Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

Azure: Basiswissen für Administratoren

Azure Active Directory

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Azure Active Directory ist ein mehrinstanzenfähiger cloud-basierter Identitätsverwaltungsdienst, der genutzt werden kann, um Konten aus der Cloud und Konten aus einem Domaincontroller in einem Verzeichnis zu sammeln. Anschließend können Sie allen Nutzern angebundene Applikationen und Self Services zur Verfügung stellen.
07:46

Transkript

Sämtliche Logins im Azure Portal werden grundsätzlich über das Azure Active Directory abgearbeitet. Das heißt, wir haben hier grundsätzlich erst einmal einen Dienstnamen Azure AD als sogenanntes Standardverzeichnis zur Verfügung. Wenn ich möchte, kann ich aber durchaus mehrere davon erstellen, indem ich mich auf die Suche mache nach dem entsprechenden Dienst und aus Azure Active Directory eine weitere Dienstinstanz erstelle. Wenn ich das getan habe, gibt es die Möglichkeit, über dieses Menü von einem Azure AD-Mandanten zum nächsten zu springen. Die einzige Limitierung ist, dass jedes Konto maximal in zwanzig Azure ADs enthalten sein kann. Schauen wir uns weiterhin unser Standardverzeichnis etwas genauer an. Die Funktionsweise von Azure AD wird Sie stark an das On Premise basierte Active Directory erinnern. Wir haben Benutzer beziehungsweise Gruppen, die hier verwaltet werden mit dem Unterschied, dass einem Konto in Azure AD beziehungsweise eine Gruppe aus zwei unterschiedlichen Autoritätsquellen stammen kann. Entweder es ist im Azure AD, sprich in der Cloud beheimatet, wird auch hier gepflegt oder es handelt sich um ein sogenanntes synchronisiertes Konto, das On Premise im Domain-Controller zu Hause ist und über ein Tool, namens Azure AD Connect, in das Azure AD zwecks Single-Sign-On hinein synchronisiert worden ist. Die Nutzersynchronisierung basiert auf einer gemeinsamen Domain, die sowohl im Domain-Controller, als auch im Azure AD hinterlegt und registriert ist. Das kann in dem Fall eine Domain wie lynda.com darstellen. Und natürlich muss ich anschließend über einen Text Record, sprich, über eine DNS-Abfrage überprüfen und bestätigen, dass ich wirklich Eigentümer dieser Domain bin. Und erst dann kann ich diese Domain tatsächlich verwenden, um einen gemeinsamen Nenner zwischen dem Azure AD und meinem Domain-Controller zu schaffen. Dann geht es im Wesentlichen darum, User, die entweder in der Cloud oder On Premise beheimatet sind, hier als Sammelbecken zusammenzufassen, um ihnen Zugriff zu geben auf Unternehmensanwendungen. Diese Unternehmensanwendungen kommen entweder aus der Cloud oder kommen aus meiner On Premise Welt. Aus der Cloud heraus kann ich sogenannte Unternehmensanwendungen hinzufügen. Das sind mittlerweile fast 3000 Vorlagen für relativ bekannte Applikationen wie Dropbox für Business oder Salesforce. Die lokalen Anwendungen beziehen sich auf Webapplications oder Anwendungen, die ich per RDP erreichen kann. Und dafür muss ich mein Azure AD upgraden auf eine Premium- oder Basisedition. Wenn ich das gemacht habe, kann ich über dieses Portal einen Connector herunterladen und auf einem beliebigen Domain Joined Server oder auf einem Domain Joined Client in meinem LAN installieren, um so den Durchstich von meinem Local Area Network in die Cloud zu schaffen, das heißt, ich muss das nicht direkt auf dem Applications-Server installieren. Auf diese Art und Weise kann ich dann eine lokal betriebene Applikation, das kann ein SharePoint-Server sein, an mein Azure AD anhängen, um sowohl den internen, als auch den externen Mitarbeitern die sich alle im Azure AD vereinen beziehungsweise dort sammeln, einen Zugriff auf eine bestimmte Applikation zu gewähren. Das bedeutet also, dass es beim Azure Active Directory im Wesentlichen darum geht, so etwas wie ein VPN einzusparen und eine DMZ einzusparen, die man auf diese Art und Weise den internen und externen Mitarbeitern Zugriff auf