Hybride Identität mit Active Directory und Microsoft Entra ID in Azure-Landing-Zones
Dieser Artikel enthält Anleitungen zur Gestaltung und Implementierung von Microsoft Entra ID und hybrider Identität für Azure-Zielzonen.
Organisationen, die in der Cloud arbeiten, benötigen einen Verzeichnisdienst zur Verwaltung von Identitäten für Benutzende und den Zugriff auf Ressourcen. Microsoft Entra ID ist ein cloudbasierter Dienst zur Identitäts- und Zugriffsverwaltung, der robuste Funktionalitäten zur Verwaltung von Benutzenden und Gruppen bietet. Sie können Microsoft Entra ID als eigenständige Identitätslösung verwenden oder sie in eine Microsoft Entra Domain Services-Infrastruktur oder eine lokale Active Directory Domain Services (AD DS)-Infrastruktur integrieren.
Microsoft Entra ID bietet modernes sicheres Identitäts- und Zugriffsmanagement für Azure- und Microsoft 365-Dienste. Sie können Microsoft Entra ID für verschiedene Organisationen und Workloads verwenden. Organisationen mit einer lokalen AD DS-Infrastruktur und cloudbasierten Workloads können beispielsweise die Verzeichnissynchronisierung mit Microsoft Entra ID verwenden. Die Verzeichnissynchronisierung stellt sicher, dass lokale und Cloudumgebungen einen konsistenten Satz von Identitäten, Gruppen und Rollen gemeinsam nutzen. Anwendungen, die ältere Authentifizierungsmechanismen erfordern, benötigen möglicherweise Domain Services für verwaltete Aufgaben Standard Dienste in der Cloud und um die lokale AD DS-Infrastruktur in Azure zu erweitern.
Die cloudbasierte Identitätsverwaltung ist ein iterativer Prozess. Sie können für eine erste Bereitstellung mit einer cloudnativen Lösung mit einer kleinen Anzahl von Benutzern und entsprechenden Rollen beginnen. Im Laufe der Migration müssen Sie Ihre Identitätslösung unter Umständen mithilfe der Verzeichnissynchronisierung integrieren oder Domänendienste im Rahmen Ihrer Cloudbereitstellungen hinzufügen.
Passen Sie Ihre Identitätslösung im Laufe der Zeit je nach den Anforderungen an die Workload-Authentifizierung und anderen Bedürfnissen an, wie z. B. Änderungen Ihrer organisatorischen Identitätsstrategie und Sicherheitsanforderungen oder die Integration mit anderen Verzeichnisdiensten. Wenn Sie Windows Server Active Directory-Lösungen evaluieren, sollten Sie die Unterschiede zwischen Microsoft Entra ID, Domain Services und AD DS auf Windows Server kennen.
Weitere Informationen finden Sie unter Entscheidungsanleitung für Identitäten.
Dienste für das Identitäts- und Zugriffsmanagement in den Azur-Landing-Zones
Das Plattformteam ist für die Verwaltung des Identitäts- und Zugriffsmanagements verantwortlich. Dienste zur Identitäts- und Zugriffsverwaltung sind von grundlegender Bedeutung für die organisatorische Sicherheit. Ihr Unternehmen kann Microsoft Entra ID verwenden, um den administrativen Zugriff zu kontrollieren und Plattformressourcen zu schützen. Dieser Ansatz verhindert, dass Benutzende außerhalb des Plattformteams Änderungen an der Konfiguration oder an den in Microsoft Entra ID enthaltenen Sicherheitsprinzipalen vornehmen.
Wenn Sie AD DS oder Domänendienste verwenden, müssen Sie die Domänencontroller vor unberechtigtem Zugriff schützen. Domänencontroller sind sehr anfällig für Angriffe und sollten über strenge Sicherheitskontrollen verfügen und von den Anwendungs-Workloads getrennt werden.
Stellen Sie Domänencontroller und zugehörige Komponenten, wie z. B. Microsoft Entra Connect-Server, im Identitätsabonnement bereit, das sich in der Plattformverwaltungsgruppe befindet. Domänencontroller werden nicht an Anwendungsteams delegiert. Diese Isolation ermöglicht es Anwendungsbesitzern, Identitätsdienste zu verwenden, ohne sie Standard zu enthalten, wodurch das Risiko einer Kompromittierung von Identitäts- und Zugriffsverwaltungsdiensten verringert wird. Die Ressourcen im Abonnement der Identitätsplattform sind ein entscheidender Punkt für die Sicherheit Ihrer Cloud- und lokalen Umgebungen.
