Technik

    Microsoft Entra ID: Alles, was Sie wissen müssen

    WalterBy Updated:Keine Kommentare12 Mins Read
    Microsoft Entra ID
    Microsoft Entra ID

    Mitarbeiter in einem Unternehmen können mithilfe der Azure Entra ID auf Azure-Dienste zugreifen. Cloud-Technologie erfordert, dass Benutzer und Gruppen über die richtige Identität , Authentifizierung und Autorisierung verfügen. Zu diesem Zweck stellt Azure Cloud  die Microsoft Entra ID (früher als Azure AD bekannt) bereit , eine Erweiterung von Active Directory.

    Ein Domänencontroller ist ein Server, der den Zugriff für Benutzer, PCs und Server im Netzwerk verwaltet. Dies geschieht mithilfe von Active Directory (AD).

    Was ist Windows Active Directory?

    Active Directory (AD): Active Directory ist eine Datenbank und eine Reihe von Diensten, die Benutzer mit den Netzwerkressourcen verbinden, die sie für ihre Arbeit benötigen. Die Datenbank (oder das Verzeichnis) enthält wichtige Informationen zu Ihrer IT-Umgebung, darunter, welche Benutzer und Computer vorhanden sind und wer was tun darf. Die Dienste steuern die meisten Aktivitäten in Ihrer IT-Umgebung. Grundsätzlich bietet Windows AD Authentifizierung und Autorisierung für Anwendungen, Dateidienste und andere Ressourcen in einem Netzwerk.

    Was ist die Microsoft Entra ID?

    Microsoft Entra ID: Wenn wir den Zugriff auf die Azure Cloud-Anwendung und die zugehörigen Ressourcen verwalten möchten, benötigen wir die Microsoft Entra ID. Dies hilft Ihren Mitarbeitern beim Zugriff auf externe Ressourcen wie Azure-Dienste, das Azure-Portal und andere Anwendungen.

    Microsoft Entra ID ist ein cloudbasierter Identitäts- und Zugriffsverwaltungsdienst von Microsoft, der Ihren Mitarbeitern die Anmeldung und den Zugriff auf Ressourcen in folgenden Bereichen erleichtert:

    1) Externe Ressourcen wie Microsoft Office 365, das Azure-Portal und Tausende anderer SaaS-Anwendungen.

    2) Interne Ressourcen, wie Apps in Ihrem Unternehmensnetzwerk und Intranet sowie alle von Ihrer eigenen Organisation entwickelten Cloud-Apps.

    Wenn wir über ein herkömmliches lokales Setup mit AD verfügen und dieses in Azure Entra ID integrieren möchten, um den Zugriff auf die Cloud-Anwendung zu verwalten, können wir dies ganz einfach mit AD Connect tun.

    Einfach ausgedrückt ist die Microsoft Entra-ID keine Erweiterung eines lokalen Verzeichnisses. Vielmehr handelt es sich um eine Kopie, die dieselben Objekte und Identitäten enthält.

    Wie funktioniert die Microsoft Entra ID?

    Microsoft Entra ID, ein Cloud-basierter Dienst für Identitäts- und Zugriffsverwaltung, der in die Kategorie „Identity as a Service“ (IDaaS) fällt, ist ein sicherer Online-Authentifizierungsspeicher sowohl für einzelne Benutzerprofile als auch für Gruppen von Benutzerprofilen.

    Der Zugriff wird über Benutzerkonten verwaltet, die über einen Benutzernamen und ein Passwort verfügen. Benutzer können in verschiedene Gruppen organisiert werden, die unterschiedliche Zugriffsrechte für einzelne Anwendungen haben können. Für Cloud-Anwendungen können auch Identitäten von Microsoft oder Software-as-a-Service (SaaS) von Drittanbietern erstellt werden, um Benutzern Zugriff zu gewähren.

    Um Benutzer mit SaaS-Anwendungen zu verbinden, verwendet Microsoft Entra ID SSO, wodurch jeder Benutzer auf die gesamte Suite von Anwendungen zugreifen kann, für die er eine Berechtigung hat, ohne sich jedes Mal erneut anmelden zu müssen. Es erstellt Zugriffstoken (die mit Ablaufdaten erstellt werden können), die lokal auf den Geräten der Mitarbeiter gespeichert werden.

