Azure Active Directory: Funktionsweise, Editionen, Preise

    Azure AD LogoAzure Active Directory (AAD) ist ein Identity-as-a-Service-Provider. Seine zen­trale Aufgabe besteht darin, Iden­titäten (Identities) und Zugriffe (Access) zu (managen) - daher die Abkürzung IAM. Es setzt zu­dem das Kon­zept des rollen­basierten Zugriffs (RBAC) um. Microsoft bietet den Service in mehreren Editionen an.

    Azure verwendet AAD für seine IaaS- und SaaS-Dienste, um Zugriff auf Subscriptions, Datenbanken, Ressourcen­gruppen oder VMs zu regeln. Web-Services und Applikationen profitieren dabei von einem einheitlichen Login-Verfahren und einem Single-sign-on (SSO).

    Jeder Anwender von Windows Live-ID, Skype oder outlook.com nutzt bereits (un)bewusst Azure AD. Die ganze SaaS-Palette, darunter Exchange Online, SharePoint Online, Teams, OneDrive for Business oder PowerBi setzt auf AAD als Identity-Provider. Über ihn melden wir uns bei diesen Services an.

    Wie auch on-prem gilt, ohne Active Directory keine Microsoft-Dienste wie Exchange oder SharePoint. Nur ist Azure Active Directory kein direkter Ersatz oder Nachfolger des Windows Server Active Directory.

    Azure AD dient als Identity-Provider für praktisch alle Cloud-Dienste von Microsoft (Quelle: Microsoft)

    Eine gute Übersicht in die Einbettung von AAD in die Microsoft-Dienste gibt dieses Architektur-Poster.

    Klassische Authentifizierung versus Identity Provider

    Eine Identität kann ein User mit seinem Passwort, eine Applikation oder ein Dienst sein (siehe dazu: Identitäten in Microsoft 365). Diese authentifizieren sich mit Sicherheits­schlüssel (Secret Keys) oder mit Zertifikaten. Authentifizierung ist also ein Prozess, bei dem Identitäten verifiziert werden.

    Dabei ist Authentifizierung und Authentisierung zu trennen. Ein User authentisiert sich mit seinem Passwort und der Server oder die Applikation authentifiziert diesen dann.


    Beitrag als Podcast anhören


    Traditionell hatten Applikationen eine eigene Benutzer­verwaltung mit einer separaten Datenbank. Dies birgt gewisse Risiken und Nachteile. Die Sicherheits­anforderungen der Applikationen sind oftmals nicht sehr hoch, ein gewisses Sicherheits­level durchgängig zu erfüllen ist schwierig.

    Zum anderen ist es aufwändig, damit eine zentrale User-Verwaltung zu erreichen. Daraus resultieren Nachteile nicht nur für die Administration, sondern auch für die Benutzer selbst. Sie haben jeweils eigene Namen und Passwörter für unter­schiedliche Applikationen.

    ID-Provider ändern das Verfahren der Authentifizierung. Der Client schickt seine Anfrage nicht mehr zum Server direkt, sondern zum Identity Provider, in diesem Fall an das Azure AD. Dieses prüft die Anfrage und generiert bei erfolgreicher Verifikation einen Token für den Client. Anhand dieses Tokens steuert der Server den Zugriff.

    Dies ermöglicht die zentrale Verwaltung aller Identitäten im Azure AD. Server, Datenbanken oder Applikationen benötigen somit keine Benutzer­daten­banken mit User-Namen und Passwörtern.

    Welche Vorteile bieten Identity Provider

    Azure AD als Identity Provider bietet mehrere Vorteile:

    • Vereinfachung der Administration
    • Audit der Zugriffsberechtigungen
    • Einheitliches Login-Verfahren
    • Einmaliges Anmelden (Single-Sign-On)
    • Erhöhen des Sicherheitslevels, dadurch dass Azure-AD die Authentifizierung übernimmt
    • Sicherheits-Features wie Multi-Faktor-Authentifizierung und bedingter Zugriff
    • Zentrales Benutzer-Management. Alle User und andere Identitäten sind an einer Stelle.