Applikationen verschafft. Dieser Zugriff kann an Bedingungen geknüpft sein im Hinblick darauf, welche Geräte verwendet werden müssen beziehungsweise nicht verwendet werden dürfen, von welcher IP-address range die Mitarbeiter sich einwählen, um dafür zu sorgen, dass ein bedingter Zugriff implementiert wird, der Ihren Unternehmensrichtlinien entspricht. Wenn ich daher gehe und auf der Platform as a Service-Ebene eine Dienstinstanz wie zum Beispiel eine Azure SQL-Datenbank erzeuge, dann ist das Azure Active Directory erst einmal der standardmäßige Anlaufpunkt für die Authentifizierung. Wenn wir eine virtuelle Maschine erzeugen, dann ist diese VM standardmäßig erst einmal ein ganz normaler Workgroup Computer. Sie können aber, wenn Sie das möchten, beispielsweise einen Windows 10 Client problemlos an das Azure Active Directory anbinden. Azure AD punktet in erster Linie durch weltweite Verfügbarkeit und Skalierbarkeit, aber natürlich bei jedem Dienst gibt es bestimmte Einschränkungen, die man berücksichtigen muss, beziehungsweise die man sich vorher anschauen sollte. Manche davon haben wir bereits erwähnt, beispielsweise dass ein einzelner Benutzter in maximal 20 Azure AD Verzeichnissen vorkommen kann. Das ist in erster Linie dann notwendig, wenn man in einem Konzern mehrere Unternehmen, also auch Azure AD Mandanten hat, die man dann untereinander verschachteln will. Das heißt, hier gibt es eine technische Limitation. Darüber hinaus hängt es in erster Linie von Ihrer Edition des Azure ADs ab, wie viele Objekte Sie in Ihrem Verzeichnis unterbringen können. Standardmäßig haben wir hier in der sogenannten Free Edition, in der kostenlosen Variante von Azure AD, die Möglichkeit, nach der Freischaltung durch den Microsoft Support maximal 500.000 Objekte freizuschalten. Dabei geht es also nicht nur um User-Objekte, sondern auch um Gruppen und Applikationen, sprich, alles, was im Azure AD an Objekten zusammenläuft. Nun noch einen Überblick zu den Azure AD Preisen. Da geht es aber in erster Linie um die unterschiedlichen Editionen, die es für Azure AD gibt, nämlich Free, Basic, P1 und P2, und welche Features dort enthalten sind beziehungsweise welche Objektlimits. Das heißt, Sie sollten sich auch diese Tabelle im Vorhinein gut anschauen, um für sich zu überlegen, welche Funktionalitäten beziehungsweise welche Features benötigen Sie, um dahingehend Ihr primäres Azure AD Verzeichnis entsprechend zu lizenzieren. Eine der wichtigsten Eigenschaften von Azure Active Directory, was viele IT-Pros überrascht, ist die Tatsache, dass Azure AD standardmäßig kein LDAP unterstützt. Das heißt, es muss hier eine andere Möglichkeit geben, die Lese- und Schreiboperationen gegenüber dem Azure AD vorzunehmen. Das passiert über den sogenannten Office Graph. Das ist eine von Microsoft bereitgestellte Schnittstelle, die über die sogenannte REST API fungiert, das heißt, über eine HTTP Get-Anfrage kann ich hier Leseoperationen durchführen etcetera. Wenn Sie weiterhin LDAP verwenden möchten, um auch Lese- und Schreiboperationen gegen das Azure AD vorzunehmen, gibt es die Möglichkeit, einen Dienst zu nutzen, namens Azure Active Directory Domain Services. Das heißt, das ist eine Fassade beziehungsweise eine Schnittstelle, die sich um das Azure AD herumlegt und auf diese Art und Weise wieder in der Lage ist, LDAP Lese- und Schreiboperationen zu verstehen. In diesem Video haben wir nun einen Überblick über das Azure Active Directory bekommen, welche Objekttypen sich dort ansammeln, welche Services Azure AD bietet und welche Editionen beziehungsweise Lizenzierungsoptionen darauf bestehen.

Azure: Basiswissen für Administratoren

Lernen Sie das Wichtigste, was Sie als IT-Adminstrator über die Möglichkeiten von Azure wissen müssen.

4 Std. 2 min (31 Videos)
Derzeit sind keine Feedbacks vorhanden...
 
Hersteller:
Software:
Exklusiv für Abo-Kunden
Erscheinungsdatum:07.09.2017

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!