Für die Authentifizierung von Microsoft Technologien nutzen Unternehmen seit Jahren Active Directory um Benutzer, Computer und andere Objekte zu verwalten und mit Berechtigungen zu versehen.


In der heutigen Digitalisierungswelt, in der immer mehr Cloud Services verwendet werden, musste eine neue Lösung her.


Microsoft hat mit der Einführung von Microsoft Azure und Office 365 (heißt jetzt Microsoft 365) auch Azure AD eingeführt.


Azure AD ist quasi das Gegenstück zu Active Directory und verwendet moderne Authentifizierung Methoden wie Oauth2.


Somit kann Azure AD verwendet werden, sowohl um Ressourcen in Microsoft 365 zu nutzen, als auch Zugriffe auf Third Party Cloud Anwendungen zu gewähren, wenn es diese unterstützen.


Der Vorteil ist, dass Sie nur einen Verzeichnisdienst, nämlich Azure AD pflegen müssen.


Microsoft erlaubt die Synchronisation der Objekte aus dem Active Directoy nach Azure AD - dazu aber später mehr.


Lassen Sie uns gemeinsam anschauen, wie auch Sie Azure AD effizient in Ihren Unternehmen verwenden.


Lernen Sie auch, wie Sie ein bestehenden Azure AD absichern bzw. verbessern.

IT-Trainer

Aleksej Kusnir

Hi, ich bin IT-Berater & Trainer für Microsoft Technologien seit über 12 Jahren. Dieses Wissen aus der Praxis gebe ich gerne in Blogs, Artikel und Schulungen weiter.

Was ist Azure AD?

Azure AD ist ein Identitiy Provider (IP).

Sprich, so wie im Active Directory werden Objekte wie Benutzer, Computer, Gruppen usw. im Azure AD erstellt und können dann für die Zugriffe verwendet werden.

Azure AD ist ein Teil der Microsoft Azure Plattform und kann von Unternehmen als Service gebucht werden.

Microsoft Lösungen wie Microsoft 365 nutzt Azure AD als Grundlage für das Identity Management, um den Zugriff auf die Service wie z.B. Microsoft Teams, Sharepoint Online und co zu verwalten.

Das bedeutet, wenn Sie einen Microsoft 365 Tenant haben, nutzen Sie automatisch auch Azure AD.

Azure AD steht Ihnen mit verschiedenen Funktionen zur Verfügung.

Es gibt die Standard Variante. Diese können Sie durch Erweiterungen verbessern um z.B. mehr Funktionen oder eine höhere Sicherheit zu erhalten.

Lass Sie uns mal die verschiedenen Funktionen anschauen.

Azure AD Funktionen

Azure AD gibt es in 4 Varianten, die pro Benutzer dazu gebucht werden können.

  1. 1
    Kostenfrei
  2. 2
    OFFICE 365-APPS
  3. 3
    PREMIUM P1
  4. 4
    PREMIUM P2

Die grundlegenden Indentity und Zugriffsverwaltung sind in allen Varianten enthalten.

Möchten Sie mehr Funktionen haben bzw. benötigen Sie eine höhere Sicherheit, dann können Sie die Premium P1 bzw. P2 Pläne dazu buchen.

Anbei eine Tabelle mit den Funktionen, die in den entsprechen Variante enthalten sind.


KOSTENFREI

OFFICE 365-APPS

PREMIUM P1

PREMIUM P2

Grundlegende Identitäts- und Zugriffsverwaltung

Cell
Cell
Cell
Cell

Verzeichnisobjekte1

Objektlimit: 500.000

Kein Objektlimit

Kein Objektlimit

Kein Objektlimit

Einmaliges Anmelden (Single Sign-On, SSO – unbegrenzt)2

Benutzerbereitstellung

Verbundauthentifizierung (AD FS oder Drittidentitätsanbieter)

Benutzer- und User Gruppenverwaltung (hinzufügen/aktualisieren/löschen)

Geräteregistrierung

Cloudauthentifizierung (Pass-Through-Authentifizierung, Kennworthashsynchronisierung, Nahtloses SSO)

Azure AD Connect-Synchronisierung (Erweiterung von lokalen Verzeichnissen auf Azure AD)

Self-Service-Kennwortänderung für Cloudbenutzer

Azure AD-Einbindung: Desktop-SSO und Administrator-BitLocker-Wiederherstellung

Kennwortschutz (global gesperrtes Kennwort)

