Leitfaden zur Entscheidungsfindung für die IdentitätsverwaltungIdentity decision guide

In allen Umgebungen, seien es lokale, Hybrid- oder reine Cloudumgebungen, muss die IT-Abteilung genau bestimmen, welche Administratoren, Benutzer und Gruppen Zugriff auf Ressourcen haben.In any environment, whether on-premises, hybrid, or cloud-only, IT needs to control which administrators, users, and groups have access to resources. Dienste für die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) ermöglichen Ihnen das Verwalten der Zugriffssteuerung in der Cloud.Identity and access management (IAM) services enable you to manage access control in the cloud.

Abbildung der Identitätsoptionen mit zunehmender Komplexität entsprechend den nachstehenden weiterführenden Links

Wechseln Sie zu: Bestimmen der Anforderungen an die Identitätsintegration | Reine Cloudlösung | Verzeichnissynchronisierung | In der Cloud gehostete Domänendienste | Active Directory-Verbunddienste (AD FS) | Weitere InformationenJump to: Determine identity integration requirements | Cloud baseline | Directory synchronization | Cloud-hosted domain services | Active Directory Federation Services | Learn more

Für die Identitätsverwaltung in einer Cloudumgebung stehen verschiedene Optionen zur Verfügung.Several options are available for managing identity in a cloud environment. Diese variieren in Bezug auf Kosten und Komplexität.These options vary in cost and complexity. Ein wesentlicher Faktor bei der Strukturierung Ihrer cloudbasierten Identitätsverwaltungsdienste ist der Grad der Integration in Ihre bestehende lokale Identitätsverwaltungsinfrastruktur.A key factor in structuring your cloud-based identity services is the level of integration required with your existing on-premises identity infrastructure.

Azure Active Directory (Azure AD) bietet eine grundlegende Zugriffssteuerung und Identitätsverwaltung für Azure-Ressourcen.Azure Active Directory (Azure AD) provides a base level of access control and identity management for Azure resources. Wenn die lokale Active Directory-Infrastruktur Ihrer Organisation eine komplexe Gesamtstruktur oder angepasste Organisationseinheiten aufweist, ist für Ihre cloudbasierten Workloads ggf. eine Verzeichnissynchronisierung mit Azure AD erforderlich, um einen einheitlichen Satz von Identitäten, Gruppen und Rollen zwischen der lokalen und der cloudbasierten Umgebung zu gewährleisten.If your organization's on-premises Active Directory infrastructure has a complex forest structure or customized organizational units (OUs), your cloud-based workloads might require directory synchronization with Azure AD for a consistent set of identities, groups, and roles between your on-premises and cloud environments. Darüber hinaus kann die Unterstützung von Anwendungen, die von veralteten Authentifizierungsmechanismen abhängen, ggf. die Bereitstellung von Active Directory Domain Services (AD DS) in der Cloud erfordern.Additionally, support for applications that depend on legacy authentication mechanisms might require the deployment of Active Directory Domain Services (AD DS) in the cloud.

Die cloudbasierte Identitätsverwaltung ist ein iterativer Prozess.Cloud-based identity management is an iterative process. Sie können für eine erste Bereitstellung mit einer cloudnativen Lösung mit einer kleinen Anzahl von Benutzern und entsprechenden Rollen beginnen.You could start with a cloud-native solution with a small set of users and corresponding roles for an initial deployment. Im Laufe der Migration müssen Sie Ihre Identitätslösung unter Umständen mithilfe der Verzeichnissynchronisierung integrieren oder Domänendienste im Rahmen Ihrer Cloudbereitstellungen hinzufügen.As your migration matures, you might need to integrate your identity solution using directory synchronization or add domains services as part of your cloud deployments. Überprüfen Sie Ihre Identitätsstrategie bei jeder Iteration Ihres Migrationsprozesses.Revisit your identity strategy in every iteration of your migration process.

