Vergleich von selbstverwalteten Active Directory-Domänendiensten, Microsoft Entra ID und verwalteten Microsoft Entra-Domänendiensten
Um Anwendungen, Dienste oder Geräten Zugriff auf eine zentrale Identität bereitzustellen, gibt es drei gängige Möglichkeiten, Active Directory-basierte Dienste in Azure zu verwenden. Diese Auswahl in Identitätslösungen bietet Ihnen die Flexibilität, das am besten geeignete Verzeichnis für die Anforderungen Ihrer Organisation zu verwenden. Wenn Sie beispielsweise hauptsächlich Cloudbenutzer verwalten, die mobile Geräte ausführen, ist es möglicherweise nicht sinnvoll, Ihre eigene Active Directory Domain Services (AD DS)-Identitätslösung zu erstellen und auszuführen. Stattdessen könnten Sie einfach Microsoft Entra ID verwenden.
Obwohl die drei active Directory-basierten Identitätslösungen einen gemeinsamen Namen und eine gemeinsame Technologie aufweisen, sind sie darauf ausgelegt, Dienste bereitzustellen, die unterschiedlichen Kundenanforderungen entsprechen. Auf übergeordneter Ebene umfassen diese Identitätslösungen und Funktionssätze:
- Active Directory Domain Services (AD DS) – Unternehmensbereiter Lightweight Directory Access Protocol (LDAP)-Server, der wichtige Funktionen wie Identität und Authentifizierung, Computerobjektverwaltung, Gruppenrichtlinien und Vertrauensstellungen bietet.
- AD DS ist eine zentrale Komponente in vielen Organisationen mit einer lokalen IT-Umgebung und bietet kerne Authentifizierungs- und Computerverwaltungsfunktionen für Benutzerkonten.
- Weitere Informationen finden Sie in der Active Directory Domain Services-Übersicht in der Windows Server-Dokumentation.
- Microsoft Entra ID – Cloudbasierte Identitäts- und Verwaltung mobiler Geräte, die Benutzerkonten und Authentifizierungsdienste für Ressourcen wie Microsoft 365, das Microsoft Entra Admin Center oder SaaS-Anwendungen bereitstellt.
- Microsoft Entra-ID kann mit einer lokalen AD DS-Umgebung synchronisiert werden, um Benutzern, die nativ in der Cloud arbeiten, eine einzelne Identität bereitzustellen.
- Weitere Informationen zur Microsoft Entra-ID finden Sie unter Was ist Microsoft Entra ID?
- Microsoft Entra Domain Services – Stellt verwaltete Domänendienste mit einer Teilmenge vollständig kompatibler herkömmlicher AD DS-Features wie Domänenbeitritt, Gruppenrichtlinie, LDAP und Kerberos/NTLM-Authentifizierung bereit.
- Domänendienste sind in Microsoft Entra-ID integriert, die selbst mit einer lokalen AD DS-Umgebung synchronisiert werden kann. Diese Fähigkeit erweitert Anwendungsfälle für zentrale Identitätsverwaltung auf herkömmliche Webanwendungen, die in Azure als Teil einer Lift-and-Shift-Strategie ausgeführt werden.
- Weitere Informationen zur Synchronisierung mit Microsoft Entra ID und vor Ort finden Sie unter Wie Objekte und Anmeldeinformationen in einer verwalteten Domäne synchronisiert werden.
In diesem Übersichtsartikel wird verglichen und gegenübergestellt, wie diese Identitätslösungen zusammenarbeiten können oder je nach den Anforderungen Ihrer Organisation unabhängig voneinander verwendet werden würden.
Domänendienste und selbstverwaltete AD DS
Wenn Sie über Anwendungen und Dienste verfügen, die Zugriff auf herkömmliche Authentifizierungsmechanismen wie Kerberos oder NTLM benötigen, gibt es zwei Möglichkeiten, Active Directory-Domänendienste in der Cloud bereitzustellen:
- Eine verwaltete Domäne, die Sie mit Microsoft Entra Domain Services erstellen. Microsoft erstellt und verwaltet die erforderlichen Ressourcen.
- Eine selbstverwaltete Domäne, die Sie mit herkömmlichen Ressourcen wie virtuellen Computern (VMs), Windows Server-Gastbetriebssystem und Active Directory Domain Services (AD DS) erstellen und konfigurieren. Anschließend verwalten Sie diese Ressourcen weiter.
Bei Domänendiensten werden die Kerndienstkomponenten für Sie von Microsoft als verwaltete Domänenerfahrung bereitgestellt und verwaltet. Sie führen die Bereitstellung, die Verwaltung, das Patchen und das Schützen der AD DS-Infrastruktur für Komponenten wie VMs, Windows Server-Betriebssystem oder Domänencontroller (DCs) nicht durch.
