Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Bei Microsoft Entra ID handelt es sich um eine Identitäts- und Zugriffsverwaltungslösung, die für die Cloud weiterentwickelt wurde. Active Directory Domain Services wurden in Windows 2000 eingeführt, um Organisationen die Möglichkeit zu geben, mehrere lokale Infrastrukturkomponenten und Systeme mit einer einzelnen Identität pro Benutzer zu verwalten.
Mit Microsoft Entra ID wird diese Funktionalität erweitert, indem Organisationen eine IDaaS-Lösung (Identity as a Service) bereitgestellt wird, mit der sich all ihre cloudbasierten und lokalen Apps verwalten lassen.
Die meisten IT-Administratoren sind mit den Konzepten von Active Directory Domain Services vertraut. Die folgende Tabelle zeigt die Unterschiede und Gemeinsamkeiten von Active Directory-Konzepten und Microsoft Entra ID.
| Begriff | Windows Server Active Directory | Microsoft Entra ID |
|---|---|---|
| Benutzer | ||
| Bereitstellung: Benutzer*innen | Organisationen erstellen interne Benutzer manuell oder verwenden ein internes oder automatisiertes Bereitstellungssystem (z.B. Microsoft Identity Manager) für die Integration mit einem HR-System. | Vorhandene Microsoft Windows Server Active Directory-Organisationen verwenden Microsoft Entra Connect , um Identitäten mit der Cloud zu synchronisieren. Microsoft Entra ID bietet Unterstützung für die automatische Erstellung von Benutzenden aus cloudbasierten Personalsystemen. Microsoft Entra-ID kann Identitäten in System zur Domänenübergreifenden Identitätsverwaltung (SCIM) aktivierte Software-as-a-Service (SaaS)-Apps bereitstellen, um Apps automatisch die erforderlichen Details zu liefern, die den Zugriff für Benutzer ermöglichen. |
| Bereitstellung: externe Identitäten | Organisationen legen externe Benutzer manuell als reguläre Benutzer in einer dedizierten externen Microsoft Windows Server Active Directory-Gesamtstruktur an, was zusätzlichen Verwaltungsaufwand verursacht, um den Lebenszyklus externer Identitäten (Gastbenutzer) managen zu können. | Microsoft Entra ID bietet eine spezielle Identitätsklasse für externe Identitäten. Microsoft Entra B2B verwaltet die Verknüpfung mit der externen Benutzeridentität, um ihre Gültigkeit sicherzustellen. |
| Berechtigungsverwaltung und Gruppen | Administratoren fügen Benutzer als Mitglieder von Gruppen hinzu. App- und Ressourcenbesitzer erteilen Gruppen anschließend Zugriff auf die Apps oder Ressourcen. | Da Gruppen auch in Microsoft Entra ID verfügbar sind, können Administrierende auch hier Gruppen verwenden, um Berechtigungen für Ressourcen zu erteilen. In Microsoft Entra ID können Administratoren Gruppenmitgliedschaften manuell zuweisen oder eine Abfrage ausführen, um Benutzer dynamisch zu einer Gruppe hinzuzufügen. Administrierende können die Berechtigungsverwaltung-Verwaltung in Microsoft Entra ID nutzen, um Benutzenden mithilfe von Workflows und ggf. zeitbasierten Kriterien Zugriff auf eine Sammlung von Anwendungen und Ressourcen zu geben. |
| Verwaltung von Administratorrechten | Organisationen verwenden eine Kombination aus Domänen, Organisationseinheiten und Gruppen in Microsoft Windows Server Active Directory, um Administratorrechte zu delegieren, um das verzeichnis und die von ihr gesteuerten Ressourcen zu verwalten. | Microsoft Entra ID bietet integrierte Rollen mit seinem rollenbasierten Microsoft Entra-Zugriffssteuerungssystem (RBAC) mit eingeschränkter Unterstützung für das Erstellen benutzerdefinierter Rollen zum Delegieren des privilegierten Zugriffs auf das Identitätssystem, die Apps und Ressourcen, die es steuert. Die Verwaltung von Rollen kann mit Privileged Identity Management (PIM) verbessert werden, um just-in-time, zeitlich beschränkten oder workflowbasierten Zugriff auf privilegierte Rollen zu ermöglichen. |
| Verwaltung von Anmeldeinformationen | Anmeldeinformationen in Active Directory basieren auf Kennwörtern, Zertifikatauthentifizierung und Smartcardauthentifizierung. Kennwörter werden mithilfe von Kennwortrichtlinien verwaltet, die auf der Länge, auf dem Ablauf und auf der Komplexität der Kennwörter basieren. | Microsoft Entra ID verwendet sowohl in der Cloud als auch lokal einen intelligenten Kennwortschutz. Dieser Schutz umfasst einen intelligenten Sperrmechanismus sowie das Sperren gängiger und benutzerdefinierter Passphrases und Ersetzungen. Microsoft Entra ID steigert die Sicherheit durch mehrstufige Authentifizierung und kennwortlose Technologien wie FIDO2 erheblich. Microsoft Entra ID senkt die Supportkosten, indem es Benutzenden ein System zur Self-Service-Kennwortzurücksetzung bietet. |
