Azure Active Directory: Skalierbare Authentifizierung aus der Cloud

Azure Active Directory bietet die zentrale Authentifizierung aus der Cloud. Damit lässt sich Microsofts Verzeichnisdienst skalierbar erweitern.

Microsoft Azure Active Directory ist ein Dienst in Microsofts Cloud-Angebot Azure, mit dem Unternehmen Authentifizierungen...

für Cloud-Services verwalten können. Der Dienst arbeitet mit Drittherstellern zusammen, lässt sich mit einem lokalen Active Directory synchronisieren und auch mit der PowerShell verwalten.

Unternehmen haben auch die Möglichkeit, andere Cloud-Services von Microsoft wie Office 365 mit Azure Active Directory abzusichern. Dadurch können Unternehmen einen zentralen Authentifizierungsdienst nutzen, der alle Anmeldungen für verschiedene Cloud-Dienste absichert.

In erster Linie bietet sich natürlich die Authentifizierung der verschiedenen Microsoft-Services wie SharePoint Online, Exchange Online und Lync Online an. Aber auch selbst entwickelte Azure-Lösungen, Anwendungen aus dem Azure-Store oder Anwendungen, die auf anderem Weg an das Internet angebunden sind, können Microsofts cloudbasierten Verzeichnisdienst nutzen, und zwar unabhängig davon, ob diese Anwendungen selbst entwickelt oder gekauft wurden.

Azure Active Directory lässt sich sehr schnell einrichten und profitiert natürlich von seiner Skalierbarkeit. Wer sich tiefergehend mit dem Thema auseinandersetzen will, dem steht eine 30-tägige, kostenlose Testversion von Microsoft Azure zur Verfügung, mit der sich auch Azure Active Directory testweise verwenden lässt. Wir zeigen die ersten Schritte.

Azure Active Directory einrichten

Sobald Sie sich am Azure-Portal angemeldet haben, finden Sie die Verwaltung von Azure Active Directory im Bereich Active Directory. Sie können auch im Testzeitraum von Microsoft Azure uneingeschränkt mit dem Dienst arbeiten. Grundlegend können Sie das Standardverzeichnis verwenden oder über Neu ein neues Verzeichnis anlegen. 

Das Anlegen dauert aber auch nur wenige Minuten, sodass Sie bei eigenen Anwendungen auch besser mit einem eigenen Verzeichnis arbeiten sollten. Die Erstellung eines Verzeichnisses in Microsoft Azure Active Directory ist wesentlich einfacher als die Erstellung einer lokalen Active-Directory-Gesamtstruktur im Unternehmen.

Bei der Verwaltung des eigenen Verzeichnisses in Azure Active Directory können Sie verschiedene eigene Internet-Domänen anbinden, mit denen sich Anwender an Azure Active Directory anmelden können. Sie haben auch die Möglichkeit, mehrere Verzeichnisse anzulegen und getrennt zu verwalten.

In der Weboberfläche von Azure Active Directory verwalten Sie Domänen und Zugriffe.

In der zentralen Oberfläche mit allen Verzeichnissen finden Sie am oberen Rand die zusätzlichen Möglichkeiten für die Multifaktor-Authentifizierung, zum Beispiel zusammen mit Office 365, und die Möglichkeit zur Rechteverwaltung in Microsoft Azure (Azure Rights Management). Die Rechteverwaltung nutzen Sie zum Beispiel auch für die Absicherung von Dokumenten, die Anwender über Exchange Online in Office 365 an Partnerunternehmen senden.

Die Prüfung der Berechtigungen wird über die Rechteverwaltung durchgeführt. Allerdings ist diese Funktion nur optional und gehört nicht zu den Basiswerkzeugen von Azure Active Directory.

Interessant ist in diesem Zusammenhang auch der Link Access Control-Namespaces. Hier haben Sie die Möglichkeit, externe Authentifizierungsdienste wie Facebook, OpenID oder Google an das Azure Active Directory anzubinden.  Der Vorteil liegt dabei in der Nutzung von Azure-Diensten wie Webseiten oder Storage, die durch Azure-AD abgesichert, aber durch einen externen Dienst verifiziert werden.

Haben Sie ein eigenes Verzeichnis erstellt, ermöglicht Ihnen ein Klick auf den Namen einen genaueren Blick auf die Details. Die verschiedenen Menüs und Möglichkeiten stehen im oberen Bereich zur Verfügung. Auf diese gehen wir nachfolgend ein.

Einzelne Verzeichnisse verwalten - Benutzer, Gruppen und Anwendungen

Wie mit einem lokalen Active Directory können Sie auch in Azure Active Directory einzelne Verzeichnisse getrennt voneinander verwalten. 

