Auswählen eines Microsoft Entra-Integrationsmodells
Microsoft Entra ID ist nicht einfach AD DS in der Cloud. Stattdessen handelt es sich um einen komplett neuen Verzeichnisdienst, der speziell für cloudbasierte und webbasierte Anwendungen konzipiert ist und teilweise die gleichen Funktionen wie AD DS aufweist. Das IT-Team von Contoso kann Microsoft Entra ID implementieren und seine lokalen Identitäten mit der Cloud synchronisieren. Dadurch können die Contoso-Mitarbeiter über SSO sowohl auf lokale Ressourcen als auch auf die zugehörigen Ressourcen im Azure-Mandanten zugreifen.
Das IT-Team kann mithilfe von Microsoft Entra ID die Mitarbeiterproduktivität steigern, IT-Prozesse optimieren und die Sicherheit beim Einsatz verschiedener Clouddienste verbessern. Die Contoso-Mitarbeiter können mit nur einem Benutzerkonto auf die Online-Anwendungen zugreifen. Mithilfe von bekannten Windows PowerShell-Cmdlets wird Contoso auch eine zentrale Benutzerverwaltung ermöglicht. Es sollte auch beachtet werden, dass das IT-Team keine zugehörige Infrastruktur verwalten oder sich Gedanken über die Notfallwiederherstellung machen muss, da Microsoft Entra ID für hochgradige Skalierbarkeit und Hochverfügbarkeit konzipiert ist.
Als Azure-Komponente kann Microsoft Entra ID die Multi-Faktor-Authentifizierung im Rahmen einer umfassenden Zugriffsstrategie für Clouddienste unterstützen und somit eine weitere Sicherheitsebene bereitstellen. Die rollenbasierte Zugriffssteuerung (RBAC), das Self-Service-Kennwort, die Gruppenverwaltung und die Geräteregistrierung stellen für Unternehmen geeignete Identitätsverwaltungslösungen dar. Zusätzlich zu einer verbesserten Berichterstellung und verbesserten Warnungen, durch die Sie Bedrohungen effizienter erkennen, stellt Microsoft Entra ID auch erweiterten Identitätsschutz bereit.
Übersicht über Microsoft Entra ID
Microsoft Entra ID ist Teil des PaaS-Angebots (Platform-as-a-Service) und fungiert als von Microsoft verwalteter Verzeichnisdienst in der Cloud. Der Dienst ist weder Teil der Kerninfrastruktur, die Kunden besitzen und verwalten, noch ein IaaS-Angebot. Obwohl dies impliziert, dass Sie weniger Kontrolle über die Implementierung haben, bedeutet es auch, dass Sie keine Ressourcen für die Bereitstellung oder Verwaltung bereitstellen müssen.
Mit Microsoft Entra ID haben Sie auch Zugriff auf einige Features, die in AD DS nicht nativ verfügbar sind, z. B. Unterstützung für die Multi-Faktor-Authentifizierung, den Identitätsschutz und die Self-Service-Kennwortzurücksetzung. Mit Microsoft Entra ID erreichen Sie durch folgende Maßnahmen für Organisationen und Einzelpersonen einen sichereren Zugriff auf cloudbasierte Ressourcen:
- Konfigurieren des Zugriffs auf Anwendungen
- Konfigurieren von SSO für cloudbasierte SaaS-Anwendungen
- Verwalten von Benutzern und Gruppen
- Bereitstellen von Benutzern
- Ermöglichen des Verbunds zwischen Organisationen
- Bereitstellen einer Identitätsverwaltungslösung
- Identifizieren irregulärer Anmeldeaktivitäten
- Konfigurieren der mehrstufigen Authentifizierung
- Erweitern Sie vorhandene lokale Active Directory-Implementierungen auf Microsoft Entra ID.
