Tags: Azure, Active Directory, Identity-Management
Azure AD (AAD) ist Microsofts mandantenfähiger Verzeichnisdienst in der Cloud (IDaaS, Identity-as-a-Service). Wie in Windows Server Active Directory werden dort Benutzer und Gruppen angelegt und ihre Zugriffe auf Applikationen gesteuert. Mit einem Azure-Testkonto ist es möglich, ein AAD zu evaluieren.
Das Azure AD bietet mehr als nur eine einfache Benutzerverwaltung. Zusätzliche Features wie ein Single Sign-On, Multifaktor-Authentifizierung, ein ausgeprägtes Monitoring oder eine Self-Service-Passwortverwaltung machen es zu einem sicheren und modernen Verzeichnis. Um sich eine Übersicht zum Cloud-Verzeichnisdienst zu verschaffen, hilft mein Artikel Azure Active Directory im Überblick.
Keine Azure-VMs erforderlich
Kunden müssen dafür keine eigenen Katalog-Maschinen in Azure buchen, um das AAD zu nutzen. Vielmehr handelt es sich bei Azure AD um einen genuinen Cloud-Dienst, über dessen Implementierung oder Ressourcenzuteilung sich die Anwender keine Gedanken zu machen brauchen.
Dabei spielen die Domänendienste des Azure AD, die sich derzeit noch in der Preview-Phase befinden, eine wichtige Rolle. Sie sollen es in Zukunft Firmen erlauben, in bestimmten Fällen gänzlich auf Azure Maschinen als Domänencontroller zu verzichten und stattdessen den hochverfügbaren Cloud-Dienst einzusetzen.
Mit einem Test-Account in das Azure-Portal
Grundvoraussetzung für den Zugang zu Azure AD ist ein Azure-Konto bei Microsoft. Dieses lässt sich zügig einrichten und erlaubt es dann, Azure über einen gewissen Zeitraum kostenlos zu testen. Aktuell spendiert Microsoft zusätzlich ein großzügiges Guthaben. Ausgangspunkt kann hier die Azure Active Directory Premium Seite sein, welche bis zur Registrierung führt. Eine weitere Option sind die Microsoft IT Pro Cloud Essentials, die auch Gutscheine für Azure enthalten.
Für die Anmeldung ist eine gültige E-Mail-Adresse erforderlich, ein empfangsbereites Smartphone zur SMS-Verifizierung und eine Kreditkarte.
Nachdem das Azure-Abonnement fertig eingerichtet ist, gelangt man zum Azure Portal, wo man die verfügbaren Ressourcen verwaltet. Im linken Navigationsfeld findet sich dann auch schon der Menüpunkt für Azure Active Directory. Ein Klick auf denselben zeigt die Übersicht an.
Das neue Azure Portal ist für die Verwaltung des AAD aktuell in einer Preview-Phase. Um in den Genuss des vollen Funktionsumfangs zu gelangen, ist es sinnvoll, vorerst dem Link zum klassischen Portal zu folgen.
Neue Domäne erstellen
Nach dem erfolgreichen Login und der Weiterleitung zum klassischen Azure Portal kommt man auch hier über den Navigationsbaum im linken Abschnitt zum Azure AD. Das Anlegen eines neuen Azure-Abonnements erstellt gleichzeitig auch ein Standardverzeichnis, da Azure generell ein Azure AD zur Verwaltung benötigt.
Mit dem Klick auf Neu (+) in der linken unteren Ecke besteht die Möglichkeit, ein neues Azure AD inklusive eines persönlichen Domänennamens anzulegen. Man generiert es über die App Services => Active Directory => Verzeichnis => Benutzerdefiniert.
Das neue Verzeichnis erhält einen aussagekräftigen Namen, einen freien Domänennamen und eine Region. Der Name besteht aus einer Wunsch-Subdomäne und endet standardmäßig auf onmicrosoft.com. Generell ist es aber möglich, eine eigene, bereits registrierte Domäne in Azure einzubinden. Dafür gibt es einen entsprechenden Link auch auf der Startseite unter Erste Schritte. Dies macht auch spätere Anmeldevorgänge aufgrund kürzerer Domänennamen angenehmer.
Benutzer im Azure AD anlegen
Zu den Basics eines Verzeichnisdienstes gehört natürlich, Benutzer sowie Gruppen zu konfigurieren und zu pflegen. Azure AD bietet weit mehr als diese Basisfunktionen, doch bevor wir die höheren Sphären wie Azure AD Connect in dieser Artikelreihe erklimmen, möchte ich diese Grundsteinlegung nicht außer Acht lassen.
Neue User werden über den Menüpunkt Benutzer und dann Benutzer hinzufügen im unteren Navigationsbereich erstellt. Zusätzlich besteht die Möglichkeit, Benutzer eines anderen Azure AD einzuladen. Zuerst werden der Login-Benutzername und das gewünschte AD angegeben, danach legt man Vorname und Nachname inklusive Anzeigenamen fest.
Dem Benutzer wird dann eine Rolle zugewiesen, wenn erforderlich auch als Administrator. Zusätzlich kann bestimmt werden, ob für dieses Konto eine mehrfache Authentifizierung (Multi-Factor Authentication, MFA) vorgesehen ist. Danach wird ein temporäres Kennwort generiert und der User erscheint im Verzeichnis. Dieser Vorgang ist nicht nur über die GUI möglich, sondern analog via PowerShell.
Nun kann er eine App aus dem Azure Katalog nutzen, falls zugewiesen, der Zugang hierzu erfordert kein Azure-Abonnement beim User. Somit ist die Bahn frei für das Single Sign-On.
Täglich Know-how für IT-Pros mit unserem Newsletter
Marcel Küppers arbeitet seit über 25 Jahren in der IT, aktuell als Team Leader, zuvor als Consultant und Infrastructure Architect unter anderem für den japanischen Konzern JTEKT/TOYODA mit Verantwortung über die Europastandorte Krefeld und Paris.
Darüber hinaus wirkte er als Berater im EU-Projekt-Team für alle Lokationen des Konzerns mit und ist spezialisiert auf hochverfügbare virtualisierte Microsoft-Umgebungen plus Hybrid Cloud Solutions.
Zertifizierungen: MS Specialist und MCTS für Hyper-V/SCVMM, MCSE, MCITP, MCSA. Zusätzlich zertifiziert für PRINCE2 Projektmanagementmethode.
Verwandte Beiträge
- Microsoft Entra ergänzt Azure Active Directory um Berechtigungs-Management und Verified ID
- Notfallzugriff für Microsoft 365 (Break Glass Account) einrichten
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- Azure AD: Bevorzugte Methode für Multi-Faktor-Authentifizierung festlegen
- Geräte über Hybrid Join in Azure AD registrieren
Weitere Links