Vergleichen von selbstverwalteten Active Directory Domain Services, Microsoft Entra ID und verwalteten Microsoft Entra Domain Services

Es gibt drei gängige Möglichkeiten zur Verwendung von Active Directory-basierten Diensten in Azure, um für Anwendungen, Dienste oder Geräte den Zugriff auf eine zentrale Identität bereitzustellen. Mit dieser Auswahl von Identitätslösungen können Sie flexibel das am besten geeignete Verzeichnis für die Anforderungen Ihrer Organisation nutzen. Wenn Sie beispielsweise in erster Linie reine Cloudbenutzer verwalten, die mobile Geräte nutzen, ist es unter Umständen nicht sinnvoll, Ihre eigene AD DS-Identitätslösung (Active Directory Domain Services) zu erstellen und zu betreiben. Stattdessen können Sie einfach Microsoft Entra ID verwenden.

Die drei Active Directory-basierten Identitätslösungen haben zwar einen gemeinsamen Namen und die gleiche Technologie, aber sie sind so konzipiert, dass Dienste für die unterschiedlichen Anforderungen von Kunden bereitgestellt werden. Die allgemeinen Identitätslösungen und Featuresätze sind:

  • Active Directory Domain Services (AD DS) : Für Unternehmen geeigneter LDAP-Server (Lightweight Directory Access Protocol) mit wichtigen Features, z. B. Identität und Authentifizierung, Computerobjektverwaltung, Gruppenrichtlinie und Vertrauensstellungen.
    • AD DS ist eine zentrale Komponente in vielen Organisationen mit einer lokalen IT-Umgebung und verfügt über wichtige Features für die Bereiche Benutzerkontoauthentifizierung und Computerverwaltung.
    • Weitere Informationen finden Sie unter Übersicht über Active Directory Domain Services.
  • Microsoft Entra ID: Cloudbasierte Verwaltung von Identitäten und mobilen Geräten, die Benutzerkonto- und Authentifizierungsdienste für Ressourcen (z. B. Microsoft 365), das Microsoft Entra Admin Center oder SaaS-Anwendungen bereitstellt.
    • Microsoft Entra ID kann mit einer lokalen AD DS-Umgebung synchronisiert werden, um eine zentrale Identität für Benutzer bereitzustellen, die in der Cloud nativ funktioniert.
    • Weitere Informationen zu Microsoft Entra ID finden Sie unter Was ist Microsoft Entra ID?
  • Microsoft Entra Domain Services: Stellt verwaltete Domänendienste mit vollständig kompatiblen herkömmlichen AD DS-Features bereit, z. B. Domänenbeitritt, Gruppenrichtlinie, LDAP und Kerberos-/NTLM-Authentifizierung.
    • Domain Services ist in Microsoft Entra ID integriert, die selbst mit einer lokalen AD DS-Umgebung synchronisiert werden kann. Dank dieser Option können Anwendungsfälle mit zentraler Identität auf herkömmliche Webanwendungen erweitert werden, die in Azure im Rahmen einer Lift & Shift-Strategie ausgeführt werden.
    • Weitere Informationen zur Synchronisierung (mit Microsoft Entra ID und lokal) finden Sie unter Synchronisieren von Objekten und Anmeldeinformationen in einer verwalteten Domäne.

In diesem Übersichtsartikel wird verglichen und gegenübergestellt, wie diese Identitätslösungen zusammenarbeiten können oder einzeln eingesetzt werden – je nach den Anforderungen Ihrer Organisation.

Domain Services und selbstverwaltete AD DS

Wenn Sie über Anwendungen und Dienste verfügen, die Zugriff auf herkömmliche Authentifizierungsmechanismen benötigen, z. B. Kerberos oder NTLM, gibt es für die Bereitstellung von Active Directory Domain Services in der Cloud zwei Möglichkeiten:

  • Eine verwaltete Domäne, die Sie mit Microsoft Entra Domain Services erstellen. Microsoft erstellt und verwaltet die erforderlichen Ressourcen.
  • Eine selbstverwaltete Domäne, die Sie unter Verwendung herkömmlicher Ressourcen wie etwa virtuellen Computern (VMs), Windows Server-Gastbetriebssystem und Active Directory Domain Services (AD DS) erstellen und konfigurieren. Anschließend können Sie diese Ressourcen weiter verwalten.

Mit Domain Services werden die wichtigen Dienstkomponenten von Microsoft für Sie als Umgebung für verwaltete Domänen bereitgestellt und gepflegt. Sie führen die Bereitstellung, die Verwaltung, das Patchen und das Schützen der AD DS-Infrastruktur für Komponenten wie VMs, Windows Server-Betriebssystem oder Domänencontroller (DCs) nicht durch.