- Konfigurieren des Anwendungsproxys für Cloudanwendungen und lokale Anwendungen
- Konfigurieren des bedingten Zugriffs für Benutzer und Geräte
Microsoft Entra-Mandanten
Im Gegensatz zum lokalen AD DS ist Microsoft Entra ID für mehrere Mandanten konzipiert und wird speziell implementiert, um die Isolation zwischen den einzelnen Verzeichnisinstanzen sicherzustellen. Azure AD ist das weltweit größte mehrinstanzenfähige Verzeichnis, in dem über eine Million Verzeichnisdienstinstanzen gehostet und mehrere Milliarden Authentifizierungsanforderungen pro Woche verarbeitet werden. Mandanten sind in diesem Zusammenhang in der Regel Unternehmen oder Organisationen, die bei einem cloudbasierten Microsoft-Dienst wie Microsoft 365, Microsoft Intune oder Azure registriert sind, bei dem Microsoft Entra ID zum Einsatz kommt.
Aus technischer Sicht stellt ein Mandant jedoch eine einzelne Microsoft Entra-Instanz dar. Innerhalb eines Azure-Abonnements können Sie mehrere Microsoft Entra-Mandanten erstellen. Es kann praktisch sein, über mehrere Microsoft Entra-Mandanten zu verfügen, wenn Sie die Microsoft Entra-Funktionalität in einem Mandanten testen möchten, ohne dass sich dies auf die anderen Mandanten auswirkt.
Hinweis
Ein Azure-Abonnement muss jederzeit mit genau einem Microsoft Entra-Mandanten verknüpft sein. Sie können denselben Microsoft Entra-Mandanten aber mehreren Azure-Abonnements zuordnen.
Jedem Microsoft Entra-Mandanten wird der Standard-DNS-Domänenname zugewiesen, der aus einem eindeutigen Präfix besteht. Das Präfix wird entweder vom Namen des Microsoft-Kontos abgeleitet, das Sie zum Erstellen eines Azure-Abonnements verwenden, oder beim Erstellen eines Microsoft Entra-Mandanten explizit angegeben. Auf dieses Präfix folgt das Suffix onmicrosoft.com. Es ist möglich und üblich, mindestens einen benutzerdefinierten Domänennamen zum selben Microsoft Entra-Mandanten hinzuzufügen. Dieser Name verwendet den DNS-Domänennamespace, den das entsprechende Unternehmen bzw. die entsprechende Organisation besitzt, z. B. Contoso.com. Der Microsoft Entra-Mandant fungiert als Sicherheitsgrenze und Container für Microsoft Entra-Objekte wie Benutzer, Gruppen und Anwendungen.
Merkmale von Microsoft Entra ID
Obwohl Microsoft Entra ID zahlreiche Gemeinsamkeiten mit AD DS aufweist, gibt es auch viele Unterschiede. Beachten Sie, dass die Verwendung von Microsoft Entra ID nicht gleichzusetzen ist mit der Bereitstellung eines AD DS-Domänencontrollers auf einer Azure-VM und dem anschließenden Hinzufügen zu Ihrer lokalen Domäne.
Beim Vergleich von Microsoft Entra ID mit AD DS müssen die Microsoft Entra-Merkmale beachtet werden, die sich von AD DS unterscheiden:
- Microsoft Entra ID ist in erster Linie eine Identitätslösung und für internetbasierte Anwendungen über die HTTP-Kommunikation (Port 80) und die HTTPS-Kommunikation (Port 443) konzipiert.
- Microsoft Entra ID ist ein Verzeichnisdienst, der mehrere Mandanten unterstützt.
- Microsoft Entra-Benutzer und -Gruppen werden in einer flachen Struktur erstellt, und es gibt keine Organisationseinheiten (OEs) oder Gruppenrichtlinienobjekte (GPOs).
- Microsoft Entra ID kann nicht über LDAP abgefragt werden. Stattdessen verwendet Microsoft Entra ID die REST-API über HTTP und HTTPS.
- Die Kerberos-Authentifizierung wird von Microsoft Entra ID nicht verwendet. Stattdessen werden HTTP- und HTTPS-Protokolle wie SAML (Security Assertion Markup Language), WS-Verbund (Webdiensteverbund) und OpenID Connect für die Authentifizierung verwendet. Außerdem wird Open Authorization (OAuth) für die Autorisierung verwendet.
