Suchen

Authentifizierung On-Premises und in der Cloud Active Directory und Azure Active Directory im Vergleich

Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Microsoft bietet mit Azure Active Directory einen Verzeichnisdienst für die Cloud an. Auch wenn der Name ähnlich zu Active Directory ist, sind die Unterschiede gravierend.

Firma zum Thema

Die Active Directory Domain Services (ADDS) und Azure Active Directory (AAD) haben vieles gemeinsam – unterscheiden sich aber auch deutlich!
Die Active Directory Domain Services (ADDS) und Azure Active Directory (AAD) haben vieles gemeinsam – unterscheiden sich aber auch deutlich!
(Bild: © wladimir1804 - stock.adobe.com)

Der maßgebliche Unterschied von Active Directory Domain Services (ADDS) und Azure Active Directory (AAD) liegt zunächst darin, dass ADDS über Domänencontroller im lokalen Netzwerk (On-Premises) zur Verfügung gestellt wird, während es sich bei Azure Active Directory (AAD) um einen Clouddienst handelt.

Wer ein Active Directory im Unternehmen bereitstellen will, braucht einen physischen oder virtuellen Server pro Domäne. Soll die Domäne ausfallsicher konfiguriert werden, sind mehrere Server notwendig. Außerdem muss die Active Directory-Gesamtstruktur (Forest) durch einen Administrator installiert und eingerichtet werden.

Bildergalerie
Bildergalerie mit 8 Bildern

Parallel gibt es noch die Azure AD Domain Services, die ähnliche Funktionen bieten, wie Active Directory in lokalen Rechenzentren. Dazu werden in Azure aber keine Domänencontroller betrieben, sondern auch bei diesem Dienst handelt es sich um einen verwalteten Cloud-Dienst.

Einstieg in Azure AD und Active Directory

Azure Active Directory (AAD, Azure AD) benötigt keine eigenen Server, sondern wird von Microsoft als verwalteter Cloud-Dienst in Form von Identity as a Service (IDAaaS) zur Verfügung gestellt. Dabei handelt es sich im Grunde genommen um einen PaaS-Dienst. Active Directory hat die Authentifizierung von Serverdiensten im Rechenzentrum im Fokus. Der Dienst wurde nicht dafür entwickelt, um mit den Herausforderungen der Authentifizierung bei Cloud-Diensten zurecht zu kommen.

Dazu hat Microsoft Azure Active Directory entwickelt – der Cloud-Dienst ist darauf spezialisiert, Cloud- und Webdienste zu authentifizieren. Für den Betrieb von AAD wird kein eigener Domänencontroller installiert oder betrieben, sondern Unternehmen buchen den Dienst und nutzen diesen anschließend für die Authentifizierung in Azure und anderen Diensten. Mit Azure AD lassen sich Single-Sign-On-Szenarien sehr leicht umsetzen. Wer sich einmal an Azure AD angemeldet hat, kann die angebundenen Clouddienste ohne weitere Anmeldung nutzen, wenn er die Berechtigungen dazu hat.

Unterschiedliche Protokolle zur Authentifizierung

In lokalen Active-Directory-Umgebungen (ADDS) werden vor allem LDAP, Windows-integrierte Authentifizierung, NTL und Kerberos verwendet. Beim Einsatz vom AAD kommen OAuth2 und SAML zum Einsatz. Die generelle Unterscheidung in Benutzerkonten und Gruppen gibt es in AD und in Azure AD. Sicherheitsfunktionen wie Multifaktor-Authentifizierung können in Azure AD einfacher implementiert werden, da die entsprechenden Techniken bereits integriert sind.

Administratoren können in AD und in Azure AD Gruppenmitgliedschaften steuern und auf Basis dieser Berechtigungen vergeben. Azure AD bietet in dieser Hinsicht mehr Flexibilität und kann Berechtigungen einfacher steuern, auch zwischen verschiedenen Cloud-Ressourcen.

Computer, Smartphones und Tablets anbinden und verwalten

Active Directory unterstützt nativ keine Anbindung und Verwaltung von Smartphones und Tablets. Hier werden in den meisten Fällen Tools von Drittherstellern benötigt. Azure Active Directory ist direkt mit Microsoft Intune verbunden und bietet daher schon von Haus aus Funktionen für die Verwaltung und Anbindung von modernen Geräten.

