Auswählen einer Lösung für die Integration einer lokalen Active Directory-Instanz in AzureChoose a solution for integrating on-premises Active Directory with Azure

In diesem Artikel werden Optionen für die Integration Ihrer lokalen Active Directory-Umgebung (AD) in ein Azure-Netzwerk verglichen.This article compares options for integrating your on-premises Active Directory (AD) environment with an Azure network. Für jede Option ist eine detailliertere Referenzarchitektur verfügbar.For each option, a more detailed reference architecture is available.

Viele Organisationen nutzen Active Directory Domain Services (AD DS), um mit Benutzern, Computern, Anwendungen oder anderen Ressourcen verknüpfte Identitäten zu authentifizieren, die in einer Sicherheitsbegrenzung enthalten sind.Many organizations use Active Directory Domain Services (AD DS) to authenticate identities associated with users, computers, applications, or other resources that are included in a security boundary. Verzeichnis- und Identitätsdienste werden in der Regel lokal gehostet, aber wenn Ihre Anwendung zum Teil lokal und zum Teil in Azure gehostet wird, können beim Senden von Authentifizierungsanforderungen von Azure zum lokalen System Latenzen auftreten.Directory and identity services are typically hosted on-premises, but if your application is hosted partly on-premises and partly in Azure, there may be latency sending authentication requests from Azure back to on-premises. Durch die Implementierung von Verzeichnis- und Identitätsdiensten in Azure können diese Latenzen verringert werden.Implementing directory and identity services in Azure can reduce this latency.

Azure stellt zwei Lösungen für die Implementierung von Verzeichnis- und Identitätsdiensten in Azure bereit:Azure provides two solutions for implementing directory and identity services in Azure:

  • Verwenden Sie Azure AD, um eine Active Directory-Domäne in der Cloud zu erstellen und mit Ihrer lokalen Active Directory-Domäne zu verbinden.Use Azure AD to create an Active Directory domain in the cloud and connect it to your on-premises Active Directory domain. Mit Azure AD Connect können Sie Ihre lokalen Verzeichnisse in Azure AD integrieren.Azure AD Connect integrates your on-premises directories with Azure AD.

  • Erweitern Sie Ihre vorhandene lokale Active Directory-Infrastruktur auf Azure, indem Sie eine VM in Azure bereitstellen, die AD DS als Domänencontroller ausführt.Extend your existing on-premises Active Directory infrastructure to Azure, by deploying a VM in Azure that runs AD DS as a Domain Controller. Diese Architektur wird häufiger verwendet, wenn das lokale Netzwerk und das virtuelle Azure-Netzwerk (VNET) über eine VPN- oder ExpressRoute-Verbindung miteinander verbunden sind.This architecture is more common when the on-premises network and the Azure virtual network (VNet) are connected by a VPN or ExpressRoute connection. Es sind mehrere Varianten dieser Architektur möglich:Several variations of this architecture are possible:

    • Erstellen Sie eine Domäne in Azure, und fügen Sie sie zu Ihrer lokalen AD-Gesamtstruktur hinzu.Create a domain in Azure and join it to your on-premises AD forest.
    • Erstellen einer separaten Gesamtstruktur in Azure, die für Domänen in Ihrer lokalen Gesamtstruktur vertrauenswürdig sindCreate a separate forest in Azure that is trusted by domains in your on-premises forest.
    • Replizieren einer AD FS-Bereitstellung (Active Directory-Verbunddienste) nach AzureReplicate an Active Directory Federation Services (AD FS) deployment to Azure.

In den folgenden Abschnitten werden diese Optionen ausführlicher beschrieben.The next sections describe each of these options in more detail.

Integrieren von lokalen Domänen in Azure ADIntegrate your on-premises domains with Azure AD

Verwenden Sie Azure Active Directory (Azure AD), um eine Domäne in Azure zu erstellen und mit einer lokalen AD-Domäne zu verknüpfen.Use Azure Active Directory (Azure AD) to create a domain in Azure and link it to an on-premises AD domain.

