Ersetzt Azure die Active Directory Domain Controller und Active Directory Services?
Der eigentliche Zweck von Azure-AD ist was?
Azure Active Directory wurde entwickelt, um Microsofts Präsenz in der Cloud zu erweitern. Azure Active Directory sollte ursprünglich Benutzer mit Microsoft M365-Diensten verbinden und eine einfachere Alternative zu ADFS für Single Sign-On bieten.
Nun hat es sich jedoch zu einer Plattform für neue Abonnementdienste entwickelt, die sich an Unternehmenskunden richten und für Funktionen berechnet werden, die Active Directory on-premise ohne zusätzliche Kosten bereitgestellt hat.
Nachteil: LDAP + RADIUS-Integration
Azure Active Directory bietet jedoch nicht alle Funktionen des herkömmlichen Active Directory und unterstützt ohne zusätzliches Abonnement keine Authentifizierungsprotokolle wie LDAP und RADIUS.
Nachteil: Gruppenrichtlinie, GPO-Konvertierung zu Intune Policy nur 75% der Möglichkeiten und geht nur für Englisch richtig
Vertraute und wichtige Konzepte wie Gruppenrichtlinienobjekte (GPO) werden durch Intune und Microsoft Endpoint Manager ersetzt. Diese langjährig etablierten Konzepte ermöglichten es, das Betriebssystem, das von Endbenutzern verwendet wurde, in einen unternehmensfähigen Endpunkt umzuwandeln. Es ist jedoch wichtig zu beachten, dass derzeit nur etwa 75% der bekannten Gruppenrichtlinien konvertiert werden können.
Zudem geht dies meist nur zuverlässig mit englischen GPO-Templates. Sobald andere Sprachen im Einsatz sind, sinkt die success %-Rate.
MS: “Known issues: Currently, the Group Policy analytics tool only supports non-ADMX settings in the English language. If you import a GPO with settings in languages other than English, then your MDM Support percentage is inaccurate.”
https://learn.microsoft.com/en-us/mem/intune/configuration/group-policy-analytics
Gruppenrichtlinien waren ein äusserst nützliches Werkzeug, mit dem IT-Abteilungen von kleinen und mittleren Unternehmen bis hin zu grossen Unternehmen die meisten Aspekte ihrer Systeme standardisieren und steuern konnten.
Nachteil: Die Gruppenverwaltung mit rollenbasierter Zugriffssteuerung (RBAC) ist nicht im kostenlosen Tarif von Azure Active Directory enthalten.
Für On-Premise-Kunden kaufte Microsoft vor einigen Jahren genau für diesen Punkt eine Firma auf und Enterprise Agreement-Grosskunden konnten dies fast kostenlos einsetzen. Es gab ja schon alles nur wussten es die Leute nicht die es nicht interessierte.
Nachteil: Statt OU neue Administrative Einheiten (Niemand weiss, warum dies geändert wurde…)
Sogar organisatorische Einheiten (OUs) werden durch ein anderes Modell namens Administrative Einheiten ersetzt, das sich stark von AD unterscheidet.
Nachteil: NPS-Server-Rolle, die bei Windows Server kostenlos dabei war, ist nicht in Azure enthalten
Um ähnliche Funktionen wie das lokale Active Directory und die NPS-Serverrollen zu erreichen, müssen Sie die entsprechenden Azure-Dienste erwerben oder die richtige Bestellnummer finden und bestellen.
https://learn.microsoft.com/en-us/azure/active-directory/fundamentals/auth-radius
Ein Vorteil von Azure Active Directory besteht darin, dass es auch Nicht-Microsoft-Identitäten verwalten kann. Allerdings fallen für die Multifaktor-Authentifizierung (MFA) zusätzliche Gebühren für monatlich aktive Benutzer an. Gastbenutzer werden basierend auf einem Verhältnis von 1:5 lizenziert.
Aber es gibt ja alles bei Azure?
