Tags: Active Directory, Azure, Authentifizierung, Microsoft 365
Azure Active Directory (AAD) ist ein Identity-as-a-Service-Provider. Seine zentrale Aufgabe besteht darin, Identitäten (Identities) und Zugriffe (Access) zu (managen) - daher die Abkürzung IAM. Es setzt zudem das Konzept des rollenbasierten Zugriffs (RBAC) um. Microsoft bietet den Service in mehreren Editionen an.
Azure verwendet AAD für seine IaaS- und SaaS-Dienste, um Zugriff auf Subscriptions, Datenbanken, Ressourcengruppen oder VMs zu regeln. Web-Services und Applikationen profitieren dabei von einem einheitlichen Login-Verfahren und einem Single-sign-on (SSO).
Jeder Anwender von Windows Live-ID, Skype oder outlook.com nutzt bereits (un)bewusst Azure AD. Die ganze SaaS-Palette, darunter Exchange Online, SharePoint Online, Teams, OneDrive for Business oder PowerBi setzt auf AAD als Identity-Provider. Über ihn melden wir uns bei diesen Services an.
Wie auch on-prem gilt, ohne Active Directory keine Microsoft-Dienste wie Exchange oder SharePoint. Nur ist Azure Active Directory kein direkter Ersatz oder Nachfolger des Windows Server Active Directory.
Eine gute Übersicht in die Einbettung von AAD in die Microsoft-Dienste gibt dieses Architektur-Poster.
Klassische Authentifizierung versus Identity Provider
Eine Identität kann ein User mit seinem Passwort, eine Applikation oder ein Dienst sein (siehe dazu: Identitäten in Microsoft 365). Diese authentifizieren sich mit Sicherheitsschlüssel (Secret Keys) oder mit Zertifikaten. Authentifizierung ist also ein Prozess, bei dem Identitäten verifiziert werden.
Dabei ist Authentifizierung und Authentisierung zu trennen. Ein User authentisiert sich mit seinem Passwort und der Server oder die Applikation authentifiziert diesen dann.
Beitrag als Podcast anhören
Traditionell hatten Applikationen eine eigene Benutzerverwaltung mit einer separaten Datenbank. Dies birgt gewisse Risiken und Nachteile. Die Sicherheitsanforderungen der Applikationen sind oftmals nicht sehr hoch, ein gewisses Sicherheitslevel durchgängig zu erfüllen ist schwierig.
Zum anderen ist es aufwändig, damit eine zentrale User-Verwaltung zu erreichen. Daraus resultieren Nachteile nicht nur für die Administration, sondern auch für die Benutzer selbst. Sie haben jeweils eigene Namen und Passwörter für unterschiedliche Applikationen.
ID-Provider ändern das Verfahren der Authentifizierung. Der Client schickt seine Anfrage nicht mehr zum Server direkt, sondern zum Identity Provider, in diesem Fall an das Azure AD. Dieses prüft die Anfrage und generiert bei erfolgreicher Verifikation einen Token für den Client. Anhand dieses Tokens steuert der Server den Zugriff.
Dies ermöglicht die zentrale Verwaltung aller Identitäten im Azure AD. Server, Datenbanken oder Applikationen benötigen somit keine Benutzerdatenbanken mit User-Namen und Passwörtern.
Welche Vorteile bieten Identity Provider
Azure AD als Identity Provider bietet mehrere Vorteile:
- Vereinfachung der Administration
- Audit der Zugriffsberechtigungen
- Einheitliches Login-Verfahren
- Einmaliges Anmelden (Single-Sign-On)
- Erhöhen des Sicherheitslevels, dadurch dass Azure-AD die Authentifizierung übernimmt
- Sicherheits-Features wie Multi-Faktor-Authentifizierung und bedingter Zugriff
- Zentrales Benutzer-Management. Alle User und andere Identitäten sind an einer Stelle.
Zugriffsverwaltung (Access Management)
Das Konzept des rollenbasierten Zugriffs (RBAC) wurde in Azure AD durchgängig umgesetzt. Benutzern, Gruppen, Anwendungs- und Dienstprinzipalobjekte kann Zugriff auf Ressourcen, Ressourcengruppen oder Subscriptions erteilt werden. Als Berechtigungen kommen Lesen, Schreiben, Ändern, Erstellen oder Löschen in Frage.