    Windows AD vs. Azure Entra ID

    KonzeptWindows Active DirectoryMicrosoft Entra ID
    Bereitstellen von BenutzernOrganisationen erstellen interne Benutzer manuell oder verwenden ein internes oder automatisiertes Bereitstellungssystem wie den Microsoft Identity Manager, um die Integration in ein HR-System vorzunehmen.Vorhandene AD-Organisationen verwenden Azure AD Connect, um Identitäten mit der Cloud zu synchronisieren.Es bietet Unterstützung für die automatische Erstellung von Benutzern aus Cloud-HR-Systemen und die Bereitstellung von Identitäten in SCIM-fähigen SaaS-Apps, um Apps automatisch die erforderlichen Details bereitzustellen, damit Benutzer darauf zugreifen können.
    Administratorverwaltung (AKS)Organisationen verwenden eine Kombination aus Domänen, Organisationseinheiten und Gruppen in AD, um Administratorrechte zum Verwalten der vom Verzeichnis überwachten Ressourcen zu delegieren.Microsoft Entra ID bietet integrierte Rollen mit seinem Microsoft Entra ID RBAC-System, mit eingeschränkter Unterstützung für die Erstellung benutzerdefinierter Rollen zum Delegieren privilegierten Zugriffs auf das Identitätssystem, die Apps und die von ihm gesteuerten Ressourcen.
    Infrastruktur-AppsActive Directory bildet die Grundlage für viele Infrastrukturkomponenten vor Ort, wie DNS, DHCP, IPSec, WiFi, NPS und VPN-ZugriffIn einer neuen Cloud-Welt ist Azure AD die neue Steuerungsebene für den Zugriff auf Apps und die Nutzung von Netzwerkkontrollen. Bei der Authentifizierung von Benutzern steuert Conditional Access (CA), welche Benutzer unter den erforderlichen Bedingungen Zugriff auf welche Apps haben.
    Herkömmliche und ältere AppsDie meisten lokalen Apps verwenden LDAP, Windows-integrierte Authentifizierung (NTLM und Kerberos) oder Header-basierte Authentifizierung, um den Zugriff auf Benutzer zu steuern.Azure Entra ID kann mithilfe lokal ausgeführter Azure AD-Anwendungsproxy-Agents Zugriff auf diese Arten von lokalen Apps gewähren. Mit dieser Methode kann Azure Entra ID Active Directory-Benutzer lokal mithilfe von Kerberos authentifizieren, während Sie migrieren oder mit älteren Apps koexistieren müssen.
    Handy, MobiltelefonActive Directory unterstützt mobile Geräte nicht nativ ohne Lösungen von Drittanbietern.Microsoft Intune (Lösung zur Verwaltung mobiler Geräte) ist in Azure Entra ID integriert. Es stellt dem Identitätssystem Gerätestatusinformationen zur Verfügung, die während der Authentifizierung ausgewertet werden können.
    Windows-DesktopsActive Directory bietet die Möglichkeit, Windows-Geräte einer Domäne beizutreten, um sie mithilfe von Gruppenrichtlinien, System Center Configuration Manager oder anderen Lösungen von Drittanbietern zu verwalten.Windows-Geräte können mit Azure Entra ID verknüpft werden. Der bedingte Zugriff kann im Rahmen des Authentifizierungsprozesses prüfen, ob ein Gerät mit Azure Entra ID verknüpft ist. Windows-Geräte können auch mit Microsoft Intune verwaltet werden, wobei der bedingte Zugriff prüft, ob ein Gerät kompatibel ist (aktuelle Sicherheitspatches und Virensignaturen), bevor der Zugriff auf die Apps zugelassen wird.

    Azure Entra ID-Konzepte

    1) Identität: Alles, was authentifiziert werden kann. Dies kann ein Benutzer mit Benutzernamen und Kennwort, Anwendungen oder andere Dienste sein, die eine Authentifizierung erfordern.

    2) Konto: Identität mit zugehörigen Daten.

    3) Azure Entra ID-Konto: Mit Azure Entra ID oder anderen Microsoft-Clouddiensten erstellte Identität.

    4) Azure-Mandant: Eine Instanz von Azure Entra ID wird erstellt, wenn sich eine Organisation für ein Abonnement des Microsoft Cloud-Dienstes anmeldet.

    5) Azure AD-Verzeichnis: Jeder Azure-Mandant verfügt über ein dediziertes und vertrauenswürdiges Azure Entra ID-Verzeichnis.

    6) Benutzerabonnement: Zur Bezahlung der genutzten Azure-Clouddienste.

    Schauen Sie sich an: Eine Übersicht über den Azure Traffic Manager und seine verschiedenen Arten von Methoden zur Verkehrsweiterleitung.

