• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Azure Active Directory in der Praxis – Die ersten Schritte

Feb 16, 2022 (Letztes Update) | Posted by Thomas Joos Administration |

 

Azure Active Directory in der Praxis – Die ersten Schritte

Mit Azure Active Directory (Azure AD) bietet Microsoft eine cloudbasierte Version von Active Directory. Im Gegensatz zu lokalen Active Directory-Domänen sind für den Einsatz von Azure AD aber keine Domänencontroller notwendig. Es handelt sich um einen vollständig verwalteten Dienst von Microsoft.

Inhaltsverzeichnis

  • 1 Azure AD und Active Directory – ähnliche Aufgaben, technologische Unterschiede
  • 2 Azure AD Domain Services erweitern die Möglichkeiten von Azure AD
  • 3 Verschiedene Lizenzen in Azure AD verfügbar
  • 4 Azure AD für den Einsatz mit Microsoft 365 verwalten
  • 5 Benutzerkonten in Azure AD anlegen und verwalten – Multi-Faktor-Authentifizierung
  • 6 Computerkonten in Azure AD
  • 7 Sicherheit in Azure AD überprüfen
  • 8 Fazit


Azure AD und Active Directory – ähnliche Aufgaben, technologische Unterschiede

Azure Active Directory und lokale Active Directory-Gesamtstrukturen sind technologisch unterschiedliche Produkte und auch die Verwaltungswerkzeuge unterscheiden sich deutlich. Im Gegensatz zum lokalen Active Directory wird der Dienst nicht über Domänencontroller zur Verfügung gestellt, sondern als ID-Management-as-a-Service (IDaaS).

Die beiden Dienste lassen sich kombinieren und können Daten austauschen. Allerdings handelt es sich in diesem Fall um zwei technologische Bereiche, die getrennt sind, aber gemeinsame Aufgaben erfüllen, zum Beispiel die Authentifizierung von Anwendern für Clouddienste.

Nutzen Unternehmen Microsoft 365/Office 365, setzen sie automatisch auf Azure AD, da die Benutzerkonten in Azure AD angelegt werden.
Azure AD und lokale Active Directory-Infrastrukturen können miteinander synchronisiert werden. Die Benutzer- und Computerkonten in Azure AD können für verschiedene Clouddienste genutzt werden, zum Beispiel auch in Microsoft 365/Office 365. Hier können den Konten zum Beispiel auch E-Mail-Postfächer mit Exchange Online und Zugriffe auf verschiedene Dienste in Azure zugewiesen werden.
Mit Azure AD können Unternehmen auch Single-Sign-On-Szenarien für den Zugriff auf Cloud-Ressourcen konfigurieren und dabei auf hohe Sicherheitsstandards setzen. Auch Multi-Faktor-Authentifizierung wird unterstützt. Bei der Authentifizierung mit Azure AD wird nicht auf Kerberos gesetzt, sondern vor allem auf OAuth2 und SAML.

Hybride Identitätsmanagement Systeme bieten eine zentrale Verwaltung beider Dienste. Das FirstWare IDM-Portal ermöglicht auch die Delegation von Routineaufgaben an nicht-IT-Mitarbeiter, wie Abteilungsleiter, die Personalabteilung oder an die Anwender selbst, durch ein hybrid einsetzbares Self Service Portal.

Azure AD Domain Services erweitern die Möglichkeiten von Azure AD

Parallel zu Azure AD bietet Microsoft auch noch den Dienst Azure AD Domain Services an. Dieser Dienst ist grundsätzlich ähnlich zu einem lokal betriebenen Active Directory, aber auch hier sind keine Domänencontroller notwendig. Azure AD Domain Services ermöglichen das Bereitstellen von Funktionen aus Active Directory in Microsoft Azure. Im Gegensatz zu Azure AD können hier Gruppenrichtlinien genutzt werden. Außerdem unterstützen Azure AD Domain Services auch LDAP, Kerberos und NTLM. Diese Unterstützung ist für Azure AD nicht vorgesehen.

Verschiedene Lizenzen in Azure AD verfügbar

Microsoft stellt Azure AD mit verschiedenen Lizenzen zur Verfügung (https://azure.microsoft.com/de-de/pricing/details/active-directory). Für Test- und Entwicklungsumgebungen kann Azure AD sogar kostenlos genutzt werden. Wer ein Abonnement von Microsoft 365/Office 365 bucht, erhält ebenfalls Zugriff auf Azure AD ohne zusätzliche Kosten. Die Lizenz ist im Dashboard des Azure-Portals beim Aufrufen von „Azure Active Directory“ zu finden. Unternehmen, die weiterführende Funktionen, wie automatisierten Kennwortschutz, ein Self-Service-Portal für das Zurücksetzen von Kennwörtern oder eine Verbindung zu einem Mobile-Device-Management-System (MDM) benötigen, können eine erweiterte Lizenz für Azure AD Premium P1 oder Azure AD Premium P2 dazubuchen.