Mit Domain Services wird verglichen mit herkömmlichen selbstverwalteten AD DS-Umgebungen eine geringere Menge von Features bereitgestellt, sodass die Komplexität des Entwurfs und der Verwaltung teilweise reduziert wird. Es müssen beispielsweise keine AD-Gesamtstrukturen, -Domänen, -Websites und -Replikationslinks entworfen und gepflegt werden. Das Erstellen von Gesamtstrukturvertrauensstellungen zwischen Domain Services und lokalen Umgebungen ist nach wie vor möglich.

Für Anwendungen und Dienste, die in der Cloud ausgeführt werden und Zugriff auf herkömmliche Authentifizierungsmechanismen benötigen, z. B. Kerberos oder NTLM, wird von Domain Services eine verwaltete Domänenumgebung mit minimalem Verwaltungsaufwand bereitgestellt. Weitere Informationen finden Sie unter Verwaltungskonzepte für Benutzerkonten, Kennwörter und die Verwaltung in Domain Services.

Wenn Sie eine selbstverwaltete AD DS-Umgebung bereitstellen und ausführen, müssen Sie alle zugeordneten Infrastruktur- und Verzeichniskomponenten pflegen. Für eine selbstverwaltete AD DS-Umgebung fällt zusätzlicher Verwaltungsaufwand an, aber Sie können dann weitere Aufgaben durchführen, z. B. eine Erweiterung des Schemas oder die Erstellung von Gesamtstrukturvertrauensstellungen.

Häufig genutzte Bereitstellungsmodelle für eine selbstverwaltete AD DS-Umgebung, über die eine Identität für Anwendungen und Dienste in der Cloud bereitgestellt wird, sind beispielsweise:

  • Eigenständige AD DS-Bereitstellung nur in der Cloud: Azure-VMs werden als Domänencontroller konfiguriert, und es wird eine separate AD DS-Umgebung erstellt, die auf die Cloud beschränkt ist. Diese AD DS-Umgebung wird nicht in eine lokale AD DS-Umgebung integriert. Es wird ein anderer Satz mit Anmeldeinformationen verwendet, um die Anmeldung und Verwaltung für VMs in der Cloud durchzuführen.
  • Erweitern der lokalen Domäne auf Azure: Mit einem virtuellen Azure-Netzwerk wird eine Verbindung mit einem lokalen Netzwerk über eine VPN-/ExpressRoute-Verbindung hergestellt. Azure-VMs stellen die Verbindung mit diesem virtuellen Azure-Netzwerk her, damit der Domänenbeitritt für die lokale AD DS-Umgebung durchgeführt werden kann.
    • Eine Alternative besteht darin, Azure-VMs zu erstellen und als Replikatdomänencontroller über die lokale AD DS-Domäne höherzustufen. Diese Domänencontroller werden über eine VPN-/ExpressRoute-Verbindung mit der lokalen AD DS-Umgebung repliziert. Die lokale AD DS-Domäne wird praktisch auf Azure erweitert.

In der folgenden Tabelle sind einige Features aufgeführt, die Sie für Ihre Organisation ggf. benötigen, sowie die Unterschiede zwischen einer verwalteten Domäne und einer selbstverwalteten AD DS-Domäne:

Feature Verwaltete Domäne Selbstverwaltete AD DS
Verwalteter Dienst
Sichere Bereitstellungen Der Administrator schützt die Bereitstellung.
DNS-Server (verwalteter Dienst)
Domänen- oder Unternehmensadministratorrechte
Domänenbeitritt
Domänenauthentifizierung mithilfe von NTLM und Kerberos
Eingeschränkte Kerberos-Delegierung Ressourcenbasiert Ressourcen- und kontobasiert
Benutzerdefinierte OE-Struktur
Gruppenrichtlinie
Schemaerweiterungen
AD-Domänen-/Gesamtstrukturvertrauensstellungen (nur unidirektionale ausgehende Gesamtstrukturvertrauensstellung)
Sicheres LDAP (LDAPS)
LDAP-Lesevorgänge
LDAP-Schreibvorgänge (in der verwalteten Domäne)
Geografisch verteilte Bereitstellungen

Domain Services und Microsoft Entra-ID

Microsoft Entra ID ermöglicht Ihnen das Verwalten der Identität von Geräten, die von der Organisation verwendet werden, und das Steuern des Zugriffs auf Unternehmensressourcen über diese Geräte. Benutzer können auch ihr persönliches Gerät (BYO-Modell (Bring Your Own)) bei Microsoft Entra ID registrieren, wodurch das Gerät eine Identität erhält. Daraufhin wird das Gerät von Microsoft Entra ID authentifiziert, wenn ein Benutzer sich bei Microsoft Entra ID anmeldet und das Gerät für den Zugriff auf geschützte Ressourcen verwendet. Darüber hinaus kann das Gerät mithilfe von Software zur mobilen Geräteverwaltung (Mobile Device Management, MDM), z. B. Microsoft Intune, verwaltet werden. Mit dieser Verwaltungsfunktion können Sie den Zugriff auf vertrauliche Ressourcen von verwalteten und richtlinienkompatiblen Geräten einschränken.

