Mobile-Menu

Microsoft Entra Domain Services versus Entra ID
Identitäten zwischen Cloudarchitektur und AD-DS-Kompatibilität

Von Thomas Joos 5 min Lesedauer

Microsoft Entra ID und Microsoft Entra Domain Services bilden zwei tech­nisch getrennte Ebenen der Identitätsarchitektur. Dieser Text analysiert Unterschiede, Grenzen und Zusammenspiel beider Dienste und ordnet ihren Einsatz im Kontext hybrider und cloudbasierter Infrastrukturen fachlich ein.

Unternehmen, die SaaS-Dienste nutzen möchten, stehen vor der Herausforderung, cloudbasierte Identitäten und traditionelle Verzeichnis‑Kompatibilität in einer Architektur zu vereinen.(©  STUDIO.no.3 - stock.adobe.com / KI-generiert)
Unternehmen, die SaaS-Dienste nutzen möchten, stehen vor der Herausforderung, cloudbasierte Identitäten und traditionelle Verzeichnis‑Kompatibilität in einer Architektur zu vereinen.
(© STUDIO.no.3 - stock.adobe.com / KI-generiert)

Unternehmensidentitäten bewegen sich heute zwischen Cloudplattformen, SaaS-Angeboten und weiterhin lokal betriebenen Serverdiensten. Microsoft Entra ID bildet die zentrale Iden­ti­täts­basis für Cloudressourcen und webbasierte Anwendungen. Microsoft Entra Domain Ser­vi­ces ergänzt dieses Modell um verwaltete Verzeichnisfunktionen mit Active Directory- und Do­main-Services-Kompatibilität für Workloads, die klassische Protokolle benötigen. Beide Dienste verfolgen unterschiedliche technische Ziele und greifen ineinander, ohne identische Aufgaben zu erfüllen.

Microsoft Entra ID als cloudnative Identitätsschicht

Microsoft Entra ID verwaltet Benutzerkonten, Gruppen, Geräteobjekte und Sicher­heits­prin­zi­pa­le in einer mandantenbasierten Architektur. Die Struktur bleibt flach und verzichtet auf hier­ar­chische Domänenkonzepte. Authentifizierungen erfolgen über OAuth 2.0, OpenID Connect und SAML. Diese Protokolle unterstützen internetbasierte Zugriffsszenarien und setzen keine ab­ge­schotteten Netzsegmente voraus. Bedingter Zugriff, Gerätezustand, Identitätsrisiken und To­ken­lebenszyklen lassen sich kontinuierlich auswerten. Gruppenricht­li­nien, LDAP-Bindungen oder Kerberos-Tickets gehören nicht zum Funktionsumfang. Erweiterungen des Schemas finden nicht statt. Der Dienst integriert sich direkt in Microsoft 365, Azure-Ressourcen und angebundene SaaS-Anwendungen.