Alexander Göhring

Azure AD Connect verbindet und integriert lokale Verzeichnisse in Azure Active Directory. So können sich Benutzer mit einer einzigen Idendität bei lokalen wie cloud-basierten Anwendungen wie Office 365 anmelden.

Wie bereits in meinem vorangegangenen Beitrag erläutert, ist Azure Active Directory (Azure AD) – Microsofts Verzeichnisdienst in der Cloud – eine ausgezeichnete Lösung für die Authentifizierung und den Single-Sign-On-Zugriff bei einer Vielzahl cloudbasierter Anwendungen.

Das volle Potenzial entfaltet Azure AD bei der Synchronisation mit lokalen Verzeichnissen sowie beim Betrieb im Verbund. Nur so stehen lokal vorhandene Accounts auch in der Cloud zur Verfügung. Für die Einrichtung und den Betrieb stellt Microsoft ein umfängliches Tool zur Verfügung: Azure AD Connect.

Die Komponenten von Azure AD Connect

Verzeichnisintegration ist kein neues Thema bei Microsoft. Mit DirSync und Azure AD Sync gibt es bereits zwei prominente Vorgänger. Azure AD Connect vereint nun den Funktionsumfang beider Tools in einem einfach zu bedienenden und intuitiven Programm. Zudem endet der Support für beide Vorgänger im April 2017, sodass Neuimplementierungen stets mit Azure AD Connect realisiert werden sollten.

Azure AD Connect besteht aus drei Hauptkomponenten: Synchronisierungsdienst, Überwachungsdienst und Verbunddienst. Ersterer ist der zentrale Bestandteil des Tools. Er erstellt Benutzer, Computer und andere Objekte und synchronisiert deren Attribute zwischen lokalem AD und Azure AD. Der Überwachungsdienst „Azure AD Connect Health“ ermöglicht optional ein laufendes Monitoring der Synchronisierungsdienste ganz bequem von Azure aus. So wird eine zentrale Kontrollinstanz für die Synchronisierung sowie die Tätigkeit der Verbunddienste geschaffen. Sollen indes Single-Sign-On-Szenarien realisiert werden, dann ist der Verbunddienst „Active Directory Federation Services“ unverzichtbar. Er komplexe Bereitstellung mit vielfältigem Funktionsumfang realisiert werden.

Vielfältiger Funktionsumfang

Mit Azure AD Connect erhält man auch eine Reihe neuer Funktionen, die die Verwaltung präziser, einfacher, aber auch umfänglicher machen. Mit Hilfe der Kennwortsynchronisierung kann sowohl in der Cloud als auch lokal das gleiche Kennwort verwendet werden, was vor allem im synchronisierten Betriebsmodus eine erhebliche Erleichterung darstellt. Dabei werden Kennwörter weiterhin an nur einem Ort verwaltet. Durch die Anbindung des lokalen Ads können außerdem bereits vorhandene Kennwortrichtlinien umgesetzt werden.

Währenddessen erlaubt das Kennwortrückschreiben dem Benutzer, sein Kennwort in der Cloud und damit auch im lokalen AD zu ändern. Auch hier können bereits vorhandene Kennwortrichtlinien durchgesetzt werden. Zudem lassen sich in Azure AD registrierte Geräte durch das Geräterückschreiben in das lokale AD zurück synchronisieren und somit auch für lokale Zwecke bereitstellen. Die Filterfunktion erlaubt es, nur bestimmte Objekte des AD zu synchronisieren. Die Auswahlmöglichkeiten sind hier vielfältig, sodass zum Beispiel anhand von Organisationseinheiten, Gruppen, Domänen oder Attributen gefiltert werden kann

Auf Wunsch können außerdem die Active Directory Federation Services mitinstalliert werden. Der Installationsassistent begleitet den Nutzer durch die Installation, die Einrichtung sowie die Herstellung der Vertrauensstellung zwischen lokalem AD und Office 365.

Einfache Installation

Wer bereits ein Vorgänger-Tool wie DirSync oder Azure AD Sync verwendet, kann mit Hilfe des Setup-Assistenten ein einfaches Upgrade vornehmen. Die bereits vorhandene Konfiguration wird dabei übernommen. Abhängig von der Anzahl der zu verarbeitenden Objekte im AD kann die Einrichtungszeit zwischen einigen Minuten oder mehreren Stunden variieren. Gewisse Ausfallzeiten sollten also in jedem Fall eingerechnet werden. Erfolgt ein Upgrade mit gleichzeitigem Umzug auf einen neuen Server, dann bietet Azure AD Connect die Möglichkeit, eine bestehenden DirSync-Konfiguration zu exportieren und bei der Neuinstallation zu importieren. Bei mehr als 50.000 Objekten im lokalen AD schlägt der Installationsassistent dieses Vorgehen selbstständig vor. Auf diese Weise kann eine parallele Installation ohne Ausfallzeit realisiert werden.

In meinen nächsten Beiträgen werde ich detailliert auf die einzelnen Installationen und Betriebsmodi eingehen und die Installation selbiger Schritt für Schritt beschreiben.