Integrieren von lokalen Active Directory-Domänen in Azure Active Directory

Azure Active Directory (Azure AD) ist ein cloudbasierter mehrinstanzenfähiger Verzeichnis- und Identitätsdienst. Die folgende Referenzarchitektur zeigt bewährte Methoden zum Integrieren von lokalen Active Directory-Domänen in Azure AD, um cloudbasierte Identitätsauthentifizierung bereitzustellen.

Aufbau

Greifen Sie über Microsoft 365 online auf das Visio-Diagramm zu. Beachten Sie, dass Sie über eine Visio Lizenz verfügen müssen, um auf dieses Diagramm zugreifen zu können. Oder laden Sie eine Visio-Datei dieser Architektur herunter (siehe Visio-Registerkarte „Azure AD“).

Weitere Überlegungen finden Sie unter Auswählen einer Lösung für die Integration einer lokalen Active Directory-Instanz in Azure.

Komponenten

Diese Architektur besteht aus den folgenden Komponenten.

• Azure AD-Mandant. Eine Instanz von Azure AD, die von Ihrer Organisation erstellt wurde. Sie fungiert als ein Verzeichnisdienst für Cloudanwendungen, indem sie Objekte speichert, die aus dem lokalen Active Directory kopiert wurden, und stellt Identitätsdienste bereit.

• Webschicht-Subnetz. Dieses Subnetz enthält virtuelle Computer, die eine Webanwendung ausführen. Azure AD kann als Identitätsbroker für diese Anwendung fungieren.

• Lokaler AD DS-Server. Eine lokaler Verzeichnis- und Identitätsdienst. Das AD DS-Verzeichnis kann mit Azure AD synchronisiert werden, um die Authentifizierung lokaler Benutzer zu ermöglichen.

• Azure AD Connect-Synchronisierungsserver. Ein lokaler Computer, auf dem der Azure AD Connect-Synchronisierungsdienst ausgeführt wird. Dieser Dienst synchronisiert Informationen, die sich im lokalen Active Directory befinden, mit Azure AD. Wenn Sie beispielsweise die Bereitstellung oder das Aufheben der Bereitstellung von Gruppen und Benutzern lokal ausführen, werden diese Änderungen an Azure AD weitergegeben.

  Hinweis

  Aus Sicherheitsgründen speichert Azure AD die Kennwörter eines Benutzers als Hash. Ist für einen Benutzer eine Kennwortzurücksetzung erforderlich, muss diese lokal ausgeführt und der neue Hash an Azure AD gesendet werden. Azure AD Premium Editionen enthalten Funktionen, die Kennwortänderungen in der Cloud ermöglichen und dann in lokale AD DS zurückgeschrieben werden können.

• Virtuelle Computer (VMs) für eine n-schichtige Anwendung. Weitere Informationen zu diesen Ressourcen finden Sie unter Ausführen von Windows-VMs für eine n-schichtige Anwendung.

Szenariodetails

Mögliche Anwendungsfälle

Typische Einsatzmöglichkeiten für diese Referenzarchitektur sind:

• Webanwendungen, die in Azure bereitgestellt werden und Zugriff für Remotebenutzer bereitstellen, die zu Ihrer Organisation gehören.
• Implementieren von Self-Service-Funktionen für Endbenutzer, z.B. Zurücksetzen ihrer Kennwörter und Delegieren von Gruppenverwaltung. Hierfür ist die Azure AD Premium-Edition erforderlich.
• Architekturen, in denen das lokale Netzwerk und das Azure VNet der Anwendung nicht über eine VPN-Tunnel- oder ExpressRoute-Verbindung verbunden sind.

Empfehlungen

Die folgenden Empfehlungen gelten für die meisten Szenarios. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.

Konfigurieren Sie den Azure AD Connect-Synchronisierungsdienst

Der Azure AD Connect-Synchronisierungsdienst stellt sicher, dass Identitätsinformationen, die in der Cloud gespeichert sind, mit denjenigen konsistent sind, die lokal gespeichert sind. Sie installieren diesen Dienst mit der Azure AD Connect-Software.

