Fachartikel

Azure AD Connect einrichten und betreiben (1)

Azure- und Office365-Angebote bieten sich an, um zusätzliche IT-Ressourcen aus der Cloud zu beziehen. Jedoch bleiben sensible Dienste wie das Active Directory meist am heimischen Campus. Aus diesem Grund kommt hybriden Szenarien große Bedeutung zu. In Bezug auf das Active Directory bedeutet dies, Objekte aus dem Verzeichnisdienst mit der Cloud zu synchronisieren. Azure AD Connect baut die Brücke zwischen lokaler IT und der Cloud. Im ersten Teil des Workshops gehen wir auf die Grundlagen von Azure AD Connect ein und erklären, welche Vorbereitungen Sie vor der ersten Synchronisation mit dem lokalen Directory treffen sollten.
Mit Azure AD Connect bauen Sie in hybriden Umgebungen Brücken zwischen den Verzeichnisdiensten.
Für Netzwerke egal welcher Größe ergibt es durchaus Sinn, den einen oder anderen Dienst in Richtung Azure oder Office 365 auszulagern. Die On-Premise-Landschaft, wie die lokale Infrastruktur im Microsoft-Jargon auch genannt wird, lässt sich dadurch erweitern. Und zumindest für diese Services sind dann die Zeiten von Hardwarebeschaffung und Ausbau des lokalen Rechenzentrums vorüber. Damit rücken aber andere Themen und Aspekte in den Fokus. Beispielsweise: Wie lassen sich in einem hybriden Szenario beide Welten verbinden? Diesbezüglich beschäftigen wir uns in diesem Beitrag mit Identitäten der Active Directory Domain Services (ADDS) und wie diese zu Office 365 gelangen, damit die Objekte in beiden Welten nutzbar sind.

Eigenes Active Directory für Office 365
Office 365 verwendet mit dem Azure Active Directory (Azure AD) einen eigenen Verzeichnisdienst, der dem lokalen Active Directory ähnelt. Jeder Benutzer, der Office 365 nutzt, benötigt ein Benutzerkonto in dem Cloud-Verzeichnisdienst. In kleineren Netzwerken ergibt es vielleicht noch Sinn, diese Benutzer von Hand anzulegen. Dies stößt aber in umfangreichen Umgebungen schnell an Grenzen. Das gilt auch dann, wenn der Administrator mehr Komfort für seine Anwender möchte. In diesem Zusammenhang tauchen immer wieder zwei Begriffe auf, die es zu unterscheiden gilt: "Same Sign-On" und "Single Sign-On".

Ersteres ist gemeint, wenn die Benutzer sich mit denselben Kontoinformationen in der Cloud anmelden wie im lokalen Netzwerk. Die Identitäten liegen dann quasi an zwei Orten. Bei Single Sign-On kommen die ADFS (Federation Services oder zu Deutsch: Verbunddienste) ins Spiel und der Zugriff der Anwender auf Office-365-Dienste vollzieht sich, bezogen auf die Authentifizierung, transparent. Egal, wie die Authentifizierung vonstattengeht, Benutzerkonten müssen immer im Azure AD vorliegen, nur so lassen sie sich lizensieren. Die Verbunddienste sind mittlerweile übrigens auch Teil des Installationspaketes von Azure AD Connect. Die sollen uns aber hier nicht weiter beschäftigen.
Automatisierung ist gefragt
Sie machen sich das Leben als Administrators deutlich leichter, wenn Sie das lokale AD mit dem Azure AD koppeln und über eine Synchronisation neu angelegte Benutzer turnusmäßig automatisch im Azure AD auftauchen. Änderungen und Löschungen werden natürlich genauso synchron gehalten. Microsoft bietet hier seit längerem ein Tool an, das bereits diverse Produktzyklen durchlaufen hat. Aktuell trägt es den Namen Azure AD Connect. Etwas verwirrend an dieser Stelle ist es, das Microsoft recht schnelle Produktwechsel vornahm beziehungsweise die Namen der Synchronisationstools häufig änderte.