Stellen Sie Zielzonen bereit, damit Anwendungsbesitzer entweder Microsoft Entra-ID oder AD DS und Domain Services für ihre Workloadanforderungen auswählen können. Je nach Ihrer Identitätslösung müssen Sie möglicherweise weitere Dienste konfigurieren. So müssen Sie beispielsweise die Netzwerkkonnektivität zum virtuellen Netzwerk von Identity aktivieren und sichern. Wenn Sie ein Abonnement verwenden, fügen Sie diese Konfigurationsinformationen Ihrer Anfrage für das Abonnement bei.
Azure und lokale Domänen (hybride Identität)
Objekte für Benutzende, die vollständig in Microsoft Entra ID erstellt werden, werden als Cloud-only-Konten bezeichnet. Nur-Cloud Konten unterstützen eine moderne Authentifizierung und den Zugriff auf Azure- und Microsoft 365-Ressourcen und Stütze sowie den Zugriff für lokale Geräte, die Windows 10 oder Windows 11 verwenden.
Möglicherweise verfügt Ihr Unternehmen bereits seit langem über AD DS-Verzeichnisse, die Sie über das Lightweight Directory Access Protocol (LDAP) in andere Systeme integrieren, z. B. in Geschäftsbereiche oder in die Unternehmensressourcenplanung (ERP). Diese Domänen können viele domänenverbundene Computer und Anwendungen haben, die Kerberos oder ältere NTLMv2-Protokolle zur Authentifizierung verwenden. In diesen Umgebungen können Sie Benutzungsobjekte mit Microsoft Entra ID synchronisieren, damit sich die Benutzenden mit einer einzigen Identität sowohl bei lokalen Systemen als auch bei Cloud-Ressourcen anmelden können. Die Vereinheitlichung von lokalen und Cloud-Verzeichnisdiensten wird als hybride Identität bezeichnet. Sie können lokale Domänen in Azure-Landing-Zones erweitern:
Um ein einziges Benutzungsobjekt sowohl in Cloud- als auch in lokalen Umgebungen zu erhalten, können Sie Benutzende von AD DS-Domänen mit Microsoft Entra ID über Microsoft Entra Connect oder Microsoft Entra Cloud Sync synchronisieren. Um die empfohlene Konfiguration für Ihre Umgebung zu ermitteln, siehe Topologien für Microsoft Entra Connect und Topologien for Microsoft Entra Cloud Sync.
Um Virtuelle Windows-Computer (VMs) und andere Dienste in eine Domäne einzubinden, können Sie AD DS-Domänencontroller oder Domain Services in Azure bereitstellen. Mit diesem Ansatz können sich Benutzende von AD DS bei Windows Servern, Azure File Shares und anderen Ressourcen anmelden, die Active Directory als Authentifizierungsquelle verwenden. Sie können auch andere Active Directory-Technologien wie Gruppenrichtlinien als Authentifizierungsquelle verwenden. Weitere Informationen finden Sie unter Häufige Bereitstellungsszenarien für Microsoft Entra Domain Services.
Empfehlungen für hybride Identitäten
Um die Anforderungen an Ihre Identitätslösung zu ermitteln, dokumentieren Sie den Authentifizierungsanbieter, den jede Anwendung verwendet. Verwenden Sie den Identitätsentscheidungsleitfaden, um die richtigen Dienste für Ihre Organisation auszuwählen. Weitere Informationen finden Sie unter Vergleich von Active Directory mit Microsoft Entra ID.
Sie können Domänendienste für Anwendungen verwenden, die auf Domänendienste angewiesen sind und ältere Protokolle verwenden. Manchmal unterstützen bestehende AD DS-Domänen die Abwärtskompatibilität und lassen veraltete Protokolle zu, was die Sicherheit beeinträchtigen kann. Anstatt eine lokale Domäne zu erweitern, sollten Sie Domain Services verwenden, um neue Domain Services zu erstellen, die keine Legacyprotokolle zulässt. Verwenden Sie die neue Domäne als Verzeichnisdienst für in der Cloud gehostete Anwendungen.
Berücksichtigen Sie die Resilienz als kritische Entwurfsanforderung für Ihre Hybrididentitätsstrategie in Azure. Microsoft Entra ID ist ein global redundantes, cloudbasiertes System, aber Domain Services und AD DS sind nicht vorhanden. Planen Sie sorgfältig die Resilienz, wenn Sie Domain Services und AD DS implementieren. Wenn Sie einen der beiden Dienste entwerfen, sollten Sie die Verwendung von Multiregion-Bereitstellungen in Betracht ziehen, um den fortgesetzten Dienstbetrieb im Falle eines regionalen Vorfalls sicherzustellen.