Bevor Sie vor Azure AD Connect-Synchronisierung implementieren, müssen Sie die Synchronisierungsanforderungen Ihrer Organisation ermitteln. Dies umfasst beispielsweise, was, von welchen Domänen und wie oft synchronisiert werden muss. Weitere Informationen hierzu finden Sie unter Ermitteln der Anforderungen an die Verzeichnissynchronisierung.

Sie können den Azure AD Connect-Synchronisierungsdienst auf einem virtuellen Computer oder auf einem lokal gehosteten Computer ausführen. Je nach Schwankung der Informationen in Ihrem Active Directory-Verzeichnis ist es unwahrscheinlich, dass die Last für den Azure AD Connect-Synchronisierungsdienst nach der Erstsynchronisierung mit Azure AD hoch ist. Durch Ausführen des Diensts auf einem virtuellen Computer wird es einfacher, den Server bei Bedarf zu skalieren. Überwachen Sie die Aktivitäten auf dem virtuellen Computer, wie dies im Abschnitt „Überwachung“ beschrieben ist, um zu ermitteln, ob Skalierung erforderlich ist.

Wenn Sie mehrere lokale Domänen in einer Gesamtstruktur haben, empfiehlt es sich, die Informationen für die vollständige Gesamtstruktur im einem einzigen Azure AD-Mandanten zu speichern und zu synchronisieren. Filtern Sie nach Informationen für Identitäten, die in mehreren Domänen vorkommen, sodass jede Identität nur einmal in Azure AD vorhanden ist, statt dupliziert zu werden. Duplizierung kann zu Inkonsistenzen führen, wenn Daten synchronisiert werden. Weitere Informationen finden Sie im Abschnitt „Topologieempfehlungen“ weiter unten.

Verwenden Sie Filterung, damit nur erforderliche Daten in Azure AD gespeichert werden. Beispielsweise könnte es sein, dass Ihre Organisation keine Informationen über inaktive Konten in Azure AD speichern möchte. Filterung kann nach Gruppen, Domänen, Organisationseinheiten oder Attributen erfolgen. Sie können Filter kombinieren, um komplexere Regeln zu erzeugen. Beispielsweise könnten Sie Objekte synchronisieren, die in einer Domäne gespeichert sind und einen bestimmten Wert in einem ausgewählten Attribut haben. Ausführliche Informationen hierzu finden Sie unter Azure AD Connect-Synchronisierung: Konfigurieren der Filterung.

Um hohe Verfügbarkeit für den AD Connect-Synchronisierungsdienst sicherzustellen, führen Sie einen sekundären Stagingserver aus. Weitere Informationen finden Sie in Abschnitt „Topologieempfehlungen“.

Überprüfen der Sicherheitskonfiguration und -richtlinie

Verwaltung von Benutzerkennwörtern: Die Azure AD Premium-Editionen unterstützen das Rückschreiben von Kennwörtern, sodass Ihre lokalen Benutzer die Möglichkeit haben, Self-Service-Kennwortzurücksetzungen über das Azure-Portal auszuführen. Diese Funktion sollte erst aktiviert werden, nachdem die Kennwortsicherheitsrichtlinien Ihrer Organisation überprüft wurden. Beispielsweise können Sie einschränken, welche Benutzer ihre Kennwörter ändern können, und Sie können die Oberfläche für die Kennwortverwaltung anpassen. Weitere Informationen hierzu finden Sie unter Anpassen der Kennwortverwaltung an die Anforderungen Ihrer Organisation.

Schützen von lokalen Anwendungen, auf die extern zugegriffen werden kann. Verwenden Sie den Azure AD-Anwendungsproxy, um für externe Benutzer über Azure AD kontrollierten Zugriff auf lokale Webanwendungen bereitzustellen. Nur Benutzer, die gültige Anmeldeinformationen in Ihrem Azure-Verzeichnis haben, sind berechtigt, die Anwendung zu verwenden. Weitere Informationen hierzu finden Sie im Artikel Aktivieren des Anwendungsproxys über das Azure-Portal.

