Hybride Identität mit Active Directory und Microsoft Entra ID in Azure-Landing-Zones
Dieser Artikel enthält Anleitungen zur Gestaltung und Implementierung von Microsoft Entra ID und hybrider Identität für Azure-Landing-Zones.
Organisationen, die in der Cloud arbeiten, benötigen einen Verzeichnisdienst zur Verwaltung von Identitäten für Benutzende und den Zugriff auf Ressourcen. Microsoft Entra ID ist ein cloudbasierter Dienst zur Identitäts- und Zugriffsverwaltung, der robuste Funktionalitäten zur Verwaltung von Benutzenden und Gruppen bietet. Sie können ihn als eigenständige Identitätslösung verwenden oder ihn in eine Microsoft Entra Domain Services-Infrastruktur oder eine lokale Active Directory Domain Services (AD DS)-Infrastruktur integrieren.
Microsoft Entra ID bietet ein modernes, sicheres Identitäts- und Zugriffsmanagement, das für viele Organisationen und Workloads geeignet ist und das Kernstück der Dienste von Microsoft Azure und Microsoft 365 darstellt. Wenn Ihre Organisation über eine lokale AD DS-Infrastruktur verfügt, benötigen Ihre cloudbasierten Workloads möglicherweise eine Verzeichnissynchronisierung mit Microsoft Entra ID, um einen konsistenten Satz von Identitäten, Gruppen und Rollen zwischen Ihren lokalen und Cloud-Umgebungen zu gewährleisten. Oder wenn Sie Anwendungen haben, die von veralteten Authentifizierungsmechanismen abhängen, müssen Sie möglicherweise verwaltete Domänen-Dienste in der Cloud bereitstellen.
Die cloudbasierte Identitätsverwaltung ist ein iterativer Prozess. Sie könnten mit einer Cloud-nativen Lösung mit einer kleinen Anzahl von Benutzenden und den entsprechenden Rollen für eine anfängliche Bereitstellung beginnen. Mit zunehmender Reife Ihrer Migration müssen Sie möglicherweise Ihre Identitätslösung mit Hilfe der Verzeichnissynchronisation integrieren oder Cloud-gehostete Domänen-Dienste als Teil Ihrer Cloud-Bereitstellungen hinzufügen.
Überprüfen Sie Ihre Identitätslösung im Laufe der Zeit je nach den Anforderungen an die Workload-Authentifizierung und anderen Bedürfnissen, wie z. B. Änderungen Ihrer organisatorischen Identitätsstrategie und Sicherheitsanforderungen oder die Integration mit anderen Verzeichnisdiensten. Wenn Sie Active Directory-Lösungen evaluieren, sollten Sie die Unterschiede zwischen Microsoft Entra ID, Domain Services und AD DS auf Windows Server kennen.
Hilfe bei Ihrer Identitätsstrategie finden Sie unter Entscheidungshilfe für Identitäten.
Dienste für das Identitäts- und Zugriffsmanagement in den Azur-Landing-Zones
Das Plattformteam ist für die Verwaltung des Identitäts- und Zugriffsmanagements verantwortlich. Dienste zur Identitäts- und Zugriffsverwaltung sind von grundlegender Bedeutung für die organisatorische Sicherheit. Organisationen können Microsoft Entra ID verwenden, um die Ressourcen der Plattform durch die Kontrolle des administrativen Zugriffs zu schützen. Dieser Ansatz verhindert, dass Benutzende außerhalb des Plattformteams Änderungen an der Konfiguration oder an den in Microsoft Entra ID enthaltenen Sicherheitsprinzipalen vornehmen.
Organisationen, die AD DS oder Domain Services verwenden, müssen auch die Domänencontroller vor unberechtigtem Zugriff schützen. Domänencontroller sind besonders attraktive Ziele für Angreifer und sollten über strenge Sicherheitskontrollen und eine Trennung von den Anwendungs-Workloads verfügen.