    Zugriffsverwaltung (Access Management)

    Das Konzept des rollenbasierten Zugriffs (RBAC) wurde in Azure AD durchgängig umgesetzt. Benutzern, Gruppen, Anwendungs- und Dienstprinzipalobjekte kann Zugriff auf Ressourcen, Ressourcen­gruppen oder Subscriptions erteilt werden. Als Berechtigungen kommen Lesen, Schreiben, Ändern, Erstellen oder Löschen in Frage.

    Benutzer lassen sich über unterschiedliche Rollen mit Berechtigungen ausstatten. In Azure AD gibt es bereits viele Rollen, die aber gemäß der eigenen Anforderungen erweitert werden können. Die Funktionen finden sich im Azure-Portal unter dem Ressourcen-Blade Access Control IAM.

    Verwaltung der Zugriffsberechtigung im Azure-Portal

    Editionen

    Das Azure AD steht in vier unter­schiedlichen Editionen zur Verfügung. Der Einfachheit halber kann man sie in kostenlos und kostenpflichtig (Premium) unterteilen.

    AAD lässt sich auch separat lizenzieren und die Abrechnung erfolgt nicht wie bei anderen Azure-Diensten nutzungs­abhängig. Jeder Anwender von Basic oder Premium-Features benötigt eine entsprechende Lizenz. Mit ihr können bis zu fünf Gäste die Funktion nutzen.

    Den kostenlosen Free Plan bekommt man mit einer Azure-Subscription oder bei Verwendung von Dynamics 365, Intune oder der Power Platform. Einen weiteren kostenlosen Plan erhält man bei Einrichtung eines Microsoft 365 Tenants.

    Der kosten­pflichtige Azure Premium P1 Plan kann entweder einzeln erworben werden oder er ist bereits im Microsoft 365 Enterprise Plan enthalten. Auch Business Premium umfasst eine Azure AD Premium P1 Lizenz.

    Übersicht über die verschiedenen Editionen von Azure AD

    Der Umfang der beiden kostenlosen Pläne ist bereits recht ordentlich:

    Premium Features

    Der Premium-Plan P1 erweitert das Azure AD um viele Funktionen. Die wichtigsten sind:

    • Mehr Möglichkeiten mit Multi-Faktor-Authentifizierung
    • Der Kennwortschutz wird um benutzer­definierte gesperrte Kennworte erweitert. Wörter können definiert werden, die nicht in Passwörter enthalten werden dürfen
    • Kennwortschutz für das lokale Active Directory. Auch hier greifen dann die gesperrten Kennwörter
    • Erweiterte Möglichkeiten für Reporting und Monitoring
    • Gruppen­zugriffs­verwaltung
    • Gruppenbasierte Lizenzierung

    Der P2-Plan adressiert Identity Protection und Governance, darunter Privileged Identity Management (PIM). Er beeinhaltet zudem alle Funktionen von P1.

    Lizenzpläne für Azure Active Directory im Rahmen von Microsoft 365

    Preise

    Eine P1-Lizenz kostet brutto pro Benutzer 5,06 Euro und Monat, P2 7,59 Euro (siehe Microsofts Preisübersicht). Die Enterprise Mobility Suite E3 (EMS E3) kostet 7,40 Euro und beinhaltet eine P1-Lizenz. Die EMS E5  kostet 12,50 Euro und umfasst eine P2 Lizenz.

    Detaillierte Informationen gibt es in Form eine Excel-Tabelle.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    2 Kommentare

    Steffen S. sagt:
    16. Juli 2021 - 9:40

    Hello,
    gute Einführung in das Thema. Eine Sache müsste man aber glaube ich korrigieren.

    Die Premium P1 ist doch nicht bei O365 E oder Business Premium dabei, sondern bei M365 E oder im EMS E, oder?

    Bild von Benjamin Bürk
    18. Juli 2021 - 18:37

    Hallo Steffen,
    vielen Dank für den Kommentar! Leider ist die Lizenzierung nicht so transparent dargestellt, wie man sich das wünschen würde. Viele Unternehmen oder Private bieten gute Darstellungen.

    Business Premium hat eine P1 inklusive.
    Office 365 E inkludiert in der Tat keine P1 Lizenz. Aber zumindest AIP und weitere Features.

    Viele Grüsse
    Benjamin