Integrieren eines lokalen AD-Verzeichnisses in Azure

In diesem Artikel werden Optionen für die Integration Ihrer lokalen Active Directory-Umgebung (AD) in ein Azure-Netzwerk verglichen. Für jede Option ist eine detailliertere Referenzarchitektur verfügbar.

Viele Organisationen nutzen Active Directory Domain Services (AD DS), um mit Benutzern, Computern, Anwendungen oder anderen Ressourcen verknüpfte Identitäten zu authentifizieren, die in einer Sicherheitsbegrenzung enthalten sind. Verzeichnis- und Identitätsdienste werden in der Regel lokal gehostet, aber wenn Ihre Anwendung zum Teil lokal und zum Teil in Azure gehostet wird, können beim Senden von Authentifizierungsanforderungen von Azure zum lokalen System Latenzen auftreten. Durch die Implementierung von Verzeichnis- und Identitätsdiensten in Azure können diese Latenzen verringert werden.

Azure stellt zwei Lösungen für die Implementierung von Verzeichnis- und Identitätsdiensten in Azure bereit:

• Verwenden Sie Microsoft Entra ID, um eine Active Directory-Domäne in der Cloud zu erstellen und mit Ihrer lokalen Active Directory-Domäne zu verbinden. Microsoft Entra Connect integriert Ihre lokalen Verzeichnisse mit Microsoft Entra ID.

• Erweitern Sie Ihre vorhandene lokale Active Directory-Infrastruktur auf Azure, indem Sie eine VM in Azure bereitstellen, die AD DS als Domänencontroller ausführt. Diese Architektur wird häufiger verwendet, wenn das lokale Netzwerk und das virtuelle Azure-Netzwerk (VNET) über eine VPN- oder ExpressRoute-Verbindung miteinander verbunden sind. Es sind mehrere Varianten dieser Architektur möglich:

  • Erstellen Sie eine Domäne in Azure, und fügen Sie sie zu Ihrer lokalen AD-Gesamtstruktur hinzu.
  • Erstellen einer separaten Gesamtstruktur in Azure, die für Domänen in Ihrer lokalen Gesamtstruktur vertrauenswürdig sind
  • Replizieren einer AD FS-Bereitstellung (Active Directory-Verbunddienste) nach Azure

In den folgenden Abschnitten werden diese Optionen ausführlicher beschrieben.

Integrieren Ihrer lokalen AD-Domänen mit Microsoft Entra ID.

Verwenden Sie Microsoft Entra ID, um eine Domäne in Azure zu erstellen und mit einer lokalen AD-Domäne zu verknüpfen.

Das Microsoft Entra-Verzeichnis stellt keine Erweiterung eines lokalen Verzeichnisses dar. Es handelt sich vielmehr um eine Kopie, die die gleichen Objekte und Identitäten enthält. Die lokal an diesen Elementen vorgenommenen Änderungen werden in Microsoft Entra ID kopiert, wohingegen Änderungen in Microsoft Entra ID nicht wieder zur lokalen Domäne repliziert werden.

Sie können Microsoft Entra ID auch ohne ein lokales Verzeichnis verwenden. In diesem Fall enthält Microsoft Entra ID keine Daten, die von einem lokalen Verzeichnis repliziert wurden, sondern verhält sich als primäre Quelle für alle Identitätsinformationen.

Vergütungen

• Sie müssen keine AD-Infrastruktur in der Cloud verwalten. Microsoft Entra ID wird vollständig von Microsoft verwaltet und gewartet.
• Microsoft Entra ID stellt die gleichen Identitätsinformationen bereit, die lokal verfügbar sind.
• Die Authentifizierung kann in Azure durchgeführt werden, wodurch externe Anwendungen und Benutzer nicht so häufig eine Verbindung mit der lokalen Domäne herstellen müssen.

Herausforderungen

• Sie müssen die Konnektivität mit Ihrer lokalen Domäne konfigurieren, damit Microsoft Entra weiterhin synchronisiert wird.
• Anwendungen müssen möglicherweise neu geschrieben werden, um eine Authentifizierung über Microsoft Entra ID zu ermöglichen.
• Wenn Sie Dienst-und Computerkonten authentifizieren möchten, müssen Sie darüber hinaus Microsoft Entra Domain Services bereitstellen.

