Integrieren lokaler AD-Domänen in Azure AD

Azure Active Directory
Virtual Network
Virtual Machines

Azure Active Directory (Azure AD) ist ein cloudbasierter mehrinstanzenfähiger Verzeichnis- und Identitätsdienst. Die folgende Referenzarchitektur zeigt bewährte Methoden zum Integrieren von lokalen Active Directory-Domänen in Azure AD, um cloudbasierte Identitätsauthentifizierung bereitzustellen.

Cloudidentitätsarchitektur mit Azure Active Directory

Laden Sie eine Visio-Datei dieser Architektur herunter.

Hinweis

Der Einfachheit halber sind in diesem Diagramm nur die Verbindungen dargestellt, die sich direkt auf Azure AD beziehen. Protokollbezogener Datenverkehr, der im Rahmen des Authentifizierungs- und Identitätsverbunds auftreten kann, ist dagegen nicht dargestellt. So kann es beispielsweise sein, dass eine Webanwendung den Webbrowser umleitet, damit die Anforderung über Azure AD authentifiziert wird. Sobald die Anforderung authentifiziert ist, kann sie mit den entsprechenden Identitätsinformationen an die Webanwendung zurückgegeben werden.

Typische Einsatzmöglichkeiten für diese Referenzarchitektur sind:

  • Webanwendungen, die in Azure bereitgestellt werden und Zugriff für Remotebenutzer bereitstellen, die zu Ihrer Organisation gehören.
  • Implementieren von Self-Service-Funktionen für Endbenutzer, z.B. Zurücksetzen ihrer Kennwörter und Delegieren von Gruppenverwaltung. Hierfür ist die Azure AD Premium-Edition erforderlich.
  • Architekturen, in denen das lokale Netzwerk und das Azure VNet der Anwendung nicht über eine VPN-Tunnel- oder ExpressRoute-Verbindung verbunden sind.

Hinweis

Azure AD kann die Identität von Benutzern und Anwendungen authentifizieren, die im Verzeichnis einer Organisation enthalten sind. Einige Anwendungen und Dienste, z. B. SQL Server, erfordern möglicherweise Computerauthentifizierung. In diesem Fall ist diese Lösung nicht geeignet.

Weitere Überlegungen finden Sie unter Auswählen einer Lösung für die Integration einer lokalen Active Directory-Instanz in Azure.

Aufbau

Diese Architektur besteht aus den folgenden Komponenten.

  • Azure AD-Mandant. Eine Instanz von Azure AD, die von Ihrer Organisation erstellt wurde. Sie fungiert als ein Verzeichnisdienst für Cloudanwendungen, indem sie Objekte speichert, die aus dem lokalen Active Directory kopiert wurden, und stellt Identitätsdienste bereit.

  • Webschicht-Subnetz. Dieses Subnetz enthält virtuelle Computer, die eine Webanwendung ausführen. Azure AD kann als Identitätsbroker für diese Anwendung fungieren.

  • Lokaler AD DS-Server. Eine lokaler Verzeichnis- und Identitätsdienst. Das AD DS-Verzeichnis kann mit Azure AD synchronisiert werden, um die Authentifizierung lokaler Benutzer zu ermöglichen.

  • Azure AD Connect-Synchronisierungsserver. Ein lokaler Computer, auf dem der Azure AD Connect-Synchronisierungsdienst ausgeführt wird. Dieser Dienst synchronisiert Informationen, die sich im lokalen Active Directory befinden, mit Azure AD. Wenn Sie beispielsweise die Bereitstellung oder das Aufheben der Bereitstellung von Gruppen und Benutzern lokal ausführen, werden diese Änderungen an Azure AD weitergegeben.

    Hinweis

    Aus Sicherheitsgründen speichert Azure AD die Kennwörter eines Benutzers als Hash. Ist für einen Benutzer eine Kennwortzurücksetzung erforderlich, muss diese lokal ausgeführt und der neue Hash an Azure AD gesendet werden. Azure AD Premium Editionen enthalten Funktionen, die Kennwortänderungen in der Cloud ermöglichen und dann in lokale AD DS zurückgeschrieben werden können.

  • Virtuelle Computer (VMs) für eine n-schichtige Anwendung. Weitere Informationen zu diesen Ressourcen finden Sie unter Ausführen von Windows-VMs für eine n-schichtige Anwendung.