Um eine lokale AD DS-Instanz in Azure zu erweitern und die Bereitstellung zu optimieren, integrieren Sie Ihre Azure-Regionen in Ihr Active Directory-Standortdesign. Erstellen Sie eine Website in AD DS-Websites und -Diensten für jede Azure-Region, in der Sie Workloads bereitstellen möchten. Erstellen Sie dann ein neues Subnetzobjekt an AD DS-Standorten und -Diensten für jeden IP-Adressbereich, den Sie in der Region bereitstellen möchten. Ordnen Sie das neue Subnetzobjekt dem von Ihnen erstellten AD DS-Standort zu. Diese Konfiguration stellt sicher, dass der Domänencontroller-Lokalisierungsdienst Autorisierungs- und Authentifizierungsanforderungen an die nächstgelegenen AD DS-Domänencontroller innerhalb derselben Azure-Region weiterleitet.
Bewerten Sie Szenarien, in denen Gäste, Kunden oder Partner auf Ressourcen zugreifen können. Bestimmen Sie, ob diese Szenarien Microsoft Entra B2B oder Microsoft Entra External ID für Kund*innen beinhalten. Weitere Informationen finden Sie unter Microsoft Entra External ID.
Verwenden Sie Microsoft Entra Application Proxy nicht für den Zugriff auf das Intranet, da dies die Benutzungserfahrung verzögert. Weitere Informationen finden Sie unter Microsoft Entra Application Proxy Planung und Microsoft Entra Application Proxy Sicherheitsüberlegungen.
Ziehen Sie verschiedene Methoden in Betracht, die Sie zur Integration von lokalem Active Directory mit Azure verwenden können, um Ihre organisatorischen Anforderungen zu erfüllen.
Wenn Sie einen Verbund von Active Directory-Verbunddienste (AD FS) mit Microsoft Entra ID verwenden, können Sie als Fallbackmethode die Kennwort-Hashsynchronisierung nutzen. AD FS unterstützt nicht das nahtlose Single Sign-on (SSO) von Microsoft Entra.
Bestimmen Sie das richtige Synchronisationstool für Ihre Cloud-Identität.
Wenn Sie Anforderungen für die Verwendung von AD FS haben, lesen Sie Bereitstellen von AD FS in Azure.
Wenn Sie Microsoft Entra Connect als Synchronisierungstool verwenden, sollten Sie einen Stagingserver in einer Region bereitstellen, die sich von Ihrem primären Microsoft Entra-Verbinden-Server für die Notfallwiederherstellung unterscheidet. Wenn Sie nicht mehrere Regionen verwenden, implementieren Sie alternativ Verfügbarkeitszonen für hohe Verfügbarkeit.
Wenn Sie Microsoft Entra Cloud Sync als Synchronisierungstool verwenden, sollten Sie mindestens drei Agents auf verschiedenen Servern in mehreren Regionen für die Notfallwiederherstellung installieren. Alternativ können Sie die Agents serverübergreifend in verschiedenen Verfügbarkeitszonen für hohe Verfügbarkeit installieren.
Wichtig
Wir empfehlen Ihnen dringend, auf Microsoft Entra ID zu migrieren, sofern Sie nicht ausdrücklich AD FS benötigen. Weitere Informationen finden Sie unter Ressourcen für die Außerbetriebnahme von AD FS und Migrieren von AD FS zu Microsoft Entra ID.
Microsoft Entra ID, Domain Services und AD DS
Um Microsoft-Verzeichnisdienste zu implementieren, sollten sich Administratoren mit den folgenden Optionen vertraut machen:
Sie können Domänencontroller von AD DS in Azure als VMs bereitstellen, über die Plattform- oder Identitätsadministrator*innen die volle Kontrolle haben. Dieser Ansatz ist eine Infrastructure-as-a-Service (IaaS) Lösung. Sie können die Domänencontroller mit einer bestehenden Active Directory-Domäne verbinden oder eine neue Domäne hosten, die eine optionale Vertrauensbeziehung zu bestehenden lokalen Domänen hat. Weitere Informationen finden Sie unter Azure Virtual Machines Baseline-Architektur in einer Azure-Landing-Zone.
Domain Services ist ein von Azure verwalteter Dienst, mit dem Sie eine neue verwaltete Active Directory-Domäne erstellen können, die in Azure gehostet wird. Die Domäne kann eine Vertrauensbeziehung zu bestehenden Domänen haben und kann Identitäten von Microsoft Entra ID synchronisieren. Administrator*innen haben keinen direkten Zugriff auf die Domänencontroller und sind nicht für Patching und andere Wartungsvorgänge verantwortlich.
Wenn Sie Domänendienste bereitstellen oder lokale Umgebungen in Azure integrieren, verwenden Sie Regionen mit Verfügbarkeitszonen für eine höhere Verfügbarkeit, wenn möglich. Erwägen Sie auch die Bereitstellung in mehreren Azure-Regionen, um die Resilienz zu erhöhen.
Nachdem Sie AD DS oder die Domänendienste konfiguriert haben, können Sie die gleiche Methode wie bei lokalen Computern verwenden, um Azure VMs und Dateifreigaben in die Domäne einzubinden. Weitere Informationen finden Sie unter Vergleich der verzeichnisbasierten Dienste von Microsoft.