Bestimmen der Anforderungen an die IdentitätsintegrationDetermine identity integration requirements

FrageQuestion Reine CloudlösungCloud baseline VerzeichnissynchronisierungDirectory synchronization In der Cloud gehostete DomänendiensteCloud-hosted domain services Active Directory-Verbunddienste (AD FS)Active Directory Federation Services
Fehlt Ihnen derzeit ein lokaler Verzeichnisdienst?Do you currently lack an on-premises directory service? JaYes NeinNo NeinNo NeinNo
Benötigen Ihre Workloads einen gemeinsamen Satz von Benutzern und Gruppen zwischen der Cloud und der lokalen Umgebung?Do your workloads need to use a common set of users and groups between the cloud and on-premises environment? NeinNo JaYes NeinNo NeinNo
Sind Ihre Workloads von veralteten Authentifizierungsmechanismen wie Kerberos oder NTLM abhängig?Do your workloads depend on legacy authentication mechanisms, such as Kerberos or NTLM? NeinNo NeinNo JaYes JaYes
Wird einmaliges Anmelden über mehrere Identitätsanbieter benötigt?Do you require single sign-on across multiple identity providers? NeinNo NeinNo NeinNo JaYes

Im Rahmen der Planung Ihrer Migration zu Azure müssen Sie entscheiden, wie Sie Ihre bestehenden Identitätsverwaltungs- und Cloudidentitätsdienste am besten integrieren.As part of planning your migration to Azure, you will need to determine how best to integrate your existing identity management and cloud identity services. Es folgen gängige Integrationsszenarien.The following are common integration scenarios.

Reine CloudlösungCloud baseline

Azure AD ist das native IAM-System, mit dem Sie Benutzern und Gruppen den Zugriff auf Verwaltungsfunktionen der Azure-Plattform erteilen können.Azure AD is the native identity and access management (IAM) system for granting users and groups access to management features on the Azure platform. Wenn es in Ihrem Unternehmen keine nennenswerte lokale Identitätsverwaltungslösung gibt und Sie planen, Workloads so zu migrieren, dass sie mit cloudbasierten Authentifizierungsmechanismen kompatibel sind, sollten Sie mit der Entwicklung Ihrer Identitätsinfrastruktur mit Azure AD als Basis beginnen.If your organization lacks a significant on-premises identity solution, and you plan to migrate workloads to be compatible with cloud-based authentication mechanisms, you should begin developing your identity infrastructure using Azure AD as a base.

Annahmen für eine reine Cloudlösung: Für den Einsatz einer rein cloudbasierten Identitätsinfrastruktur wird Folgendes angenommen:Cloud baseline assumptions: Using a purely cloud-native identity infrastructure assumes the following:

  • Ihre cloudbasierten Ressourcen weisen keine Abhängigkeiten von lokalen Verzeichnisdiensten oder Active Directory-Servern auf, oder Workloads können so geändert werden, dass diese Abhängigkeiten entfallen.Your cloud-based resources will not have dependencies on on-premises directory services or Active Directory servers, or workloads can be modified to remove those dependencies.
  • Die zu migrierenden Anwendungs- oder Dienstworkloads unterstützen entweder Authentifizierungsmechanismen, die mit Azure AD kompatibel sind, oder können problemlos so geändert werden, dass diese unterstützt werden.The application or service workloads being migrated either support authentication mechanisms compatible with Azure AD or can be modified easily to support them. Azure AD greift auf internetfähige Authentifizierungsmechanismen wie SAML, OAuth und OpenID Connect zurück.Azure AD relies on internet-ready authentication mechanisms such as SAML, OAuth, and OpenID Connect. Bestehende Workloads, die von veralteten Authentifizierungsmethoden mit Protokollen wie Kerberos oder NTLM abhängen, müssen vor der Migration in die Cloud ggf. gemäß dem Cloudbasismuster angepasst werden.Existing workloads that depend on legacy authentication methods using protocols such as Kerberos or NTLM might need to be refactored before migrating to the cloud using the cloud baseline pattern.

Tipp

Durch die vollständige Migration Ihrer Identitätsdienste zu Azure AD entfällt die Notwendigkeit, Ihre eigene Identitätsinfrastruktur zu pflegen, wodurch Ihre IT-Verwaltung erheblich vereinfacht wird.Completely migrating your identity services to Azure AD eliminates the need to maintain your own identity infrastructure, significantly simplifying your IT management.

Azure AD ist jedoch kein vollständiger Ersatz für eine herkömmliche lokale Active Directory-Infrastruktur.But Azure AD is not a full replacement for a traditional on-premises Active Directory infrastructure. Verzeichnisfunktionen, z. B. veraltete Authentifizierungsmethoden, Computerverwaltung oder Gruppenrichtlinien, sind unter Umständen nicht ohne Bereitstellung zusätzlicher Tools oder Dienste in der Cloud verfügbar.Directory features such as legacy authentication methods, computer management, or group policy might not be available without deploying additional tools or services to the cloud.