Empfehlungen

Die folgenden Empfehlungen gelten für die meisten Szenarios. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.

Azure AD Connect-Synchronisierungsdienst

Der Azure AD Connect-Synchronisierungsdienst stellt sicher, dass Identitätsinformationen, die in der Cloud gespeichert sind, mit denjenigen konsistent sind, die lokal gespeichert sind. Sie installieren diesen Dienst mit der Azure AD Connect-Software.

Bevor Sie vor Azure AD Connect-Synchronisierung implementieren, müssen Sie die Synchronisierungsanforderungen Ihrer Organisation ermitteln. Dies umfasst beispielsweise, was, von welchen Domänen und wie oft synchronisiert werden muss. Weitere Informationen hierzu finden Sie unter Ermitteln der Anforderungen an die Verzeichnissynchronisierung.

Sie können den Azure AD Connect-Synchronisierungsdienst auf einem virtuellen Computer oder auf einem lokal gehosteten Computer ausführen. Je nach Schwankung der Informationen in Ihrem Active Directory-Verzeichnis ist es unwahrscheinlich, dass die Last für den Azure AD Connect-Synchronisierungsdienst nach der Erstsynchronisierung mit Azure AD hoch ist. Durch Ausführen des Diensts auf einem virtuellen Computer wird es einfacher, den Server bei Bedarf zu skalieren. Überwachen Sie die Aktivitäten auf dem virtuellen Computer, wie dies im Abschnitt „Überwachung“ beschrieben ist, um zu ermitteln, ob Skalierung erforderlich ist.

Wenn Sie mehrere lokale Domänen in einer Gesamtstruktur haben, empfiehlt es sich, die Informationen für die vollständige Gesamtstruktur im einem einzigen Azure AD-Mandanten zu speichern und zu synchronisieren. Filtern Sie nach Informationen für Identitäten, die in mehreren Domänen vorkommen, sodass jede Identität nur einmal in Azure AD vorhanden ist, statt dupliziert zu werden. Duplizierung kann zu Inkonsistenzen führen, wenn Daten synchronisiert werden. Weitere Informationen finden Sie im Abschnitt „Topologieempfehlungen“ weiter unten.

Verwenden Sie Filterung, damit nur erforderliche Daten in Azure AD gespeichert werden. Beispielsweise könnte es sein, dass Ihre Organisation keine Informationen über inaktive Konten in Azure AD speichern möchte. Filterung kann nach Gruppen, Domänen, Organisationseinheiten oder Attributen erfolgen. Sie können Filter kombinieren, um komplexere Regeln zu erzeugen. Beispielsweise könnten Sie Objekte synchronisieren, die in einer Domäne gespeichert sind und einen bestimmten Wert in einem ausgewählten Attribut haben. Ausführliche Informationen hierzu finden Sie unter Azure AD Connect-Synchronisierung: Konfigurieren der Filterung.

Um hohe Verfügbarkeit für den AD Connect-Synchronisierungsdienst sicherzustellen, führen Sie einen sekundären Stagingserver aus. Weitere Informationen finden Sie in Abschnitt „Topologieempfehlungen“.

Sicherheitsempfehlungen

Verwaltung von Benutzerkennwörtern: Die Azure AD Premium-Editionen unterstützen das Rückschreiben von Kennwörtern, sodass Ihre lokalen Benutzer die Möglichkeit haben, Self-Service-Kennwortzurücksetzungen über das Azure-Portal auszuführen. Diese Funktion sollte erst aktiviert werden, nachdem die Kennwortsicherheitsrichtlinien Ihrer Organisation überprüft wurden. Beispielsweise können Sie einschränken, welche Benutzer ihre Kennwörter ändern können, und Sie können die Oberfläche für die Kennwortverwaltung anpassen. Weitere Informationen hierzu finden Sie unter Anpassen der Kennwortverwaltung an die Anforderungen Ihrer Organisation.

Schützen von lokalen Anwendungen, auf die extern zugegriffen werden kann. Verwenden Sie den Azure AD-Anwendungsproxy, um für externe Benutzer über Azure AD kontrollierten Zugriff auf lokale Webanwendungen bereitzustellen. Nur Benutzer, die gültige Anmeldeinformationen in Ihrem Azure-Verzeichnis haben, sind berechtigt, die Anwendung zu verwenden. Weitere Informationen hierzu finden Sie im Artikel Aktivieren des Anwendungsproxys über das Azure-Portal.

