Migration von Active Directory zum Azure AD

Azure Active Directory

Wer Microsoft 365 verwendet, setzt automatisch auch das Azure Active Directory ein. Da liegt der vollständige Umstieg von der On-Premise-Version nahe. Bei der Migration sind jedoch einige Punkte zu beachten.

Richtet ein Unternehmen Microsoft 365 ein, erstellt Azure automatisch ein Verzeichnis im Hintergrund. Es heißt Azure Active Directory (Azure AD) und ist an das bekannte und erfolgreiche Active Directory angelehnt – jedoch ist die Cloud-Version kein Klon der On-Premise-Software. Administratoren können dennoch Objekte zwischen beiden Standorten synchronisieren oder sie verknüpfen. Bestehende Nutzer können sich also mit einem Zugang, einem Passwort und einer einmaligen Anmeldung sowohl für lokale Dienste als auch für solche in Azure authentifizieren. Schnittstellen wie OAuth2 und OpenID-Connect dienen darüber hinaus der Authentifizierung bei beliebigen weiteren registrierten Diensten von Drittanbietern.

Drei Authentifizierungsverfahren

Grundsätzlich zu klären ist, welche Instanz bei der Authentifizierung den Hut aufgesetzt bekommt: Die Verfahren Password Hash Synchronisation (PHS) und Pass Through Authentication (PTA) haben die Identitätsprüfung durch die Azure Cloud gemein. Hingegen wird bei der Methode mit den Active Directory Federation Services (AD FS) die Authentifizierungsanfrage an die On-Premise installierte AD-FS-Instanz weitergegeben und die lokale Infrastruktur ist hierfür verantwortlich. Notwendig wird diese Architektur immer dann, wenn Drittanbietersoftware mit Multi-Faktor-Authentifikationssystemen im Spiel ist oder man nicht auf den User Principle Name (UPN) zurückgreifen kann. Auch bei Authentifizierungshardware wie Smartcards sind die AD FS notwendig.

Ist man von solchen Abhängigkeiten befreit, kann man sich entweder für PTA oder für PHS entscheiden. Die Tabelle zeigt, was zu welchen Umgebungen passt und welche Kombinationen sinnvoll sind.

Azure Active Directory

Kleine Firmen wählen daher vorzugsweise die PHS. Wünschen Compliance-Abteilungen das sofortige Durchsetzen von Richtlinienänderungen, sollten Unternehmen auf PTA zurückgreifen. Dabei empfiehlt Microsoft, dass man aus Gründen der Ausfallsicherheit mindestens drei Azure-AD-Connect-Server einsetzt. Sicherheitsbewusste Administratoren aktivieren bei PTA oder AD FS zusätzlich die PHS. Azure AD nutzt die synchronisierten Hashes anschließend zum Abgleich mit geklauten Daten, um Konten vor einem Missbrauch zu schützen. Dafür müssen Kunden allerdings die Lizenz Azure AD P2 zusätzlich buchen.

Kostenloses Whitepaper

Die wichtigsten Punkte, die Sie bei der Migration von Active Directory zum Azure AD beachten sollten.
Whitepaper_Rewion_Migration-von-Active-Directory-zum-Azure-AD_Vorschaubild
  • Verschiedene Authentifizierungsverfahren
  • Vorbereiten von Active Directory
  • Wechsel zum Azure AD
  • Nach dem Wechsel

Haben Sie Fragen?

Nico Ziegler

Beitrag teilen:

Weitere interessante Beiträge

Scroll to Top