Empfehlungen zu Microsoft Entra ID und AD DS
Um auf Anwendungen zuzugreifen, die eine lokale Authentifizierung remote über Microsoft Entra ID verwenden, setzen Sie den Microsoft Entra-Anwendungsproxy ein. Diese Funktion bietet einen sicheren Remote-Zugriff auf lokale Webanwendungen. Der Microsoft Entra Applikations-Proxy erfordert weder ein PN noch Änderungen an der Netzwerkinfrastruktur. Sie wird jedoch als einzelne Instanz in Microsoft Entra ID bereitgestellt, sodass Anwendungsbesitzende und die Plattform- oder Identitätsteams zusammenarbeiten müssen, um sicherzustellen, dass die Anwendung korrekt konfiguriert ist.
Evaluieren Sie die Kompatibilität von Workloads für AD DS auf Windows Server und Domain Services. Weitere Informationen finden Sie unter Gängige Anwendungsfälle und Szenarien.
Stellen Sie Domänencontroller-VMs oder Domain Services Replik-Sets im Abonnement der Identitätsplattform innerhalb der Verwaltungsgruppe der Plattform bereit.
Sichern Sie das virtuelle Netzwerk, in dem sich die Domänencontroller befinden. Um direkte Internetverbindungen zum und vom virtuellen Netzwerk und Domänencontroller zu verhindern, platzieren Sie die AD DS-Server in einem isolierten Subnetz mit einer Netzwerksicherheitsgruppe (Network Security Group, NSG). Die NSG bietet Firewallfunktionen. Ressourcen, die Domänencontroller zur Authentifizierung verwenden, müssen über eine Networking-Route zum Subnetz des Domänencontrollers verfügen. Aktivieren Sie eine Networking-Route nur für Anwendungen, die Zugriff auf Dienste im Identity-Abonnement benötigen. Weitere Informationen finden Sie unter Bereitstellen von AD DS in einem virtuellen Azure-Netzwerk.
Verwenden Sie Azure Virtual Network Manager, um Standardregeln zu erzwingen, die für virtuelle Netzwerke gelten. Es können zum Beispiel Azure Policy- oder virtuelle Netzwerkressourcen-Tags verwendet werden, um virtuelle Zielzonennetzwerke zu einer Netzwerkgruppe hinzuzufügen, wenn sie Active Directory-Identitätsdienste benötigen. Die Netzwerkgruppe kann dann verwendet werden, um den Zugriff auf das Domänencontroller-Subnetz nur den Anwendungen zu ermöglichen, die dieses benötigen, und den Zugriff durch andere Anwendungen zu blockieren.
Sichern Sie die Berechtigungen der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC), die für die virtuellen Domänencontroller-VMs und andere Identitätsressourcen gelten. Administratoren mit RBAC-Rollenzuweisungen auf der Azure-Steuerungsebene, z. B. Mitwirkende, Besitzer oder Mitwirkende für virtuelle Maschinen, können Befehle auf den VMs ausführen. Stellen Sie sicher, dass nur autorisierte Administratoren auf die VMs im Identitätsabonnement zugreifen können, und dass Rollenzuweisungen mit umfassenden Berechtigungen nicht von höheren Verwaltungsgruppen geerbt werden.
Um die Latenz zu minimieren, sollten Sie Ihre Kernanwendungen in der Nähe oder in derselben Region wie das virtuelle Netzwerk für Ihre Replik-Sets aufbewahren. In einer multiregionalen Organisation stellen Sie Domain Services in der Region bereit, in der die Core-Plattformkomponenten gehostet werden. Sie können Domain Services nur für ein einziges Abonnement bereitstellen. Sie können Domain Services auf weitere Regionen erweitern, indem Sie bis zu vier weitere Replikate in separaten virtuellen Netzwerken hinzufügen, die mit dem primären virtuellen Netzwerk gepeert werden.
Ziehen Sie in Betracht, AD DS-Domänencontroller in mehreren Azure-Regionen und über Verfügbarkeitszonen hinweg einzusetzen, um die Resilienz und Verfügbarkeit erhöhen. Weitere Informationen finden Sie unter Erstellen von VMs in Verfügbarkeitszonen und Migrieren von VMs in Verfügbarkeitszonen.
Entdecken Sie im Rahmen Ihrer Identitätsplanung die Authentifizierungsmethoden für Microsoft Entra ID. Die Authentifizierung kann in der Cloud und lokal oder nur lokal erfolgen.
Ziehen Sie die Verwendung der Kerberos-Authentifizierung für Microsoft Entra ID in Betracht, anstatt Domänencontroller in der Cloud einzusetzen, wenn ein Windows-Benutzer Kerberos für Azure Files-Dateifreigaben benötigt.