Aktive Überwachung von Azure AD auf Anzeichen für verdächtige Aktivitäten. Sie sollten erwägen, die Azure AD Premium P2-Edition zu verwenden, die Azure AD Identity Protection umfasst. Identity Protection nutzt adaptive Machine Learning-Algorithmen und heuristische Verfahren, um Anomalien und Risikoereignisse zu erkennen, die auf die Kompromittierung einer Identität hindeuten können. Beispielsweise kann Identity Protection potenziell ungewöhnliche Aktivitäten erkennen, etwa auffällige Anmeldeaktivitäten, Anmeldungen von unbekannten Quellen oder über IP-Adressen mit verdächtigen Aktivitäten oder Anmeldungen von Geräten, die möglicherweise infiziert sind. Mit diesen Daten generiert Identity Protection Berichte und Warnungen, damit Sie diese Risikoereignisse untersuchen und geeignete Aktionen durchführen können. Weitere Informationen finden Sie unter Azure Active Directory Identity Protection.

Sie können die Berichtsfunktion von Azure AD im Azure-Portal verwenden, um sicherheitsbezogene Aktivitäten zu überwachen, die in Ihrem System auftreten. Weitere Informationen zum Verwenden dieser Berichte finden Sie unter Anleitung für Azure Active Directory-Berichte.

Topologieempfehlungen

Konfigurieren Sie Azure AD Connect so, dass eine Topologie implementiert wird, die den Anforderungen Ihrer Organisation am ehesten entspricht. Folgende Topologien werden u. a. von Azure AD Connect unterstützt:

  • Einzelne Gesamtstruktur, einzelnes Azure AD-Verzeichnis. In dieser Topologie synchronisiert Azure AD Connect Objekte und Identitätsinformationen aus einer oder mehreren Domänen in einer einzelnen lokalen Gesamtstruktur in einem einzelnen Azure AD-Mandanten. Dies ist die Standardtopologie, die durch die Expressinstallation von Azure AD Connect implementiert wird.

    Hinweis

    Sofern Sie keinen Server im Stagingmodus ausführen (weiter unten beschrieben), sollten Sie nicht mehrere Azure AD Connect-Synchronisierungsserver verwenden, um verschiedene Domänen in derselben lokalen Gesamtstruktur mit demselben Azure AD-Mandanten zu verbinden.

  • Mehrere Gesamtstrukturen, einzelnes Azure AD-Verzeichnis. In dieser Topologie synchronisiert Azure AD Connect Objekte und Identitätsinformationen aus mehrere Gesamtstrukturen in einem einzelnen Azure AD-Mandanten. Verwenden Sie diese Topologie, wenn Ihre Organisation mehrere lokale Gesamtstrukturen hat. Sie können Identitätsinformationen konsolidieren, sodass jeder eindeutige Benutzer im Azure AD-Verzeichnis einmal dargestellt ist, selbst wenn er in mehreren Gesamtstrukturen vorhanden ist. Für alle Gesamtstrukturen wird derselbe Azure AD Connect-Synchronisierungsserver verwendet. Der Azure AD Connect-Synchronisierungsserver muss nicht zu einer der Domänen gehören, muss aber aus allen Gesamtstrukturen erreichbar sein.

    Hinweis

    In dieser Topologie dürfen Sie keine separaten Azure AD Connect-Synchronisierungsserver verwenden, um jede lokale Gesamtstruktur mit einem einzelnen Azure AD-Mandanten zu verbinden. Dies kann zu doppelten Identitätsinformationen in Azure AD führen, wenn Benutzer in mehreren Gesamtstrukturen vorhanden sind.

  • Mehrere Gesamtstrukturen, separate Topologien. In dieser Topologie werden Identitätsinformationen aus separaten Gesamtstrukturen in einem einzelnen Azure AD-Mandanten zusammengeführt, wobei alle Gesamtstrukturen als separate Entitäten behandelt werden. Diese Topologie ist nützlich, wenn Sie Gesamtstrukturen aus verschiedenen Organisationen kombinieren und die Identitätsinformationen für jeden Benutzer nur in einer Gesamtstruktur gespeichert werden.

