Microsoft Azure Active Directory (Azure AD)
Microsoft Windows Azure Active Directory (Windows Azure AD oder Azure AD) ist ein Cloud-Dienst, mit dem Administratoren Endbenutzeridentitäten und Zugriffsprivilegien verwalten. Seine Dienste umfassen das Kernverzeichnis, die Zugriffsverwaltung und den Identitätsschutz. Wie der Name schon sagt, ist Azure AD Teil der Public-Cloud-Computing-Plattform Microsoft Azure.
Der Dienst gibt Administratoren die Freiheit zu wählen, welche Informationen in der Cloud bleiben, wer die Informationen verwalten oder nutzen kann, welche Dienste oder Anwendungen auf die Informationen zugreifen können und welche Endbenutzer Zugriff haben. Azure AD kann dabei helfen, Single Sign-On (SSO) anzubieten, so dass Endbenutzer nicht mehrfach Passwörter eingeben müssen, um auf Cloud-Anwendungen zuzugreifen.
Azure AD wird von IT-Administratoren, Anwendungsentwicklern und Abonnenten von Cloud-Services von Microsoft verwendet. IT-Administratoren verwenden Azure AD, um Rollenberechtigungen zu verwalten und den Zugriff auf bestimmte Anwendungen und Ressourcen für einzelne Benutzer zu kontrollieren. App-Entwickler können Azure AD verwenden, um Single Sign-On mit bereits vorhandenen Benutzeranmeldeinformationen zu Anwendungen hinzuzufügen. Azure AD bietet App-Entwicklern auch APIs, die vorhandene Daten innerhalb der Organisation nutzen. Abonnenten von Microsoft-Cloud-Diensten, wie Microsoft 365 (vormals Office 365), Dynamics CRM Online oder Azure, sind automatisch Nutzer von Azure AD.
Azure AD wird in vier verschiedenen Service- und Preisstufen angeboten. Grundlegende Funktionen, mit Einschränkungen, können kostenlos genutzt werden. Abonnenten von Microsoft 365 Office-Anwendungen erhalten mehr Funktionalität als die Grundfunktionen. Azure AD Premium erfordert ein zusätzliches monatliches Abonnement und ist in zwei Stufen erhältlich: P1 und P2 (höchste Stufe).
Trotz des ähnlichen Namens ist Azure AD nicht dasselbe wie Windows Active Directory (meistens nur AD), ein weiteres Microsoft-Produkt.
Wie funktioniert Windows Azure Active Directory?
Azure AD ist ein Cloud-basierter Dienst für das Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM). Es ist ein sicherer Online-Authentifizierungsspeicher für individuelle Benutzerprofile und Gruppen von Benutzerprofilen. Es fällt in die Kategorie Identity as a Service (IDaaS). Azure AD ist für die Verwaltung des Zugriffs auf cloudbasierte Anwendungen und Server vorgesehen, die moderne Authentifizierungsprotokolle wie SAML 2.0 (Security Assertion Markup Language), OpenID Connect, OAuth 2.0 und WS-Federation verwenden.
Azure AD verwaltet den Zugang über Benutzerkonten mit einem Benutzernamen und einem Passwort. Benutzer können in verschiedene Gruppen organisiert werden, denen unterschiedliche Zugriffsrechte für einzelne Anwendungen gewährt werden. Administratoren können auch Identitäten für Cloud-Anwendungen von Microsoft oder Software as a Service (SaaS) von Drittanbietern, erstellen.
Azure AD verwendet SSO, um Benutzer mit SaaS-Anwendungen zu verbinden. Dadurch kann jeder Benutzer auf die gesamte Suite von Anwendungen zugreifen, für die er eine Berechtigung hat, ohne sich jedes Mal wiederholt anmelden zu müssen. Azure AD erstellt Zugriffstoken, die lokal auf den Geräten der Mitarbeiter gespeichert werden; diese Token können mit Ablaufdatum erstellt werden. Für wichtige Unternehmensressourcen kann Azure AD eine Multifaktor-Authentifizierung (MFA) erfordern.
Sicherheit in Azure AD
Azure AD enthält eine Reihe von Funktionen zur Sicherung und zum Schutz von Unternehmensdaten. Zu den Sicherheitsmerkmalen von Azure AD gehören MFA, SSO für Cloud-basierte SaaS-Anwendungen, kontextbasierte adaptive Richtlinien, Identitätsverwaltung, ein Anwendungsproxy zur Sicherung des Fernzugriffs und Schutz durch maschinelles Lernen (zum Schutz vor gestohlenen Zugangsdaten und verdächtigen Anmeldeversuchen).
Eine weitere Sicherheitsfunktion tragen die Security, die Legacy-Authentifizierungsprotokolle blockiert und zusätzlich in bestimmten Fällen – zum Beispiel wenn Ressourcen unternehmenskritisch sind oder Administratoren sich anmelden – MFA anfordert. Das soll besonders verwundbare Teile des Systems schützen, da die grundlegenden Zugriffsrichtlinien in Azure AD ansonsten so konzipiert sind, dass sie auch Organisationen mit älteren Clients und Systemen mit zusätzlichen Sicherheitsprogrammen von Drittanbietern gerecht werden. Die Sicherheitsvorgaben sind gegen gängige Arten von Angriffen wie Phishing, dem Erraten von Passwörtern und Sitzungswiederholung ausgelegt. Wenn sie nicht deaktiviert sind, können böswillige Angriffe aber auch Legacy-Protokolle zur Authentifizierung verwenden und dabei die Multifaktor-Authentifizierung umgehen..