Das Azure AD-Verzeichnis stellt keine Erweiterung eines lokalen Verzeichnisses dar.The Azure AD directory is not an extension of an on-premises directory. Es handelt sich vielmehr um eine Kopie, die die gleichen Objekte und Identitäten enthält.Rather, it's a copy that contains the same objects and identities. Die lokal an diesen Elementen vorgenommenen Änderungen werden in Azure AD kopiert, wohingegen Änderungen in Azure AD nicht wieder zur lokalen Domäne repliziert werden.Changes made to these items on-premises are copied to Azure AD, but changes made in Azure AD are not replicated back to the on-premises domain.

Sie können Azure AD auch ohne ein lokales Verzeichnis verwenden.You can also use Azure AD without using an on-premises directory. In diesem Fall enthält Azure AD keine Daten, die von einem lokalen Verzeichnis repliziert wurden, sondern verhält sich als primäre Quelle für alle Identitätsinformationen.In this case, Azure AD acts as the primary source of all identity information, rather than containing data replicated from an on-premises directory.

VorteileBenefits

  • Sie müssen keine AD-Infrastruktur in der Cloud verwalten.You don't need to maintain an AD infrastructure in the cloud. Azure AD wird vollständig von Microsoft verwaltet und gewartet.Azure AD is entirely managed and maintained by Microsoft.
  • Azure AD stellt die gleichen Identitätsinformationen bereit, die lokal verfügbar sind.Azure AD provides the same identity information that is available on-premises.
  • Die Authentifizierung kann in Azure durchgeführt werden, wodurch externe Anwendungen und Benutzer nicht so häufig eine Verbindung mit der lokalen Domäne herstellen müssen.Authentication can happen in Azure, reducing the need for external applications and users to contact the on-premises domain.

HerausforderungenChallenges

  • Sie müssen die Konnektivität mit Ihrer lokalen Domäne konfigurieren, damit Azure AD Directory weiterhin synchronisiert wird.You must configure connectivity with your on-premises domain to keep the Azure AD directory synchronized.
  • Anwendungen müssen möglicherweise neu geschrieben werden, um eine Authentifizierung über Azure AD zu ermöglichen.Applications may need to be rewritten to enable authentication through Azure AD.
  • Wenn Sie Dienst-und Computerkonten authentifizieren möchten, müssen Sie darüber hinaus Azure Active Directory Domain Services bereitstellen.If you wish to authenticate service and computer accounts, you will have to also deploy Azure Active Directory Domain Services.

ReferenzarchitekturReference architecture

Verknüpfung von AD DS in Azure mit einer lokalen GesamtstrukturAD DS in Azure joined to an on-premises forest

Stellen Sie AD DS-Server (AD Domain Services) für Azure bereit.Deploy AD Domain Services (AD DS) servers to Azure. Erstellen Sie eine Domäne in Azure, und fügen Sie sie zu Ihrer lokalen AD-Gesamtstruktur hinzu.Create a domain in Azure and join it to your on-premises AD forest.

Ziehen Sie diese Option in Erwägung, wenn Sie AD DS-Features verwenden, die zurzeit nicht von Azure AD implementiert sind.Consider this option if you need to use AD DS features that are not currently implemented by Azure AD.

VorteileBenefits

  • AD DS bietet Zugriff auf die gleichen Identitätsinformationen, die lokal verfügbar sind.Provides access to the same identity information that is available on-premises.
  • Sie können Benutzer-, Dienst- und Computerkonten lokal und in Azure authentifizieren.You can authenticate user, service, and computer accounts on-premises and in Azure.
  • Sie müssen keine separate AD-Gesamtstruktur verwalten.You don't need to manage a separate AD forest. Die Domäne in Azure kann der lokalen Gesamtstruktur angehören.The domain in Azure can belong to the on-premises forest.
  • Sie können die von lokalen Gruppenrichtlinienobjekten definierte Gruppenrichtlinie auf die Domäne in Azure anwenden.You can apply group policy defined by on-premises Group Policy Objects to the domain in Azure.