    Hinweis

    Wenn die globalen Adresslisten (GAL) in jeder Gesamtstruktur synchronisiert werden, kann ein Benutzer aus einer Gesamtstruktur in einer anderen als Kontakt vorhanden sein. Dies kann passieren, wenn Ihre Organisation GALSync mit Forefront Identity Manager 2010 oder Microsoft Identity Manager 2016 implementiert hat. In diesem Szenario können Sie angeben, dass Benutzer über ihr Mail-Attribut identifiziert werden sollen. Außerdem können Sie Identitäten mithilfe der Attribute ObjectSID und MsExchMasterAccountSID abgleichen. Dies ist nützlich, wenn Sie mindestens eine Ressourcengesamtstruktur mit deaktivierten Konten haben.

  • Stagingserver. In dieser Konfiguration wird eine zweite Instanz des Azure AD Connect-Synchronisierungsservers parallel zur ersten ausgeführt. Diese Struktur unterstützt Szenarien wie die folgenden:

    • Hochverfügbarkeit.

    • Testen und Bereitstellen einer neuen Konfigurations des Azure AD Connect-Synchronisierungsservers.

    • Einführen eines neuen Servers und Außerbetriebnahme einer alten Konfiguration.

      In diesen Szenarien wird die zweite Instanz im Stagingmodus ausgeführt. Der Server speichert importierte Objekte und Synchronisierungsdaten in seiner Datenbank, übergibt die Daten aber nicht an Azure AD. Wenn Sie den Stagingmodus deaktivieren, beginnt der Server damit, Daten in Azure AD zu schreiben sowie ggf. Kennwörter in die lokalen Verzeichnisse zurückzuschreiben. Weitere Informationen hierzu finden Sie unter Azure AD Connect-Synchronisierung: Operative Aufgaben und Überlegungen.

  • Mehrere Azure AD-Verzeichnisse. Es wird empfohlen, dass Sie ein einzelnes Azure AD-Verzeichnis für eine Organisation erstellen, es kann aber Situationen geben, in denen Sie Informationen über getrennte Azure AD-Verzeichnisse verteilen müssen. In diesem Fall können Sie Synchronisierungs- und Kennwortrückschreibungsprobleme vermeiden, indem Sie sicherstellen, dass jedes Objekt aus der lokalen Gesamtstruktur nur einmal im Azure AD-Verzeichnis vorhanden ist. Um dieses Szenario zu implementieren, konfigurieren Sie separate Azure AD Connect-Synchronisierungsserver für jedes Azure AD-Verzeichnis, und verwenden Sie Filterung, sodass jeder Azure AD Connect-Synchronisierungsserver einen wechselseitig exklusiven Satz von Objekten verwaltet.

Weitere Informationen zu diesen Topologien finden Sie unter Topologien für Azure AD Connect.

Benutzerauthentifizierung

Standardmäßig konfiguriert der Azure AD Connect-Synchronisierungsserver Kennworthashsynchronisierung zwischen der lokalen Domäne und Azure AD, und für den Azure AD-Dienst wird davon ausgegangen, dass Benutzer sich authentifizieren, indem sie das Kennwort bereitstellen, dass sie lokal verwenden. Für viele Organisationen ist dies geeignet, Sie sollten aber die vorhandenen Richtlinien und die vorhandene Infrastruktur Ihres Unternehmens berücksichtigen. Beispiel:

  • Die Sicherheitsrichtlinie Ihrer Organisation könnte verhindern, dass Kennworthashes in der Cloud synchronisiert werden. In diesem Fall sollte Ihre Organisation die Pass-Through-Authentifizierung in Erwägung ziehen.
  • Sie könnten fordern, dass für Benutzer nahtloses einmaligen Anmelden verwendet wird, wenn sie im Unternehmensnetzwerk von Computern, die zur Domäne gehören, auf Cloudressourcen zugreifen.
  • Ihre Organisation hat möglicherweise bereits Active Directory-Verbunddienste (AD FS) oder einen Drittanbieter-Verbundanbieter bereitgestellt. Sie können Azure AD so konfigurieren, dass statt der in der Cloud gespeicherten Kennwortinformationen diese Infrastruktur zum Implementieren von Authentifizierung und SSO verwendet wird.