Wenn Sie Ihre lokalen Identitäten oder Domänendienste in Ihre Cloudbereitstellungen integrieren müssen, finden Sie weitere Informationen in den Mustern zur Verzeichnissynchronisierung und zu den von der Cloud gehosteten Domänendiensten, die im Folgenden erläutert werden.For scenarios where you need to integrate your on-premises identities or domain services with your cloud deployments, see the directory synchronization and cloud-hosted domain services patterns discussed below.

VerzeichnissynchronisierungDirectory synchronization

Für Organisationen mit einer bestehenden lokalen Active Directory-Infrastruktur ist die Verzeichnissynchronisierung oft die beste Lösung, um die bestehende Benutzer- und Zugriffsverwaltung aufrechtzuerhalten und gleichzeitig die erforderlichen IAM-Funktionen für die Verwaltung von Cloudressourcen bereitzustellen.For organizations with existing on-premises Active Directory infrastructure, directory synchronization is often the best solution for preserving existing user and access management while providing the required IAM capabilities for managing cloud resources. Bei diesem Prozess werden Verzeichnisinformationen kontinuierlich zwischen Azure AD und lokalen Verzeichnisdiensten repliziert, wodurch gemeinsame Anmeldeinformationen für Benutzer und ein einheitliches Identitäts-, Rollen- und Berechtigungssystem in der gesamten Organisation ermöglicht werden.This process continuously replicates directory information between Azure AD and on-premises directory services, allowing common credentials for users and a consistent identity, role, and permission system across your entire organization.

Hinweis

Organisationen, die Microsoft 365 eingeführt haben, haben unter Umständen bereits die Verzeichnissynchronisierung zwischen ihrer lokalen Active Directory-Infrastruktur und Azure Active Directory eingerichtet.Organizations that have adopted Microsoft 365 might have already implemented directory synchronization between their on-premises Active Directory infrastructure and Azure Active Directory.

Annahmen zur Verzeichnissynchronisierung: Für den Einsatz einer synchronisierten Identitätslösung wird Folgendes angenommen:Directory synchronization assumptions: Using a synchronized identity solution assumes the following:

  • Sie benötigen in Ihrer Cloud- und lokalen IT-Infrastruktur einen gemeinsamen Satz von Benutzerkonten und -gruppen.You need to maintain a common set of user accounts and groups across your cloud and on-premises IT infrastructure.
  • Ihre lokalen Identitätsdienste unterstützen die Replikation mit Azure AD.Your on-premises identity services support replication with Azure AD.

Tipp

Alle cloudbasierten Workloads, die von veralteten Authentifizierungsmechanismen abhängen, welche von lokalen Servern mit Active Directory und nicht von Azure AD unterstützt werden, erfordern weiterhin entweder eine Verbindung mit lokalen Domänendiensten oder virtuellen Servern in der Cloudumgebung, die diese Dienste bereitstellen.Any cloud-based workloads that depend on legacy authentication mechanisms provided by on-premises Active Directory servers and that are not supported by Azure AD will still require either connectivity to on-premises domain services or virtual servers in the cloud environment providing these services. Bei Nutzung lokaler Identitätsdienste entstehen auch Abhängigkeiten von der Konnektivität zwischen der Cloud und lokalen Netzwerken.Using on-premises identity services also introduces dependencies on connectivity between the cloud and on-premises networks.

In der Cloud gehostete DomänendiensteCloud-hosted domain services

Angenommen, Sie haben Workloads, die von einer anspruchsbasierten Authentifizierung mit älteren Protokollen wie Kerberos oder NTLM abhängen, und diese Workloads können nicht so angepasst werden, dass sie moderne Authentifizierungsprotokolle wie SAML oder OAuth und OpenID Connect unterstützen. In diesem Fall müssen Sie im Rahmen Ihrer Cloudbereitstellung einige Ihrer Domänendienste unter Umständen zur Cloud migrieren.If you have workloads that depend on claims-based authentication using legacy protocols such as Kerberos or NTLM, and those workloads cannot be refactored to accept modern authentication protocols such as SAML or OAuth and OpenID Connect, you might need to migrate some of your domain services to the cloud as part of your cloud deployment.

