Vergleichen von Integrationsoptionen für lokales Active Directory mit einem Azure-Netzwerk

In diesem Artikel werden Optionen für die Integration Ihrer lokalen Active Directory(AD)-Umgebung in ein Azure-Netzwerk verglichen. Für jede Option ist eine detailliertere Referenzarchitektur verfügbar.

Viele Organisationen verwenden Active Directory Domain Services (AD DS), um Identitäten zu authentifizieren, die Benutzern, Computern, Anwendungen oder anderen Ressourcen zugeordnet sind, die in einer Sicherheitsgrenze enthalten sind. Verzeichnis- und Identitätsdienste werden in der Regel lokal gehostet, aber wenn Ihre Anwendung teilweise lokal und teilweise in Azure gehostet wird, kann es Latenz geben, die Authentifizierungsanforderungen von Azure zurück an die lokale Bereitstellung sendet. Das Implementieren von Verzeichnis- und Identitätsdiensten in Azure kann diese Latenz verringern.

Azure bietet zwei Lösungen für die Implementierung von Verzeichnis- und Identitätsdiensten in Azure:

• Verwenden Sie Microsoft Entra ID, um eine Active Directory-Domäne in der Cloud zu erstellen und sie mit Ihrer lokalen Active Directory-Domäne zu verbinden. Microsoft Entra Connect Ihre lokalen Verzeichnisse in Microsoft Entra ID integriert.

• Erweitern Sie Ihre vorhandene lokale Active Directory-Infrastruktur auf Azure, indem Sie einen virtuellen Computer in Azure bereitstellen, der AD DS als Domänencontroller ausführt. Diese Architektur ist häufiger, wenn das lokale Netzwerk und das virtuelle Azure-Netzwerk (VNet) über eine VPN- oder ExpressRoute-Verbindung verbunden sind. Verschiedene Varianten dieser Architektur sind möglich:

  • Erstellen Sie eine Domäne in Azure, und verknüpfen Sie sie mit Ihrer lokalen AD-Gesamtstruktur.
  • Erstellen Sie eine separate Gesamtstruktur in Azure, die von Domänen in Ihrer lokalen Gesamtstruktur als vertrauenswürdig eingestuft wird.
  • Replizieren Sie eine Active Directory-Verbunddienste (AD FS)-Bereitstellung in Azure.

In den nächsten Abschnitten werden die einzelnen Optionen ausführlicher beschrieben.

Integrieren Ihrer lokalen Domänen in Die Microsoft Entra-ID

Verwenden Sie die Microsoft Entra-ID, um eine Domäne in Azure zu erstellen und sie mit einer lokalen AD-Domäne zu verknüpfen.

Das Microsoft Entra-Verzeichnis ist keine Erweiterung eines lokalen Verzeichnisses. Stattdessen ist es eine Kopie, die dieselben Objekte und Identitäten enthält. Änderungen an diesen lokalen Elementen werden in die Microsoft Entra-ID kopiert, änderungen, die in der Microsoft Entra-ID vorgenommen wurden, werden jedoch nicht wieder in die lokale Domäne repliziert.

Sie können auch die Microsoft Entra-ID verwenden, ohne ein lokales Verzeichnis zu verwenden. In diesem Fall fungiert Die Microsoft Entra-ID als primäre Quelle aller Identitätsinformationen, anstatt Daten zu enthalten, die aus einem lokalen Verzeichnis repliziert wurden.

Vorteile

• Sie müssen keine AD-Infrastruktur in der Cloud verwalten. Die Microsoft Entra-ID wird vollständig von Microsoft verwaltet und verwaltet.
• Die Microsoft Entra-ID stellt die gleichen Identitätsinformationen bereit, die lokal verfügbar sind.
• Die Authentifizierung kann in Azure erfolgen, wodurch die Notwendigkeit externer Anwendungen und Benutzer reduziert wird, sich an die lokale Domäne zu wenden.

Herausforderungen

• Sie müssen die Konnektivität mit Ihrer lokalen Domäne konfigurieren, damit das Microsoft Entra-Verzeichnis synchronisiert bleibt.
• Anwendungen müssen möglicherweise neu geschrieben werden, um die Authentifizierung über die Microsoft Entra-ID zu aktivieren.
• Wenn Sie Dienst- und Computerkonten authentifizieren möchten, müssen Sie auch Microsoft Entra Domain Servicesbereitstellen.