Aktive Überwachung von Azure AD auf Anzeichen für verdächtige Aktivitäten. Sie sollten erwägen, die Azure AD Premium P2-Edition zu verwenden, die Azure AD Identity Protection umfasst. Identity Protection nutzt adaptive Machine Learning-Algorithmen und heuristische Verfahren, um Anomalien und Risikoereignisse zu erkennen, die auf die Kompromittierung einer Identität hindeuten können. Beispielsweise kann Identity Protection potenziell ungewöhnliche Aktivitäten erkennen, etwa auffällige Anmeldeaktivitäten, Anmeldungen von unbekannten Quellen oder über IP-Adressen mit verdächtigen Aktivitäten oder Anmeldungen von Geräten, die möglicherweise infiziert sind. Mit diesen Daten generiert Identity Protection Berichte und Warnungen, damit Sie diese Risikoereignisse untersuchen und geeignete Aktionen durchführen können. Weitere Informationen finden Sie unter Azure Active Directory Identity Protection.

Sie können die Berichtsfunktion von Azure AD im Azure-Portal verwenden, um sicherheitsbezogene Aktivitäten zu überwachen, die in Ihrem System auftreten. Weitere Informationen zum Verwenden dieser Berichte finden Sie unter Anleitung für Azure Active Directory-Berichte.

Überprüfung der Netzwerktopologie

Konfigurieren Sie Azure AD Connect so, dass eine Topologie implementiert wird, die den Anforderungen Ihrer Organisation am ehesten entspricht. Folgende Topologien werden u. a. von Azure AD Connect unterstützt:

• Einzelne Gesamtstruktur, einzelnes Azure AD-Verzeichnis. In dieser Topologie synchronisiert Azure AD Connect Objekte und Identitätsinformationen aus einer oder mehreren Domänen in einer einzelnen lokalen Gesamtstruktur in einem einzelnen Azure AD-Mandanten. Dies ist die Standardtopologie, die durch die Expressinstallation von Azure AD Connect implementiert wird.

  Hinweis

  Sofern Sie keinen Server im Stagingmodus ausführen (weiter unten beschrieben), sollten Sie nicht mehrere Azure AD Connect-Synchronisierungsserver verwenden, um verschiedene Domänen in derselben lokalen Gesamtstruktur mit demselben Azure AD-Mandanten zu verbinden.

• Mehrere Gesamtstrukturen, einzelnes Azure AD-Verzeichnis. In dieser Topologie synchronisiert Azure AD Connect Objekte und Identitätsinformationen aus mehrere Gesamtstrukturen in einem einzelnen Azure AD-Mandanten. Verwenden Sie diese Topologie, wenn Ihre Organisation mehrere lokale Gesamtstrukturen hat. Sie können Identitätsinformationen konsolidieren, sodass jeder eindeutige Benutzer im Azure AD-Verzeichnis einmal dargestellt ist, selbst wenn er in mehreren Gesamtstrukturen vorhanden ist. Für alle Gesamtstrukturen wird derselbe Azure AD Connect-Synchronisierungsserver verwendet. Der Azure AD Connect-Synchronisierungsserver muss nicht zu einer der Domänen gehören, muss aber aus allen Gesamtstrukturen erreichbar sein.

  Hinweis

  In dieser Topologie dürfen Sie keine separaten Azure AD Connect-Synchronisierungsserver verwenden, um jede lokale Gesamtstruktur mit einem einzelnen Azure AD-Mandanten zu verbinden. Dies kann zu doppelten Identitätsinformationen in Azure AD führen, wenn Benutzer in mehreren Gesamtstrukturen vorhanden sind.