Multi-Factor Authentication3

Grundlegende Sicherheits- und Nutzungsberichte

Externe Identitäten

Cell
Cell
Cell
Cell

Schutz und Verwaltung für Kunden und Partner

Identitäts- und Zugriffsverwaltung für Office 365-Apps

Cell
Cell
Cell
Cell

Unternehmensbranding (Anpassung von An- und Abmeldeseiten, Zugriffsbereich)

Cell

Self-Service-Kennwortzurücksetzung für Cloudbenutzer

Cell

Service Level Agreement (SLA)

Cell

Gerätezurückschreibung (bidirektionale Synchronisierung von Geräteobjekten zwischen lokalen Verzeichnissen und Azure)

Cell

Premium-Features

Cell
Cell
Cell
Cell

Kennwortschutz (benutzerdefiniert gesperrtes Kennwort)

Cell
Cell

Kennwortschutz für Windows Server Active Directory (global und benutzerdefiniert gesperrtes Kennwort)

Cell
Cell

Self-Service-Kennwortzurücksetzung/-änderung/-entsperrung mit lokalem Rückschreiben

Cell
Cell

Gruppenzugriffsverwaltung

Cell
Cell

Microsoft Cloud App Discovery4

Cell
Cell

Azure AD-Einbindung: Automatische MDM-Registrierung und Anpassung lokaler Administratorrichtlinien

Cell
Cell

Azure AD-Einbindung: Self-Service-BitLocker-Wiederherstellung, Enterprise State Roaming

Cell
Cell

Erweiterte Sicherheits- und Nutzungsberichte

Cell
Cell

Hybrididentitäten

Cell
Cell

Anwendungsproxy

Cell
Cell

Nutzer-CAL für Microsoft Identity Manager5

Cell
Cell

Connect Health6

Cell
Cell

Erweiterte Verwaltung des Gruppenzugriffs

Cell
Cell

Dynamische Gruppen

Cell
Cell

Delegierung der Berechtigungen für Gruppenerstellung

Cell
Cell

Benennungsrichtlinie für Gruppen

Cell
Cell

Gruppenablauf

Cell
Cell

Verwendungsrichtlinien

Cell
Cell

Standardklassifizierung

Cell
Cell

Bedingter Zugriff

Cell
Cell
Cell
Cell

Bedingter Zugriff basierend auf Gruppe, Standort und Gerätestatus

Cell
Cell

Integration von Azure Information Protection

Cell
Cell

Eingeschränkter SharePoint-Zugriff

Cell
Cell

Nutzungsbedingungen (für spezifischen Zugriff)

Cell
Cell

Multi-Factor Authentication mit bedingtem Zugriff

Cell
Cell

Integration von Microsoft Cloud App Security

Cell
Cell

Integration von Drittanbieterpartnern für die Identitätsgovernance

Cell
Cell

Identity Protection

Cell
Cell
Cell
Cell

Erkennung von Sicherheitsrisiken und gefährdeten Konten

Cell
Cell
Cell

Untersuchung von Risikoereignissen

Cell
Cell
Cell

Risikobasierte Richtlinien für bedingten Zugriff

Cell
Cell
Cell

Identity Governance

Cell
Cell
Cell

Privileged Identity Management (PIM)

Cell
Cell
Cell

Zugriffsüberprüfungen

Cell
Cell
Cell

Berechtigungsverwaltung

Cell
Cell
Cell

Grundlegend kann Azure AD in folgenden 3 Kategorien aufgeteilt werden.

  1. 1
    Grundlegenden Funktionen
  2. 2
    Erweiterte Funktionen + erweiterte Sicherheit für End User
  3. 3
    Erweiterte Funktionen + erweiterte Sicherheit für Administratoren

Aleksej KUsnir

IT-Trainer-

Meiner Meinung nach, wenn die erweiterten Funktionen für End User nicht zur Verfügung stehen, sollten zumindest die Zugriffe der Administratoren auf dem höchsten Level sein.

OK lassen Sie und gemeinsam anschauen, wie Unternehmen Azure AD oft verwenden und für was.

Azure AD für Unternehmen

Ich möchte Ihnen mit diesen 3 Beispielen den Einsatz von Azure AD im Unternehmen darstellen.

Der wohl häufigste Grund das Sie Azure AD nutzen und dies absichern sollten, ist das Sie Microsoft 365 Services wie z.B. Microsoft Teams oder Sharepoint Online usw. verwenden.

Beispiel 1: Azure AD und Microsoft 365 Services

Microsoft 365 Services verwendet Azure AD allgemein dargestellt in 2 Bereichen.

  1. 1
    Um Benutzer zu authentifizieren
  2. 2
    Um Microsoft 365 Gruppen (früher Office 365 Gruppen) in Azure AD zu erstellen.

