitere Informationen finden Sie unter Microsoft Entra Connect-Optionen für die Benutzeranmeldung.

Konfigurieren des Microsoft Entra-Anwendungsproxys

Verwenden Sie Microsoft Entra ID, um Zugriff auf lokale Anwendungen zu ermöglichen.

Machen Sie Ihre lokalen Webanwendungen über Anwendungsproxyconnectors verfügbar, die von der Microsoft Entra-Komponente für Anwendungsproxys verwaltet werden. Der Anwendungsproxyconnector öffnet eine ausgehende Netzwerkverbindung mit dem Microsoft Entra-Anwendungsproxy. Die Anforderungen von Remotebenutzer*innen werden von Microsoft Entra ID über diese Proxyverbindung an die Web-Apps zurückgeleitet. Diese Konfiguration macht das Öffnen eingehender Ports in der lokalen Firewall überflüssig und reduziert die Angriffsfläche Ihrer Organisation.

Weitere Informationen finden Sie unter Veröffentlichen von Anwendungen mit dem Microsoft Entra-Anwendungsproxy.

Konfigurieren der Microsoft Entra-Objektsynchronisierung

In der Standardkonfiguration synchronisiert Microsoft Entra Connect Objekte aus Ihrem lokalen Active Directory-Verzeichnis anhand der Regeln, die im Artikel Microsoft Entra Connect-Synchronisierung: Grundlegendes zur Standardkonfiguration erläutert werden. Objekte, die diese Regeln erfüllen, werden synchronisiert, während alle anderen Objekte ignoriert werden. Einige Beispielregeln:

  • Benutzerobjekte benötigen ein eindeutiges sourceAnchor-Attribut, und das accountEnabled-Attribut muss einen Wert haben.
  • Jedes Benutzerobjekt muss ein sAMAccountName-Attribut haben und darf weder mit dem Text Azure AD_ noch mit dem Text MSOL_ beginnen.

Microsoft Entra Connect wendet verschiedene Regeln auf User-, Contact-, Group-, ForeignSecurityPrincipal- und Computer-Objekte an. Verwenden Sie den Synchronisierungsregel-Editor, der mit Microsoft Entra Connect installiert wurde, wenn Sie den Standardregelsatz ändern müssen. Weitere Informationen hierzu finden Sie unter Microsoft Entra Connect-Synchronisierung: Grundlegendes zur Standardkonfiguration.

Sie können auch Ihre eigenen Filter definieren, um die zu synchronisierenden Objekte nach Domäne oder Organisationseinheit zu begrenzen. Alternativ Sie können komplexere benutzerdefinierte Filter implementieren. Dieser Vorgang wird unter Microsoft Entra Connect-Synchronisierung: Konfigurieren der Filterung erläutert.

Konfigurieren der Überwachungs-Agents

Systemüberwachung wird von den folgenden lokal installierten Agents ausgeführt:

  • Microsoft Entra Connect installiert einen Agent, der Informationen zu Synchronisierungsvorgängen erfasst. Verwenden Sie das Blatt „Microsoft Entra Connect Health“ im Azure-Portal, um die Integrität und Leistung zu überwachen. Weitere Informationen hierzu finden Sie unter Verwenden von Microsoft Entra Connect Health für die Synchronisierung.
  • Wenn Sie die Integrität der AD DS-Domänen und -Verzeichnisse in Azure überwachen möchten, installieren Sie den Microsoft Entra Connect Health-Agent für AD DS auf einem Computer in der lokalen Domäne. Verwenden Sie das Blatt „Microsoft Entra Connect Health“ im Azure-Portal für die Systemüberwachung. Weitere Informationen hierzu finden Sie unter Verwenden von Microsoft Entra Connect Health mit AD DS.
  • Installieren Sie den Microsoft Entra Connect Health-Agent für AD FS, um die Integrität von Diensten zu überwachen, die lokal ausgeführt werden, und verwenden Sie das Blatt „Microsoft Entra Connect Health“ im Azure-Portal, um AD FS zu überwachen. Weitere Informationen hierzu finden Sie unter Verwenden von Microsoft Entra Connect Health mit AD FS.

Weitere Informationen zum Installieren von AD Connect Health-Agents und zu deren Anforderungen finden Sie unter Installieren des Microsoft Entra Connect Health-Agents.

Überlegungen

Diese Überlegungen beruhen auf den Säulen des Azure Well-Architected Frameworks, d. h. einer Reihe von Grundsätzen, mit denen die Qualität von Workloads verbessert werden kann. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Zuverlässigkeit

Zuverlässigkeit stellt sicher, dass Ihre Anwendung Ihre Verpflichtungen gegenüber den Kunden erfüllen kann. Weitere Informationen finden Sie in der Überblick über die Säule „Zuverlässigkeit“.