- Microsoft Entra ID umfasst Verbunddienste. Viele Drittanbieterdienste sind mit Microsoft Entra ID verbunden und stufen es als vertrauenswürdig ein.
Optionen für die Microsoft Entra-Integration
Kleinunternehmen, die über kein lokales Verzeichnis wie AD DS verfügen, können sich vollkommen auf Microsoft Entra ID als Authentifizierungs- und Autorisierungsdienst verlassen. Jedoch gibt es noch immer wenige dieser Organisationen. Die meisten Unternehmen suchen daher nach einer Möglichkeit, die lokale AD DS-Umgebung mit Microsoft Entra ID zu integrieren. Microsoft stellt über Microsoft Entra ID eine cloudbasierte Identitäts-und Zugriffsverwaltung bereit, die mehrere Optionen für die Integration von AD DS mit Azure bietet. Diese Optionen werden in der folgenden Tabelle beschrieben.
| Tastatur | BESCHREIBUNG |
|---|---|
| Ausweiten der lokalen AD DS-Umgebung auf Azure | Mit dieser Option hosten Sie VMs in Azure, die Sie dann höher stufen zu Domänencontrollern in Ihrer lokalen AD DS-Umgebung. |
| Synchronisieren der lokalen AD DS-Umgebung mit Microsoft Entra ID | Bei der Verzeichnissynchronisierung werden Benutzer-, Gruppen- und Kontaktinformationen an Microsoft Entra ID weitergegeben und fortlaufend synchronisiert. In diesem Szenario verwenden Benutzer verschiedene Kennwörter für den Zugriff auf Cloudressourcen und lokale Ressourcen, und die Authentifizierungsprozesse sind voneinander getrennt. |
| Synchronisieren von AD DS mit Microsoft Entra ID mithilfe der Kennwort-Hashsynchronisierung | Bei diesem Ansatz synchronisiert die lokale AD DS-Umgebung Objekte mit Microsoft Entra ID, sendet aber auch Kennworthashes für Benutzerobjekte an Microsoft Entra ID. Mit dieser Option können Benutzer auf Microsoft Entra ID-kompatible Anwendungen und Ressourcen zugreifen, indem sie das Kennwort ihrer aktuellen lokalen Anmeldedaten verwenden. Für Endbenutzer läuft die Anmeldung bei diesem Ansatz gleich ab. |
| Implementieren von SSO zwischen der lokalen AD DS-Umgebung und Microsoft Entra ID | Diese Option unterstützt die meisten Integrationsfeatures und ermöglicht Benutzern das Anmelden bei Azure nach erfolgreicher Authentifizierung durch die lokale AD DS-Umgebung. Die für dieses Feature verwendete Technologie wird als Verbund bezeichnet und kann durch die Verwendung der Active Directory-Verbunddienste (AD FS) implementiert werden. AD FS stützt sich auf mehrere Verbundserver und Proxys, die als Rollendienst des Webanwendungsproxy-Servers fungieren. Als Alternative zum Bereitstellen von AD FS können Sie auch die Passthrough-Authentifizierungstechnologie verwenden, die fast zu den gleichen Ergebnissen wie AD FS führt. Sie verwendet jedoch kein Webanwendungsproxy, und es ist eine weniger komplexe Infrastruktur als bei AD FS erforderlich. |
Das Microsoft Entra-Verzeichnis stellt keine Erweiterung eines lokalen Verzeichnisses dar. Es handelt sich vielmehr um eine Kopie, die die gleichen Objekte und Identitäten enthält. Die lokal an diesen Elementen vorgenommenen Änderungen werden in Microsoft Entra ID kopiert, wohingegen Änderungen in Microsoft Entra ID nicht wieder zur lokalen Domäne repliziert werden.
Tipp
Sie können Microsoft Entra ID auch ohne ein lokales Verzeichnis verwenden. In diesem Fall enthält Microsoft Entra ID keine Daten, die von einem lokalen Verzeichnis repliziert wurden, sondern verhält sich als primäre Quelle für alle Identitätsinformationen.