Dieses Muster erfordert die Bereitstellung virtueller Computer mit ausgeführtem Active Directory in Ihren cloudbasierten virtuellen Netzwerken, um Active Directory Domain Services (AD DS) für Ressourcen in der Cloud bereitzustellen.This pattern involves deploying virtual machines running Active Directory to your cloud-based virtual networks to provide Active Directory Domain Services (AD DS) for resources in the cloud. Alle bestehenden Anwendungen und Dienste, die in Ihr Cloudnetzwerk migrieren, sollten in der Lage sein, nach geringfügigen Änderungen diese von der Cloud gehosteten Verzeichnisserver zu nutzen.Any existing applications and services migrating to your cloud network should be able to use these cloud-hosted directory servers with minor modifications.

Es ist wahrscheinlich, dass Ihre bestehenden Verzeichnisse und Domänendienste weiterhin in Ihrer lokalen Umgebung verwendet werden.It's likely that your existing directories and domain services will continue to be used in your on-premises environment. In diesem Szenario sollten Sie auch die Verzeichnissynchronisierung verwenden, um einen gemeinsamen Satz von Benutzern und Rollen sowohl in der Cloudumgebung als auch in der lokalen Umgebung bereitzustellen.In this scenario, you should also use directory synchronization to provide a common set of users and roles in both the cloud and on-premises environments.

Annahmen für in der Cloud gehostete Domänendienste: Für eine Verzeichnismigration wird Folgendes angenommen:Cloud-hosted domain services assumptions: Performing a directory migration assumes the following:

  • Ihre Workloads hängen von der anspruchsbasierten Authentifizierung mit Protokollen wie Kerberos oder NTLM ab.Your workloads depend on claims-based authentication using protocols like Kerberos or NTLM.
  • Die virtuellen Computer Ihrer Workloads müssen für die Verwaltung oder Anwendung von Active Directory-Gruppenrichtlinien der Domäne beitreten.Your workload virtual machines need to be domain-joined for management or application of Active Directory group policy purposes.

Tipp

Während eine Verzeichnismigration in Verbindung mit in der Cloud gehosteten Domänendiensten eine große Flexibilität bei der Migration bestehender Workloads bietet, erhöht das Hosting virtueller Computer in Ihrem virtuellen Cloudnetzwerk zur Bereitstellung dieser Dienste die Komplexität Ihrer IT-Verwaltungsaufgaben.While a directory migration coupled with cloud-hosted domain services provides great flexibility when migrating existing workloads, hosting virtual machines within your cloud virtual network to provide these services does increase the complexity of your IT management tasks. Mit zunehmender Erfahrung mit der Migration in die Cloud sollten Sie den langfristigen Wartungsbedarf für das Hosting dieser Server untersuchen.As your cloud migration experience matures, examine the long-term maintenance requirements of hosting these servers. Prüfen Sie, ob die Anpassung bestehender Workloads aus Gründen der Kompatibilität mit Cloudidentitätsanbietern wie Azure Active Directory den Bedarf an diesen in der Cloud gehosteten Servern verringern kann.Consider whether refactoring existing workloads for compatibility with cloud identity providers such as Azure Active Directory can reduce the need for these cloud-hosted servers.

Active Directory-Verbunddienste (AD FS)Active Directory Federation Services

Über den Identitätsverbund werden Vertrauensbeziehungen zwischen mehreren Identitätsverwaltungssystemen aufgebaut, um gemeinsame Authentifizierungs- und Autorisierungsfunktionen zu ermöglichen.Identity federation establishes trust relationships across multiple identity management systems to allow common authentication and authorization capabilities. Sie können dann Funktionen für einmaliges Anmelden in mehreren Domänen innerhalb Ihrer Organisation oder Identitätssysteme unterstützen, die von Ihren Kunden oder Geschäftspartnern verwaltet werden.You can then support single sign-on capabilities across multiple domains within your organization or identity systems managed by your customers or business partners.

Azure AD unterstützt den Verbund lokaler Active Directory-Domänen mithilfe von Active Directory-Verbunddienste (AD FS).Azure AD supports federation of on-premises Active Directory domains using Active Directory Federation Services (AD FS). Weitere Informationen dazu, wie dies in Azure implementiert werden kann, finden Sie unter Erweitern von Active Directory Federation Services (AD FS) auf Azure.For more information about how this can be implemented in Azure, see Extend AD FS to Azure.

