Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Der Unterschied zwischen Windows Server Active Directory und Azure AD

Geschrieben von Michael Buckbee | Jun 16, 2021 4:02:00 AM

Es gab einmal eine Zeit, als IT-Profis aus Angst vor Datenschutzverletzung und gefährdeter Anmeldeinformationen zögerten, Daten in die Cloud zu verlagern. Schließlich möchte kein Unternehmen aufgrund von Datenschutzverletzungen in die Schlagzeilen kommen. Aber im Laufe der Zeit und durch verbesserte Sicherheit, größere Akzeptanz und größeres Vertrauen nahm die Angst vor der Technik ab und Cloud-basierte Anwendungen, wie der abonnementbasierte Service Office 365 von Microsoft, erscheinen als logischer nächster Schritt.

Wenn man Office 365 einsetzt, wie managt man dann AD? Mit Windows Server AD oder Azure AD? Inwieweit ähneln sich On-Premise-AD und Azure AD und wo liegen die Unterschiede?

In diesem Post werde ich auf die Ähnlichkeiten, Unterschiede und die Dinge dazwischen eingehen.

Sehen Sie sich unser Webinar zur Active Directory-Sicherheit an

"Beantworten Sie dann einfach und schnell Fragen wie: 'Wo sind meine Daten' oder 'Sind meine Daten geschützt?"

Was wir mit Sicherheit kennen: Windows Server Active Directory

Aber fangen wir mit unseren Kenntnissen über Active Directory Domain Services an.

Active Directory wurde zuerst mit Windows 2000 Server Edition herausgegeben und ist im Wesentlichen eine Datenbank, die Unternehmen dabei hilft, ihre Benutzer, Computer und vieles mehr zu organisieren. Es bietet Authentifizierung und Autorisierung für Anwendungen, Dateidienste, Drucker und andere Ressourcen am Standort. Es verwendet Protokolle wie Kerberos und NTLM für die Authentifizierung und LDAP für die Abfrage und Modifizierung von Elementen in den AD-Datenbanken.

Darüber hinaus gibt es diese Gruppenrichtlinien-Funktion, mit der Benutzer- und Computereinstellungen im gesamten Netzwerk rationalisiert werden können.

Mit derart vielen Sicherheitsgruppen, Benutzer- und Admin-Konten und Kenntwörtern, die in Active Directory gespeichert sind sowie den dort verwalteten Identitäts- und Zugriffsrechten, ist die Sicherung von AD entscheidend für den Schutz der Vermögenswerte (Assets) eines Unternehmens.

Können wir vor dem Hintergrund, dass mittlerweile E-Mails, Dateien, CRM-Systeme und sogar Anwendungen in der Cloud gespeichert werden, darauf vertrauen, dass sie so sicher sind, als würden sie sich auf firmeneigenen Servern befinden?

Ein völlig neue Welt: AD Service in der Cloud?

Startups und junge Unternehmen werden beim Aufbau ihrer Firmen sehr wahrscheinlich keine Daten am Standort haben und auch keine Forests und Domains im Active Directory einrichten. Hierauf werde ich später noch genauer eingehen.

Aber Unternehmen mit einer vorhandenen Infrastruktur haben bereits beträchtliche Investitionen in eine Infrastruktur am Standort vorgenommen und müssen sich eine neue Form der Operationalisierung ihres Geschäfts vor Augen führen.

Warum? Weil Azure AD künftig wahrscheinlich eine entscheidende Rolle bei Microsoft spielen wird. Wenn Sie also bereits einen von Microsofts Online-Diensten wie Office 365, Sharepoint Online und Exchange online nutzen, müssen Sie herausfinden, wie Sie sich darin zurechtfinden. Und es sieht bereits so aus, als ob Unternehmen schnell Cloud-basierte Anwendungen implementieren und fast 50% der Zeit mit ihnen arbeiten.

Was ist anders in Azure Active Directory?

Zunächst sollte man sich vergegenwärtigen, dass Windows Server Active Directory nicht für die Verwaltung webbasierter Dienste entwickelt wurde.

Azure Active Directory wurde dagegen entwickelt, um webbasierte Dienste zu unterstützen, die REST (REpresentational State Transfer) API-Schnittstellen für Office 365, Salesforce.com usw. verwenden. Im Gegensatz zu reinem Active Directory verwendet es komplett andere Protokolle (Goodbye, Kerberos und NTLM), die mit Dienstprotokollen wie SAML und Oauth 2.0 arbeiten.

 

Wie ich bereits bei Azure AD erwähnt habe, werden Sie keine Forests und Domains einrichten. Stattdessen werden Sie eher ein Mandant sein, der eine gesamte Organisation repräsentiert. Sobald Sie sich für Office 365, Sharepoint oder Exchange Online registriert haben, werden Sie automatisch ein Azure AD-Mandant und können alle Benutzer im Unternehmen sowie die Kennwörter, Berechtigungen, Benutzerdaten usw. verwalten.

Neben einer nahtlosen Vernetzung mit allen Microsoft Online-Diensten kann sich Azure AD mit hunderten SaaS-Anwendungen über Single Sign-on verbinden. Auf diese Weise können Mitarbeiter auf die Daten des Unternehmens zugreifen, ohne sich immer wieder anmelden zu müssen. Das Zugriffs-Token wird dabei lokal auf dem Rechner des Mitarbeiters gespeichert. Zudem können Sie den Zugriff beschränken, indem Sie Ablaufdaten für diese Token einrichten.

In diesem Vergleichsdiagramm finden Sie eine Auflistung kostenloser, Basis- und Premium-Funktionen.

Einführung von Azure AD Connect

Unternehmen, die bereit sind, ihre lokale Struktur auf Azure AD zu migrieren, können Azure AD Connect verwenden. Ein hervorragendes Tutorial zur Integration finden Sie in diesem Gewusst-wie-Artikel.

Außerdem werde ich in einem meiner nächsten Posts eine Liste der besten Azure AD-Turtorials veröffentlichen, die Ihnen bei der Umstellung auf eine neue Schnittstelle und Terminologie helfen.

Mit der Umstellung auf Azure werden wir uns von Kerberos, Forests und Domains verabschieden.