• Mehrere Gesamtstrukturen, separate Topologien. In dieser Topologie werden Identitätsinformationen aus separaten Gesamtstrukturen in einem einzelnen Azure AD-Mandanten zusammengeführt, wobei alle Gesamtstrukturen als separate Entitäten behandelt werden. Diese Topologie ist nützlich, wenn Sie Gesamtstrukturen aus verschiedenen Organisationen kombinieren und die Identitätsinformationen für jeden Benutzer nur in einer Gesamtstruktur gespeichert werden.

  Hinweis

  Wenn die globalen Adresslisten (GAL) in jeder Gesamtstruktur synchronisiert werden, kann ein Benutzer aus einer Gesamtstruktur in einer anderen als Kontakt vorhanden sein. Dies kann passieren, wenn Ihre Organisation GALSync mit Forefront Identity Manager 2010 oder Microsoft Identity Manager 2016 implementiert hat. In diesem Szenario können Sie angeben, dass Benutzer über ihr Mail-Attribut identifiziert werden sollen. Außerdem können Sie Identitäten mithilfe der Attribute ObjectSID und MsExchMasterAccountSID abgleichen. Dies ist nützlich, wenn Sie mindestens eine Ressourcengesamtstruktur mit deaktivierten Konten haben.

• Stagingserver. In dieser Konfiguration wird eine zweite Instanz des Azure AD Connect-Synchronisierungsservers parallel zur ersten ausgeführt. Diese Struktur unterstützt Szenarien wie die folgenden:

  • Hochverfügbarkeit.

  • Testen und Bereitstellen einer neuen Konfigurations des Azure AD Connect-Synchronisierungsservers.

  • Einführen eines neuen Servers und Außerbetriebnahme einer alten Konfiguration.

    In diesen Szenarien wird die zweite Instanz im Stagingmodus ausgeführt. Der Server zeichnet importierte Objekte und Synchronisierungsdaten in seiner Datenbank auf, übergibt die Daten jedoch nicht an Azure AD. Wenn Sie den Stagingmodus deaktivieren, beginnt der Server damit, Daten in Azure AD zu schreiben sowie ggf. Kennwörter in die lokalen Verzeichnisse zurückzuschreiben. Weitere Informationen hierzu finden Sie unter Azure AD Connect-Synchronisierung: Operative Aufgaben und Überlegungen.

• Mehrere Azure AD-Verzeichnisse. Es wird empfohlen, dass Sie ein einzelnes Azure AD-Verzeichnis für eine Organisation erstellen, es kann aber Situationen geben, in denen Sie Informationen über getrennte Azure AD-Verzeichnisse verteilen müssen. In diesem Fall können Sie Synchronisierungs- und Kennwortrückschreibungsprobleme vermeiden, indem Sie sicherstellen, dass jedes Objekt aus der lokalen Gesamtstruktur nur einmal im Azure AD-Verzeichnis vorhanden ist. Um dieses Szenario zu implementieren, konfigurieren Sie separate Azure AD Connect-Synchronisierungsserver für jedes Azure AD-Verzeichnis, und verwenden Sie Filterung, sodass jeder Azure AD Connect-Synchronisierungsserver einen wechselseitig exklusiven Satz von Objekten verwaltet.

Weitere Informationen zu diesen Topologien finden Sie unter Topologien für Azure AD Connect.

Konfigurieren Sie die Benutzerauthentifizierungsmethode

Standardmäßig konfiguriert der Azure AD Connect-Synchronisierungsserver die Kennworthashsynchronisierung zwischen der lokalen Domäne und Azure AD. Der Azure AD-Dienst geht davon aus, dass Benutzer sich authentifizieren, indem sie dasselbe Kennwort bereitstellen, das sie lokal verwenden. Für viele Organisationen ist dies geeignet, Sie sollten aber die vorhandenen Richtlinien und die vorhandene Infrastruktur Ihres Unternehmens berücksichtigen. Beispiel:

• Die Sicherheitsrichtlinie Ihrer Organisation könnte verhindern, dass Kennworthashes in der Cloud synchronisiert werden. In diesem Fall sollte Ihre Organisation die Pass-Through-Authentifizierung in Erwägung ziehen.
• Sie könnten fordern, dass für Benutzer nahtloses einmaligen Anmelden verwendet wird, wenn sie im Unternehmensnetzwerk von Computern, die zur Domäne gehören, auf Cloudressourcen zugreifen.
• Ihre Organisation hat möglicherweise bereits Active Directory-Verbunddienste (AD FS) oder einen Drittanbieter-Verbundanbieter bereitgestellt. Sie können Azure AD so konfigurieren, dass statt der in der Cloud gespeicherten Kennwortinformationen diese Infrastruktur zum Implementieren von Authentifizierung und SSO verwendet wird.