Referenzarchitektur

• Integrieren lokaler Active Directory-Domänen in Microsoft Entra ID-

AD DS in Azure, das einer lokalen Gesamtstruktur beigetreten ist

Stellen Sie AD Domain Services (AD DS)-Server in Azure bereit. Erstellen Sie eine Domäne in Azure, und verknüpfen Sie sie mit Ihrer lokalen AD-Gesamtstruktur.

Ziehen Sie diese Option in Betracht, wenn Sie AD DS-Features verwenden müssen, die derzeit nicht von Microsoft Entra ID implementiert sind.

Vorteile

• Bietet Zugriff auf die gleichen Identitätsinformationen, die lokal verfügbar sind.
• Sie können benutzer-, Dienst- und Computerkonten lokal und in Azure authentifizieren.
• Sie müssen keine separate AD-Gesamtstruktur verwalten. Die Domäne in Azure kann zur lokalen Gesamtstruktur gehören.
• Sie können Gruppenrichtlinien anwenden, die von lokalen Gruppenrichtlinienobjekten auf die Domäne in Azure definiert sind.

Herausforderungen

• Sie müssen Ihre eigenen AD DS-Server und -Domänen in der Cloud bereitstellen und verwalten.
• Es kann eine Synchronisierungslatenz zwischen den Domänenservern in der Cloud und den Servern geben, die lokal ausgeführt werden.

Referenzarchitektur

• Erweitern von Active Directory Domain Services (AD DS) auf Azure

AD DS in Azure mit einer separaten Gesamtstruktur

Stellen Sie AD Domain Services (AD DS)-Server in Azure bereit, erstellen Sie jedoch eine separate Active Directory-Gesamtstruktur, die von der lokalen Gesamtstruktur getrennt ist. Diese Gesamtstruktur wird von Domänen in Ihrer lokalen Gesamtstruktur als vertrauenswürdig eingestuft.

Typische Verwendungsmöglichkeiten für diese Architektur umfassen die Aufrechterhaltung der Sicherheitstrennung für Objekte und Identitäten in der Cloud und das Migrieren einzelner Domänen von lokal zur Cloud.

Vorteile

• Sie können lokale Identitäten und separate Azure-Only-Identitäten implementieren.
• Sie müssen nicht aus der lokalen AD-Gesamtstruktur in Azure replizieren.

Herausforderungen

• Für die Authentifizierung innerhalb von Azure für lokale Identitäten sind zusätzliche Netzwerkhüpfungen auf die lokalen AD-Server erforderlich.
• Sie müssen Ihre eigenen AD DS-Server und -Gesamtstruktur in der Cloud bereitstellen und die entsprechenden Vertrauensstellungen zwischen Gesamtstrukturen einrichten.

Referenzarchitektur

• Erstellen einer Active Directory Domain Services (AD DS)-Ressourcengesamtstruktur in Azure

Erweitern von AD FS auf Azure

Replizieren Sie eine Active Directory-Verbunddienste (AD FS)-Bereitstellung in Azure, um Verbundauthentifizierung und Autorisierung für Komponenten auszuführen, die in Azure ausgeführt werden.

Typische Verwendungsmöglichkeiten für diese Architektur:

• Authentifizieren und Autorisieren von Benutzern aus Partnerorganisationen.
• Ermöglichen Sie Benutzern die Authentifizierung von Webbrowsern, die außerhalb der Unternehmensfirewall ausgeführt werden.
• Ermöglichen Sie Benutzern das Herstellen einer Verbindung von autorisierten externen Geräten wie mobilen Geräten.

Vorteile

• Sie können Anspruchsfähige Anwendungen nutzen.
• Bietet die Möglichkeit, externen Partnern für die Authentifizierung zu vertrauen.
• Kompatibilität mit großen Authentifizierungsprotokollen.

Herausforderungen

• Sie müssen Ihre eigenen AD DS-, AD FS- und AD FS-Webanwendungsproxyserver in Azure bereitstellen.
• Diese Architektur kann komplex zu konfigurieren sein.

Referenzarchitektur

• Erweitern von Active Directory-Verbunddiensten (AD FS) auf Azure