Weitere Informationen finden Sie unter Azure AD Connect-Optionen für die Benutzeranmeldung.

Azure AD-Anwendungsproxy

Verwenden Sie Azure AD, um Zugriff auf lokale Anwendungen bereitzustellen.

Machen Sie Ihre lokalen Webanwendungen über Anwendungsproxy-Connectors verfügbar, die von der Azure AD-Komponente für Anwendungsproxys verwaltet werden. Der Anwendungsproxy-Connector öffnet eine ausgehende Netzwerkverbindung zum Azure AD-Anwendungsproxy, und Anforderungen von Remotebenutzern werden von Azure AD über diese Verbindung zurück an die Web-Apps weitergeleitet. Dadurch entfällt die Notwendigkeit, eingehende Ports in der lokalen Firewall zu öffnen, wodurch die Angriffsfläche verkleinert wird, die sich für Ihre Organisation ergibt.

Weitere Informationen hierzu finden Sie unter Veröffentlichen von Anwendungen mit Azure AD-Anwendungsproxy.

Objektsynchronisierung

In der Standardkonfiguration für Azure AD Connect werden Objekte aus Ihrem lokalen Active Directory-Verzeichnis synchronisiert anhand der Regeln im Artikel Azure AD Connect-Synchronisierung: Grundlegendes zur Standardkonfiguration. Objekte, die diese Regeln erfüllen, werden synchronisiert, während alle anderen Objekte ignoriert werden. Einige Beispielregeln:

  • Benutzerobjekte benötigen ein eindeutiges sourceAnchor-Attribut, und das accountEnabled-Attribut muss einen Wert haben.
  • Jedes Benutzerobjekt muss ein sAMAccountName-Attribut haben und darf weder mit dem Text Azure AD_ noch mit dem Text MSOL_ beginnen.

Azure AD Connect wendet verschiedene Regeln auf User-, Contact-, Group-, ForeignSecurityPrincipal- und Computer-Objekte an. Verwenden Sie den Synchronisierungsregel-Editor, der mit Azure AD Connect installiert wurde, wenn Sie den Standardsatz der Regeln ändern müssen. Weitere Informationen hierzu finden Sie unter Azure AD Connect-Synchronisierung: Grundlegendes zur Standardkonfiguration.

Sie können auch Ihre eigenen Filter definieren, um die zu synchronisierenden Objekte nach Domäne oder Organisationseinheit zu begrenzen. Alternativ können Sie komplexere benutzerdefinierte Filter implementieren, wie unter Azure AD Connect-Synchronisierung: Konfigurieren der Filterung.

Überwachung

Systemüberwachung wird von den folgenden lokal installierten Agents ausgeführt:

  • Azure AD Connect installiert einen Agent, der Informationen zu Synchronisierungsvorgängen erfasst. Verwenden Sie das Blatt „Azure AD Connect Health“ im Azure-Portal, um dessen Integrität und Leistung überwachen. Weitere Informationen hierzu finden Sie unter Verwenden von Azure AD Connect Health für die Synchronisierung.
  • Wenn Sie die Integrität der AD DS-Domänen und -Verzeichnisse von Azure überwachen möchten, installieren Sie den Azure AD Connect Health für AD DS-Agent auf einem Computer in der lokalen Domäne. Verwenden Sie das Blatt „Azure Active Directory Connect Health“ im Azure-Portal für die Systemüberwachung. Weitere Informationen hierzu finden Sie unter Verwenden von Azure AD Connect Health mit AD DS.
  • Installieren Sie den Azure AD Connect Health für AD FS-Agent, um die Integrität von Diensten zu überwachen, die lokal ausgeführt werden, und verwenden Sie das Blatt „Azure Active Directory Connect Health“ im Azure-Portal, um AD FS zu überwachen. Weitere Informationen hierzu finden Sie unter Verwenden von Azure AD Connect Health mit AD FS.

Weitere Informationen zum Installieren von AD Connect Health-Agents und zu deren Anforderungen finden Sie unter Installieren des Azure AD Connect Health-Agents.