Weitere InformationenLearn more

Weitere Informationen über Identitätsdienste in Azure finden Sie unter:For more information about identity services in Azure, see:

  • Azure AD.Azure AD. Azure AD bietet cloudbasierte Identitätsdienste.Azure AD provides cloud-based identity services. Es ermöglicht Ihnen die Verwaltung des Zugriffs auf Ihre Azure-Ressourcen und das Steuern der Identitätsverwaltung, Geräteregistrierung, Benutzerbereitstellung, Anwendungszugriffssteuerung und Datensicherung.It allows you to manage access to your Azure resources and control identity management, device registration, user provisioning, application access control, and data protection.
  • Azure AD Connect.Azure AD Connect. Mit dem Tool Azure AD Connect können Sie Azure AD-Instanzen mit Ihren bestehenden Identitätsverwaltungslösungen verbinden und so Ihr bestehendes Verzeichnis in der Cloud synchronisieren.The Azure AD Connect tool allows you to connect Azure AD instances with your existing identity management solutions, allowing synchronization of your existing directory in the cloud.
  • Rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure RBAC):Azure role-based access control (Azure RBAC). Azure RBAC ermöglicht eine effiziente und sichere Verwaltung des Zugriffs auf Ressourcen auf Verwaltungsebene.Azure RBAC efficiently and securely manages access to resources in the management plane. Aufträge und Aufgaben sind in Rollen organisiert und Benutzer diesen Rollen zugewiesen.Jobs and responsibilities are organized into roles, and users are assigned to these roles. Mit Azure RBAC können Sie steuern, wer Zugriff auf eine Ressource hat und welche Aktionen ein Benutzer für diese Ressource ausführen kann.Azure RBAC allows you to control who has access to a resource along with which actions a user can perform on that resource.
  • Azure AD Privileged Identity Management (PIM).Azure AD Privileged Identity Management (PIM). PIM reduziert die Offenlegungszeit von Ressourcenzugriffsrechten und verschafft Ihnen durch Berichte und Warnungen einen besseren Überblick über deren Nutzung.PIM lowers the exposure time of resource access privileges and increases your visibility into their use through reports and alerts. Hierfür werden Benutzern Beschränkungen auferlegt, indem ihnen Berechtigungen nur gemäß des Just-in-Time-Prinzips (JIT) zugeteilt oder nur für eine kurze Dauer zugewiesen und danach automatisch widerrufen werden.It limits users to taking on their privileges "just in time" (JIT), or by assigning privileges for a shorter duration, after which privileges are revoked automatically.
  • Integrieren lokaler Active Directory-Domänen in Azure Active Directory.Integrate on-premises Active Directory domains with Azure Active Directory. Diese Referenzarchitektur bietet ein Beispiel für die Verzeichnissynchronisierung zwischen lokalen Active Directory-Domänen und Azure AD.This reference architecture provides an example of directory synchronization between on-premises Active Directory domains and Azure AD.
  • Erweitern von Active Directory Domain Services (AD DS) auf Azure.Extend Active Directory Domain Services (AD DS) to Azure. Diese Referenzarchitektur bietet ein Beispiel für den Einsatz von AD DS-Servern zur Erweiterung von Domänendiensten auf cloudbasierte Ressourcen.This reference architecture provides an example of deploying AD DS servers to extend domain services to cloud-based resources.
  • Erweitern von Active Directory Federation Services (AD FS) auf Azure.Extend Active Directory Federation Services (AD FS) to Azure. In dieser Referenzarchitektur wird Active Directory-Verbunddienste (AD FS) konfiguriert, um Authentifizierung und Autorisierung im Verbund mit Ihrem Azure AD-Verzeichnis durchzuführen.This reference architecture configures Active Directory Federation Services (AD FS) to perform federated authentication and authorization with your Azure AD directory.

Nächste SchritteNext steps

„Identität“ ist nur eine der Kernkomponenten der Infrastruktur, die architekturspezifische Entscheidungen während eines Cloudeinführungsprozesses erfordert.Identity is just one of the core infrastructure components requiring architectural decisions during a cloud adoption process. Navigieren Sie zur Übersicht über Leitfäden zur architekturbezogenen Entscheidungsfindung, um mehr über alternative Muster oder Modelle zu erfahren, die bei Entwurfsentscheidungen für andere Arten von Infrastrukturen verwendet werden.To learn about alternative patterns or models used when making design decisions for other types of infrastructure, see the architectural decision guides overview.