Die Lizenzierung ist komplex, und ein gestaffeltes Modell hält nützliche Funktionen hinter einer kostenpflichtigen Schranke verborgen. Zum Beispiel ist die Gruppenverwaltung mit rollenbasierter Zugriffssteuerung (RBAC) nicht im kostenlosen Tarif von Azure Active Directory enthalten, obwohl sie normalerweise für die Implementierung der Azure-Plattform erforderlich ist.
Ein Microsoft-fokussiertes Modell?
Azure Active Directory bildet das Fundament für Microsofts Portfolio an Identitäts-, Compliance-, Geräteverwaltungs- und Sicherheitsprodukten, da es eine gemeinsame Identität für Intune, Azure, M365 und vieles mehr bietet. Die Vielfalt an Produkten und die Herausforderungen bei der Migration von Active Directory in die Cloud haben zu einer eigenen Beratungsbranche für Implementierung und Planung geführt.
Die Vielfalt an Konfigurationen und Optionen mag für Unternehmen mit umfangreichen Ressourcen (Manpower und cash) zur Unterstützung von Bereitstellungen geeignet sein.
Da jedoch selbst bewährte Methoden von Microsoft für Azure Active Directory Premium-Stufen erfordern, kann Azure Active Directory für kleine und mittlere Unternehmen mit grundlegenden Anforderungen möglicherweise nicht geeignet sein.
Im Gegensatz zu AD gibt es keine einheitliche Plattform für Azure Active Directory.
Es ist in verschiedene Ebenen unterteilt, und Dienste sind hinter kostenpflichtigen Schranken versteckt.
Die Kosten steigen, wenn eine tiefere Integration in die Azure-Plattform erforderlich ist oder eine Interoperabilität mit Verzeichnissen ausserhalb des Microsoft-Ökosystems gewährleistet werden muss.
Zum Beispiel fallen Gebühren an, wenn Azure Active Directory mit Nicht-Microsoft-Identitäten verbunden wird. Es müssen entsprechende Azure Active Directory Premium P2-Lizenzen für die Berechtigungsverwaltung erworben werden. Die Business-to-Business-Zusammenarbeit soll auch als Gateway für Apps dienen, die von Microsoft bereitgestellt oder in Azure gehostet werden, und Microsoft positioniert seine eigenen Produkte und Dienstleistungen als erstklassige Lösungen.
Stattdessen lenkt es KMUs zu Cloud-Diensten, die den Umfang und die Tiefe seiner bestehenden Produktfamilien erweitern und etablierten Kunden zusätzliche Leistungen verkaufen.
Viele Azure-Dienste sind jedoch für Unternehmenskunden konzipiert und können schwer bereitzustellen und zu erlernen sein.
Es ist keine umfassende Lösung wie das ursprüngliche Active Directory on-premise.
Beispielsweise können Endpunkte nicht richtig verwaltet werden, ohne auch Microsoft Intune zu abonnieren.
Die Verwaltung plattformübergreifender Endpunkte erfordert das teuerste Intune-Abonnement und bietet derzeit nur begrenzte Unterstützung für Linux oder andere OS als Microsoft.
Azure Active Directory kann jedoch on-premise Systeme, Nicht-Windows-Endpunkte und den Zugriff auf Netzwerkressourcen nicht verwalten, ohne mit einem Domänencontroller oder zusätzlichen Diensten integriert zu sein.
Es ist möglich, Intune in einem Unternehmen ohne Active Directory on-premise zu nutzen, aber viele Organisationen sind immer noch gezwungen, eine hybride Umgebung zu haben, um eine vollständige Kompatibilität mit Active Directory on-premise oder Active Directory Federation Services zu gewährleisten.
Zum Schluss:
Kann Azure AD Active Directory on-premise ersetzen?
Die kurze Antwort lautet nein oder warum auch? Sicher nicht, um Kosten zu sparen.
Abhängig von Ihrem Abonnementniveau und den Anforderungen, die eine hybride Bereitstellung zwischen Active Directory on-premise und Azure Active Directory erfordern.
Azure Active Directory ist kein direkter Ersatz für Active Directory.
Die Referenzarchitektur von Microsoft sieht sowohl Active Directory on-premise als auch Azure Active Directory in einer Umgebung vor.