Azure Active Directory Authentifizierung und User-Management

Azure Active Directory stellt eine Authentifizierungsmöglichkeit fĂŒr Cloudlösungen wie Microsoft Azure oder Office 365 dar. Auch fĂŒr hybride Bereitstellungen ist Azure AD interessant, da sich Benutzerinformationen aus lokalen Netzwerken mit der Cloud synchronisieren lassen. Zudem lassen sich andere Clouddienste anbinden.

Die zentrale Aufgabe von Azure Active Directory (Azure AD) besteht darin, zusammen mit lokalen Active-Directory-Umgebungen in hybriden Netzwerken, Cloudlösungen oder auch in externen Cloudsystemen die Authentifizierung zu ĂŒbernehmen. Azure AD soll lokale ADs nicht ersetzen, sondern um Cloudfunktionen ergĂ€nzen. Dazu lassen sich auch Daten zwischen einem lokalen Active Directory und Azure Active Directory synchronisieren. In einem Online-Video geht Microsoft auf die Funktionen und Möglichkeiten des Clouddienstes ein.

Der Vorteil von Azure AD ist, dass der Dienst ĂŒberall verfĂŒgbar ist – auch fĂŒr andere Clouddienste. FĂŒr Cloudienste, die Azure AD nicht von vorne herein unterstĂŒtzen, bietet Microsoft Schnittstellen an. Die Verwaltung von Azure AD findet entweder ĂŒber die PowerShell oder ĂŒber das Webportal von Microsoft Azure statt. Das Azure Active Directory verfĂŒgt dazu ĂŒber einen eigenen Bereich. Diesen hat Microsoft in das neue Microsoft Azure-Portal eingebunden. Hier lassen sich alle Einstellungen von Azure Active Directory vornehmen und alle Tools und Agenten herunterladen, die notwendig sind.

Versionen und Funktionen von Azure Active Directory

Azure Active Directory steht in drei Versionen zur VerfĂŒgung. Die kostenlose „Free“-Version bietet eingeschrĂ€nkte Authentifizierung fĂŒr bis zu 10 Benutzer und erlaubt auch das Beitreten von Windows 10-Rechnern zur Azure-AD-DomĂ€ne.

Die Variante „Basic“ ist im Bereich der Benutzeranzahl und Computerkonten nicht eingeschrĂ€nkt und bietet erweiterte Funktionen zur Anbindung von Anwendungen, dem ZurĂŒcksetzen von Kennwörtern und mehr.

Die beiden kleineren Versionen erlauben das Synchronisieren der Benutzerdaten von lokalen Netzwerken mit Active Directory zu Azure AD. Allerdings ist keine Synchronisierung aus der Cloud in lokale Active-Directory-Umgebungen möglich. Nur beim Einsatz der Premium-Version kann in beide Richtungen synchronisiert werden.

Die grĂ¶ĂŸere Variante „Premium“ bietet erweiterte Authentifizierungsmöglichkeiten wie Multifaktor-Authentifizierung und die Synchronisierung und Anbindung mehrerer Gesamtstrukturen in alle Richtungen. Diese Version ist nicht eingeschrĂ€nkt in ihren Funktionen und bietet alle Möglichkeiten von Azure AD. Microsoft bietet eine 30 Tage-Testversion von Azure AD Premium an.

Office 365, Dynamics und Microsoft Intune effizienter nutzen

Auch andere Clouddienste von Microsoft wie Office 365, Intune oder auch Dynamics nutzen Azure Active Directory zur Authentifizierung. Es lassen sich aber auch Apps und Clouddienste von anderen Anbietern anbinden. Durch die Anmeldung eines Benutzers an Azure AD kann dieser alle Dienste nutzen, fĂŒr die er freigeschaltet wurde – so wie bei einem lokal betriebenen Active Directory (SSO). Weitere Anmeldungen sind nicht notwendig. Auch erweiterte Sicherheitsfunktionen wie Multifaktor-Authentifizierung sind möglich. Die Einrichtung dazu erfolgt in der WeboberflĂ€che von Microsoft Azure.

Synchronisierung mit Active Directory und Active-Directory-Verbunddiensten

Administratoren können in Azure AD selbst Benutzer anlegen, aber auch mit Diensten wie den Azure-Active-Directory-Verbunddiensten und lokalen Active-Directory-Gesamtstrukturen ist eine Synchronisierung möglich. Die Verwaltung der Benutzer nehmen Administratoren ĂŒber das Webportal vor.