Domain Services bietet eine kleinere Teilmenge von Funktionen für herkömmliche selbstverwaltete AD DS-Umgebungen, wodurch die Komplexität von Entwurf und Verwaltung reduziert wird. Es müssen beispielsweise keine AD-Gesamtstrukturen, -Domänen, -Websites und -Replikationslinks entworfen und gepflegt werden. Sie können weiterhin Gesamtstrukturvertrauensstellungen zwischen Domänendiensten und lokalen Umgebungenerstellen.
Für Anwendungen und Dienste, die in der Cloud ausgeführt werden und Zugriff auf herkömmliche Authentifizierungsmechanismen wie Kerberos oder NTLM benötigen, bietet Domain Services eine verwaltete Domänenerfahrung mit minimalem Verwaltungsaufwand. Weitere Informationen finden Sie unter Verwaltungskonzepte für Benutzerkonten, Kennwörter und Verwaltung in Domain Services.
Wenn Sie eine selbstverwaltete AD DS-Umgebung bereitstellen und ausführen, müssen Sie alle zugehörigen Infrastruktur- und Verzeichniskomponenten verwalten. Für eine selbstverwaltete AD DS-Umgebung fällt zusätzlicher Verwaltungsaufwand an, aber Sie können dann weitere Aufgaben durchführen, z. B. eine Erweiterung des Schemas oder die Erstellung von Gesamtstrukturvertrauensstellungen.
Allgemeine Bereitstellungsmodelle für eine selbstverwaltete AD DS-Umgebung, die Identität für Anwendungen und Dienste in der Cloud bereitstellt, umfassen Folgendes:
- Eigenständige AD DS-Bereitstellung nur in der Cloud: Azure-VMs werden als Domänencontroller konfiguriert, und es wird eine separate AD DS-Umgebung erstellt, die auf die Cloud beschränkt ist. Diese AD DS-Umgebung wird nicht in eine lokale AD DS-Umgebung integriert. Eine andere Gruppe von Anmeldeinformationen wird zum Anmelden und Verwalten von VMs in der Cloud verwendet.
- Erweitern einer lokalen Domäne auf Azure – Ein virtuelles Azure-Netzwerk wird mithilfe einer VPN- oder ExpressRoute-Verbindung mit einem lokalen Netzwerk verbunden. Azure-VMs stellen die Verbindung mit diesem virtuellen Azure-Netzwerk her, damit der Domänenbeitritt für die lokale AD DS-Umgebung durchgeführt werden kann.
- Eine Alternative besteht darin, Azure-VMs zu erstellen und als Replikatdomänencontroller über die lokale AD DS-Domäne höherzustufen. Diese Domänencontroller werden über eine VPN-/ExpressRoute-Verbindung mit der lokalen AD DS-Umgebung repliziert. Die lokale AD DS-Domäne wird praktisch auf Azure erweitert.
In der folgenden Tabelle sind einige der Features aufgeführt, die Sie möglicherweise für Ihre Organisation benötigen, und die Unterschiede zwischen einer verwalteten Domäne oder einer selbstverwalteten AD DS-Domäne:
| Funktion | Verwaltete Domäne | Selbstverwaltete AD DS |
|---|---|---|
| Verwalteter Dienst | ✓ | ✕ |
| Sichere Bereitstellungen | ✓ | Der Administrator schützt die Bereitstellung. |
| DNS-Server | ✓ (verwalteter Dienst) | ✓ |
| Berechtigungen für Domänen- oder Unternehmensadministratoren | ✕ | ✓ |
| Domänenbeitritt | ✓ | ✓ |
| Domänenauthentifizierung mit NTLM und Kerberos | ✓ | ✓ |
| Eingeschränkte Kerberos-Delegierung | Ressourcenbasiert | Ressourcen- und kontobasiert |
| Benutzerdefinierte OE-Struktur | ✓ | ✓ |
| Gruppenrichtlinie | ✓ | ✓ |
| Schemaerweiterungen | ✕ | ✓ |
| AD-Domänen-/Gesamtstrukturvertrauensstellungen | – (Vorschau erfordert Enterprise-SKU) | ✓ |
| Sicheres LDAP (LDAPS) | ✓ | ✓ |
| LDAP-Lesevorgänge | ✓ | ✓ |
| LDAP-Schreibvorgänge | ✓ (innerhalb der verwalteten Domäne) | ✓ |
| Geografisch verteilte Bereitstellungen | ✓ | ✓ |
Domänendienste und Microsoft Entra-ID
Mit der Microsoft Entra-ID können Sie die Identität von Geräten verwalten, die von der Organisation verwendet werden, und den Zugriff auf Unternehmensressourcen von diesen Geräten steuern. Benutzer können auch ihr persönliches Gerät (BYO-Modell (Bring Your Own)) bei Microsoft Entra ID registrieren, wodurch das Gerät eine Identität erhält. Microsoft Entra-ID authentifiziert das Gerät dann, wenn sich ein Benutzer bei der Microsoft Entra-ID anmeldet und das Gerät für den Zugriff auf gesicherte Ressourcen verwendet. Das Gerät kann mithilfe von MDM-Software (Mobile Device Management) wie Microsoft Intune verwaltet werden. Mit dieser Verwaltungsmöglichkeit können Sie den Zugriff auf vertrauliche Ressourcen auf verwaltete und richtlinienkonforme Geräte einschränken.
