Die Pass-through Authenti­fizierung (PTA) stellt eine Alter­native zu AD FS oder der Password-Hash-Synchro­nisation nach Azure AD dar. Ziel auch dieser Technik ist es, den Benutzern über die Authenti­fizierung am lokalen AD den Zugriff auf Cloud-Apps zu ermöglichen. Ihre Konfi­guration ist jedoch weniger auf­wändig als etwa für AD FS.

Azure-Regionen sind in Availability Zones aufge­teilt, und diese ver­fügen über jeweils eigene Data­center. Da die Zonen physisch aus­ein­ander­liegen, liefern sie unter­schiedliche Latenzen. Damit es bei sen­siblen Work­loads nicht zu Eng­pässen kommt, lassen sich diese ge­zielt in Zonen platzieren.

Das Primary Refresh Token dient dem Single Sign-on (SSO) auf moder­nen Rechnern mit Windows 10, Server 2016 oder 2019. Es hat damit eine ähn­liche Aufgabe wie das Kerberos Ticket Granting Ticket (TGT) on-prem bei der Authenti­fizierung gegen die AD DS. Beim SSO in hybrider Struktur sieht Microsoft drei Ver­fahren vor.

Microsofts Endpoint Configuration Manager (MECM) ist ein komplexes Tool. Seine Installation er­fordert eine genaue Planung sowie mehrere Vor­arbeiten. Dazu zählen die Dimen­sionierung des Servers und der Lauf­werke, die Erweiterung des AD-Schemas, die Einrichtung von Konten und Server-Rollen.

Die Sicher­heits­filterung erlaubt es, GPOs auf be­stimmte AD-Gruppen, Ben­utzer oder Com­puter anzu­wen­den bzw. diese auszu­schließen. Will man diesen Mecha­nismus für viele Konten konfi­gurieren, dann ist die Gruppen­richtlinien­verwaltung um­ständlich. Power­Shell erweist sich für diese Aufgabe als effi­zienter.

Unter Azure Stack fasst Micro­soft Pro­dukte für das lokale Rechen­zen­trum zu­sammen. Mit­glied dieser Produkt­familie ist auch Azure Stack HCI, mit dem sich hyper­konver­gente Cluster ein­richten lassen. Version 20H2 bringt ein dedi­ziertes Betriebs­system mit und lässt sich über WAC konfigurieren.

Microsofts Endpoint Manager kombi­niert SCCM (jetzt: Endpoint Config­uration Manager) mit dem Cloud-Service Intune. Er sieht ein Co-Manage­ment für Windows-10-PCs vor, für das man die lokale MECM-Infra­struktur und Intune koppelt. Wer von beiden Aufgaben über­nimmt, kann der Admin fest­legen.

Windows Admin Center ist ein Browser-basiertes Manage­ment-Tool für Server, Cluster, HCI oder Software-definierte Netz­werke. Man stellt es primär im eigenen Netz bereit und kann auch Cloud-Dienste inte­grieren. Seit Version 1910 ist es in der Lage, Azure-VMs zu erstellen und zu konfigurieren.

Mit Hilfe des Azure Monitor können hyper­konver­gente Cluster auf Basis von Windows Server und Storage Spaces Direct aus der Cloud über­wacht werden. Diese dürfen welt­weit ver­teilt sein. Micro­soft sieht hier eine hyb­ride Lösung vor, welche Knoten in einem lokalen WAC für das Moni­toring konfi­guriert.

In Konzept­phasen oder gelegent­lich bei der Wartung größerer AD-Strukturen will man sich einen Überblick über die Zahl der AD-Objekte verschaffen. Das funk­tioniert zwar mit Active Directory-Benutzer und -Computer, doch Power­Shell ist flexibler. Dieser Bei­trag zeigt Beispiele für User, Com­puter, OUs und Gruppen.