Der Microsoft Entra-Dienst ist geografisch verteilt und wird in mehreren Rechenzentren ausgeführt, die auf der ganzen Welt verteilt sind und ein automatisches Failover ermöglichen. Fällt ein Rechenzentrum aus, stellt Microsoft Entra ID sicher, dass Ihre Verzeichnisdaten in mindestens zwei weiteren regional verteilten Rechenzentren sofort verfügbar sind.

Hinweis

Die Vereinbarung zum Servicelevel (SLA) für den AD-Tarif für Microsoft 365-Apps und Premium-Dienste garantiert eine Verfügbarkeit von mindestens 99,9 %. Für den Free-Tarif von Microsoft Entra ID gibt es keine SLA. Weitere Informationen finden Sie unter SLA für Microsoft Entra ID.

Sie sollten erwägen, eine zweite Instanz des Microsoft Entra Connect-Synchronisierungsservers im Stagingmodus bereitzustellen, um die Verfügbarkeit zu erhöhen. Dieser Vorgang wird im Abschnitt „Topologieempfehlungen“ erläutert.

Wenn Sie nicht die LocalDB-Instanz von SQL Server Express verwenden, die in Microsoft Entra Connect enthalten ist, sollten Sie SQL-Clustering verwenden, um Hochverfügbarkeit zu erzielen. Lösungen wie Datenbankspiegelung und Always On werden von Microsoft Entra Connect nicht unterstützt.

Weitere Informationen dazu, wie die Hochverfügbarkeit des Microsoft Entra Connect-Synchronisierungsservers erreicht und die Wiederherstellung nach einem Ausfall vorgenommen wird, finden Sie unter Microsoft Entra Connect Sync: Operative Aufgaben und Überlegungen – Notfallwiederherstellung.

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Übersicht über die Säule „Sicherheit“.

Verwenden Sie bedingte Zugriffssteuerung, um Authentifizierungsanforderungen von unerwarteten Quellen abzulehnen:

  • Lösen Sie die Multi-Faktor-Authentifizierung (MFA) von Microsoft Entra aus, wenn ein*e Benutzer*in versucht, eine Verbindung von einem nicht vertrauenswürdigen Standort herzustellen, z. B. über das Internet statt über ein vertrauenswürdiges Netzwerk.

  • Verwenden Sie den Geräteplattformtyp des Benutzers (iOS, Android, Windows Mobile, Windows), um die Richtlinie für Zugriff auf Anwendungen und Funktionen zu bestimmen.

  • Speichern Sie für die Geräte der Benutzer den Status „Aktiviert/Deaktiviert“, und integrieren Sie diese Informationen in die Zugriffsrichtlinienüberprüfungen. Hat ein Benutzer z.B. sein Smartphone verloren, oder wurde es ihm gestohlen, sollte es als „Deaktiviert“ gespeichert werden, um zu verhindern, dass mit ihm Zugriff erlangt werden kann.

  • Steuern Sie Benutzerzugriff auf Ressourcen anhand von Gruppenmitgliedschaften. Verwenden Sie dynamische Microsoft Entra-Mitgliedschaftsregeln, um die Gruppenverwaltung zu vereinfachen. Eine kurze Übersicht, wie dies funktioniert, finden Sie unter Azure AD: Introduction to Dynamic Memberships for Groups (Azure AD: Einführung in dynamische Mitgliedschaften für Gruppen).

  • Verwenden Sie Risikorichtlinien zum bedingten Zugriff mit Microsoft Entra ID Protection,um erweiterten Schutz basierend auf ungewöhnlichen Anmeldeaktivitäten oder anderen Ereignissen zu implementieren.

Weitere Informationen finden Sie unter Bedingter Zugriff mit Microsoft Entra.

Kostenoptimierung

Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Weitere Informationen finden Sie unter Übersicht über die Säule „Kostenoptimierung“.

Verwenden Sie den Azure-Preisrechner, um die voraussichtlichen Kosten zu ermitteln.

Einige zu berücksichtigende Aspekte:

  • Microsoft Entra Connect: Das Microsoft Entra Connect-Synchronisierungsfeature ist in allen Editionen von Microsoft Entra ID verfügbar.

    • Es gibt keine zusätzlichen Lizenzanforderungen für die Verwendung von Microsoft Entra Connect, und das Feature ist in Ihrem Azure-Abonnement enthalten.

    • Preisinformationen zu den Editionen von Microsoft Entra ID finden Sie unter Preise für Microsoft Entra.

