Header-grossesschiff

Telefon  +49 6126 710 796 0

Azure AD / O365

Wer sich mit den Identitäten hinter Office 365 beschäftigt, stößt sehr schnell auf Azure Active Directory (kurz AAD). Der Name AAD lässt vermuten, dass es etwas mit dem Active Directory Service zu tun hat, den wir aus unserem Netzwerk kennen. Dem ist nicht der Fall. Es handelt sich um zwei technisch unterschiedliche Verzeichnisdienste.

Azure AD

Wichtig ist zu verstehen, daß die nahtlose Verbindung zwischen Active Directory und Azure Active Directory nicht von heute auf morgen geht. Ihre modernisierte, lokale AD Umgebung ist der Anker für die zukünftige erfolgreiche Implementierung von Azure AD. Die erfahrenen AD Consultants der FirstAttribute AG helfen Ihnen, die richtigen Schritte einzuleiten und unterstützen Sie bei der Integration neuer Anwendungen.

Doch die wichtigste Frage sollten wir zuerst beantworten:


Was genau ist Azure AD?

Azure AD ist ein mandantenfähiger Cloud Directory-Service von Microsoft. Es ist für die Nutzung von Microsoft Cloud-Diensten wie Office 365 konzipiert. Als cloudbasierter Verzeichnis- und Identitätsverwaltungsdienst wird Azure AD von Microsoft weltweit in über 28 Datencentern betreut. Mehrere Kunden (Mandanten) können auf einem Server bedient werden und jeweils nur ihre eignen Daten sehen und bearbeiten.

 

Gründe für Einführung von Azure AD

  • Einfachheit
    Active Directory hat in vielen Unternehmen über Jahre an Größe und Komplexität zugenommen; Azure AD bietet die Möglichkeit, ein schlankes AD einzuführen
  • Flache Strukturen
    Azure AD konsolidiert die Verwaltung der Benutzer und Gruppen
  • Geringere Kosten
    Statt Geld für Hardware und Netzwerk auszugeben, können Unternehmen zu monatlichen Betriebskosten auf Basis der Benutzerzahl wechseln
  • Weniger Resourcen

Azure AD vs. Active Directory

Der wesentliche technische Unterschied zu einem klassischen Directory Service, wie beispielsweise Active Directory besteht darin, dass die Zugriffs- und Nutzungstechnologien andere sind.

Anwender werden viele Basisfunktionen des klassischen AD nicht im Azure AD wiederfinden, wie zum Beispiel die Aufteilung der Nutzer in Organisationseinheiten. Dies ist im AAD nicht mehr möglich, da dort eine flache, vereinfachte Struktur bevorzugt wird.

Ohne on premise AD sind folgende Dienste mit AAD nicht bzw. eingeschränkt möglich:

  • Keine LDAP-Schnittstelle
  • Keine Kerberos- oder NTLM-Authentifizierung
  • Keine OU-Struktur (AAD verwendet administrative Einheiten)
  • Keine Group Policy Objects
  • Limitierte Anzahl administrativer Rollen

Dafür gibt es viele neue Lösungen, die als Alternative zur Verfügung stehen. Kontaktieren Sie uns, um Klarheit zu erlangen.


Authentifizierung mit Azure AD OAuth

Aus der klassischen Directory-Welt kennt jeder die Zugriffsprotokolle LDAP oder den Authentifizierungsservice Kerberos. In der Cloud sieht das anders aus. Hier kommen andere Technologien zum Einsatz:

  • OAuth,
  • OpenID und
  • SAML.

Diese Technologien sind vor allem aus den Web-Bereichen bekannt. Azure AD wird anstelle des LDAP mit einer REST-API namens "AD Graph-API" verwaltet. All diese Komponenten arbeiten mit HTTP und HTTPS.

Azure AD ist für Cloud-Anwendungen konzipiert. Für Anwendungsentwickler ist es vergleichsweise einfach, den Cloud Directory Service Azure AD via OAuth zu nutzen. Dies wird dazu führen, dass mehr und mehr Anwendungen ein Cloud Directory als Identity Provider voraussetzen. Grundsätzlich ist Office 365 mit all seinen Diensten auch nichts anderes als eine Cloud-Anwendung, welche OAuth zur Autorisierung der Anwender einsetzt.

 

AAD und SAML-Authentifizierung

Microsoft führt Kunden geschickt in die Cloud. Sie können Ihre Identitäten und Gruppen (Verteilerlisten) relativ einfach mit AAD Connect ins Azure AD überführen. Erst wenn Ihre Benutzerkonten in Azure AD vorliegen, können Sie Cloud Anwendungen nutzen. Mittels SAML (ADFS) können Sie die Passwörter aus Ihrer eigenen Active Directory Domain nutzen. Dies gibt vielen Kunden ein Gefühl der Sicherheit, da sie diePasswörter nicht herausgeben.

Lesen Sie hier mehr über SAML und ADFS.

 

AAD, LDAP und Azure AD Domain Services

Wie bereits beschrieben, kennt Azure AD von sich aus kein LDAP. Hieraus ergeben sich zwei Fragen:

  1. Wie können Sie LDAP-Anwendungen in Azure AD integrieren?
     
  2. Wie können klassische Windows-Server oder Endgeräte in das Azure AD eingebunden werden?

Unternehmen oder Behörden nutzen hier häufig noch klassische AD Domain Controller, die diese Funktionalität bereitstellen. Microsoft bietet nun eine Zusatzfunktion zum Azure AD an, die eine solche Aufgabeeingeschränkt übernehmen kann: die Azure AD Domain Services.