Domänencontroller und zugehörige Komponenten, wie Microsoft Entra ID Connect Server, werden im Abonnement für Identitäten bereitgestellt, das sich in der Verwaltungsgruppe für Plattformen befindet. Domänencontroller werden nicht an Anwendungsteams delegiert. Durch diese Isolierung können die Anwendungsbesitzenden die Identitätsdienste nutzen, ohne sie selbst verwalten zu müssen, und das Risiko, dass die Dienste des Identitäts- und Zugriffsmanagements kompromittiert werden, wird verringert. Die Ressourcen im Abonnement der Identitätsplattform sind ein entscheidender Punkt für die Sicherheit Ihrer Cloud- und lokalen Umgebungen.
Landing-Zones sollten bereitgestellt werden, damit die Anwendungsbesitzenden entweder Microsoft Entra ID oder AD DS und die Domänen-Dienste nutzen können, je nachdem, was ihre Workloads erfordern. Je nachdem, welche Identitätslösung Sie verwenden, müssen Sie ggf. weitere Dienste konfigurieren. So müssen Sie beispielsweise die Netzwerkkonnektivität zum virtuellen Netzwerk von Identity aktivieren und sichern. Wenn Sie ein Abonnement verwenden, fügen Sie diese Konfigurationsinformationen Ihrer Anfrage für das Abonnement bei.
Azure und lokale Domänen (hybride Identität)
Objekte für Benutzende, die vollständig in Microsoft Entra ID erstellt werden, werden als Cloud-only-Konten bezeichnet. Sie unterstützen eine moderne Authentifizierung und den Zugriff auf Azure- und Microsoft 365-Ressourcen sowie den Zugriff für lokale Geräte, die Windows 10 oder Windows 11 verwenden.
Viele Organisationen verfügen jedoch bereits seit Langem über AD DS-Verzeichnisse, die über das Lightweight Directory Access Protocol (LDAP) mit anderen Systemen, wie z. B. Line-of-Business oder Enterprise Resource Planning (ERP), integriert werden können. Diese Domänen können viele domänenverbundene Computer und Anwendungen haben, die Kerberos oder ältere NTLMv2-Protokolle zur Authentifizierung verwenden. In diesen Umgebungen können Sie Benutzungsobjekte mit Microsoft Entra ID synchronisieren, damit sich die Benutzenden mit einer einzigen Identität sowohl bei lokalen Systemen als auch bei Cloud-Ressourcen anmelden können. Die Vereinigung von lokalen und Cloud-Verzeichnisdiensten wird als hybride Identität bezeichnet. Sie können lokale Domänen in Azure-Landing-Zones erweitern:
Um ein einziges Benutzungsobjekt sowohl in Cloud- als auch in lokalen Umgebungen zu erhalten, können Sie Benutzende von AD DS-Domänen mit Microsoft Entra ID über Microsoft Entra Connect oder Microsoft Entra Connect Sync synchronisieren. Um die empfohlene Konfiguration für Ihre Umgebung zu ermitteln, siehe Topologien für Microsoft Entra Connect.
Um Windows VMs und andere Dienste in eine Domäne einzubinden, können Sie AD DS-Domänencontroller oder Domain Services in Azure bereitstellen. Mit diesem Ansatz können sich Benutzende von AD DS bei Windows Servern, Azure File Shares und anderen Ressourcen anmelden, die Active Directory als Authentifizierungsquelle verwenden. Sie können auch andere Active Directory-Technologien verwenden, z. B. die Gruppenrichtlinie. Weitere Informationen finden Sie unter Häufige Bereitstellungsszenarien für Microsoft Entra Domain Services.
