wachiwit - stock.adobe.com
Lohnt sich der Wechsel zu Azure Active Directory?
Wenn Sie zu Office 365 wechseln, müssen Sie sich nicht von Active Directory abnabeln, wenn Sie das nicht wollen. Wir erklären die Vorteile, die Azure AD gegenüber AD bietet.
Die Umstellung auf Cloud-Dienste wie Microsoft 365 reduziert den Verwaltungsaufwand in einigen Bereichen, erhöht ihn jedoch in anderen. Ein Wechsel in die Cloud macht es für Administratoren schwieriger, den Überblick darüber zu behalten, welcher Mitarbeiter Zugriff auf was hat.
Da immer mehr Unternehmen Cloud-Dienste und -Apps verwenden, befinden sich auch immer mehr Unternehmensdaten auf den Servern von Microsoft. Zu wissen, wer Zugriff auf diese Daten hat und mit ihnen interagieren kann, ist Teil der Sicherheitsstrategie für CIOs (Chief Information Officer) und Administratoren. Die richtige Identitätsmanagementlösung ist von größter Bedeutung für die Sicherheit und den reibungslosen Ablauf.
Bei Microsoft gibt es dafür zwei native Optionen: Azure Active Directory (Azure AD) in der Cloud und Active Directory (AD) On-Premises. Viele Nutzer, die sich überlegen, zu Office 365, der Business Suite von Microsoft in der Cloud, zu wechseln, sind sich nicht sicher, ob sie auch zu Azure AD wechseln sollten. Um ihnen diese Entscheidung zu erleichtern, zeigen wir, welche Vorteile Azure AD bietet – und auch, wie sie mit Azure AD Connect zweigleisig fahren können.
Azure AD Connect als Überbrückungslösung
On-Premises AD gibt es seit den frühen Versionen von Windows Server und ist daher in Unternehmen weit verbreitet. Parallel bietet Microsoft auch Azure AD an, das jedoch, zumindest wenn Nutzer einen vollen Funktionsumfang wünschen, kostenpflichtig ist.
Unternehmen, die Office 365 abonnieren, erhalten eine kostenlosen Zugang für die Benutzerverwaltung und Authentifizierung in Microsoft-Diensten. Wer die Cloud verwendet, muss deshalb jedoch seinem Active Directory nicht den Rücken kehren. Microsoft 365 kann nämlich über Azure AD Connect mit Active Directory On-Premises kommunizieren.
Azure AD Connect wird auf einem Server im Netzwerk der Organisation ausgeführt und greift auf die lokalen AD-Objekte in der Domänengesamtstruktur zu. Das Programm synchronisiert lokale Objekte wie Sicherheitsgruppen, Benutzerkontenkontakte und andere Active-Directory-Attribute mit Azure AD. Azure AD erfüllt ähnliche Funktionen wie das Active Directory, da sie ebenfalls die Authentifizierung für Dienste und Benutzermitgliedschaften verwaltet und unterstützt, aber von der Cloud aus.
Die beiden Dienste wirken erst einmal sehr ähnlich und manchen Nutzern ist der Wechsel zu Azure AD, der von Microsoft stark beworben wird, etwas suspekt. Doch es gibt einige Funktionen von Azure AD, die Active Directory nicht bietet und die für Admins interessant sein können.
Mehr Funktionen bei der Authentifizierung
Azure AD macht es einfacher, Hacking-Versuche zu erkennen. Einer der häufigsten Angriffe auf die Office-365-Plattform, ist der Versuch, an Benutzeranmeldeinformationen aus dem von Exchange Online gehosteten E-Mail-Dienst heranzukommen. Azure AD meldet sowohl erfolgreiche als auch fehlgeschlagene Anmeldungen im System. Das macht es leichter zu erkennen, wenn ein Eindringling versucht, sich unerlaubt anzumelden.
Azure AD arbeitet mit dem Identity Protection Tool zusammen, um Administratoren vor unbefugtem Zugriff und Kontodiebstählen zu warnen. Ähnliche Funktionen sind mit Active Directory nur durch Programme von Drittanbietern zu bekommen.
Azure AD bietet zudem nahtloses SSO (Single Sign-On) für beliebte SaaS-Plattformen. Da immer mehr Unternehmen solche Onlinedienste regelmäßig nutzen, ist es praktisch, wenn Endbenutzer mit nur einem Kennwort verschiedene Services benutzen können. Im Rahmen einiger kostenpflichtiger Pakete für die Premium-Variante von Azure AD, zum Beispiel P1 oder P2, können Administratoren mit minimalem Aufwand eine Verbindung zu verschiedenen SaaS-Plattformen herstellen. Für SSO mit AD On-Premises können Administratoren auf das Microsoft Tool ADFS (Active Directory Federation Services) zurückgreifen, das von vielen Anbietern unterstützt wird.