Weitere Informationen finden Sie unter Azure AD Connect-Optionen für die Benutzeranmeldung.

Konfigurieren von Azure AD-Anwendungsproxy

Verwenden Sie Azure AD, um Zugriff auf lokale Anwendungen bereitzustellen.

Machen Sie Ihre lokalen Webanwendungen über Anwendungsproxy-Connectors verfügbar, die von der Azure AD-Komponente für Anwendungsproxys verwaltet werden. Der Anwendungsproxyconnector öffnet eine ausgehende Netzwerkverbindung mit dem Azure AD-Anwendungsproxy. Die Anforderungen von Remotebenutzern werden von Azure AD über diese Proxyverbindung an die Web-Apps zurückgeleitet. Diese Konfiguration macht das Öffnen eingehender Ports in der lokalen Firewall überflüssig und reduziert die Angriffsfläche Ihrer Organisation.

Weitere Informationen hierzu finden Sie unter Veröffentlichen von Anwendungen mit Azure AD-Anwendungsproxy.

Konfigurieren Sie die Azure AD-Objektsynchronisierung

In der Standardkonfiguration für Azure AD Connect werden Objekte aus Ihrem lokalen Active Directory-Verzeichnis synchronisiert anhand der Regeln im Artikel Azure AD Connect-Synchronisierung: Grundlegendes zur Standardkonfiguration. Objekte, die diese Regeln erfüllen, werden synchronisiert, während alle anderen Objekte ignoriert werden. Einige Beispielregeln:

• Benutzerobjekte benötigen ein eindeutiges sourceAnchor-Attribut, und das accountEnabled-Attribut muss einen Wert haben.
• Jedes Benutzerobjekt muss ein sAMAccountName-Attribut haben und darf weder mit dem Text Azure AD_ noch mit dem Text MSOL_ beginnen.

Azure AD Connect wendet verschiedene Regeln auf User-, Contact-, Group-, ForeignSecurityPrincipal- und Computer-Objekte an. Verwenden Sie den Synchronisierungsregel-Editor, der mit Azure AD Connect installiert wurde, wenn Sie den Standardsatz der Regeln ändern müssen. Weitere Informationen hierzu finden Sie unter Azure AD Connect-Synchronisierung: Grundlegendes zur Standardkonfiguration.

Sie können auch Ihre eigenen Filter definieren, um die zu synchronisierenden Objekte nach Domäne oder Organisationseinheit zu begrenzen. Alternativ können Sie komplexere benutzerdefinierte Filter implementieren, wie unter Azure AD Connect-Synchronisierung: Konfigurieren der Filterung.

Konfigurieren der Überwachungs-Agents

Systemüberwachung wird von den folgenden lokal installierten Agents ausgeführt:

• Azure AD Connect installiert einen Agent, der Informationen zu Synchronisierungsvorgängen erfasst. Verwenden Sie das Blatt „Azure AD Connect Health“ im Azure-Portal, um dessen Integrität und Leistung überwachen. Weitere Informationen hierzu finden Sie unter Verwenden von Azure AD Connect Health für die Synchronisierung.
• Wenn Sie die Integrität der AD DS-Domänen und -Verzeichnisse von Azure überwachen möchten, installieren Sie den Azure AD Connect Health für AD DS-Agent auf einem Computer in der lokalen Domäne. Verwenden Sie das Blatt „Azure Active Directory Connect Health“ im Azure-Portal für die Systemüberwachung. Weitere Informationen hierzu finden Sie unter Verwenden von Azure AD Connect Health mit AD DS.
• Installieren Sie den Azure AD Connect Health für AD FS-Agent, um die Integrität von Diensten zu überwachen, die lokal ausgeführt werden, und verwenden Sie das Blatt „Azure Active Directory Connect Health“ im Azure-Portal, um AD FS zu überwachen. Weitere Informationen hierzu finden Sie unter Verwenden von Azure AD Connect Health mit AD FS.