Referenzarchitektur

• Integrieren lokaler Active Directory-Domänen mit Microsoft Entra ID

Verknüpfung von AD DS in Azure mit einer lokalen Gesamtstruktur

Stellen Sie AD DS-Server (AD Domain Services) für Azure bereit. Erstellen Sie eine Domäne in Azure, und fügen Sie sie zu Ihrer lokalen AD-Gesamtstruktur hinzu.

Ziehen Sie diese Option in Erwägung, wenn Sie AD DS-Features verwenden, die zurzeit nicht von Microsoft Entra ID implementiert sind.

Vergütungen

• AD DS bietet Zugriff auf die gleichen Identitätsinformationen, die lokal verfügbar sind.
• Sie können Benutzer-, Dienst- und Computerkonten lokal und in Azure authentifizieren.
• Sie müssen keine separate AD-Gesamtstruktur verwalten. Die Domäne in Azure kann der lokalen Gesamtstruktur angehören.
• Sie können die von lokalen Gruppenrichtlinienobjekten definierte Gruppenrichtlinie auf die Domäne in Azure anwenden.

Herausforderungen

• Sie müssen Ihre eigenen AD DS-Server und -Domänen in der Cloud bereitstellen und verwalten.
• Es gibt möglicherweise gewisse Latenzen bei der Synchronisierung zwischen den Domänenservern in der Cloud und den lokal ausgeführten Servern.

Referenzarchitektur

• Erweitern von Active Directory Domain Services (AD DS) auf Azure

AD DS in Azure mit einer separaten Gesamtstruktur

Stellen Sie AD DS-Server (AD Domain Services) für Azure bereit, erstellen Sie jedoch eine separate Active Directory-Gesamtstruktur, die von der lokalen Gesamtstruktur getrennt ist. Domänen in Ihrer lokalen Gesamtstruktur sind für diese Gesamtstruktur vertrauenswürdig.

Zu den typischen Einsatzmöglichkeiten dieser Architektur zählen die Verwaltung einer Sicherheitstrennung für Objekte und Identitäten, die in der Cloud gespeichert werden, sowie die Migration einzelner Domänen aus einem lokalen System in die Cloud.

Vorteile

• Sie können lokale Identitäten implementieren und von reinen Azure-Identitäten trennen.
• Sie müssen keine Replikation von der lokalen AD-Gesamtstruktur nach Azure durchführen.

Herausforderungen

• Eine Authentifizierung in Azure für lokale Identitäten erfordert zusätzliche Netzwerkhops zu lokalen AD-Servern.
• Sie müssen Ihre eigenen AD DS-Server und die Gesamtstruktur in der Cloud bereitstellen und die entsprechenden Vertrauensstellungen zwischen Gesamtstrukturen einrichten.

Referenzarchitektur

• Erstellen einer Active Directory Domain Services-Ressourcengesamtstruktur (AD DS) in Azure

Erweiterung von AD FS auf Azure

Replizieren Sie eine AD FS-Bereitstellung (Active Directory-Verbunddienste) nach Azure, um eine Verbundauthentifizierung und -autorisierung für in Azure ausgeführte Komponenten auszuführen.

Typische Einsatzmöglichkeiten für diese Architektur sind Folgende:

• Authentifizieren und Autorisieren von Benutzern von Partnerorganisationen
• Ermöglichung einer Benutzerauthentifizierung über Webbrowser, die außerhalb der Firewall der Organisation ausgeführt werden
• Ermöglichung eines Verbindungsaufbaus durch Benutzer über autorisierte externe Geräte wie Mobilgeräte

Vorteile

• Sie können Ansprüche unterstützende Anwendungen nutzen.
• AD FS bietet die Möglichkeit, zur Authentifizierung externen Partnern zu vertrauen.
• Es besteht Kompatibilität mit einem großen Spektrum an Authentifizierungsprotokollen.

Herausforderungen

• Sie müssen Ihre eigenen AD DS-, AD FS- und AD FS-Webanwendungsproxy-Server in Azure bereitstellen.
• Die Konfiguration diese Architektur kann komplex sein.

Referenzarchitektur

• Erweitern von Active Directory Federation Services (AD FS) auf Azure