Die erste Version hieß DirSync und wurde Ende 2014 durch den Nachfolger Azure AD Sync abgelöst. Knapp ein Jahr später war auch dieser wieder obsolet und Azure AD Connect war im Juni 2015 geboren, ohne das Microsoft das Rad der Synchronisation neu erfunden hat. Unter der Haube von Azure AD Connect läuft immer eine angepasste Version des Synchronisationsdienstes FIM (Forefront Identity Manager). Die Serverkomponente dürfte Ihnen bekannt vorkommen, sofern Sie in Ihrem lokalen AD Identitäten synchronisieren – zum Beispiel mit SQL-Datenbanken – oder zwischen AD-Strukturen, wenn Exchange in einem Ressource-Forest-Konstrukt zum Einsatz kommt.

Auch hierbei macht der Microsoft-Wandel nicht Halt und FIM heißt seit geraumer Zeit MIM (Microsoft Identity Manager). Bei FIM beziehungsweise MIM handelt es sich um eine ganze Produktpalette [1]. Dies sei an dieser Stelle erwähnt, da sich in Bezug auf MIM die Synchronisation als Teil der Palette nicht wirklich geändert hat. In diversen Dokumentationen ist historisch bedingt immer noch von FIM die Rede. Diese Beschreibungen lassen sich für MIM gleichfalls umsetzen und somit in weiten Teilen auch für Azure AD Connect.

Seite 1: Eigenes Active Directory für Office 365
Seite 2: Erst aufräumen, dann synchronisieren


Seite 1 von 2 Nächste Seite >>
2.09.2019/dr/ln/Klaus Bierschenk

Nachrichten

Loadbalancer mit erweiterten Funktionen [28.08.2019]

VMware stellt auf der VMWorld 2019 mit dem "NSX Advanced Load Balancer" neue Netzwerk- und Sicherheitsanalysefunktionen vor, die über VMware vRealize Network Insight 5.0 und NSX Intelligence bereitgestellt werden. Gleichzeitig treibt der Hersteller die Weiterentwicklung von SD-WAN by VeloCloud voran. Die beiden Dienste sollen gemeinsam für eine vollautomatisierte Bereitstellung von Rechenzentrum-Workloads sorgen. [mehr]

Einblicke in die Cloud [2.08.2019]

ExtraHop präsentiert eine Vorschauversion von "ExtraHop Reveal(x) Cloud", ein SaaS-Angebot für die Erkennung und Abwehr von Netzwerkbedrohungen in AWS-basierten Hybrid-Umgebungen. Der Dienst soll Sicherheitsteams kontinuierlich einen detaillierten Überblick über ihre Infrastruktur bieten, sodass sie Transaktionen analysieren, Bedrohungen erkennen und umgehend auf Angriffe reagieren können. [mehr]

Tipps & Tools

Sweet 15 [2.09.2019]

Im September feiert IT-Administrator sein 15-jähriges Bestehen. Wir bedanken uns bei allen Lesern für die Unterstützung und Treue mit einem großen Gewinnspiel in der September-Ausgabe, wo eine breite Palette attraktiver IT-Goodies auf ihren neuen Besitzer wartet. [mehr]

Vorschau September 2019: Sicherer Datenaustausch & Collaboration [26.08.2019]

Der Mailserver ist für Firmen das kommunikative Tor zur Welt. Hinzu kommen verschiedene Collaboration-Werkzeuge für die Zusammenarbeit der Mitarbeiter. Fallen diese aus, erlahmt das Unternehmen. Fast noch schlimmer ist der Diebstahl vertraulicher Daten. Im September-Heft befasst sich IT-Administrator mit dem sicheren Datenaustausch und der Collaboration. Darin erfahren Sie etwa, welche selbst gehosteten Alternativen zu Diensten wie Dropbox bestehen und was es bei der Auswahl von Messengern zu beachten gilt. Außerdem lesen Sie, wie Sie Exchange Online mit der PowerShell administrieren sowie E-Mail-Spoofing verhindern. [mehr]

Überall online [17.07.2019]

Buchbesprechung

Anzeigen