Active Directory Workshop Teil 4

Azure AD: das Active Directory für die Cloud

| Autor / Redakteur: Thomas Joos / Andreas Donner

Der Microsoft Cloud-Verzeichnisdienst Azure AD erleichtert das Arbeiten in hybriden Umgebungen enorm.
Der Microsoft Cloud-Verzeichnisdienst Azure AD erleichtert das Arbeiten in hybriden Umgebungen enorm. (Bild: Microsoft)

Mit „Azure AD“ bietet Microsoft eine Active-Directory-Umgebung für die Cloud. Unternehmen müssen hierzu keinen eigenen Domänen-Controller betreiben, können aber dennoch die Benutzerkonten lokaler Active-Directory-Umgebungen mit der Cloud synchronisieren.

Einfach ausgedrückt bietet Azure Active Directory die Möglichkeit, Benutzerkonten in Microsoft Azure zu speichern. Die Benutzerkonten können anschließend, wie bei lokalen AD-Umgebungen, für Berechtigungen in Azure-Diensten genutzt werden. Auch andere Cloud-Dienste von Microsoft, zum Beispiel „Office 365“ nutzen Azure Active Directory für die Authentifizierung. Microsoft bietet auch eine kostenlose Version von Azure AD an.

Aber es können nicht nur Dienste in Azure für die Authentifizierung mit Azure AD genutzt werden. Es lassen sich auch externe Web-Anwendungen und Cloud-Dienste in Azure AD registrieren. Auch hier können sich Benutzer anschließend mit ihrem Benutzerkonto anmelden. Wird das Benutzerkonto mit einem lokalen AD synchronisiert, müssen sich Benutzer nur lokal am PC anmelden um alle registrierten Dienste nutzen zu können.

Single-Sign-On mit Active Directory in der Cloud

Zusätzlich können Administratoren lokale Benutzerkonten, inklusive Kennwörter, mit Azure Active Directory sychrnonisieren. Das ermöglicht Single-Sign-On-Szenarien. Anwender melden sich mit ihrem PC am lokalen Active Directory an. Da die Benutzerdaten mit der Cloud synchronisiert werden, können die Benutzer ohne weitere Anmeldung auf Cloud-Dienste in Microsoft Azure, aber auch auf Dienste in Office 365, „Intune“ oder „Dynamics“ zugreifen.

Im Web-Portal von Microsoft Azure steht Azure AD Connect zur Verfügung. Hierüber kann der Agent heruntergeladen werden, mit dem sich lokale Domänen-Controller mit Azure AD synchronisieren lassen (siehe: Abbildung 1).

Das Verwalten von Azure AD

Azure AD wird, wie alle Dienste in Microsoft Azure, zunächst über das Azure-Web-Portal gesteuert. Hier steht Azure Active Directory als eigener Menüpunkt zur Verfügung (siehe: Abbildung 2). In der Mitte des Fensters können hier alle Verwaltungsaufgaben für Azure AD vorgenommen werden.

Azure Active Directory verfügt, wie alle anderen Azure-Dienste über eigene Untermenüs, die rechts neben den Azure-Ressourcen eingeblendet werden (siehe: Abbildung 3). Für den Einstieg eignen sich die beiden Bereiche „Übersicht“ und „Schnellstart“. Hier sind alle notwendigen Informationen zu Azure AD zu finden sowie die ersten Schritte zur Einrichtung.

Benutzerverwaltung in Azure AD

Über die Menüpunkte „Benutzer“ und „Gruppen“ lassen sich die Benutzerkonten in Azure AD, sowie die Gruppen, die in der Cloud zur Verfügung stehen, verwalten. Außerdem können die Sicherheitsfunktionen, wie die Multifaktor-Authentifizierung an dieser Stelle gesteuert neue Benutzerkonten angelegt werden. Auch das Zurücksetzen von Kennwörtern ist hier möglich.

Durch das Aufrufen der einzelnen Menüpunkte stehen im Menübereich auf der linken Seite weitere Aktionen zur Verfügung, um Benutzer zu verwalten. Auch im oberen Bereich sind Menüpunkte verfügbar, mit denen ausgewählte Benutzerkonten konfiguriert werden können (siehe: Abbildung 4).