Im Fokus von Active Directory stehen Desktop-Computer und lokale Server. Diese Geräte können aber ebenfalls Bestandteil in Azure AD werden und profitieren von den Funktionen aus Microsoft Intune. Allerdings bietet nur Active Directory Unterstützung für Gruppenrichtlinien. Die Gruppenrichtlinienfunktion gibt es in Azure AD nicht. In Azure gibt es zwar ebenfalls Richtlinien, allerdings sind diese nicht kompatibel mit Gruppenrichtlinien. Unternehmen, die auf Azure AD und auf Active Directory setzen, müssen also zwei Richtlinien-Infrastrukturen aufbauen, die unterschiedliche Ansätze verfolgen und damit verschiedene Einstellungen unterstützen.

Verwaltungswerkzeuge unterscheiden sich

Die Verwaltung von AAD erfolgt entweder im Azure-Portal oder mit der PowerShell. Die grafischen Verwaltungstools zur Verwaltung von Active Directory können nicht zur Verwaltung von Azure Active Directory verwendet werden. Das liegt auch daran, dass Active Directories (ADDS) in verschiedene Domänen, Strukturen (Trees), Gesamtstrukturen (Forests) und Organisationseinheiten (OUs) strukturiert werden.

Solche Unterscheidungen gibt es in AAD nicht. Die Struktur von Azure AD ist sehr flach. Hier ist es nicht notwendig komplexe Untergliederungen vorzunehmen. In Azure AD gibt es Mandanten und Clients. Ein Mandant ist das Pendant zu einer Active Directory Gesamtstruktur, allerdings ohne die Notwendigkeit, mehrere Unterstrukturen und Domänen aufzubauen. Das schränkt auf der anderen Seite aber auch die Flexibilität von Azure AD im Vergleich zu Active Directory ein.

Bildergalerie
Bildergalerie mit 8 Bildern

In internen Netzwerken wird Azure AD in nächster Zeit sicher nicht soweit sein, um Active Directory zu ersetzen. In der Cloud ist Azure AD zwar in den meisten Fällen besser geeignet, doch nicht jede lokale Serveranwendung kann problemlos in die Cloud ausgelagert werden und Azure AD nutzen. Es ist zum Beispiel in Azure AD nicht möglich das Schema zu erweitern. Anwendungen, die Schemaerweiterungen benötigen, müssen in Active Directory installiert werden. Auch Vertrauensstellungen zwischen Domänen gibt es in Azure AD nicht.

Die Verwaltung in Azure Active Directory wird durch Role Based Access Control (RBAC) delegiert. Hier sind bereits Funktionen wie Privileged Identity Management (PIM) und Just-in-Time-Funktionen (JIT) fest integriert. Diese Technologien gibt es auch in ADDS, müssen aber erst manuell über Serverdienste eingerichtet werden. In den meisten Fällen werden dafür sogar eigene Server benötigt.

Kombination von Azure AD und Active Directory ist möglich

Azure AD und lokale Active-Directory-Gesamtstrukturen können zusammenarbeiten. Microsoft bietet die Möglichkeit, lokale Benutzerkonten und Gruppe mit Azure AD zu synchronisieren. Die dazu notwendigen Tools werden kostenlos zur Verfügung gestellt. Auch Single-Sign-On-Szenarien lassen sich auf diesem Weg abbilden. Wenn in Microsoft Azure wiederum lokale Active-Directory-Benutzerkonten benötigt werden, kann ein Domänencontroller in Azure betrieben werden, der an das lokale Active Directory angebunden ist. In den meisten Fällen setzen Unternehmen daher im lokalen Rechenzentrum auf Active Directory und in der Cloud auf Azure AD. Durch die Synchronisierung stehen Benutzerkonten überall zur Verfügung und können so genutzt werden, wie es sinnvoll ist und sich mit der jeweiligen Infrastruktur umsetzen lässt.

Active Directory im Fokus
Bildergalerie mit 38 Bildern

(ID:46921092)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist