Hybrididentität

  • 10 Minuten

Tailwind Traders hat Active Directory Domain Services (AD DS) als lokalen Identitätsanbieter in der lokalen Netzwerkumgebung des Unternehmens seit der Migration von Windows NT 4.0 in den frühen 2000er Jahren verwendet. Viele vorhandene Tailwind Traders-Anwendungen weisen eine Abhängigkeit von Active Directory auf. Bei einigen dieser Anwendungen besteht eine einfache Abhängigkeit von Active Directory als Identitätsanbieter. Andere weisen tiefere Abhängigkeiten auf, z. B. komplexe Gruppenrichtlinien-Anforderungen, benutzerdefinierte Domänenpartitionen und benutzerdefinierte Schemaerweiterungen.

Da Tailwind Traders mit dem Auslagern einiger Ressourcen und der Entwicklung neuer Anwendungen in Azure beginnt, möchte das Unternehmen den Aufbau einer parallelen Identitätslösung vermeiden, für die separate Anmeldinformationen für lokale und Cloudressourcen erforderlich wären.

In dieser Einheit erfahren Sie mehr über die verschiedenen Möglichkeiten der Implementierung von Hybrididentität.

Bereitstellen von Domänencontrollern in Azure

Die einfachste Möglichkeit, dieselbe AD DS-Umgebung in Azure bereitzustellen, die eine Organisation auch lokal nutzt, ist folgende:

  1. Stellen Sie ein AD DS-Domänencontrollerpaar in einem Subnetz in einem virtuellen Netzwerk in Azure bereit.

  2. Verbinden Sie dieses virtuelle Netzwerk mit dem lokalen Netzwerk.

  3. Konfigurieren Sie dieses Subnetz als neuen AD DS-Standort, wie im folgenden Bild gezeigt wird.

    Diagram that shows replication of an on-premises identity hosted in Active Directory Domain Services to Microsoft Entra ID.

Eine andere Möglichkeit besteht darin, die in der Cloud gehostete AD DS-Domäne als untergeordnete Domäne der Gesamtstruktur der lokalen Domäne zu konfigurieren. Eine zusätzliche Option besteht in der Konfiguration der AD DS-Domänencontroller, die in der Cloud ausgeführt werden, als separate Gesamtstruktur, die über eine Vertrauensstellung mit der lokalen Gesamtstruktur verfügt. Das folgende Bild zeigt die Topologie dieser Ressourcengesamtstruktur.

Diagram that shows on-premises AD DS configured in a trust relationship with an AD DS deployment hosted on an Azure subnet.

Wenn Organisationen Domänencontroller auf VMs in Azure bereitstellen, können diese Organisationen anschließend Workloads bereitstellen, für die eine direkte Sichtlinie zu einem Domänencontroller in demselben Azure Virtual Network-Subnetz erforderlich ist, in dem die Domänencontroller-VMs bereitgestellt wurden. Dies ist ein konzeptionell einfaches Hybrid Cloud-Modell für viele Organisationen, da Azure-Rechenzentren als Active Directory-Remotestandorte behandelt werden.

Abhängig von den Anwendungsanforderungen kann für Tailwind Traders das Erweitern der lokalen Active Directory-Domäne oder -Gesamtstruktur des Unternehmens in Azure hinein ausreichend sein. Der Nachteil beim Bereitstellen dieser Option ist, dass VMs, die die gesamte Zeit hindurch ausgeführt werden, mit entsprechenden laufenden Kosten einhergehen.

Was ist Microsoft Entra Connect?

Microsoft Entra Connect (ehemals Azure AD Connect) ermöglicht es Organisationen, die in ihrer lokalen Active Directory-Instanz vorhandenen Identitäten mit Microsoft Entra ID (ehemals Azure AD) zu synchronisieren. Auf diese Weise können Sie die gleiche Identität für Cloudressourcen und lokale Ressource verwenden. Microsoft Entra Connect wird am häufigsten verwendet, wenn Organisationen Microsoft 365 einführen, um für Anwendungen wie Microsoft SharePoint und Exchange, die in der Cloud ausgeführt werden, den Zugriff über lokale Anwendungen zu ermöglichen.

Wenn Tailwind Traders plant, Microsoft 365-Technologien wie Exchange Online oder Microsoft Teams zu einzuführen, muss das Unternehmen Microsoft Entra Connect konfigurieren, um Identitäten von der lokalen AD DS-Umgebung in Azure zu replizieren. Wenn das Unternehmen ohne die Bereitstellung von AD DS-Domänencontrollern auf VMs darüber hinaus lokale Identitäten mit Anwendungen in Azure verwenden möchte, muss es außerdem Microsoft Entra Connect bereitstellen.

Was ist Microsoft Entra Domain Services?

Sie können Microsoft Entra Domain Services verwenden, um eine Microsoft Entra-Domäne in ein virtuelles Azure-Subnetz zu projizieren. Wenn Sie dies umsetzen, werden Dienste wie Domänenbeitritt, Gruppenrichtlinie, LDAP (Lightweight Directory Access Protocol) sowie Kerberos- und NTLM-Authentifizierung für jede im Subnetz bereitgestellte VM verfügbar.

Mithilfe von Microsoft Entra Domain Services haben Sie die Möglichkeit, VMs eine einfache verwaltete Active Directory-Umgebung zur Verfügung zu stellen, ohne sich Gedanken über die Verwaltung, Wartung und Bezahlung der VMs zu machen, die als Domänencontroller ausgeführt werden. Zudem können Sie über Microsoft Entra Domain Services lokale Identitäten über Microsoft Entra Connect zur Interaktion mit VMs verwenden, die in einem speziell konfigurierten Subnetz des virtuellen Azure-Netzwerks ausgeführt werden.

Ein Nachteil von Microsoft Entra Domain Services ist, dass die Gruppenrichtlinienimplementierung nur sehr grundlegend vorhanden ist. Der Dienst beinhaltet eine festgelegte Menge an Richtlinien und bietet keine Möglichkeit, Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) zu erstellen. Zwar sind die lokal verwendeten Identitäten in Azure verfügbar, aber keine der lokal konfigurierten Richtlinien.

Für Tailwind Traders stellt die Microsoft Entra Domain Services-Option einen guten Mittelweg für hybride Workloads dar. Der Dienst ermöglicht die Verwendung von in die Domäne eingebundenen Identitäten und eine ausreichende Möglichkeit der Gruppenrichtlinienkonfiguration. Allerdings werden keine Anwendungen unterstützt, für die komplexe Active Directory-Funktionen erforderlich sind, z. B. benutzerdefinierte Domänenpartitionen und Schemaerweiterungen.

Überprüfen Sie Ihr Wissen

1.

Unter den VMs, für die Tailwind Traders die Migration aus dem Rechenzentrum in Auckland plant, weisen mehrere Hostanwendungen Abhängigkeiten von AD DS auf, die mehrere benutzerdefinierte Schemaerweiterungen und die Verwendung mehrerer benutzerdefinierter AD DS-Partitionen beinhalten. Welche der folgenden hybriden Identitätslösungen könnte das Unternehmen verwenden, um diese Anwendungen zu unterstützen, wenn die VMs, auf denen die Anwendungen gehostet werden, migriert werden, um als IaaS-VMs (Infrastructure-as-a-Service) in Azure ausgeführt zu werden?

2.

Eine Tailwind Traders-Niederlassung stellt eine Reihe von IaaS-VMs mit Windows Server 2022 in einem Subnetz in einem virtuellen Azure-Netzwerk bereit. Dieses virtuelle Netzwerk ist mit einem separaten Abonnement und Microsoft Entra-Mandanten verbunden. Diese Computer müssen aus Sicherheits- und Identitätsgründen in die Domäne eingebunden werden, erfordern jedoch keine komplexe Konfiguration von Gruppenrichtlinien. Für diese VMs sind keine Identitäten erforderlich, die mit lokalen Tailwind Traders-AD DS-Instanzen synchronisiert werden. Sie möchten die Anzahl der VMs minimieren, die Sie zum Erreichen dieses Ziels bereitstellen. Welche der folgenden Lösungen ist geeignet?