Beschreiben von Azure-Verzeichnisdiensten

Abgeschlossen

Microsoft Entra ID ist ein Verzeichnisdienst, mit dem Sie sich anmelden und sowohl auf Microsoft-Cloudanwendungen als auch auf selbst entwickelte Cloudanwendungen zugreifen können. Mit Microsoft Entra ID können Sie auch Ihre lokale Active Directory-Bereitstellung verwalten.

Für lokale Umgebungen bietet Active Directory unter Windows Server einen Dienst für die Identitäts- und Zugriffsverwaltung, der von Ihrer Organisation verwaltet wird. Microsoft Entra ID ist der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft. Mit Microsoft Entra ID steuern Sie die Identitätskonten, aber Microsoft stellt sicher, dass der Dienst global verfügbar ist. Wenn Sie bereits mit Active Directory gearbeitet haben, wird Microsoft Entra ID Ihnen vertraut vorkommen.

Wenn Sie Identitäten lokal mit Active Directory schützen, überwacht Microsoft keine Anmeldeversuche. Wenn Sie Active Directory mit Microsoft Entra ID verknüpfen, kann Microsoft Ihnen helfen, sich zu schützen, indem verdächtige Anmeldeversuche ohne zusätzliche Kosten erkannt werden. Beispielsweise kann Microsoft Entra ID Anmeldeversuche von unerwarteten Standorten oder unbekannten Geräten erkennen.

Wer verwendet Microsoft Entra ID?

Microsoft Entra ID eignet sich für:

  • IT-Administrator*innen: Administrator*innen können Microsoft Entra ID verwenden, um den Zugriff auf Anwendungen und Ressourcen basierend auf ihren Geschäftsanforderungen zu steuern.
  • App-Entwickler*innen: Entwickler*innen können mit Microsoft Entra ID einen standardbasierten Ansatz für das Hinzufügen von Funktionen zu den von ihnen entwickelten Anwendungen umsetzen. So lässt sich beispielsweise eine App mit SSO-Funktionen ergänzen oder so konfigurieren, dass sie die vorhandenen Anmeldeinformationen eines Benutzers oder einer Benutzerin akzeptiert.
  • Benutzer Benutzer*innen können ihre Identitäten verwalten und Wartungsaktionen wie die Self-Service-Kennwortzurücksetzung ausführen.
  • Abonnent*innen von Onlinediensten: Abonnent*innen von Microsoft 365, Microsoft Office 365, Azure und Microsoft Dynamics CRM Online verwenden bereits Microsoft Entra ID für die Kontoauthentifizierung.

Was kann Microsoft Entra ID?

Microsoft Entra ID enthält Features wie:

  • Authentifizierung: Dazu gehört die Überprüfung der Identität für den Zugriff auf Anwendungen und Ressourcen. Dazu gehören auch Funktionen wie Self-Service-Kennwortzurücksetzung, mehrstufige Authentifizierung, eine benutzerdefinierte Liste verbotener Kennwörter und intelligente Sperrdienste.
  • Einmaliges Anmelden: Beim einmaligen Anmelden (Single Sign-On, SSO) müssen Sie sich nur einen Benutzernamen und ein Kennwort merken, um auf mehrere Anwendungen zuzugreifen. Eine Identität ist jeweils an einen Benutzer gebunden, wodurch das Sicherheitsmodell vereinfacht wird. Wenn Benutzer die Rolle wechseln oder ein Unternehmen verlassen, sind Zugriffsänderungen an diese Identität gebunden. So wird der Aufwand für das Ändern oder Deaktivieren von Konten erheblich reduziert.
  • Anwendungsverwaltung: Sie können Ihre Cloud- und lokalen Apps mithilfe von Microsoft Entra ID verwalten. Mit Features wie Anwendungsproxy, SaaS-Apps, dem Portal „Meine Apps“ und dem einmaligen Anmelden wird die Benutzerfreundlichkeit verbessert.
  • Geräteverwaltung: Microsoft Entra ID unterstützt die Registrierung von Konten für Einzelpersonen als auch von Geräten. Die Registrierung ermöglicht die Verwaltung von Geräten mithilfe von Tools wie Microsoft Intune. Dies ermöglicht es gerätebasierten bedingten Zugriffsrichtlinien auch, Zugriffsversuche unabhängig vom anfordernden Benutzerkonto nur auf solche Versuche zu beschränken, die von bekannten Geräten stammen.

Kann ich mein lokales AD mit Microsoft Entra ID verknüpfen?