    Vorteile der Azure Entra ID

    1. Azure Entra ID ist hochverfügbar und auf 32 Rechenzentren in verschiedenen Regionen verteilt.
    2. Durch die Verwendung von Azure Entra ID kann der Zugriff auf Anwendungen in der Cloud oder vor Ort vereinfacht werden.
    3. Single Sign-On für den Zugriff auf Tausende von SaaS-Anwendungen und On-Premise-Anwendungen.
    4. Multi-Faktor-Authentifizierung, bedingter Zugriff, privilegiertes Identitätsmanagement und dynamische Gruppe.

    Azure Entra ID – Funktionen und Lizenzierung

    Azure Entra ID basiert auf einem Lizenzmodell. Sie können mit diesen beiden Lizenzen auf Azure Entra ID zugreifen:

    • Microsoft Online Services
    • Azure Entra ID Premium-Lizenzen

    Wenn Sie über eine Office 365- oder Microsoft Azure-Lizenz verfügen, erhalten Sie alle nicht kostenpflichtigen Azure-Funktionen. Andernfalls können Sie Azure-Premiumfunktionen über Power BI-Premiumlizenzen erhalten:

    • Premium P1
    • Premium P2 Lizenzen

    Funktionen von Azure Entra ID

    • Anwendungsverwaltung:   Es verwaltet Ihre Cloud- und lokalen Apps mithilfe von Diensten wie Anwendungsproxy, dem „Meine Apps“-Portal, einmaligem Anmelden und SaaS-Apps (Software as a Service).
    • Authentifizierung: Benutzer können die Funktion zum Self-Service-Kennwortzurücksetzen von Azure Entra ID, die Multi-Faktor-Authentifizierung, eine benutzerdefinierte Liste verbotener Kennwörter und die intelligente Sperrung verwalten.
    • Azure Active Directory für Entwickler : Es erstellt Apps, die sich bei allen Microsoft-Identitäten anmelden und Token abrufen können, um Microsoft Graph und andere Microsoft- oder benutzerdefinierte APIs aufzurufen.
    • Business-to-Business: Sie können Ihre Gastbenutzer und externen Partner verwalten und gleichzeitig die Kontrolle über Ihre eigenen Unternehmensdaten behalten.
    • Business-to-Customer (B2C): Mit Azure Entra ID können Benutzer anpassen und steuern, wie andere sich bei der Verwendung ihrer Apps anmelden, registrieren und ihre Profile verwalten.
    • Verwaltete Identitäten für Azure-Ressourcen: Statten Sie Ihre Azure-Dienste mit einer automatisch verwalteten Identität in Azure Entra ID aus, die jeden von Azure Entra ID unterstützten Authentifizierungsdienst, einschließlich Key Vault, authentifizieren kann.
    • Berichte und Überwachung: Benutzer können Einblicke in die Sicherheit und Nutzungsmuster in ihrer Arbeitsumgebung erhalten.
    • Privileged Identity Management (PIM):   Diese Funktion umfasst den Zugriff auf Ressourcen in Azure Entra ID und Azure, einschließlich einiger anderer Microsoft Online Services wie Microsoft 365 oder Intune. Benutzer können den Zugriff innerhalb ihrer Organisation verwalten, steuern und überwachen.
    • Identitätsschutz: Erkennen Sie potenzielle Schwachstellen, die die Identitäten Ihres Unternehmens betreffen, konfigurieren Sie Richtlinien für die Reaktion auf verdächtige Aktionen und ergreifen Sie entsprechende Maßnahmen zur Behebung der Schwachstellen.
    • Identitätsverwaltung: Verwalten Sie die Identität Ihres Unternehmens durch Zugriffskontrollen für Mitarbeiter, Geschäftspartner, Lieferanten, Dienste und Apps.
    • Unternehmensbenutzer: Verwalten Sie Lizenzzuweisungen, App-Zugriff und das Einrichten von Delegierten mithilfe von Gruppen und Administratorrollen.

    Azure Entra ID Verbinden

    Es wird verwendet, um die lokalen Verzeichnisse (Active Directories) mit Azure Active Directory zu integrieren, das eine gemeinsame Identität für den Zugriff auf Cloud- und lokale Ressourcen bereitstellt.

    Azure AD Connect bietet verschiedene Funktionen :

    1) Kennwort-Hash-Synchronisierung:   Anmeldemethode, die ein gehashtes lokales AD-Benutzerkennwort mit der Azure Entra-ID synchronisiert.

    2) Pass-Through-Authentifizierung: Anmeldemethode, die es Benutzern ermöglicht, vor Ort und in der Cloud dasselbe Kennwort zu verwenden.

