Was sind die Unterschiede zwischen Active Directory und Azure AD?

    Azure Active Directory Domain ServicesWenn Unter­nehmen Dienste der Microsoft-Cloud nutzen, dann kommen sie für das Identity Manage­ment kaum an Azure Active Directory (AAD) vorbei. Daher läge es nahe, auch das On-Prem-AD in die Cloud zu migrieren. Eine Hürde dafür ist, dass es einige Unter­schiede zwischen den beiden Ver­zeichnis­diensten gibt.

    Bei Azure AD handelt es sich bekanntlich um einen PaaS-Dienst, den Anwender einfach buchen können, ohne dafür eigene virtuelle Maschinen einrichten zu müssen. Entsprechend brauchen sie sich um die Wartung oder die Verfügbarkeit nicht kümmern. Dafür ist das AAD aber weniger flexibel als ein her­kömmliches Active Directory.

    So lässt sich zum Beispiel das Schema nicht erweitern und auch Trust-Beziehungen zwischen Domänen bzw. Forests sind nicht möglich. Ersteres kann aber eine Anforderung bestehender Anwendungen sein.

    Eine zusätzliche Kompatibilität mit einem herkömmlichen Active Directory lässt sich über die AAD Domain Services erzielen. Über sie kann man auch Gruppen­richtlinien nutzen, um Geräte auf die gewohnte Weise zentral zu konfigurieren.

    Ein Blog-Eintrag auf Microsofts TechCommunity enthält eine Vergleichs­tabelle, aus der hervorgeht, welche Feature das AD bzw. das AAD unterstützt. Sie zeigt, dass die Cloud-Version in einigen wesentlichen Punkten hinter­herhinkt.

    FeatureAADDSAD
    Managed service
    Secure deployments You secure the deployment
    DNS server ✓  (managed service)
    Domain or Enterprise administrator privileges
    Domain join
    Domain authentication using NTLM and Kerberos
    Kerberos constrained delegation Resource-based Resource-based & account-based
    Custom OU structure
    Group Policy
    Schema extensions
    AD domain/forest trusts
    Secure LDAP (LDAPS)
    LDAP read
    LDAP write ✓  (within the managed domain)
    Geo-distributed deployments

    Eine geradezu paradoxe Einschränkung besteht darin, dass ausgerechnet der native Cloud-Service keine global verteilte Bereitstellung vorsieht. Eine solche lässt sich jedoch erzielen, wenn Anwender herkömmliche Domain-Controller in Azure-VMs installieren.

    Anstelle einer kompletten Migration des Verzeichnis­dienstes in die Cloud bevorzugen viele Unter­nehmen daher eine hybride Konstellation, bei der Objekte zwischen AD und Azure AD repliziert werden.

    Aber auch hier müssen Anwender mit Einschränkungen rechnen, weil zum Beispiel GPOs nicht vom On-Prem-AD in die Cloud synchronisiert werden, so dass man sie in AAD DS noch einmal anlegen muss.

    GPO versus Azure Policy

    Als Alternative zu den herkömmlichen Gruppen­richtlinien entwickelt Microsoft Azure Policy, mit denen sich auch Geräte in den Rechen­zentren der Anwender konfigurieren lassen. Dieses Cloud-basierte Regelwerk ist erwartungs­gemäß in der Lage, Azure-Abos oder Azure-Ressourcen zu verwalten.

    Auf der anderen Seite fehlen ihnen aber die Mittel, Windows-Rechner bis ins Detail zu konfigurieren, wie dies mit den herkömmliche GPOs der Fall ist. Einen Überblick zu dieser Thematik und die Möglich­keiten, die Azure Policy bietet, gibt ein weiterer Blog-Post auf TechCommunity-Website.

    2 Kommentare

    Bild von Rwtr
    Rwtr sagt:
    23. November 2019 - 6:21

    Guter Artikel, aber Achtung, das Backup ist auch im Azure ein Thema, Microsoft macht keines. Man muss sich unbedingt Gedanken machen, analog zu Office 365.

    Bild von Wolfgang Sommergut
    23. November 2019 - 14:21

    Guter Punkt. Microsoft nennt immer wieder als Nachteil von selbst installierten DCs in Azure-VMs, dass sich Kunden dann um das Backup selbst kümmern müssten. So auch in dem oben verlinkten Blog-Beitrag. Dadurch entsteht der Eindruck, als wäre das Backup bei Azure AD keine Aufgabe des Anwenders.