Empfehlungen für hybride Identitäten
Sie können Domänendienste für Anwendungen verwenden, die auf Domänendienste angewiesen sind und ältere Protokolle verwenden. Manchmal unterstützen bestehende AD DS-Domänen die Abwärtskompatibilität und lassen veraltete Protokolle zu, was die Sicherheit beeinträchtigen kann. Anstatt eine lokale Domäne zu erweitern, sollten Sie mit Hilfe von Domain Services eine neue Domäne erstellen, die keine veralteten Protokolle zulässt, und diese als Verzeichnisdienst für in der Cloud gehostete Anwendungen verwenden.
Bewerten Sie die Anforderungen an Ihre Identitätslösung, indem Sie den Authentifizierungsanbieter, den jede Anwendung verwendet, kennen und dokumentieren. Ziehen Sie die Bewertungen in Betracht, um die Art des Dienstes zu planen, den Ihre Organisation nutzen sollte. Weitere Informationen finden Sie unter Vergleich zwischen Active Directory und Microsoft Entra ID und im Leitfaden zur Entscheidungsfindung für die Identitätsverwaltung.
Bewerten Sie Szenarien, bei denen es darum geht, externe Benutzende, Kund*innen oder Partner*innen einzurichten, damit diese auf Ressourcen zugreifen können. Bestimmen Sie, ob diese Szenarien Microsoft Entra B2B oder Microsoft Entra External ID für Kund*innen beinhalten. Weitere Informationen finden Sie unter Microsoft Entra External ID.
Verwenden Sie Microsoft Entra Application Proxy nicht für den Zugriff auf das Intranet, da dies die Benutzungserfahrung verzögert. Weitere Informationen finden Sie unter Microsoft Entra Application Proxy Planung und Microsoft Entra Application Proxy Sicherheitsüberlegungen.
Ziehen Sie verschiedene Methoden in Betracht, die Sie zur Integration von lokalem Active Directory mit Azure verwenden können, um Ihre organisatorischen Anforderungen zu erfüllen.
Wenn Sie einen Verbund von Active Directory-Verbunddienste (AD FS) mit Microsoft Entra ID verwenden, können Sie als Fallbackmethode die Kennwort-Hashsynchronisierung nutzen. AD FS unterstützt nicht das nahtlose Single Sign-on (SSO) von Microsoft Entra.
Bestimmen Sie das richtige Synchronisationstool für Ihre Cloud-Identität.
Wenn Sie Anforderungen für die Verwendung von AD FS haben, lesen Sie Bereitstellen von AD FS in Azure.
Wichtig
Wir empfehlen dringend, auf Microsoft Entra ID zu migrieren, es sei denn, es gibt eine spezielle Anforderung für die Verwendung von AD FS. Weitere Informationen finden Sie unter Ressourcen für die Außerbetriebnahme von AD FS und Migration von AD FS zu Microsoft Entra ID.
Microsoft Entra ID, Domain Services und AD DS
Administrator*innen sollten sich mit den Optionen für die Implementierung von Microsoft-Verzeichnisdiensten vertraut machen:
Sie können Domänencontroller von AD DS in Azure als virtuelle Maschinen (VMs) bereitstellen, über die Plattform- oder Identitätsadministrator*innen die volle Kontrolle haben. Dieser Ansatz ist eine Infrastructure-as-a-Service (IaaS) Lösung. Sie können die Domänencontroller mit einer bestehenden Active Directory-Domäne verbinden oder eine neue Domäne hosten, die eine optionale Vertrauensbeziehung zu bestehenden lokalen Domänen hat. Weitere Informationen finden Sie unter Azure Virtual Machines Baseline-Architektur in einer Azure-Landing-Zone.
Domain Services ist ein von Azure verwalteter Dienst, mit dem Sie eine neue verwaltete Active Directory-Domäne erstellen können, die in Azure gehostet wird. Die Domäne kann eine Vertrauensbeziehung zu bestehenden Domänen haben und kann Identitäten von Microsoft Entra ID synchronisieren. Administrator*innen haben keinen direkten Zugriff auf die Domänencontroller und sind nicht für Patching und andere Wartungsvorgänge verantwortlich.