Überlegungen zur Skalierbarkeit

Azure AD-Dienst unterstützt Skalierbarkeit auf Basis von Replikaten, mit einem einzelnen primären Replikat, das Schreibvorgänge verwaltet, und mehreren schreibgeschützten sekundären Replikaten. Azure AD leitet versuchte Schreibvorgänge, die für sekundäre Replikate erfolgt sind, transparent an das primäre Replikat weiter und bietet so Konsistenz. Alle Änderungen, die am primären Replikat vorgenommen wurden, werden an die sekundären Replikate weitergegeben. Diese Architektur bietet eine gute Skalierung, denn die meisten Vorgänge für Azure AD sind keine Schreib-, sondern Lesevorgänge. Weitere Informationen finden Sie unter Was ist die Azure Active Directory-Architektur?.

Ermitteln Sie für den Azure AD Connect-Synchronisierungsserver, wie viele Objekte aus Ihrem lokalen Verzeichnis wahrscheinlich zu synchronisieren sind. Sind dies weniger als 100.000 Objekte, können Sie die standardmäßige SQL Server Express LocalDB-Software verwenden, die mit Azure AD Connect bereitgestellt wird. Haben Sie eine größere Anzahl von Objekten, sollten Sie eine Produktionsversion von SQL Server installieren und eine benutzerdefinierte Installation von Azure AD Connect ausführen, wobei Sie angeben, dass eine vorhandene Instanz von SQL Server verwendet werden soll.

Überlegungen zur Verfügbarkeit

Der Azure AD-Dienst ist geografisch verteilt und wird in mehreren Rechenzentren ausgeführt, die auf der ganzen Welt verteilt sind und automatisches Failover bieten. Fällt ein Rechenzentrum aus, stellt Azure AD sicher, dass Ihre Verzeichnisdaten in mindestens zwei weiteren regional verteilten Rechenzentren für Zugriff durch die Instanz verfügbar sind.

Hinweis

Die Vereinbarung zum Servicelevel (SLA) für den AD-Tarif für Microsoft 365-Apps und Premium-Dienste garantiert eine Verfügbarkeit von mindestens 99,9 %. Für den Free-Tarif von Azure AD gibt es keine SLA. Weitere Informationen hierzu finden Sie unter SLA für Azure Active Directory.

Sie sollten sich überlegen, eine zweite Instanz des Azure AD Connect-Synchronisierungsservers im Stagingmodus bereitzustellen, um die Verfügbarkeit zu erhöhen, wie dies im Abschnitt „Topologieempfehlungen“ erläutert ist.

Wenn Sie nicht die SQL Server Express LocalDB-Instanz verwenden, die zu Azure AD Connect gehört, sollten Sie SQL-Clustering verwenden, um hohe Verfügbarkeit zu erreichen. Lösungen wie Datenbankspiegelung und Always On werden von Azure AD Connect nicht unterstützt.

Weitere Informationen zur Einrichtung eines hochverfügbaren Azure AD Connect-Synchronisierungsservers sowie zur Wiederherstellung nach einem Ausfall finden Sie unter Azure AD Connect Sync: Operative Aufgaben und Überlegungen – Notfallwiederherstellung.

Überlegungen zur Verwaltbarkeit

Es gibt zwei Aspekte für das Verwalten von Azure AD:

  • Verwalten von Azure AD in der Cloud
  • Verwalten der Azure AD Connect-Synchronisierungsserver

Azure AD bietet die folgenden Optionen zum Verwalten von Domänen und Verzeichnissen in der Cloud:

  • Azure Active Directory-PowerShell-Modul. Verwenden Sie dieses Modul, wenn Sie allgemeine Azure AD-Verwaltungsaufgaben wie Benutzerverwaltung, Domänenverwaltung und Konfigurieren von einmaligem Anmelden mit Skripts ausführen müssen.
  • Blatt für Azure AD-Verwaltung im Azure-Portal. Dieses Blatt enthält eine interaktive Verwaltungsansicht des Verzeichnisses und ermöglicht es Ihnen, die meisten Aspekte von Azure AD zu steuern und zu konfigurieren.