Azure AD für den Einsatz mit Microsoft 365 verwalten

Die Verwaltung der einzelnen Benutzerkonten in Azure AD erfolgt zum Beispiel beim Einsatz von Microsoft 365/Office 365 im Microsoft 365 Admin Center. Hier sind bei „Benutzer\Aktive Benutzer“, die angelegten Benutzerkonten zu finden. Es werden nicht nur die Standardoptionen wie Anmeldenamen und Gruppenmitgliedschaften verwaltet, sondern auch die Lizenzen für Microsoft 365/Office 365, die dem Benutzer für die einzelnen Apps zugewiesen werden.

Azure AD für den Einsatz mit Microsoft 365 verwalten

Die Verwaltung der Benutzerkonten ohne die Zusatzfunktionen von Microsoft 365/Office 365 erfolgt zunächst im Azure-Portal. Die Anmeldung erfolgt beim Einsatz von Microsoft 365 mit einem Administrator-Konto aus dem Microsoft 365-Abonnement. Über den Link „Azure Active Directory“ sind die verschiedenen Einstellungsmöglichkeiten für das cloudbasierte Active Directory zu finden.

Microsoft 365 Admin Console - Übersicht

Zusätzlich steht zur Verwaltung von Azure AD auch das Azure Active Directory Admin Center zur Verfügung. Dieses rufen Sie über die URL https://aad.portal.azure.com auf. Die Einstellungsmöglichkeiten und die Oberfläche entsprechen den Funktionen, die auch im Azure-Portal zur Verfügung stehen, wenn auf „Azure Active Directory“ geklickt wird.

Azure AD Admin Console - Übersicht

Auch in der PowerShell können Einstellungen und Benutzerkonten verwaltet werden. Dazu wird zunächst das Modul „AzureAD“ in der PowerShell installiert:
Install-Module -Name AzureAD – AllowClobber -Force -Verbose
Mit „-AllowClobber“ überschreibt der Installationsassistent eventuell vorhandene Cmdlets.
Alle Cmdlets des Moduls sind mit „Get-Command -Module AzureAD“ zu sehen. Zunächst muss eine Anmeldung an AzureAD mit „Connect-AzureAD“ erfolgen. Im Vorfeld können Sie die Authentifizierungsdaten in einer Variablen speichern:
$credentials = Get-Credential

Azure AD Verwaltung mit PowerShell erleichtern

Um zum Beispiel alle Benutzer in Azure AD anzuzeigen, geben Sie nach der Anmeldung den Befehl „Get-AzureADUser“ ein. Wollen Sie ausführlichere Informationen zu einem speziellen Benutzerkonto anzeigen, dann verwenden Sie den Parameter „-ObjectID“ und geben den Anmeldenamen des Kontos an, zum Beispiel:
Get-AzureADUser -ObjectID thomas@contoso.de

Die Ergebnisse von Cmdlets können mit einer Pipeline auch an ein anderes Cmdlet übergeben werden. Dadurch können Sie zum Beispiel mit „Get-AzureADUser | Get-Member“ erweiterte Informationen zu einem Benutzerkonto anzeigen. Sollen nur einzelne Informationen angezeigt werden, arbeiten Sie mit dem Cmdlet „select“ und der Pipeline. Hinter „select“ geben Sie die Spaltennamen an, die angezeigt werden sollen, zum Beispiel:
Get-AzureADUser |select DisplayName, Department, UserType

Wollen Sie die Werte der einzelnen Attribute für Konten anzeigen, kombinieren Sie Get-AzureADUser mit der Benutzerabfrage und übergeben den Befehl an das Cmdlet „select“:
Get-AzureADUser -ObjectID thomas@contoso.int |select DisplayName, UserPrincipalName

AD und Azure AD parallel nutzen

Hybrid Identity Management

Hybride Infrastruktur für Identity Management sinnvoll nutzen: Mit dem IDM-Portal können Ihre Anwender Daten aus Active Directory und Azure AD aufrufen und aktualisieren. Die bedienungsfreundliche Oberfläche des IDM-Portals erleichtert die Verwaltung – auch für Nicht-IT-Mitarbeiter.