  • VMs für n-schichtige Anwendung – Weitere Informationen zu den Kosten dieser Ressourcen finden Sie unter [Ausführen von Windows-VMs für eine n-schichtige Anwendung][implementing-a-multi-tier-architecture-on-Azure].

Optimaler Betrieb

Die Säule „Optimaler Betrieb“ deckt die Betriebsprozesse ab, die für die Bereitstellung einer Anwendung und deren Ausführung in der Produktion sorgen. Weitere Informationen finden Sie unter Übersicht über die Säule „Optimaler Betrieb“.

Verwaltbarkeit

Es gibt zwei Aspekte beim Verwalten von Microsoft Entra ID:

  • Verwalten von Microsoft Entra ID in der Cloud
  • Verwalten der Microsoft Entra Connect-Synchronisierungsserver

Microsoft Entra ID bietet die folgenden Optionen zum Verwalten von Domänen und Verzeichnissen in der Cloud:

Mit Microsoft Entra Connect werden die folgenden Tools installiert, um Microsoft Entra Connect-Synchronisierungsdienste über Ihre lokalen Computer verwalten zu können:

  • Microsoft Entra Connect-Konsole: ermöglicht es Ihnen, die Konfiguration des Azure AD Sync-Servers zu ändern, anzupassen, wie die Synchronisierung erfolgt, den Stagingmodus zu aktivieren oder zu deaktivieren und den Benutzeranmeldemodus zu wechseln Sie können die Active Directory FS-Anmeldung mit Ihrer lokalen Infrastruktur aktivieren.
  • Synchronization Service Manager – Verwenden Sie die Registerkarte Vorgänge in diesem Tool, um den Synchronisierungsprozess zu verwalten und festzustellen, ob Teile des Prozesses fehlgeschlagen sind. Mit diesem Tool können Sie Synchronisierungen manuell auslösen. Auf der Registerkarte Connectors können Sie die Verbindungen für die Domänen steuern, denen das Synchronisierungsmodul zugewiesen ist.
  • Synchronisierungsregel-Editor: ermöglicht es Ihnen, die Art und Weise anzupassen, wie Objekte transformiert werden, wenn sie zwischen einem lokalen Verzeichnis und Microsoft Entra ID kopiert werden Mit diesem Tool können Sie zusätzliche Attribute und Objekte für die Synchronisierung angeben und dann Filter ausführen, um zu bestimmen, welche Objekte synchronisiert werden sollen und welche nicht. Weitere Informationen hierzu finden Sie im Dokument Microsoft Entra Connect-Synchronisierung: Grundlegendes zur Standardkonfiguration.

Weitere Informationen und Tipps zum Verwalten von Microsoft Entra Connect finden Sie unter Microsoft Entra Connect-Synchronisierung: Best Practices für das Ändern der Standardkonfiguration.

DevOps

Überlegungen zu DevOps finden Sie unter Operational Excellence beim Erweitern von Active Directory Domain Services (AD DS) auf Azure.

Effiziente Leistung

Leistungseffizienz ist die Fähigkeit Ihrer Workload, auf effiziente Weise eine den Anforderungen der Benutzer entsprechende Skalierung auszuführen. Weitere Informationen finden Sie unter Übersicht über die Säule „Leistungseffizienz“.

Der Microsoft Entra-Dienst unterstützt Skalierbarkeit auf Basis von Replikaten, mit einem einzelnen primären Replikat, das Schreibvorgänge verwaltet, und mehreren schreibgeschützten sekundären Replikaten. Microsoft Entra ID leitet versuchte Schreibvorgänge, die für sekundäre Replikate erfolgt sind, transparent an das primäre Replikat weiter und ermöglicht so Konsistenz. Alle Änderungen, die am primären Replikat vorgenommen wurden, werden an die sekundären Replikate weitergegeben. Diese Architektur bietet eine gute Skalierung, denn die meisten Vorgänge für Microsoft Entra ID sind keine Schreib-, sondern Lesevorgänge. Weitere Informationen finden Sie unter Was ist die Microsoft Entra-Architektur?.

Bestimmen Sie für den Microsoft Entra Connect-Synchronisierungsserver, wie viele Objekte Sie wahrscheinlich aus Ihrem lokalen Verzeichnis synchronisieren werden. Wenn es sich um weniger als 100.000 Objekte handelt, können Sie die LocalDB-Standardsoftware von SQL Server Express verwenden, die in Microsoft Entra Connect enthalten ist. Wenn Sie mehr Objekte besitzen, sollten Sie eine Produktionsversion von SQL Server installieren und eine benutzerdefinierte Installation von Microsoft Entra Connect durchführen. Geben Sie dabei an, dass eine vorhandene Instanz von SQL Server verwendet werden soll.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte