Jede größere IT-Infrastruktur benötigt einen Verzeichnisdienst, um dort zentral Benutzer- und gegebenenfalls auch Gerätedaten zu sammeln und zentral verwalten zu können. Dies bringt den Vorteil mit sich, dass auch Berechtigungen und Richtlinien an nur einer Stelle konfiguriert und auf die im Verzeichnis enthaltenen Objekte angewendet werden können. Im Microsoft-Kontext gibt es in diesem Zusammenhang zwei relevante Dienste:

• Active Directory (Domain Services) - AD (DS) und

• Azure Active Directory (AAD)

Der von MicrosoftMicrosoft in Windows Server bereitgestellte Verzeichnisdienst wird als Active Directory (AD) bezeichnet. Tatsächlich gliedert der Dienst sich allerdings in fünf Rollen, deren Kernkomponente auch als Active Directory Domain Services (AD DS) bekannt ist. Alles zu Microsoft auf CIO.de

Weitere Komponenten sind:

• Active Directory Lightweight Directory Services (ADLDS)

• Active Directory Federation Services (ADFS)

• Active Directory Rights Management Services (ADRMS)

• Active Directory Certificate Services

Die Kombination dieser Komponenten wird gerne auch als Domain Controller (DC) bezeichnet und verwaltet zentral den Zugang für Benutzer, PCs und Server in einem Netzwerk.

AD DS ist der Kern des Verzeichnisdienstes und der zentrale Ort für die Verwaltung von Domains und Ressourcen wie etwa Benutzer, Computer oder Drucker. Dieses Verzeichnis funktioniert ähnlich einem "Telefonbuch", welches den enthaltenen Objekten weitere Attribute zuordnet. Das kann für User die Telefonnummer oder das zugeordnete Bürogebäude sein; für Computer der Hostname oder andere Informationen.

Ein solches klassisches Active Directory wird üblicherweise für On-Premises-Infrastrukturen benötigt und übernimmt folgende Funktionen:

• sicherer Speicher für die verwalteten Objekte (beisoielsweise Benutzerkonten, Passwörter, Gruppenzugehörigkeiten);

• Organisation von Ressourcen in Domänen oder Organisationseinheiten (OUs);

• Bereitstellung von Kerberos, NTLM (Windows New Technology LAN Manager) und LDAP- (Lightweight Directory Access Protocol) Authentifizierung;

• Verwaltung von Gruppenrichtlinien (Group Policies) für granulare Kontrolle und Verwaltung von PCs und Servern.

Weil Active Directory für die Anforderungen klassischer Netzwerkinfrastukturen entwickelt wurde, benötigt es in der modernen Cloud-Welt weitere Funktionalitäten. Diese stellt Microsoft über das Azure Active Directory zur Verfügung.

Azure Active Directory (Azure AD) ist ein Cloud-basierter Identitäts- und Zugriffsverwaltungsdienst, der als initialer Bestandteil jeder Microsoft Cloud-Umgebung (auch Tenant genannt) zur Verfügung steht. Das AAD bietet Identitäts- und Zugriffsmanagement-Lösungen für moderne Authentifizierungsmethoden und die Cloud. Man könnte in diesem Zusammenhang auch von Identity as a Service (IDaaS) sprechen.

Lesetipp: Microsoft Cloud - Was ist Microsoft Azure?

Im Kern eines Azure Active Directory steht eine flache Hierarchie von Usern und Gruppen, die sich mit diesen Benutzeridentitäten über moderne Authentifizierungsmethoden, wie OAuth2, SAML und WS-Security bei unterschiedlichsten (SaaS-)Awendungen anmelden können. Dies funktioniert unter anderem auch bei den Microsoft-Cloud-Diensten aus dem Microsoft-365- und Dynamics-365-Portfolio.

Organisationen, die bereits über ein klassisches Active Directory verfügen, verwenden dieses normalerweise als Datenquelle für ihr Azure Active Directory. Sie synchronisieren die benötigten Objekte über einen entsprechenden Service namens Azure AD Connect.

Das Azure Active Directory (AAD) stellt damit keine Alternative, sondern eine möglicherweise benötigte Ergänzung für ein Active Directory (AD) dar. Es kann nativ nicht für die Authentifizierung mit Legacy-Protokollen, wie etwa Kerberos, verwendet werden. Dafür stellt es aber auch interessante neue Funktionen bereit:

• Conditional Access: Für die Zugriffssteuerung auf Applikationen und Ressourcen unter Einbeziehung bestimmter Konditionen (etwa Ort oder Endgerät)

• Unterstützung von Multi-Faktor-Authentifizierung (MFA) und "passwordless" Technologien, wie beispielsweise FIDO2

Neue "cloudborn" Unternehmen oder die, die sich strategisch komplett von einer traditionellen Vor-Ort-Infrastruktur verabschieden und lediglich Cloud-basierte Anwendungen nutzen wollen, sollten darüber nachdenken ausschließlich Azure AD zu verwenden.

Ein Active Directory ist aus einer Unternehmens-IT-Infrastuktur kaum wegzudenken. Allerdings ist es wichtig, die Unterschiede zwischen den von Microsoft angebotenen Verzeichnisdiensten (Active Directory und Azure Active Directory) zu verstehen und diese nicht miteinander zu verwechseln.

Zusammenfassend lässt sich sagen, dass Azure AD nicht einfach eine Cloud-Version von AD ist, sondern ganz andere Aufgaben erfüllt. AD eignet sich für die Verwaltung herkömmlicher Infrastrukturen und Anwendungen on premises. Azure AD eignet sich für die moderne Verwaltung des Benutzerzugriffs auf Cloud-Anwendungen. Beide Technologien können zusammen verwendet werden, für rein Cloud-basierte Umgebung ist aber auch der exklusive Einsatz von Azure AD möglich. (bw/jd)