Wenn Sie über eine lokale Umgebung mit Active Directory und eine Cloudbereitstellung mit Microsoft Entra ID verfügen, müssen Sie zwei Identitätssätze verwalten. Sie können jedoch eine Verbindung zwischen Active Directory und Microsoft Entra ID herstellen, um eine einheitliche Identitätsfunktion zwischen Cloud- und lokaler Umgebung zu ermöglichen.

Eine Methode zum Verbinden von Microsoft Entra ID mit Ihrem lokalen AD ist die Verwendung von Microsoft Entra Connect. Microsoft Entra Connect synchronisiert Benutzeridentitäten zwischen lokalem Active Directory und Microsoft Entra ID. Microsoft Entra Connect synchronisiert Änderungen zwischen beiden Identitätssystemen, sodass Sie Features wie SSO, Multi-Faktor-Authentifizierung und Self-Service-Kennwortzurücksetzung unter beiden Systemen verwenden können.

Was ist Microsoft Entra Domain Services?

Microsoft Entra Domain Services ist ein Dienst, der verwaltete Domänendienste wie Domänenbeitritt, Gruppenrichtlinien, Lightweight Directory Access Protocol (LDAP) und Kerberos-/NTLM-Authentifizierung bereitstellt. Mit Microsoft Entra ID können Sie Verzeichnisdienste ohne Verwaltung der entsprechenden Infrastruktur nutzen. Microsoft Entra Domain Services bietet den Vorteil, Domänendienste verwenden zu können, ohne Domänencontroller (DCs) in der Cloud bereitstellen, verwalten und patchen zu müssen.

Mit einer verwalteten Microsoft Entra Domain Services-Domäne können Sie Legacyanwendungen in der Cloud ausführen, für die keine modernen Authentifizierungsmethoden genutzt werden können oder bei denen Sie nicht möchten, dass Verzeichnislookups immer in einer lokalen AD DS-Umgebung durchgeführt werden. Sie können diese Legacyanwendungen per Lift & Shift-Vorgang aus Ihrer lokalen Umgebung in eine verwaltete Domäne verschieben, ohne dass Sie die AD DS-Umgebung in der Cloud verwalten müssen.

Microsoft Entra Domain Services kann mit Ihrem vorhandenen Microsoft Entra-Mandanten integriert werden. Diese Integration ermöglicht es Benutzer*innen, sich bei Diensten und Anwendungen, die mit der verwalteten Domäne verbunden sind, mithilfe ihrer vorhandenen Anmeldeinformationen anzumelden. Sie können auch vorhandene Gruppen und Benutzerkonten verwenden, um den Zugriff auf Ressourcen abzusichern. So können Sie für eine reibungslosere Lift & Shift-Migration lokaler Ressourcen zu Azure sorgen.

Wie funktioniert Microsoft Entra Domain Services?

Nachdem Sie eine verwaltete Microsoft Entra Domain Services-Domäne erstellt haben, können Sie einen eindeutigen Namespace festlegen. Dieser Namespace ist der Domänenname. Anschließend werden zwei Windows Server-Domänencontroller in Ihrer ausgewählten Azure-Region bereitgestellt. Diese Bereitstellung von Domänencontrollern wird als Replikatgruppe bezeichnet.

Sie müssen diese Domänencontroller nicht verwalten, konfigurieren oder aktualisieren. Die Azure-Plattform führt die Schritte für die Domänencontroller im Rahmen der verwalteten Domäne aus – einschließlich Sicherung und Verschlüsselung ruhender Daten mit Azure Disk Encryption.

Werden die Informationen synchronisiert?

Eine verwaltete Domäne ist so konfiguriert, dass eine unidirektionale Synchronisierung von Microsoft Entra ID zu Microsoft Entra Domain Services erfolgt. Sie können Ressourcen direkt in der verwalteten Domäne erstellen, die aber nicht wieder mit Microsoft Entra ID synchronisiert werden. In einer Hybridumgebung mit einer lokalen AD DS-Umgebung synchronisiert Microsoft Entra Connect Identitätsinformationen mit Microsoft Entra ID, die dann wiederum mit der verwalteten Domäne synchronisiert werden.

Diagramm von Microsoft Entra Connect Sync, das Informationen von der lokalen AD-Instanz zurück zum Microsoft Entra-Mandanten mit Azure AD Connect synchronisiert.

Anwendungen, Dienste und VMs in Azure, die mit der verwalteten Domäne verknüpft sind, können gängige Microsoft Entra Domain Services-Features wie Domänenbeitritt, Gruppenrichtlinien, LDAP und Kerberos-/NTLM-Authentifizierung nutzen.