Herkömmliche Computer und Laptops können ebenfalls Microsoft Entra ID beitreten. Dieser Mechanismus bietet die gleichen Vorteile wie das Registrieren eines persönlichen Geräts bei Microsoft Entra ID, z. B. die Zulassung einer Anmeldung von Benutzern am Gerät mit ihren Anmeldeinformationen des Unternehmens.

In Microsoft Entra eingebundene Geräte bieten Ihnen folgende Vorteile:

  • Einmaliges Anmelden (Single Sign-On, SSO) bei Anwendungen, die per Microsoft Entra ID geschützt sind.
  • Mit der Unternehmensrichtlinie kompatibles Roaming von Benutzereinstellungen auf allen Geräten.
  • Zugriff auf den Microsoft Store für Unternehmen mit Unternehmensanmeldeinformationen.
  • Windows Hello for Business.
  • Eingeschränkter Zugriff auf Apps und Ressourcen über Geräte, die mit der Unternehmensrichtlinien kompatibel sind.

Für Geräte kann der Beitritt zu Microsoft Entra ID mit oder ohne Hybridbereitstellung, die über eine lokale AD DS-Umgebung verfügt, durchgeführt werden. In der folgenden Tabelle sind gängige Gerätebesitzmodelle und deren typische Einbindung in eine Domäne aufgeführt:

Gerätetyp Geräteplattformen Mechanismus
Persönliche Geräte Windows 10, iOS, Android, macOS Microsoft Entra-registriert
Im Besitz der Organisation befindliches Gerät, das nicht in die lokale AD DS-Instanz eingebunden ist Windows 10 In Microsoft Entra eingebunden
Im Besitz der Organisation befindliches Gerät, das in eine lokale AD DS-Instanz eingebunden ist Windows 10 Hybrid in Microsoft Entra eingebunden

Auf einem in Microsoft Entra eingebundenen oder registrierten Gerät wird die Benutzerauthentifizierung mit modernen Protokollen auf OAuth-/OpenID Connect-Basis durchgeführt. Diese Protokolle sind für den Einsatz im Internet konzipiert und eignen sich daher hervorragend für mobile Szenarien, in denen Benutzer von überall auf Unternehmensressourcen zugreifen.

Mit in Domain Services eingebundenen Geräten können Anwendungen die Kerberos- und NTLM-Protokolle für die Authentifizierung verwenden und so Legacyanwendungen unterstützen, die migriert werden, um im Rahmen einer Lift & Shift-Strategie auf Azure-VMs ausgeführt zu werden. In der folgenden Tabelle sind die Unterschiede aufgeführt, die in Bezug auf die Darstellung der Geräte und deren Authentifizierung gegenüber dem Verzeichnis gelten:

Aspekt In Microsoft Entra eingebunden Eingebunden in Domain Services
Gerät gesteuert von Microsoft Entra ID Verwaltete Domain Services-Domäne
Darstellung im Verzeichnis Geräteobjekte im Microsoft Entra-Verzeichnis Computerobjekte in der verwalteten Domain Services-Domäne
Authentifizierung OAuth-/OpenID Connect-basierte Protokolle Kerberos- und NTLM-Protokolle
Verwaltung Software zur mobilen Geräteverwaltung (Mobile Device Management, MDM) wie z.B. Intune Gruppenrichtlinie
Netzwerk Im Internet einsetzbar Muss über eine Verbindung oder eine Peeringverknüpfung mit dem virtuellen Netzwerk verfügen, in dem die virtuelle Domäne bereitgestellt wird
Ideal für... Mobile oder Desktop-Endbenutzergeräte In Azure bereitgestellte Server-VMs

Wenn lokale Instanzen von AD DS und Microsoft Entra ID per AD FS für die Verbundauthentifizierung konfiguriert wurden, ist in Azure DS kein (aktueller/gültiger) Kennworthash vorhanden. Microsoft Entra-Benutzerkonten, die vor der Implementierung der Verbundauthentifizierung erstellt wurden, verfügen unter Umständen über einen alten Kennworthash. Dieser entspricht jedoch wahrscheinlich keinem Hash ihres lokalen Kennworts. Daher kann Domain Services die Anmeldeinformationen der Benutzer nicht überprüfen

Nächste Schritte

Erstellen Sie zum Einstieg in Domain Services eine verwaltete Domain Services-Domäne über das Microsoft Entra Admin Center.

Sie können auch mehr über Verwaltungskonzepte für Benutzerkonten, Kennwörter und Verwaltung in Domain Services und die Synchronisierung von Objekten und Anmeldeinformationen in einer verwalteten Domäne erfahren.