Benutzer lassen sich über unterschiedliche Rollen mit Berechtigungen ausstatten. In Azure AD gibt es bereits viele Rollen, die aber gemäß der eigenen Anforderungen erweitert werden können. Die Funktionen finden sich im Azure-Portal unter dem Ressourcen-Blade Access Control IAM.
Editionen
Das Azure AD steht in vier unterschiedlichen Editionen zur Verfügung. Der Einfachheit halber kann man sie in kostenlos und kostenpflichtig (Premium) unterteilen.
AAD lässt sich auch separat lizenzieren und die Abrechnung erfolgt nicht wie bei anderen Azure-Diensten nutzungsabhängig. Jeder Anwender von Basic oder Premium-Features benötigt eine entsprechende Lizenz. Mit ihr können bis zu fünf Gäste die Funktion nutzen.
Den kostenlosen Free Plan bekommt man mit einer Azure-Subscription oder bei Verwendung von Dynamics 365, Intune oder der Power Platform. Einen weiteren kostenlosen Plan erhält man bei Einrichtung eines Microsoft 365 Tenants.
Der kostenpflichtige Azure Premium P1 Plan kann entweder einzeln erworben werden oder er ist bereits im Microsoft 365 Enterprise Plan enthalten. Auch Business Premium umfasst eine Azure AD Premium P1 Lizenz.
Der Umfang der beiden kostenlosen Pläne ist bereits recht ordentlich:
- 500.00 Objekte können verwaltet werden
- Multi-Faktor-Authentifizierung
- Passwortverwaltung für Cloud-User
- Single-Sign-on
- Synchronisierung über Azure AD Connect
- Kennwortänderung als Self Service für Cloud-Benutzer
- Unternehmens-Branding in den O365-Edition
Premium Features
Der Premium-Plan P1 erweitert das Azure AD um viele Funktionen. Die wichtigsten sind:
- Mehr Möglichkeiten mit Multi-Faktor-Authentifizierung
- Der Kennwortschutz wird um benutzerdefinierte gesperrte Kennworte erweitert. Wörter können definiert werden, die nicht in Passwörter enthalten werden dürfen
- Kennwortschutz für das lokale Active Directory. Auch hier greifen dann die gesperrten Kennwörter
- Erweiterte Möglichkeiten für Reporting und Monitoring
- Gruppenzugriffsverwaltung
- Gruppenbasierte Lizenzierung
Der P2-Plan adressiert Identity Protection und Governance, darunter Privileged Identity Management (PIM). Er beeinhaltet zudem alle Funktionen von P1.
Preise
Eine P1-Lizenz kostet brutto pro Benutzer 5,06 Euro und Monat, P2 7,59 Euro (siehe Microsofts Preisübersicht). Die Enterprise Mobility Suite E3 (EMS E3) kostet 7,40 Euro und beinhaltet eine P1-Lizenz. Die EMS E5 kostet 12,50 Euro und umfasst eine P2 Lizenz.
Detaillierte Informationen gibt es in Form eine Excel-Tabelle.
Täglich Know-how für IT-Pros mit unserem Newsletter
Benjamin Bürk ist Senior Systems Engineer und betreut seit 2002 IT-Infrastrukturen von Unternehmen. Sein Schwerpunkt liegt im Aufbau und Betrieb von Server-Systemen und Microsoft 365-Umgebungen. Er ist ITIL4 Foundation, dreifach als MCSA sowie als MCSE Productivity zertifiziert..
Verwandte Beiträge
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- Azure AD: Bevorzugte Methode für Multi-Faktor-Authentifizierung festlegen
- Microsoft Authenticator: Push-Nachrichten für MFA absichern
- Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards
- MFA, FIDO2, Authenticator App, Hello for Business: Methoden zur Authentifizierung am (hybriden) Azure Active Directory
Weitere Links
2 Kommentare
Hello,
gute Einführung in das Thema. Eine Sache müsste man aber glaube ich korrigieren.
Die Premium P1 ist doch nicht bei O365 E oder Business Premium dabei, sondern bei M365 E oder im EMS E, oder?
Hallo Steffen,
vielen Dank für den Kommentar! Leider ist die Lizenzierung nicht so transparent dargestellt, wie man sich das wünschen würde. Viele Unternehmen oder Private bieten gute Darstellungen.
Business Premium hat eine P1 inklusive.
Office 365 E inkludiert in der Tat keine P1 Lizenz. Aber zumindest AIP und weitere Features.
Viele Grüsse
Benjamin