Öffnen Sie hierzu die Verwaltung eines Verzeichnisses, stehen im oberen Bereich Benutzer und Gruppen zur Verfügung. Hier lassen sich Einstellungen von Benutzern ändern, neue Benutzer anlegen oder Benutzer den Gruppen zuordnen. Das Anlegen wird über die Weboberfläche durchgeführt.

In der Verwaltung der Gruppen können Sie bei jeder Gruppe die Mitglieder auswählen.  Über Anwendungen können Sie externe oder eigene Anwendungen hinterlegen, die das Verzeichnis mit den angelegten Benutzern verwenden sollen.

Über den Bereich Konfigurieren können Sie für einzelne Verzeichnisse auch Multifaktor-Authentifizierung aktivieren. Grundsätzlich bietet es sich an, so schnell wie möglich mit eigenen Domänen zu arbeiten, da Sie auf diesem Weg die Verzeichnissynchronisierung und die Anmeldung an anderen Cloud-Diensten schneller nutzen können. Für Testzwecke oder erste Einblicke reicht die Standard-Domäne aber aus.

Azure Active Directory mit lokalem Verzeichnis synchronisieren

Administratoren haben die Möglichkeit, für jedes Verzeichnis über den Bereich Verzeichnissynchronisierung eine Synchronisierung mit lokalen Active-Directory-Umgebungen durchzuführen. Nach der Konfiguration der Synchronisierung wird diese über das Verzeichnis-Synchronisierungstool im lokalen Netzwerk durchgeführt. Auch hier erfolgt die Einrichtung über einen Assistenten.

Azure Active Directory Premium

Wem die Standardmöglichkeiten von Azure AD nicht ausreichen, kann in der Weboberfläche auch die Premium-Version von Azure Active Directory aktivieren. In der Premium-Edition steht zum Beispiel ein Self-Service-Portal zur Verfügung, mit dem Anwender selbst Kennwörter und Einstellungen Ihres Benutzerkontos anpassen können. 

Anders als in der Basic-Variante erfolgt in Azure Active Directory Premium aber auch die Synchronisation zurückgesetzter Passwörter in lokale Verzeichnisse. Auch Multifaktor-Authentifizierung steht nur in der Premium-Version zur Verfügung.

Azure Active Directory Premium ist vor allem auch bei der Verwendung von Azure Rights Management sinnvoll. In Exchange Online können Sie damit Rechtevorlagen an E-Mails anbinden, zum Beispiel für das Untersagen der Weiterleitung oder das Ausdrucken von E-Mails mit bestimmten Anhängen. Zusätzlich können Sie E-Mails auf Basis von Azure AD Rights Management auch verschlüsseln.

Azure Active Directory mit Skripten und der PowerShell verwalten

Um Office 365 und Microsoft Azure Active Directory über die PowerShell zu verwalten, müssen Sie zusätzliche Module herunterladen und installieren, und zwar den Microsoft Online Services-Anmelde-Assistent sowie das Active-Directory-Modul für Windows PowerShell.

Die CMDlets für die Verwaltung von Azure Active Directory importieren Sie mit Import-Module Azure. Damit Sie Azure-Dienste verwalten können, müssen Sie sich mit Ihrem Abonnement verbinden:

  1. Geben Sie Get-AzurePublishSettingsFile ein und melden Sie sich am Azure Active Directory an.
  2. Laden Sie die Datei herunter, die der Assistent anzeigt.
  3. Geben Sie den Befehl Import-AzurePublishSettingsFile <Pfad zur .publishsettings-Datei> ein.
  4. Geben Sie danach Get-AzureSubscription ein. Im Fenster müssten Sie die Anmeldedaten Ihres Abonnements sehen.

Eine ausführliche Liste aller CMDlets finden Sie im Microsoft Developer Network. Microsoft zeigt in einigen Videos auch den Umgang mit dem CMDlets. Diese finden Sie zum Beispiel auf YouTube.

Fazit: Das skalierbare Active Directory in der Cloud
Azure Active Directory ist ein ideales Werkzeug, wenn es um das zentrale Verwalten von Cloud-Diensten geht. Die Einrichtung ist dabei schnell abgeschlossen und die Verwaltung recht einfach. Der große Vorteil eines cloudbasierten Active Directory liegt natürlich in der enormen Skalierbarkeit.

So können Unternehmen zahlreiche Cloud-Dienste und Apps anbinden, die Rechteverwaltung nutzen und Anwender oder Gruppen zentral verwalten. Für all diese Funktionen sind zudem keine eigenen Server notwendig, nicht einmal in der Cloud. Da Azure Active Directory ein SaaS-Dienst (Software as a Service) ist, müssen sich Administratoren nicht um die zugrunde liegende Serverinfrastruktur kümmern. Am Anfang sollte die Basic-Version ausreichen. Die Premium-Version kann jederzeit getestet und dann nach Bedarf aktiviert werden.

Folgen Sie SearchDataCenter.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Februar 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Public-Cloud-Infrastruktur

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close