Tags: Active Directory, Azure, Gruppenrichtlinien
Wenn Unternehmen Dienste der Microsoft-Cloud nutzen, dann kommen sie für das Identity Management kaum an Azure Active Directory (AAD) vorbei. Daher läge es nahe, auch das On-Prem-AD in die Cloud zu migrieren. Eine Hürde dafür ist, dass es einige Unterschiede zwischen den beiden Verzeichnisdiensten gibt.
Bei Azure AD handelt es sich bekanntlich um einen PaaS-Dienst, den Anwender einfach buchen können, ohne dafür eigene virtuelle Maschinen einrichten zu müssen. Entsprechend brauchen sie sich um die Wartung oder die Verfügbarkeit nicht kümmern. Dafür ist das AAD aber weniger flexibel als ein herkömmliches Active Directory.
So lässt sich zum Beispiel das Schema nicht erweitern und auch Trust-Beziehungen zwischen Domänen bzw. Forests sind nicht möglich. Ersteres kann aber eine Anforderung bestehender Anwendungen sein.
Eine zusätzliche Kompatibilität mit einem herkömmlichen Active Directory lässt sich über die AAD Domain Services erzielen. Über sie kann man auch Gruppenrichtlinien nutzen, um Geräte auf die gewohnte Weise zentral zu konfigurieren.
Ein Blog-Eintrag auf Microsofts TechCommunity enthält eine Vergleichstabelle, aus der hervorgeht, welche Feature das AD bzw. das AAD unterstützt. Sie zeigt, dass die Cloud-Version in einigen wesentlichen Punkten hinterherhinkt.
| Feature | AADDS | AD |
|---|---|---|
| Managed service | ✓ | ✕ |
| Secure deployments | ✓ | You secure the deployment |
| DNS server | ✓ (managed service) | ✓ |
| Domain or Enterprise administrator privileges | ✕ | ✓ |
| Domain join | ✓ | ✓ |
| Domain authentication using NTLM and Kerberos | ✓ | ✓ |
| Kerberos constrained delegation | Resource-based | Resource-based & account-based |
| Custom OU structure | ✓ | ✓ |
| Group Policy | ✓ | ✓ |
| Schema extensions | ✕ | ✓ |
| AD domain/forest trusts | ✕ | ✓ |
| Secure LDAP (LDAPS) | ✓ | ✓ |
| LDAP read | ✓ | ✓ |
| LDAP write | ✓ (within the managed domain) | ✓ |
| Geo-distributed deployments | ✕ | ✓ |
Eine geradezu paradoxe Einschränkung besteht darin, dass ausgerechnet der native Cloud-Service keine global verteilte Bereitstellung vorsieht. Eine solche lässt sich jedoch erzielen, wenn Anwender herkömmliche Domain-Controller in Azure-VMs installieren.
Anstelle einer kompletten Migration des Verzeichnisdienstes in die Cloud bevorzugen viele Unternehmen daher eine hybride Konstellation, bei der Objekte zwischen AD und Azure AD repliziert werden.
Aber auch hier müssen Anwender mit Einschränkungen rechnen, weil zum Beispiel GPOs nicht vom On-Prem-AD in die Cloud synchronisiert werden, so dass man sie in AAD DS noch einmal anlegen muss.
GPO versus Azure Policy
Als Alternative zu den herkömmlichen Gruppenrichtlinien entwickelt Microsoft Azure Policy, mit denen sich auch Geräte in den Rechenzentren der Anwender konfigurieren lassen. Dieses Cloud-basierte Regelwerk ist erwartungsgemäß in der Lage, Azure-Abos oder Azure-Ressourcen zu verwalten.
Auf der anderen Seite fehlen ihnen aber die Mittel, Windows-Rechner bis ins Detail zu konfigurieren, wie dies mit den herkömmliche GPOs der Fall ist. Einen Überblick zu dieser Thematik und die Möglichkeiten, die Azure Policy bietet, gibt ein weiterer Blog-Post auf TechCommunity-Website.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Windows 10 v1703: Update für Work-Folder-Clients
- GPOs, Kerberos: Domänendienste in Azure Active Directory nutzen
- Microsoft Entra ergänzt Azure Active Directory um Berechtigungs-Management und Verified ID
- Geräte über Hybrid Join in Azure AD registrieren
- Microsoft 365 mit Intune-Compliance und Conditional Access absichern
Weitere Links
2 Kommentare
Guter Artikel, aber Achtung, das Backup ist auch im Azure ein Thema, Microsoft macht keines. Man muss sich unbedingt Gedanken machen, analog zu Office 365.
Guter Punkt. Microsoft nennt immer wieder als Nachteil von selbst installierten DCs in Azure-VMs, dass sich Kunden dann um das Backup selbst kümmern müssten. So auch in dem oben verlinkten Blog-Beitrag. Dadurch entsteht der Eindruck, als wäre das Backup bei Azure AD keine Aufgabe des Anwenders.