Diese stellt man sich am besten als Emulator eines AD Domain Controllers (AD DC) vor. Es ist jedoch darauf zu achten, dass die meisten Funktionen nur einen lesenden Zugriff zulassen. Dieses gilt im Besonderen für LDAP. Insofern ist genau zu prüfen, ob diese Funktion ausreicht oder doch ein vollwertiger AD DC betrieben werden muss.


Datenintegration mit Azure AD Connect

Mit Azure AD Connect (AAD Connect) werden lokale AD Daten in den Azure Betrieb integriert. Auf diese Weise muss nicht mehr zwischen Daten aus dem eigenen Rechenzentrum und der Cloud unterschieden werden. Es wird nur eine Identity benötigt, die dann bei verschiedenen Anwendungen wie Office 365 zur Anmeldung eingesetzt wird. Diese sogenannteHybrid Identitykommt in hybriden Umgebungen, vor allem bei größeren Unternehmen zum Einsatz.

  • Unidirektionale Synchronisierung
    Daten werden nur von der lokalen AD Umgebung ins AAD mittels Push übertragen
  • Bidirektionale Synchronisierung
    Änderungen, die in AAD vorgenommen werden, können in Ihr lokales AD zurückübertragen werden

Das heißt, dass Kollegen ganz einfach mit ihren Standard-Login-Daten berechtigt sind, die verschiedenen Programme und SaaS-Anwendungen wie Office 365 zu nutzen. Dabei ist Azure AD Connect ein sehr hilfreiches Tool. Es ermöglicht die Synchronisierung ihrer OnPremise-AD-Daten mit Azure AD. Damit werden Vorgängerversionen dieser Azure AD Management Lösungen weitestgehend überflüssig, da ADFS und Sync Services in Azure AD Connect integriert sind.

Es wird ersichtlich, wieviele Möglichkeiten es bei einer Transition zu Azure AD gibt. Ob hybrider Ansatz oder Cloud only, ein vernünftiges Azure AD Management ist unerlässlich.


Windows Azure Active Directory Pricing

Wie bei den meisten Softwareprodukten, hat auch Microsoft verschiedene Versionen seines Dienstes im Angebot. Diese sind Free, Basic, Premium P1, Premium P2. Sie unterscheiden sich stark im Funktionsumfang. Während die Free-Version einen ersten Eindruck liefert, überzeugt Basic durch die Performance bei Alltagsaufgaben. Mit den Premiumversionen wird das Spektrum an Features deutlich breiter. Hinsichtlich der Azure AD Preise gibt es gewaltige Unterschiede. Die angebotenen Preise für Azure reichen von 0,88€ über 5,06€ bis 7,59€. Hierbei sollte beachtet werden, dass es sich um den monatlichen Preis pro User mit jährlichen Laufzeiten handelt. Versionsunterschiede und das Azure Active Directory Pricing sind überschaubar, unterliegen aber regelmäßigen Änderungen. (Stand: Juli 2017)

Klicken Sie hier für die Microsoft Azure Preisübersicht.


Zusammenfassung Azure AD

Nahezu jedes Unternehmen wird zukünftig neben den Active Directory Domain Services auch eine Instanz innerhalb des Azure AD betreiben. Sobald Services wie Office 365, Exchange Online oder andere Services aus der Microsoft Cloud nutzt aus Preisgründen wird die hybride Umgebung überall sein. War der Identity-Service in der Vergangenheit häufig das Active Directory, wird es zukünftig häufig Azure AD sein. Microsoft möchte mit Azure AD eine ebenso starke Rolle im IDaaS-Markt (Identity as a Service) besetzen, wie das im klassischen Directory-Markt mit Active Directory bereits der Fall ist.

Ähnlich, wie man ein Active Directory-Konzept haben sollte, ist es ratsam auch ein Azure AD-Konzept bzw. eine Strategie zu erarbeiten. Diese muss nicht gleich vollständig ausgearbeitet sein, sollte jedoch dieBasis für die nächsten 2-3 Jahrelegen.

Das Azure AD Consulting der FirstAttribute unterstützt Sie von Anfang an.


Ansprechpartner für Active Directory Fragen

Sind Sie auf der Suche nach einem Ansprechpartner für Active Directory Infrastruktur?
Wir haben ein offenes Ohr für Sie.

Kontakt

News

  • AD und Exchange Migration in Frankfurt

    Unternehmen in die Konzern-IT integrieren

    mehr...
  • FirstWare DynamicGroup 2015.2 Update

    DynamicGroup 2015.2 Update veröffentlicht

    mehr...
  • Active Directory Consulting Dortmund

    AD Consulting, Migration und Identity Management von Dortmund bis Bielefeld

    mehr...
  • Active Directory Inter-Forest-Migration mit ADMT

    Zusammenführung von User Accounts in Düsseldorf

    mehr...
  • AD Konsolidierung im Rhein-Main-Gebiet

    AD Migrationen mit Dell Migration Manager for Active Directory

    mehr...
  • DynamicGroup 2015 Release

    FirstWare-DynamicGroup 2015.2 Update

    mehr...
  • AD Spezialisten in Frankfurt unterwegs

    Laufende AD Consultants in Frankfurt

    mehr...
  • Active Directory Consulting in München

    Identity Management mit AD Schwerpunkt

    mehr...
  • AD Konsolidierung und DFS Einführung in Hamburg

    Active Directory Consulting Projekt im Bankenumfeld.

    mehr...
  • Identity Management für den Mittelstand (KMU)

    Active Directory als zentrales Identity Management für Mittelstand (KMU) einsetzen.

    mehr...

©2017 FirstAttribute AG - Alle Rechte vorbehalten.

Realisierung Site Point GmbH

Impressum