Die Authenticator App spielt eine zentrale Rolle bei der Multifaktor-Authentifizierung (MFA) sowie bei der passwortlosen Anmeldung am Azure AD. Microsoft ergänzte das Programm nun um Funktionen, die Nutzer gegen MFA-Angriffe schützen sollen. Diese Features lassen sich gezielt an bestimmte Gruppen zuweisen.
Die Benutzer- und Gruppenverwaltung in Microsofts Cloud ist die Angelegenheit von Azure AD. Das Verzeichnis kennt mehrere Arten von Gruppen. Dazu gehören die Pendants von Sicherheits- und Verteilergruppen aus dem on-prem AD DS. Darüber hinaus unterstützt AAD das Erstellen von dynamischen Gruppen über Abfragen.
Microsoft empfiehlt Unternehmen das In-Place-Upgrade für die Umstellung auf Windows 10. Dieses eignet sich jedoch nicht für alle Bereitstellungen, so dass die unbeaufsichtigte Installation oder das Cloning weiter ihre Berechtigung haben. baramundi automatisiert das Erstellen und das Deployment von Clones.*
Die Sicherung der Domänen-Controller ist eine wichtige Vorsorge für das Disaster Recovery. Dabei gibt es zwei Arten von Wiederherstellungen: autoritative und nicht-autoritative. Windows Server Backup unterstützt beide Varianten. Das Betriebssystem bietet für den Restore des Active Directory einen eigenen Modus (DSRM), in den man den DC dafür booten muss.
Über Rollen lassen sich mehrere Berechtigungen zusammenfassen und gebündelt an Konten oder Gruppen zuweisen. Azure kennt aus historischen Gründen gleich drei Rollenmodelle. Zum einen verfügt Azure Active Directory über rund 80 vordefinierte Rollen, hinzu kommen 70 für Azure-Ressourcen sowie klassische Rollen.
Admins können Anwender bei der nächsten Anmeldung zu einem Wechsel des Passworts anhalten. Während man den Status des entsprechenden Attributs in AD-Benutzer und -Computer leicht einsehen kann, ist das Vorgehen mit PowerShell etwas trickreich. Das Setzen dieser Vorgabe fällt dagegen ziemlich einfach.
Microsoft bietet mehrere Ausführungen von Azure Active Directory an, wovon zwei kostenlos sind. Mit welcher der beiden Sie starten, hängt vom Onboarding-Verfahren ab. Anschließend kann man jederzeit auf eine kostenpflichtige Version wechseln. Mit einem Tenant sind in der Regel Azure-Abonnements verbunden.
Wenn man Tools wie die Gruppenrichtlinienverwaltung oder AD-Benutzer und -Computer öffnet, dann kann es vorkommen, dass diese die Domäne nicht finden. Verantwortlich dafür sind fast immer Netzwerkprobleme im Allgemeinen und solche mit DNS im Besonderen. Eine besondere Rolle spielt dabei die IPv6-Konfiguration.
Die Anbindung eines lokalen Active Directory an das Azure AD ermöglicht nicht nur ein Single-Sign-on für die Nutzung von lokalen und Cloud-Ressourcen. Die Synchronisierung der beiden Verzeichnisdienste kann zudem geänderte Passwörter abgleichen und die Kennwortrichtlinien aus dem Azure AD lokal durchsetzen.
Das Azure Active Directory unterstützt mehrere Verfahren zur Anmeldung, die ohne Passwort auskommen. Eines davon ist die Certificate-based Authentication (CBA), die aktuell als Preview vorliegt. Vor ihrer finalen Freigabe beseitigte Microsoft noch einige Einschränkungen, darunter die fehlende Unterstützung für Smartcards.
Azure AD ist ein Cloud-basierter Dienst zur Identitäts- und Zugriffsverwaltung, der sich für externe Anwendungen wie Microsoft 365 sowie für interne Ressourcen nutzen lässt. Er bietet mehrere moderne Verfahren zur Authentifizierung, die auch in hybriden Umgebungen mit einem lokalen Active Directory zur Verfügung stehen.