Benutzerkonten in Azure AD anlegen und verwalten – Multi-Faktor-Authentifizierung

Um in Azure AD Benutzerkonten anzulegen, steht der Bereich „Benutzer“ im Azure Active Directory Admin Center zur Verfügung. Hier können die Einstellungen von neuen Benutzern angepasst und neue Benutzer angelegt werden. Über den Menüpunkt „Multi-Factor Authentication“ erfolgt die Aktivierung der mehrstufigen Authentifizierung für die Benutzer. Diese können zur Anmeldung auf eine App setzen, oder den zusätzlichen Anmeldecode per SMS erhalten. Über den Menüpunkt „Neuer Benutzer“ können neue Benutzerkonten direkt in Azure AD angelegt werden.

Benutzerkonten Azure AD anlegen

Im Azure AD Admin Center sind über „Benutzer\Anmeldungen“ Informationen darüber zu finden, wann sich Benutzer an Azure AD angemeldet haben, und über welche Anwendung die Anmeldung erfolgt ist. Auch die IP-Adresse, von der die Anmeldung erfolgt ist, und die Uhrzeit sowie der Status der Anmeldung (erfolgreich oder fehlgeschlagen) sind hier zu finden.

In Azure AD gibt es auch Gruppen. Diese finden Sie im Azure Active Directory Admin Center bei “Azure Active Directory\Gruppen”. Berechtigungen werden in Azure AD aber nicht über >Gruppen gesteuert, sondern über Rollen. Rufen Sie ein Benutzerkonto auf, sehen Sie hier auch den Menüpunkt „Zugewiesene Rollen“. Hier wird angezeigt, welche Verwaltungsrechte ein Benutzer hat. Sie können hier auch die Rollen entfernen oder einem Benutzerkonto weitere Rollen hinzufügen.

Computerkonten in Azure AD

Neben Benutzern und Gruppen können auch Computerkonten Mitglied in Azure AD sein. Die Computer sind im Azure Active Directory Admin Center bei “Geräte\Alle Geräte“ zu finden. Die angebundenen Computer können zum Beispiel durch Microsoft Endpoint Manager abgesichert und zentral gesteuert werden. Wenn ein angebundener Computer mit BitLocker verschlüsselt wird, kann hierüber auch der Wiederherstellungsschlüssel bezogen werden.

Computerkonten in Azure AD

Sicherheit in Azure AD überprüfen


Über den Menüpunkt „Azure Active Directory\Sicherheit“ im Azure Active Directory Admin Center finden Sie bei „Bericht“ die beiden Menüpunkte „Riskante Benutzer“ und „Riskante Anmeldungen“. Hier können Sie mit wenigen Klicks überprüfen, ob es bei verschiedenen Benutzerkonten Probleme bei der Anmeldung gab, die auf ein Sicherheitsrisiko hindeuten. In diesem Zusammenhang ist auch das „Security Center“ interessant. Hier erhalten Sie für das Azure-Abonnement und damit auch für Azure AD wichtige Sicherheitshinweise, mit denen die Sicherheit von Azure AD verbessert werden kann.

Fazit

Azure Active Directory bietet wichtige Funktionen, wenn es darum geht Benutzer in Cloud-Ressourcen zu authentifizieren. Durch die Zusammenarbeit mit lokalen Active Directory-Umgebungen können auch Benutzerkonten zwischen AD und Azure AD synchronisiert werden, um es dem Anwender einfacher bei der Anmeldung zu machen und SSO-Szenarien zu implementieren. Erweitern lassen sich diese Funktionen noch mit Azure AD Domain Services. Hier können in Azure zusätzlich noch Gruppenrichtlinien genutzt werden, sowie LDAP, Kerberos und NTLM. Dadurch erhalten Unternehmen flexible Möglichkeiten für die Authentifizierung von Benutzern für lokale Ressourcen und Dienste in der Cloud.

Unterstützung benötigt?

Gerne stellen wir Ihnen unsere Leistungen und Lösungen in einem persönlichen Gespräch vor und würden uns über Ihre Kontaktaufnahme sehr freuen!

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 15.06.2021
0

You also might be interested in

Least Privileg: Minimale Berechtigungen um Computer ins AD zu joinen

Jan 6, 2012

Welche Berechtigungen sind nötig um einen Computer zu einer Domäne[...]

Xenserver – VM hängt und kann weder rebootet noch ausgeschaltet werden

Okt 27, 2011

Die folgende Vorgehensweise ermöglicht den Reboot und das anschließende direkte[...]

Migrator-for-GroupWise-4.6

Dell Migrator for GroupWise 4.6 unterstützt Exchange 2016

Mrz 28, 2016

Dell hat vor einigen Tagen eine neue Version des ‚Dell[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next