Herkömmliche Computer und Laptops können auch mit der Microsoft Entra-ID verknüpft werden. Dieser Mechanismus bietet dieselben Vorteile beim Registrieren eines persönlichen Geräts mit der Microsoft Entra-ID, z. B. um Benutzern die Anmeldung beim Gerät mithilfe ihrer Unternehmensanmeldeinformationen zu ermöglichen.
Mit Microsoft Entra verbundene Geräte bieten Ihnen die folgenden Vorteile:
- Einmaliges Anmelden (Single Sign-On, SSO) für Anwendungen, die durch die Microsoft Entra-ID gesichert sind.
- Mit der Unternehmensrichtlinie kompatibles Roaming von Benutzereinstellungen auf allen Geräten.
- Zugriff auf den Windows Store für Unternehmen mithilfe von Unternehmensanmeldeinformationen.
- Windows Hello for Business.
- Eingeschränkter Zugriff auf Apps und Ressourcen von Geräten, die mit der Unternehmensrichtlinie kompatibel sind.
Für Geräte kann der Beitritt zu Microsoft Entra ID mit oder ohne Hybridbereitstellung, die über eine lokale AD DS-Umgebung verfügt, durchgeführt werden. In der folgenden Tabelle sind gängige Gerätebesitzmodelle und deren typische Einbindung in eine Domäne aufgeführt:
| Gerätetyp | Geräteplattformen | Mechanismus |
|---|---|---|
| Persönliche Geräte | Windows 10, iOS, Android, macOS | Microsoft Entra registriert |
| Unternehmenseigenes Gerät, das nicht mit dem lokalen AD DS verbunden ist | Windows 10 | Microsoft Entra ist beigetreten |
| Unternehmenseigenes Gerät, das mit einem lokalen AD DS verbunden ist | Windows 10 | Microsoft Entra hybrid beigetreten |
Bei einem in Microsoft Entra eingebundenen oder registrierten Gerät erfolgt die Benutzerauthentifizierung mit modernen OAuth/OpenID Connect-basierten Protokollen. Diese Protokolle sind so konzipiert, dass sie über das Internet funktionieren, daher eignen sie sich hervorragend für mobile Szenarien, in denen Benutzer von praktisch überall aus auf Unternehmensressourcen zugreifen.
Mit in Domain Services eingebundenen Geräten können Anwendungen die Kerberos- und NTLM-Protokolle für die Authentifizierung verwenden und so Legacyanwendungen unterstützen, die migriert werden, um im Rahmen einer Lift & Shift-Strategie auf Azure-VMs ausgeführt zu werden. In der folgenden Tabelle werden Unterschiede in der Darstellung der Geräte und wie sie sich gegenüber dem Verzeichnis authentifizieren können beschrieben.
| Aspekt | In Microsoft Entra eingebunden | Domänendienste-verbunden |
|---|---|---|
| Gerät gesteuert von | Microsoft Entra ID | Von Domänendiensten verwaltete Domäne |
| Darstellung im Verzeichnis | Geräteobjekte im Microsoft Entra-Verzeichnis | Computerobjekte in der verwalteten Domäne "Domänendienste" |
| Authentifizierung | OAuth/OpenID Connect-basierte Protokolle | Kerberos- und NTLM-Protokolle |
| Verwaltung | Mobile Device Management (MDM)-Software wie Intune | Gruppenrichtlinie |
| Vernetzung | Arbeitet über das Internet | Muss mit dem virtuellen Netzwerk verbunden sein oder eine Peering-Verbindung mit diesem haben, in dem die verwaltete Domäne bereitgestellt wird. |
| Ideal für... | Mobilgeräte oder Desktopgeräte für Endbenutzer | In Azure bereitgestellte Server-VMs |
Wenn lokale AD DS und Microsoft Entra ID für die Verbundauthentifizierung mit AD FS konfiguriert sind, ist kein (aktueller/gültiger) Kennworthash in Azure DS verfügbar. Microsoft Entra-Benutzerkonten, die vor der Implementierung der föderierten Authentifizierung erstellt wurden, weisen möglicherweise einen alten Kennworthash auf, dies stimmt jedoch wahrscheinlich nicht mit einem Hash ihres lokalen Kennworts überein. Daher können Domänendienste die Anmeldeinformationen der Benutzer nicht überprüfen.
Nächste Schritte
Um mit der Verwendung von Domänendiensten zu beginnen, eine verwaltete Domäne mit dem Microsoft Entra Admin Centererstellen.
Sie können auch mehr über Verwaltungskonzepte für Benutzerkonten, Kennwörter und Verwaltung in den Domänendiensten und sowie darüber erfahren, wie Objekte und Anmeldeinformationen in einer verwalteten Domänesynchronisiert werden.