Mit Azure AD Connect werden die folgenden Tools installiert, um Azure AD Connect-Synchronisierungsdienste über Ihre lokalen Computer verwalten zu können:

  • Microsoft Azure Active Directory Connect-Konsole Mit diesem Tool können Sie die Konfiguration des Azure AD Sync-Servers ändern, anpassen, wie die Synchronisierung erfolgt, den Stagingmodus aktivieren oder deaktivieren und den Benutzeranmeldemodus wechseln. Sie können die Active Directory FS-Anmeldung mit Ihrer lokalen Infrastruktur aktivieren.
  • Synchronization Service Manager. Verwenden Sie die Registerkarte Vorgänge in diesem Tool, um den Synchronisierungsprozess zu verwalten und zu erkennen, ob irgendwelche Teile des Prozesses fehlgeschlagen sind. Mit diesem Tool können Sie Synchronisierungen manuell auslösen. Auf der Registerkarte Connectors können Sie die Verbindungen für die Domänen steuern, denen das Synchronisierungsmodul zugewiesen ist.
  • Synchronisierungsregel-Editor. Mit diesem Tool können Sie die Art und Weise anpassen, wie Objekte transformiert werden, wenn sie zwischen einem lokalen Verzeichnis und Azure AD kopiert werden. Das Tool ermöglicht es Ihnen, weitere Attribute und Objekte für die Synchronisierung anzugeben und dann Filter auszuführen, mit denen bestimmt wird, welche Objekte synchronisiert oder nicht synchronisiert werden sollen. Weitere Informationen hierzu finden Sie im Abschnitt „Synchronisierungsregel-Editor“ des Dokuments Azure AD Connect-Synchronisierung: Grundlegendes zur Standardkonfiguration.

Weitere Informationen und Tipps zur Verwaltung von Azure AD Connect finden Sie unter Azure AD Connect-Synchronisierung: Bewährte Methoden zum Ändern der Standardkonfiguration.

Sicherheitshinweise

Verwenden Sie bedingte Zugriffssteuerung, um Authentifizierungsanforderungen von unerwarteten Quellen abzulehnen:

  • Lösen Sie Azure Active Directory Multi-Factor Authentication (MFA) aus, wenn ein Benutzer versucht, eine Verbindung von einem nicht vertrauenswürdigen Standort herzustellen, etwa über das Internet anstelle eines vertrauenswürdigen Netzwerks.

  • Verwenden Sie den Geräteplattformtyp des Benutzers (iOS, Android, Windows Mobile, Windows), um die Richtlinie für Zugriff auf Anwendungen und Funktionen zu bestimmen.

  • Speichern Sie für die Geräte der Benutzer den Status „Aktiviert/Deaktiviert“, und integrieren Sie diese Informationen in die Zugriffsrichtlinienüberprüfungen. Hat ein Benutzer z.B. sein Smartphone verloren, oder wurde es ihm gestohlen, sollte es als „Deaktiviert“ gespeichert werden, um zu verhindern, dass mit ihm Zugriff erlangt werden kann.

  • Steuern Sie Benutzerzugriff auf Ressourcen anhand von Gruppenmitgliedschaften. Verwenden Sie Azure AD-Regeln für dynamische Mitgliedschaft, um eine Gruppenverwaltung zu vereinfachen. Eine kurze Übersicht, wie dies funktioniert, finden Sie unter Azure AD: Introduction to Dynamic Memberships for Groups (Azure AD: Einführung in dynamische Mitgliedschaften für Gruppen).

  • Verwenden Sie Risikorichtlinien zum bedingten Zugriff mit Azure AD Identity Protection,um erweiterten Schutz basierend auf ungewöhnlichen Anmeldeaktivitäten oder anderen Ereignissen zu bieten.

Weitere Informationen hierzu finden Sie unter Bedingter Zugriff mit Azure Active Directory.

Überlegungen zu DevOps

Überlegungen zu DevOps finden Sie unter DevOps: Erweitern von Active Directory Domain Services (AD DS) auf Azure.

Azure AD Connect

Die Synchronisierungsfunktion von Azure AD Connect ist in allen Editionen von Azure Active Directory verfügbar.

Virtuelle Computer (VMs) für eine n-schichtige Anwendung

Kosteninformationen zu diesen Ressourcen finden Sie unter Ausführen von VMs für eine N-Tier Architektur.

Preise

Verwenden Sie den Azure-Preisrechner, um die voraussichtlichen Kosten zu ermitteln.

Nächste Schritte