Dazu steht ĂŒber den MenĂŒpunkt „Azure Active Directory“ der Bereich „Benutzer und Gruppen“ zur VerfĂŒgung. Hier können Administratoren schnell und einfach neue Benutzer und Gruppen anlegen und sehen synchronisierte Benutzer aus lokalen DomĂ€nen. An dieser Stelle der WeboberflĂ€che von Azure AD lassen sich auch die anderen Bereiche schnell und einfach verwalten. Durch einen Klick auf einen Benutzer lassen sich beispielsweise dessen Informationen anzeigen und Einstellungen verwalten.

Eigene DomÀnen in Azure Active Directory anlegen

NatĂŒrlich können in Azure AD auch eigene DomĂ€nen angelegt werden. Die Synchronisierung der Daten mit lokalen AD-Strukturen ist keine Voraussetzung, sondern eine optionale Möglichkeit. Neue DomĂ€nen lassen sich in der AD-VerwaltungsoberflĂ€che von Microsoft Azure ĂŒber den Bereich „Schnellstart“ anlegen, sobald der Azure-AD-Bereich aufgerufen wurde. Hier sind auch zahlreiche Hilfen, Videos und Informationen zum Umgang mit Azure AD zu finden. Bereits vorhandene DomĂ€nen sind ĂŒber den MenĂŒpunkt „DomĂ€nennamen“ erreichbar. Durch einen Klick auf die vorhandenen DomĂ€nen ist zu erkennen, ob diese funktionieren und zur Anmeldung genutzt werden können. Auch die Steuerung der Synchronisierung kann hier vorgenommen werden.

Mit Microsoft Azure AD Connect Daten synchronisieren

Die Synchronisierung mit lokalen AD-Strukturen findet ĂŒber das Tool Azure AD Connect statt. Mit einem Agenten lassen sich die Anmeldedaten der Benutzer zu Azure AD synchronisieren, in der Premium-Version auch aus der Cloud in lokale Netzwerke. Microsoft stellt den Agenten dazu kostenlos zur VerfĂŒgung.

Azure AD Connect kann Benutzernamen und Informationen zu den Benutzern ĂŒbertragen. Optional ist auch die Synchronisierung der Kennwörter möglich. Das erlaubt es Anwendern, mit den Anmeldeinformationen an ihrem PC auch auf Clouddienste zuzugreifen, ohne sich erneut authentifizieren zu mĂŒssen, also Single-Sign-On (SSO). Die Einrichtung von Azure AD Connect erfolgt ĂŒber einen einfach zu bedienenden Assistenten.

Im Rahmen der Einrichtung der Synchronisierung stellt der Assistent eine Verbindung mit dem Azure AD und dem lokalen AD her, um die Daten zu synchronisieren. Sobald die Verbindung hergestellt wurde, beginnt die Synchronisierung. Dazu installiert Azure AD Connect einen Dienst und Agenten auf einem Server im Netzwerk, der eine Verbindung zur DomĂ€ne hat. Es sollte sich dabei um keinen DomĂ€nencontroller handeln, da dieser durch die Synchronisierung stark belastet werden kann. Im Azure-Portal stehen ĂŒber „Sicherheit und IdentitĂ€t“ zahlreiche weitere ErgĂ€nzungen zur VerfĂŒgung, mit denen Administratoren die Funktionen von Azure AD erweitern können.

Azure Active Directory wird im neuen Webportal von Microsoft Azure verwaltet. Hier stehen alle notwendigen Optionen zur VerfĂŒgung. Im Webportal lassen sich auch die Benutzerkonten in Azure AD verwalten sowie mit einem lokalen AD synchronisieren. Im Webportal von Microsoft Azure sind auch die DomĂ€nen zu sehen, die aktuell von Azure AD verwaltet werden.

Active Directory mit Azure AD Connect Health ĂŒberwachen

Der Microsoft-Clouddienst „Azure AD Connect Health“ ermöglicht die Überwachung grĂ¶ĂŸerer und verteilter Infrastrukturen mit Active Directory. Auch fĂŒr Hybrid-Bereitstellungen, zum Beispiel zusammen mit Azure Active Directory, ist der Clouddienst ein Mittel zur Überwachung. Der Schwerpunkt liegt klar in der Zusammenarbeit zwischen lokalen (On-Premise) Active-Directory-Infrastrukturen und der Synchronisierung mit Azure Active Directory.

FĂŒr Unternehmen, die Microsoft Azure und Azure Active Directory nicht nutzen, macht der Dienst weniger Sinn. Im Fokus liegen bei der Überwachung vor allem die Azure-AD-Connect-Server, die Daten aus dem Active Directory mit Microsoft Azure synchronisieren. Im Rahmen der Überwachung werden aber auch Informationen und Leistungsdaten lokaler DomĂ€nencontroller ĂŒberwacht und ĂŒbersichtlich in der WeboberflĂ€che angezeigt.

Quelle: www.it-business.de