    3) Synchronisierung: Verantwortlich für das Erstellen von Benutzern , Gruppen und anderen Objekten und auch für die Überprüfung, ob die Identitätsinformationen Ihrer lokalen Benutzer und Gruppen mit denen in der Cloud übereinstimmen .

    4) Gesundheitsüberwachung: Ein zentraler Ort zum Anzeigen und Überwachen der Aktivität.

    Azure AD-Beitritt

    • Mithilfe der Azure AD-Verbindung können Geräte direkt mit der Azure Entra ID verbunden werden. Eine Verbindung zum lokalen AD ist nicht erforderlich.
    • In Azure AD eingebundene Geräte sind für die Verwendung eines Azure Entra ID-Organisationskontos angemeldet.
    • Geräte, die mit Azure AD verbunden sind, können sich weiterhin bei lokalen Servern wie Datei-, Druck- und anderen Anwendungen authentifizieren.

    Erstellen und Verwalten von Benutzern und Gruppen in Azure AD

    Es gibt viele Möglichkeiten, Benutzer und Gruppen zu Azure Active Direct hinzuzufügen.

    • Durch Synchronisieren von einer lokalen Windows Server Entra-ID mithilfe von AAD Sync. Auf diese Weise fügen die meisten Unternehmenskunden ihre Benutzer zum Verzeichnis hinzu. Für die Einrichtung sind einige zusätzliche Serverkonfigurationen vor Ort erforderlich.
    • Manuell mithilfe des Azure Management Portal.
    • Verwenden von PowerShell und den Azure Active Directory-Cmdlets
    • Programmgesteuert mithilfe der Azure Entra ID Graph-API. Dies ist eine äußerst leistungsstarke Option, die Ihnen im Wesentlichen die vollständige Kontrolle darüber gibt, wie Benutzer zum Verzeichnis hinzugefügt werden.

    Siehe auch:  Unser Blogbeitrag zur Microsoft Azure Administrator-Zertifizierungsprüfung az 104 : Alles, was Sie wissen müssen

    Zugriff auf Azure-Ressourcen

    Für jede Organisation ist die Verwaltung des Zugriffs auf Azure-Ressourcen eine sehr schwierige und wichtige Aufgabe.

    • Mithilfe der rollenbasierten Zugriffskontrolle (RBAC) können Sie verwalten, wer Zugriff auf Azure-Ressourcen hat, was die Benutzer mit diesen Ressourcen tun können und auf welche Bereiche sie Zugriff haben.
    • RBAC ist ein auf Azure Resource Manager basierendes Autorisierungssystem, das eine feinkörnige Zugriffsverwaltung für Azure-Ressourcen ermöglicht.
    • Mithilfe von RBAC können wir die Aufgaben und Zugriffsrechte der Benutzer in einem Team aufteilen, die sie zum Ausführen ihrer Aufgaben benötigen.
    • Es empfiehlt sich, den Benutzern für die Erledigung ihrer Arbeit nur die geringstmöglichen Berechtigungen zu gewähren.

    Abschluss

    Azure Entra ID ist nicht einfach eine Cloud-Version von AD, sondern kann viele verschiedene Dinge. AD eignet sich hervorragend für die Verwaltung herkömmlicher Infrastrukturen und Anwendungen vor Ort, während Azure AD sich hervorragend für die Verwaltung des Benutzerzugriffs auf Cloud-Anwendungen eignet. Sie können beide zusammen verwenden, oder wenn Sie die Erfahrung einer rein Cloud-basierten Umgebung machen möchten, können Sie einfach Azure AD verwenden. Und es hängt hauptsächlich von Ihrem Servicebedarf ab, für den Sie sich entscheiden, und wir haben bereits den Unterschied zwischen ihren Diensten besprochen.

    Häufig gestellte Fragen

    F.1 Was ist Azure Active Directory?

    Microsoft Azure Entra ID ist eine cloudbasierte Identitäts- und Zugriffsverwaltungslösung. Sie fungiert als zentrales Verzeichnis zur Verwaltung von Benutzer-IDs, Authentifizierung und Autorisierung in der Azure-Cloudumgebung sowie anderen verknüpften Anwendungen und Diensten. Organisationen können Azure AD verwenden, um den Ressourcenzugriff einzuschränken, Sicherheitsstandards durchzusetzen und Benutzern in vielen Cloud- und lokalen Apps Single Sign-On bereitzustellen. Es umfasst Funktionen wie Benutzerbereitstellung, Multi-Faktor-Authentifizierung, rollenbasierte Zugriffsverwaltung und die Verbindung mit wichtigen SaaS-Anwendungen (Software as a Service). Im Wesentlichen ist Azure AD eine wichtige Komponente des Cloud-Ökosystems von Microsoft zur sicheren Verwaltung von Benutzeridentitäten und des Zugriffs auf digitale Ressourcen.