Wenn Sie Domain Services bereitstellen oder lokale Umgebungen in Azure integrieren, verwenden Sie Standorte mit Verfügbarkeitszonen für eine erhöhte Verfügbarkeit.
Nachdem AD DS oder die Domain Services konfiguriert sind, können Sie Azure VMs und File Shares mit der gleichen Methode wie bei lokalen Computern in eine Domäne einbinden. Weitere Informationen finden Sie unter Vergleich der verzeichnisbasierten Dienste von Microsoft.
Empfehlungen zu Microsoft Entra ID und AD DS
Für den Remote-Zugriff auf Anwendungen mit lokaler Authentifizierung über Microsoft Entra ID verwenden Sie Microsoft Entra Application Proxy. Diese Funktion bietet einen sicheren Remote-Zugriff auf lokale Webanwendungen. Sie erfordert weder ein VPN noch Änderungen an der Netzwerkinfrastruktur. Sie wird jedoch als einzelne Instanz in Microsoft Entra ID bereitgestellt, sodass Anwendungsbesitzende und die Plattform- oder Identitätsteams zusammenarbeiten müssen, um sicherzustellen, dass die Anwendung korrekt konfiguriert ist.
Evaluieren Sie die Kompatibilität von Workloads für AD DS auf Windows Server und Domain Services. Weitere Informationen finden Sie unter Gängige Anwendungsfälle und Szenarien.
Stellen Sie Domänencontroller-VMs oder Domain Services Replik-Sets im Abonnement der Identitätsplattform innerhalb der Verwaltungsgruppe der Plattform bereit.
Sichern Sie das virtuelle Netzwerk, in dem sich die Domänencontroller befinden. Verhindern Sie eine direkte Internetverbindung zu und von diesen Systemen, indem Sie die AD DS-Server in einem isolierten Subnetz mit einer Netzwerksicherheitsgruppe (NSG) platzieren, die eine Firewall-Funktionalität bietet. Ressourcen, die Domänencontroller zur Authentifizierung verwenden, müssen über eine Networking-Route zum Subnetz des Domänencontrollers verfügen. Aktivieren Sie eine Networking-Route nur für Anwendungen, die Zugriff auf Dienste im Identity-Abonnement benötigen. Weitere Informationen finden Sie unter Bereitstellen von AD DS in einem virtuellen Azure-Netzwerk.
In einer multiregionalen Organisation stellen Sie Domain Services in der Region bereit, in der die Core-Plattformkomponenten gehostet werden. Sie können Domain Services nur für ein einziges Abonnement bereitstellen. Sie können Domain Services auf weitere Regionen erweitern, indem Sie bis zu vier weitere Replikate in separaten virtuellen Netzwerken hinzufügen, die mit dem primären virtuellen Netzwerk gepeert werden. Um die Latenz zu minimieren, sollten Sie Ihre Kernanwendungen in der Nähe oder in derselben Region wie das virtuelle Netzwerk für Ihre Replik-Sets aufbewahren.
Wenn Sie AD DS-Domänencontroller in Azure bereitstellen, stellen Sie sie in Verfügbarkeitszonen bereit, um die Resilienz zu erhöhen. Weitere Informationen finden Sie unter Erstellen von VMs in Verfügbarkeitszonen und Migrieren von VMs in Verfügbarkeitszonen.
Die Authentifizierung kann in der Cloud und lokal oder nur lokal erfolgen. Entdecken Sie im Rahmen Ihrer Identitätsplanung die Authentifizierungsmethoden für Microsoft Entra ID.
Wenn ein*e Windows-Benutzer*in Kerberos für Azure Files File Shares benötigt, sollten Sie die Kerberos-Authentifizierung für Microsoft Entra ID in Betracht ziehen, anstatt Domänencontroller in der Cloud bereitzustellen.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für