Administratoren können die Kennwörter der Benutzerkonten im Web-Portal zurücksetzen. Die Anwender in Azure AD können aber über ein Self-Service-Portal ihre Kennwörter auch selber zurücksetzen. Der Admninistrator legt gegebenenfalls individuell fest, welcher Benutzer sein Kennwort selber zurücksetzen darf.

Computerkonten in Azure AD

Unternehmen, die auf „Windows 10 Enterprise“ setzen, können Computer in Azure AD aufnehmen. Dazu steht in Azure AD der Bereich Geräte zur Verfügung (siehe: Abbildung 5). Hier ist zu sehen, welche Computer mit Windows 10 Bestandteil der Azure-AD-Domäne sind. Dadurch können sich Benutzer über ihren PC direkt an Azure AD anmelden und die Dienste in der Cloud nutzen, sowie Dienste, die mit Azure AD verknüpft sind.

Sind in Azure Active Directory oder etwa Office 365 Richtlinien hinterlegt, müssen Anwender deren Umsetzung auf dem Client-PC bestätigen. Die Richtlinien werden zentral über das Web-Portal von Microsoft Azure oder Office 365, beziehungsweise Microsoft Intune umgesetzt.

Verschiedene Editionen von Azure AD

Microsoft stellt verschiedenen Versionen von Azure AD zur Verfügung. Die kostenlose Version ist für Testzwecke geeignet, erlaubt aber nicht alle Funktionen; beispielsweise ist das Zurücksetzen von Kennwörtern unmöglich. Außerdem ist die Verfügbarkeit nicht garantiert. Die kostenlose Version lohnt sich aber für den Einstieg, um die Möglichkeiten von Azure AD prinzipiell auszuloten.

Die „Basic“-Version verfügt über kein Limit und unterstützt deutlich mehr Funktionen. Ob die Funktionen der Basic-Versionen ausreichen, lässt sich am besten auf der Vergleichsseite von Azure AD in Erfahrung bringen.

Weitere Versionen sind P1 und P2. Dabei handelt es sich um „Azure AD Premium“. Hier sind alle Funktionen integriert, die Azure AD bietet. Azure AD P2 bietet zusätzlich noch Funktionen für Privileged Identity Management (PIM). „Azure ID Identity Protection“ ist ein Cloud-Dienst, der Angriffe auf die Azure AD-Konten erkennt. Dazu analysiert er mit Machine Learning das Anmeldeverhalten der Anwender und andere Aktionen in Azure AD.

Microsoft bietet auch eine 30 Tage-Testversion von Azure AD Premium an. Für den Einstieg reicht aber oft auch die zeitlich unbegrenzte Free-Version aus. Wer darauf aufbauen will, sollte sich im Vorfeld darüber informieren welche kostenpflichtige Version späte genutzt werden soll.

*Der Autor, Thomas Joos, schreibt als freier Autor IT-Fachbücher und -artikel. Auf DataCenter-Insider füllt er seinen eigenen Blog mit Tipps und Tricks für Administratoren: „Toms Admin-Blog“. Der vorliegenden Artikel gehört zu einem kompletten Active-Directory-Workshop: Hier die zwei ersten Artikel:

AD für Einsteiger – Wozu dient der Verzeichnisdienst

Active Directory Workshop, Teil 1

AD für Einsteiger – Wozu dient der Verzeichnisdienst

09.05.18 - Unternehmen, die ein Netzwerk mit mehreren Client-Computern betreiben und ihren Anwendern individuell angepassten Zugriff auf diese Computer und auf Freigaben im Netzwerk geben wollen, kommen kaum um einen Verzeichnisdienst herum. Active Directory (AD) hat sich zum De-facto Standard entwickelt. Hier ein Einstieg. lesen

Server-Rollen im Überblick

Active Directory Workshop, Teil 2

Server-Rollen im Überblick

11.05.18 - Active Directory (AD) besteht nicht nur aus Domänen-Controller, sondern aus einer Vielzahl weiterer Server-Dienste, die ein gemeines Verzeichnis nutzen, aber jeweils eigene Funktionen zur Verfügung stellen. Hier ein Überblick: lesen

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45297516 / Software)