Windows AD versus Azure AD
Azure AD ist nicht zu verwechseln mit Windows Active Directory, einem weiteren Microsoft-Dienst mit ähnlichem Namen. Active Directory besteht aus mehreren Diensten, die auf Windows Server laufen und den Benutzerzugriff auf Netzwerkressourcen wie zum Beispiel Drucker verwalten. Obwohl Azure AD und Windows AD beide Benutzerkonten verwalten, verwenden sie völlig unterschiedliche Authentifizierungsprotokolle und Code-Basen. Daher ist Azure AD nicht einfach das Cloud-basierte Gegenstück zu Windows AD.
Zu den wichtigsten Unterschieden gehören die folgenden:
- Im Gegensatz zu Windows AD ist Azure AD für webbasierte Dienste konzipiert. Azure AD unterstützt Dienste, die REST-APIs für Cloud-basierte Anwendungen wie Microsoft 365 verwenden.
- Azure AD verwendet Protokolle wie SAML und OAuth.2.0. Es unterstützt nicht NTLM, Kerberos oder LDAP (Lightweight Directory Access Protocol).
- Azure AD verwendet Azure Policies, im Gegensatz zu Group Policies in Windows AD.
- Azure AD verwendet keine OUs (Organisationseinheiten) oder Wälder. Es hat eine flache Verzeichnisstruktur.
- Azure AD Join, kann nur mit Windows 10 verwendet werden.
Funktionen und Lizenzierung von Azure AD
Azure AD gibt es in vier verschiedenen Lizenzstufen: kostenlos (niedrigste Stufe), Office 365-Apps, Premium P1 und Premium P2 (höchste Stufe).
Die freie Lizenzstufe hat ein Limit von 500.000 Objekten für Verzeichnisobjekte. Sie enthält alle Business-to-Business-, Kernidentitäts- und Zugriffsmanagement-Funktionen. Nicht enthalten sind IAM für Microsoft 365, Premium-Features, hybride Identitäten, Zugangsberechtigung, Identitätsschutz, Identitätsverwaltung oder erweitertes Gruppenzugriffsmanagement. Laut Microsoft sind folgende Funktionen in der kostenlosen Stufe enthalten
- Unbegrenztes Single Sign-On
- Benutzerbereitstellung
- Föderierte Authentifizierung (Active Directory Federation Services oder Identitätsanbieter von Drittanbietern)
- Benutzer- und Gruppenverwaltung
- Geräteregistrierung
- Cloud-Authentifizierung (Pass-Through-Authentifizierung, Passwort-Hash-Synchronisierung, nahtloses SSO)
- Azure AD Connect sync, das die On-Premises-Verzeichnisse einer Organisation auf Azure AD erweitert
- Selbstbedienungs-Passwortänderung
- Azure AD Join (Desktop-SSO und Administrator-BitLocker-Wiederherstellung)
- Passwortschutz
- Mehrfaktor-Authentifizierung
- Grundlegende Berichterstattung für Sicherheit und Nutzung
- Azure AD-Funktionen für Gastbenutzer
Die zweitniedrigste Stufe der Azure AD-Dienste ist für Abonnenten von Microsoft 365 zugänglich. Diese Ebene hat keine Begrenzung der Verzeichnisobjekte. Sie umfasst alle Funktionen, die in der kostenlosen Stufe angeboten werden, plus Identitäts- und Zugriffsmanagement für Office 365-Anwendungen, wie zum Beispiel:
- Individuelles Firmen-Branding von Access Panels und An-/Abmeldeseiten
- Service-Level-Agreements (SLA)
- Selbstbedienungs-Passwortzurücksetzung für Cloud-Benutzer
- Two-Way-Synchronisierung von Geräteobjekten zwischen Azure AD und lokalen Verzeichnissen
Die Stufe Premium P1 gewährt die zweithöchste Stufe des Zugangs zu Azure AD. Sie umfasst den vollen Funktionsumfang von Azure AD mit Ausnahme des Identitätsschutzes und der Identitätsverwaltung. Spezifische Funktionen in Premium P1 umfassen alles, was in der Stufe Office 365 angeboten wird, plus:
- Premium-Passwortschutz, Self-Service-Passwortzurücksetzung mit On-Premises Write Back
- Erweiterte Gruppenzugriffsverwaltung
- Azure AD mit automatischer Mobile-Device-Management-Registrierung (MDM), Anpassung der lokalen Verwaltungsrichtlinien, BitLocker-Wiederherstellung in Selbstbedienung, Enterprise State Roaming
- Erweiterte Sicherheits- und Nutzungsberichte
- Hybride Identitäten
- Conditional Access