HerausforderungenChallenges

  • Sie müssen Ihre eigenen AD DS-Server und -Domänen in der Cloud bereitstellen und verwalten.You must deploy and manage your own AD DS servers and domain in the cloud.
  • Es gibt möglicherweise gewisse Latenzen bei der Synchronisierung zwischen den Domänenservern in der Cloud und den lokal ausgeführten Servern.There may be some synchronization latency between the domain servers in the cloud and the servers running on-premises.

ReferenzarchitekturReference architecture

AD DS in Azure mit einer separaten GesamtstrukturAD DS in Azure with a separate forest

Stellen Sie AD DS-Server (AD Domain Services) für Azure bereit, erstellen Sie jedoch eine separate Active Directory-Gesamtstruktur, die von der lokalen Gesamtstruktur getrennt ist.Deploy AD Domain Services (AD DS) servers to Azure, but create a separate Active Directory forest that is separate from the on-premises forest. Domänen in Ihrer lokalen Gesamtstruktur sind für diese Gesamtstruktur vertrauenswürdig.This forest is trusted by domains in your on-premises forest.

Zu den typischen Einsatzmöglichkeiten dieser Architektur zählen die Verwaltung einer Sicherheitstrennung für Objekte und Identitäten, die in der Cloud gespeichert werden, sowie die Migration einzelner Domänen aus einem lokalen System in die Cloud.Typical uses for this architecture include maintaining security separation for objects and identities held in the cloud, and migrating individual domains from on-premises to the cloud.

VorteileBenefits

  • Sie können lokale Identitäten implementieren und von reinen Azure-Identitäten trennen.You can implement on-premises identities and separate Azure-only identities.
  • Sie müssen keine Replikation von der lokalen AD-Gesamtstruktur nach Azure durchführen.You don't need to replicate from the on-premises AD forest to Azure.

HerausforderungenChallenges

  • Eine Authentifizierung in Azure für lokale Identitäten erfordert zusätzliche Netzwerkhops zu lokalen AD-Servern.Authentication within Azure for on-premises identities requires extra network hops to the on-premises AD servers.
  • Sie müssen Ihre eigenen AD DS-Server und die Gesamtstruktur in der Cloud bereitstellen und die entsprechenden Vertrauensstellungen zwischen Gesamtstrukturen einrichten.You must deploy your own AD DS servers and forest in the cloud, and establish the appropriate trust relationships between forests.

ReferenzarchitekturReference architecture

Erweiterung von AD FS auf AzureExtend AD FS to Azure

Replizieren Sie eine AD FS-Bereitstellung (Active Directory-Verbunddienste) nach Azure, um eine Verbundauthentifizierung und -autorisierung für in Azure ausgeführte Komponenten auszuführen.Replicate an Active Directory Federation Services (AD FS) deployment to Azure, to perform federated authentication and authorization for components running in Azure.

Typische Einsatzmöglichkeiten für diese Architektur sind Folgende:Typical uses for this architecture:

  • Authentifizieren und Autorisieren von Benutzern von PartnerorganisationenAuthenticate and authorize users from partner organizations.
  • Ermöglichung einer Benutzerauthentifizierung über Webbrowser, die außerhalb der Firewall der Organisation ausgeführt werdenAllow users to authenticate from web browsers running outside of the organizational firewall.
  • Ermöglichung eines Verbindungsaufbaus durch Benutzer über autorisierte externe Geräte wie MobilgeräteAllow users to connect from authorized external devices such as mobile devices.

VorteileBenefits

  • Sie können Ansprüche unterstützende Anwendungen nutzen.You can leverage claims-aware applications.
  • AD FS bietet die Möglichkeit, zur Authentifizierung externen Partnern zu vertrauen.Provides the ability to trust external partners for authentication.
  • Es besteht Kompatibilität mit einem großen Spektrum an Authentifizierungsprotokollen.Compatibility with large set of authentication protocols.

HerausforderungenChallenges

  • Sie müssen Ihre eigenen AD DS-, AD FS- und AD FS-Webanwendungsproxy-Server in Azure bereitstellen.You must deploy your own AD DS, AD FS, and AD FS Web Application Proxy servers in Azure.
  • Die Konfiguration diese Architektur kann komplex sein.This architecture can be complex to configure.

ReferenzarchitekturReference architecture