Weitere Informationen zum Installieren von AD Connect Health-Agents und zu deren Anforderungen finden Sie unter Installieren des Azure AD Connect Health-Agents.

Überlegungen

Diese Überlegungen setzen die Säulen des Azure Well-Architected Framework um, das eine Reihe von Leitprinzipien enthält, die zur Verbesserung der Qualität eines Workloads verwendet werden können. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Zuverlässigkeit

Zuverlässigkeit stellt sicher, dass Ihre Anwendung Ihre Verpflichtungen gegenüber den Kunden erfüllen kann. Weitere Informationen finden Sie in der Überblick über die Säule „Zuverlässigkeit“.

Der Azure AD-Dienst ist geografisch verteilt und wird in mehreren Rechenzentren ausgeführt, die auf der ganzen Welt verteilt sind und automatisches Failover bieten. Fällt ein Rechenzentrum aus, stellt Azure AD sicher, dass Ihre Verzeichnisdaten in mindestens zwei weiteren regional verteilten Rechenzentren für Zugriff durch die Instanz verfügbar sind.

Sie sollten sich überlegen, eine zweite Instanz des Azure AD Connect-Synchronisierungsservers im Stagingmodus bereitzustellen, um die Verfügbarkeit zu erhöhen, wie dies im Abschnitt „Topologieempfehlungen“ erläutert ist.

Wenn Sie nicht die SQL Server Express LocalDB-Instanz verwenden, die zu Azure AD Connect gehört, sollten Sie SQL-Clustering verwenden, um hohe Verfügbarkeit zu erreichen. Lösungen wie Datenbankspiegelung und Always On werden von Azure AD Connect nicht unterstützt.

Weitere Informationen zur Einrichtung eines hochverfügbaren Azure AD Connect-Synchronisierungsservers sowie zur Wiederherstellung nach einem Ausfall finden Sie unter Azure AD Connect Sync: Operative Aufgaben und Überlegungen – Notfallwiederherstellung.

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Übersicht über die Säule „Sicherheit“.

Verwenden Sie bedingte Zugriffssteuerung, um Authentifizierungsanforderungen von unerwarteten Quellen abzulehnen:

• Lösen Sie Azure Active Directory Multi-Factor Authentifizierung (MFA) aus, wenn ein Benutzer versucht, eine Verbindung von einem nicht vertrauenswürdigen Standort herzustellen, etwa über das Internet anstelle eines vertrauenswürdigen Netzwerks.

• Verwenden Sie den Geräteplattformtyp des Benutzers (iOS, Android, Windows Mobile, Windows), um die Richtlinie für Zugriff auf Anwendungen und Funktionen zu bestimmen.

• Speichern Sie für die Geräte der Benutzer den Status „Aktiviert/Deaktiviert“, und integrieren Sie diese Informationen in die Zugriffsrichtlinienüberprüfungen. Hat ein Benutzer z.B. sein Smartphone verloren, oder wurde es ihm gestohlen, sollte es als „Deaktiviert“ gespeichert werden, um zu verhindern, dass mit ihm Zugriff erlangt werden kann.

• Steuern Sie Benutzerzugriff auf Ressourcen anhand von Gruppenmitgliedschaften. Verwenden Sie Azure AD-Regeln für dynamische Mitgliedschaft, um eine Gruppenverwaltung zu vereinfachen. Eine kurze Übersicht, wie dies funktioniert, finden Sie unter Azure AD: Introduction to Dynamic Memberships for Groups (Azure AD: Einführung in dynamische Mitgliedschaften für Gruppen).