    F.2. Was ist der Unterschied zwischen Azure Active Directory und Active Directory?

    AD ist ein lokaler Verzeichnisdienst zum Verwalten von Ressourcen innerhalb eines lokalen Netzwerks, während Azure AD ein Cloud-basierter Dienst zum Verwalten von Identitäten und dem Zugriff auf Cloud-Dienste und -Apps ist.

    F.3. Wofür wird ein Active Directory verwendet?

    Active Directory (AD) ist ein Verzeichnisdienst von Microsoft, der hauptsächlich zum Verwalten und Organisieren von Ressourcen in einer Netzwerkumgebung verwendet wird. Es speichert Benutzerkonten, Gruppen, Computer und andere Netzwerkobjekte in einer zentralen Datenbank. AD unterstützt verschiedene wichtige Funktionen, darunter Authentifizierung, Autorisierung und Domänendienste. Administratoren können damit den Benutzerzugriff auf Ressourcen einschränken, Sicherheitsrichtlinien durchsetzen und Benutzerberechtigungen verwalten. AD erleichtert auch die Verwaltung, indem es die Bereitstellung von Gruppenregeln ermöglicht, um Einstellungen für mehrere Computer festzulegen und so konsistente Setups und Netzwerksicherheit bereitzustellen. Insgesamt ist Active Directory in Windows-basierten Umgebungen von entscheidender Bedeutung, um die Benutzerverwaltung zu vereinfachen, die Sicherheit zu verbessern und die Netzwerkverwaltung zu optimieren.

    F.4: Ist Azure Active Directory SaaS oder PaaS?

    Azure Active Directory (Azure AD) ist ein Cloud-basierter Dienst von Microsoft, der in die Kategorie Software-as-a-Service (SaaS) fällt. SaaS bezeichnet die internetbasierte Verteilung von Softwareanwendungen, bei der der Anbieter die zugrundeliegende Infrastruktur, zu der Server, Datenbanken und Netzwerke gehören, hostet und verwaltet. Mit Azure AD können Unternehmen das SaaS-Modell nutzen, um auf die Identitäts- und Zugriffsverwaltungsfunktionen von Microsoft zuzugreifen und diese zu verwenden, ohne die zugrundeliegende Infrastruktur verwalten zu müssen. Benutzerauthentifizierung, Zugriffskontrolle, einmaliges Anmelden und die Verbindung mit anderen SaaS-Apps gehören zu den von Azure AD bereitgestellten Funktionen und Funktionalitäten. Daher wird Azure AD als SaaS-Lösung unter der Microsoft Azure-Cloud-Plattform kategorisiert.

    F.5: Was ist ein Mandant in Azure?

    Ein Azure AD-Mandant ist eine reservierte Azure AD-Dienstinstanz, die eine Organisation erhält und besitzt, nachdem sie sich für einen Microsoft-Clouddienst wie Azure, Microsoft Intune oder Microsoft 365 angemeldet hat. Jeder Mandant stellt eine Organisation dar und unterscheidet sich von anderen Azure AD-Mandanten.

    F.6: Was ist DNS in Active Directory?

    Active Directory-Domänendienste (AD DS) nutzt die Namensauflösungsdienste des Domain Name System (DNS), um Clients das Erkennen von Domänencontrollern und die Kommunikation der Domänencontroller, die den Verzeichnisdienst hosten, untereinander zu ermöglichen.

    F.7 Was ist Azure LDAP?

    Das Lightweight Directory Access Protocol (LDAP) ist ein Anwendungsprotokoll, das Benutzern die Interaktion mit verschiedenen Verzeichnisdiensten ermöglicht. Active Directory speichert beispielsweise Benutzer- und Kontoinformationen sowie Sicherheitsinformationen wie Passwörter.

    Nächste Aufgabe für Sie

    Beginnen Sie Ihre Reise zur  Beherrschung der Azure Cloud und zur Erlangung gut bezahlter Jobs . Klicken Sie einfach auf die Schaltfläche „Jetzt registrieren“ auf dem Bild unten, um sich für einen kostenlosen Kurs zur Beherrschung der Azure Cloud anzumelden : So erwerben Sie gefragte Fähigkeiten und ergattern gut bezahlte Jobs. Dieser Kurs hilft Ihnen, die Dinge besser zu verstehen, sodass Sie den richtigen Karriereweg wählen und einen besser bezahlten Job bekommen können.

    Share.