| Apps | ||
| Infrastruktur-Apps | Active Directory bildet die Basis für viele lokale Infrastrukturkomponenten, z. B. DNS, Dynamic Host Configuration Protocol (DHCP), Internet Protocol Security (IPSec), WiFi, NPS und VPN-Zugriff | In der cloudbasierten Welt von heute stellt Microsoft Entra ID die neue Kontroll- und Steuerungsebene für den Zugriff auf Apps dar, sodass Organisationen sich nicht länger nur auf Netzwerksteuerelemente verlassen müssen. Bei der Benutzerauthentifizierung steuert der bedingte Zugriff, welche Benutzer unter den erforderlichen Bedingungen Zugriff auf welche Apps erhalten. |
| Traditionelle Apps und Legacy-Apps | Die meisten lokalen Apps verwenden die LDAP-Authentifizierung, die integrierte Windows-Authentifizierung (NTLM und Kerberos) oder die headerbasierte Authentifizierung, um den Zugriff auf Benutzer zu steuern. | Bei Microsoft Entra ID kann der Zugriff auf diese Art von lokalen Apps über Microsoft Entra-Anwendungsproxy-Agents gewährt werden, die lokal ausgeführt werden. Auf diese Weise kann Microsoft Entra ID Active Directory-Benutzer lokal mithilfe von Kerberos authentifizieren, während Sie eine Migration durchführen oder wenn beide Arten gleichzeitig verwendet werden müssen. |
| SaaS-Apps | Active Directory bietet keine native Unterstützung für SaaS-Apps, und es wird ein Verbundsystem wie AD FS benötigt. | SaaS-Apps, die OAuth2, Security Assertion Markup Language (SAML) und WS-*-Authentifizierung unterstützen, können integriert werden, um die Microsoft Entra-ID für die Authentifizierung zu verwenden. |
| Branchenspezifische Apps mit moderner Authentifizierung | Organisationen können AD FS mit Active Directory verwenden, um branchenspezifische Apps zu unterstützen, die eine moderne Authentifizierung erfordern. | Branchenspezifische Apps, die eine moderne Authentifizierung erfordern, lassen sich so konfigurieren, dass sie Microsoft Entra ID für die Authentifizierung verwenden. |
| Mid-Tier-Dienste/Daemon-Dienste | Dienste, die in lokalen Umgebungen ausgeführt werden, verwenden normalerweise Microsoft Windows Server Active Directory-Dienstkonten oder gruppenverwaltete Dienstkonten (gMSA) zum Ausführen. In diesem Fall erben diese Apps die Berechtigungen des Dienstkontos. | Für die Ausführung anderer Workloads in der Cloud bietet Microsoft Entra ID verwaltete Identitäten. Der Lebenszyklus dieser Identitäten wird von Microsoft Entra ID verwaltet und ist an den Ressourcenanbieter gebunden. Er kann nicht für andere Zwecke genutzt werden, um Hintertürzugriff zu erhalten. |
| Geräte | ||
| Mobiltelefon | Active Directory bietet ohne Drittanbieterlösungen keine native Unterstützung für mobile Geräte. | Die Verwaltungslösung für mobile Geräte von Microsoft, Microsoft Intune, ist in Microsoft Entra ID integriert. Microsoft Intune stellt Informationen zum Gerätezustand für das Identitätssystem bereit, die während der Authentifizierung ausgewertet werden. |
| Windows-Desktops | In Active Directory können Windows-Geräte zu einer Domäne hinzugefügt werden, um sie über Gruppenrichtlinie, System Center Configuration Manager oder Drittanbieterlösungen zu verwalten. | Windows-Geräte können zu Microsoft Entra ID hinzugefügt werden. Mithilfe des bedingten Zugriffs kann im Rahmen des Authentifizierungsprozesses überprüft werden, ob ein Gerät zu Microsoft Entra hinzugefügt wurde. Windows-Geräte können zudem mit Microsoft Intune verwaltet werden. In diesem Fall wird durch den bedingten Zugriff geprüft, ob ein Gerät den Vorgaben entspricht (z. B. über aktuelle Sicherheitspatches und Virussignaturen verfügt), bevor es auf die Apps zugreifen darf. |
| Windows-Server | Mit Gruppenrichtlinie oder anderen Verwaltungslösungen bietet Active Directory umfassende Verwaltungsfunktionen für lokale Windows-Server. | Windows-Server-VMs in Azure können mit Microsoft Entra Domain Services verwaltet werden. Verwaltete Identitäten können verwendet werden, wenn VMs Zugriff auf das Verzeichnis oder die Ressourcen des Identitätssystems benötigen. |
| Linux-/Unix-Workloads | Active Directory bietet ohne Drittanbieterlösungen keine native Unterstützung für Nicht-Windows-Workloads. Linux-Computer lassen sich jedoch für die Authentifizierung mit Active Directory als Kerberos-Bereich konfigurieren. | Linux-/Unix-VMs können verwaltete Identitäten verwenden, um auf das Identitätssystem oder Ressourcen zuzugreifen. Einige Organisationen migrieren diese Workloads zu Cloudcontainertechnologien, die auch verwaltete Identitäten verwenden können. |