• Verwenden Sie Risikorichtlinien zum bedingten Zugriff mit Azure AD Identity Protection,um erweiterten Schutz basierend auf ungewöhnlichen Anmeldeaktivitäten oder anderen Ereignissen zu bieten.

Weitere Informationen hierzu finden Sie unter Bedingter Zugriff mit Azure Active Directory.

Kostenoptimierung

Bei der Kostenoptimierung geht es um die Suche nach Möglichkeiten, unnötige Ausgaben zu reduzieren und die Betriebseffizienz zu verbessern. Weitere Informationen finden Sie unter Übersicht über die Säule „Kostenoptimierung“.

Verwenden Sie den Azure-Preisrechner, um die voraussichtlichen Kosten zu ermitteln.

Einige zu berücksichtigende Aspekte:

• Die Synchronisierungsfunktion von Azure AD Connect ist in allen Editionen von Azure Active Directory verfügbar.

  • Es gibt keine zusätzlichen Lizenzanforderungen für die Verwendung von Azure AD Connect und ist in Ihrem Azure-Abonnement enthalten.

  • Informationen zu den Editionen von Azure Active Directory finden Sie in der Preisübersicht für Azure AD.

• VMs für N-Tier-Anwendung – Kosteninformationen zu diesen Ressourcen finden Sie unter Ausführen von VMs für eine N-Tier-Architektur.

Erstklassige Betriebsprozesse

Die Säule „Optimaler Betrieb“ deckt die Betriebsprozesse ab, die für die Bereitstellung einer Anwendung und deren Ausführung in der Produktion sorgen. Weitere Informationen finden Sie unter Übersicht über die Säule „Optimaler Betrieb“.

Verwaltbarkeit

Es gibt zwei Aspekte für das Verwalten von Azure AD:

• Verwalten von Azure AD in der Cloud
• Verwalten der Azure AD Connect-Synchronisierungsserver

Azure AD bietet die folgenden Optionen zum Verwalten von Domänen und Verzeichnissen in der Cloud:

• Azure Active Directory PowerShell Module - Wird verwendet, um allgemeine Azure AD-Verwaltungsaufgaben wie Benutzerverwaltung, Domänenverwaltung und Konfiguration von Single Sign-On zu skripten.
• Azure AD-Verwaltungsblatt im Azure-Portal - bietet eine interaktive Verwaltungsansicht des Verzeichnisses und ermöglicht es Ihnen, die meisten Aspekte von Azure AD zu steuern und zu konfigurieren.

Mit Azure AD Connect werden die folgenden Tools installiert, um Azure AD Connect-Synchronisierungsdienste über Ihre lokalen Computer verwalten zu können:

• Microsoft Azure Active Directory Connect-Konsole – ermöglicht es Ihnen, die Konfiguration des Azure AD Sync-Servers zu ändern, anzupassen, wie die Synchronisierung erfolgt, den Stagingmodus zu aktivieren oder zu deaktivieren und den Benutzeranmeldemodus zu wechseln. Sie können die Active Directory FS-Anmeldung mit Ihrer lokalen Infrastruktur aktivieren.
• Synchronization Service Manager – Verwenden Sie die Registerkarte Vorgänge in diesem Tool, um den Synchronisierungsprozess zu verwalten und festzustellen, ob Teile des Prozesses fehlgeschlagen sind. Mit diesem Tool können Sie Synchronisierungen manuell auslösen. Auf der Registerkarte Connectors können Sie die Verbindungen für die Domänen steuern, denen das Synchronisierungsmodul zugewiesen ist.
• Synchronisierungsregel-Editor – ermöglicht es Ihnen, die Art und Weise anzupassen, wie Objekte transformiert werden, wenn sie zwischen einem lokalen Verzeichnis und Azure AD kopiert werden. Mit diesem Tool können Sie zusätzliche Attribute und Objekte für die Synchronisierung angeben und dann Filter ausführen, um zu bestimmen, welche Objekte synchronisiert werden sollen und welche nicht. Weitere Informationen hierzu finden Sie im Abschnitt „Synchronisierungsregel-Editor“ des Dokuments Azure AD Connect-Synchronisierung: Grundlegendes zur Standardkonfiguration.