Self-Service für die Gruppenmitgliedschaft in Azure
Microsoft führte 2018 Microsoft 365-Gruppen ein, damit Mitarbeiter einen gemeinsamen Arbeitsbereich verwenden können, in dem E-Mails, Dateien und andere Ressourcen für die Zusammenarbeit hinterlegt sind. Dabei werden Zugriffsberechtigungen für die Ressourcen im Arbeitsbereich auf Basis des Teams gewährt. Dieses Prinzip ist der Sicherheitsgruppenfunktion in Active Directory sehr ähnlich. Microsoft 365-Gruppen unterscheiden sich jedoch darin, dass sie von den Benutzern selbst verwaltet werden können. Sie können, ohne auf die Unterstützung von Administratoren angewiesen zu sein, Mitglieder hinzufügen oder entfernen.
Diese Gruppen werden in vielen Office-365-Diensten wie Microsoft Teams, Outlook, Exchange Online, SharePoint und OneDrive verwendet. Nutzer nehmen Einstellungen für ihre Gruppen über das Azure-AD-Verwaltungsportal vor, das eine zentralisierte Ansicht der Gruppenmitgliedschaften bietet, die sich über lokales AD und Microsoft 365 erstrecken.
Azure AD als Ergänzung zu Active Directory On-Premises
Es gibt zusätzliche Komponenten, die Azure AD zusammen mit dem lokalen AD zu einem attraktiven Add-On machen, zum Beispiel privilegiertes Identitätsmanagement, Funktionen zur Einschränkung von Mandanten, Bewertungen der Identitäten basierend auf den Sicherheitsempfehlungen und Best Practices von Microsoft sowie Dienste zum Schutz von Identitäten.
Diese Ergänzungen zur Sicherheit in Unternehmen können für IT-Abteilungen attraktiv sein, die solche erweiterten Funktionen wünschen, aber wenig Zeit für deren Installation und Konfiguration mitbringen.
Ein weiterer Vorteil von Azure AD gegenüber AD ist die Funktion zum Verwalten von Lizenzen für Microsoft-Dienste direkt über das Administratorenportal. Admins können ihre aktuellen Lizenzzahlen überprüfen und sie einem Benutzer oder einer Gruppe zuweisen, ohne in ein anderes Portal zu wechseln.
Verschiedene Versionen von Azure AD
Unabhängig davon, ob in einem Unternehmen Azure AD über Connect mit AD verbunden ist, oder das Unternehmen komplett auf Azure AD umsteigt, müssen sich Administratoren entscheiden, welche Funktionen sie benötigen. Microsoft bietet Azure AD in verschiedenen Ausführungen und Preisklassen an: kostenlos, Premium P1 und Premium P2, die alle jeweils einen unterschiedlichen Funktionsumfang aufweisen.
Nach der Anmeldung für einen Plan, der den Anforderungen des Unternehmens entspricht, kann der Administrator die Lizenzen abonnieren, entweder über seine E3- oder E4-Lizenz für Microsoft 365, oder über Microsoft Open Volume Licensing. Premium P1 kostet 5,06 Euro und Premium P2 7,59 Euro, jeweils pro Benutzer und Monat. Erhältlich sind außerdem Microsoft-365-Pakete, die Azure AD, Office 365 und Windows 10 Enterprise bündeln. Nach Abschluss des Abonnements kann der Administrator das Azure-Portal im Browser aufrufen und nach Azure Active Directory suchen, um den Dienst zu verwenden.
Azure AD versus Active Directory – lohnt sich der Wechsel?
Active Directory im Rechenzentrum ist für viele Unternehmen nach wie vor ein beliebtes Setup. Es ist ein großer Vorteil, einen Domänencontroller in der Umgebung zu behalten, auf den man sich verlassen kann, wenn Azure AD durch Probleme mit der Cloud ausfällt und ansonsten die ganze Firma lahmlegen würde.
Angesichts der vielen Verbesserungen an Azure AD und der Redundanzen, die viele Unternehmen, die mit der Cloud arbeiten ohnehin implementiert haben sollten, ziehen immer mehr Administratoren einen vollständigen Wechsel von Active Directory zu Azure Active Directory in Betracht. Viele Administratoren schätzen auf der anderen Seite Active Directory für die granularen Einstellungsmöglichkeiten über die Gruppenrichtlinien. Wenn ähnliche Einstellungsmöglichkeiten über Azure Active Directory noch mehr ausgebaut werden, dürfte der Wechsel für viele noch attraktiver werden.