Sie werden feststellen, wenn Sie Azure AD verwenden das es verschiedene Art von Gruppen gibt.

Die Integration mit Azure AD ist extrem, so werden z.B. automatisch Azure AD Gruppen erstellt, wenn Sie bestimmte Services in Microsoft 365 nutzen. Dabei kann dies auch ein normaler Benutzer sein, der diesen Service verwenden.

Umso wichtiger ist es, dass Sie sich hier Regeln festlegen und diese in Microsoft 365 bzw. Azure AD integrieren.

Lassen Sie und mal ein Beispiel anschauen.

Ich zeige Ihnen wie ein normaler Benutzer ein Service in Microsoft Teams verwendet und dabei automatisch Azure AD nutzt.

Insert Video

Ok, lassen Sie und ein zweites Beispiel anschauen.

Beispiel 2: Third Party Anwendungen authentifizieren

In diesem Beispiel nutzen Sie Azure AD, damit Ihre Benutzer sich mit Ihrem Azure AD Account gegenüber einer Third Party Cloud Lösungen authentifizieren. Also eine Anwendung, die keine Cloudlösung von Microsoft ist.

Sprich, Sie gewähren die Zugriffe auf die Applikation über Azure AD. Somit müssen Sie keine zusätzlichen Benutzer in der Applikation pflegen. Bei einer Cloud Anwendung geht das noch, was ist, wenn Sie aber mehrere Cloud Anwendungen für Ihre Benutzer zur Verfügung stellen?

Nehmen wir doch als Beispiel die Cloud Anwendung Trello.

Sie können natürlich für jeden Benutzer eigenen eigenen Account in Trello erstellen, aber wir möchten ja das der Benutzer sich mit seinem Azure AD Account anmeldet.

Dabei ermöglichen wir nicht nur die Anmeldung, sondern auch ein SSO (Single-Sign-On).

Das heißt, wenn der Benutzer sich einmal mit seinem Azure AD Account eingeloggt hat z.B. um ein Microsoft 365 Services zu nutzen, dann muss er nicht erneut seien Zugangsdaten eingeben um Trello zu verwenden.

Anbei ein Tutorial von Microsoft um SSO mit Azure AD und Trello zu integrieren.

Lassen Sie mich Ihnen zeigen, wie das in der Praxis am Beispiel von Trello aussieht:

Insert Video

Beispiel 3: Benutzer und Computeranmeldung statt Active Directory

Nun, jetzt haben Sie Azure etwas kennengelernt und wir gehen mal einen Schritt weiter.

Ich bin letztes Jahr gebeten worden ein Projekt durchzudürfen, in dem das Active Directory durch Azure AD ersetzt werden soll.

Vorweg: In diesem Projekte konnten wir erfolgreich Azure AD als die einzige Identity Plattform integrieren, so das Active Directory abgeschaltet werden konnte.

Ja es ist einiges zu tun und es muss viel beachtet werden und NEIN es ist nicht überall momentan möglich und sinnvoll Active Directory komplett zur Azure AD zu ersetzen.

Aber wenn die Unternehmensstruktur es erlaubt, dann geht es.

Die meisten Unternehmen verwenden Azure AD als Ergänzung zu Active Directory in einer Hybrid Umgebung.

Lassen Sie uns das mal kurz in der Praxis anschauen, wenn sowohl der Computer als auch der Benutzer in Azure AD registriert sind.

Insert Video

Benutzer und Computeranmeldung über Azure AD durchführen

Anbei die Schritte die ich durchgeführt habe um den Computer und den Acount in  Azure AD bereitzustellen.

Das Vorgehen beinhaltet nur die Grundlegenden Schritte ohne Sicherheitseinstellungen.

  1. 1
    Benutzer in Azure AD erstellen
  2. 2
    Computer zu Azure AD Join
  3. 3
    Am Computer mit einem Azure AD Account anmelden.

Schauen wir uns doch die Schritte im Detail an.

Insert Video

Azure AD mit PowerShell administrieren

Sie können Computer auch mithilfe von PowerShell ins Azure AD aufnehmen. Anbei ein Tutorial von uns zu Azure AD mit PowerShell verwalten.

Lernen Sie Azure AD in Ihrem Unternehmen effizient einzusetzen.

In unseren Schulungen zeig ich Ihnen wie Sie Azure AD in der Praxis einsetzen und wie Sie IT-Services wie Microsoft 365 schützen.

Hi, ich bin IT-Berater & Trainer für Microsoft Technologien seit über 12 Jahren. Dieses Wissen aus der Praxis gebe Ihnen gerne in Blogs, Artikel und Schulungen weiter.

IT-Trainer

Aleksej Kusnir