Weitere Informationen und Tipps zur Verwaltung von Azure AD Connect finden Sie unter Azure AD Connect-Synchronisierung: Bewährte Methoden zum Ändern der Standardkonfiguration.

DevOps

Überlegungen zu DevOps finden Sie unter Operational Excellence beim Erweitern von Active Directory Domain Services (AD DS) auf Azure.

Effiziente Leistung

Leistungseffizienz ist die Fähigkeit Ihrer Workload, auf effiziente Weise eine den Anforderungen der Benutzer entsprechende Skalierung auszuführen. Weitere Informationen finden Sie unter Übersicht über die Säule „Leistungseffizienz“.

Azure AD-Dienst unterstützt Skalierbarkeit auf Basis von Replikaten, mit einem einzelnen primären Replikat, das Schreibvorgänge verwaltet, und mehreren schreibgeschützten sekundären Replikaten. Azure AD leitet versuchte Schreibvorgänge, die für sekundäre Replikate erfolgt sind, transparent an das primäre Replikat weiter und bietet so Konsistenz. Alle Änderungen, die am primären Replikat vorgenommen wurden, werden an die sekundären Replikate weitergegeben. Diese Architektur bietet eine gute Skalierung, denn die meisten Vorgänge für Azure AD sind keine Schreib-, sondern Lesevorgänge. Weitere Informationen finden Sie unter Was ist die Azure Active Directory-Architektur?.

Bestimmen Sie für den Azure AD Connect-Synchronisierungsserver, wie viele Objekte Sie wahrscheinlich aus Ihrem lokalen Verzeichnis synchronisieren werden. Sind dies weniger als 100.000 Objekte, können Sie die standardmäßige SQL Server Express LocalDB-Software verwenden, die mit Azure AD Connect bereitgestellt wird. Haben Sie eine größere Anzahl von Objekten, sollten Sie eine Produktionsversion von SQL Server installieren und eine benutzerdefinierte Installation von Azure AD Connect ausführen, wobei Sie angeben, dass eine vorhandene Instanz von SQL Server verwendet werden soll.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

• Eric Woodruff | Product Technical Specialist

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte

• Lesen Sie Designüberlegungen zur Azure Active Directory Hybrididentität,die weitere Informationen zum Treffen von Entscheidungen in Bezug auf Hybrididentitäten enthält.
• Lesen Sie Topologien für Azure AD Connect, um sicherzustellen, dass die Hybridtopologie für Azure AD Connect in einer unterstützten Konfiguration bereitgestellt wird.
• Erfahren Sie mehr über die Verwendung von Conditional Access, um den Zugriff auf Ihre Anwendungen zu schützen, mithilfe von Bereitstellung von Conditional Access planen.
• Weitere Informationen zum Bereitstellen von AD DS in Azure als Infrastruktur finden Sie unter Integrieren von lokalem AD in Azure.
• Gehen Sie Azure AD Anwendungsproxy durch, wenn Sie beabsichtigen, Azure AD Integrationen in lokale oder Cloud-IaaS-Anwendungen bereitzustellen.
• Da Identität die neue Steuerungsebene für die Sicherheit ist, lesen Sie Bewährte Methoden für die Identitätsverwaltung.
• Machen Sie sich außerdem anhand des Abschnitts Schützen des privilegierten Zugangs mit den Sicherheitskontrollen für privilegierte Konten vertraut, da für den Einsatz dieser Lösung hochgradig privilegierte Konten erforderlich sind.

Zugehörige Ressourcen

• Verwalten der Identität in mehrinstanzenfähigen Anwendungen
• Integrieren eines lokalen AD-Verzeichnisses in Azure
• Erweitern einer lokalen AD FS-Instanz auf Azure