none
Azure AD Services - On Prem AD ablösen?

    Frage

  • Hallo zusammen,

    gerade habe ich mir einen Webcast zum Thema Azure AD Services angesehen, dort war die Rede von voller Unterstützung aller Auth-Protokolle, GPO's, Schemaerweiterungen, Domainjoins von Computern etc.

    Es wurde aber hauptsächlich von VM's gesprochen, dabei wurde für mich nicht ganz klar:

    Kann ich als kleines Unternehmen (~25 MA) auf ein lokales AD verzichten und dafür die Azure AD Services nutzen?

    Es müsste in dem Fall ja die Möglichkeit bestehen lokale Computer in das Azure AD zu joinen und mir ist nicht ganz klar ob/wie das gehen soll.

    Hat jemand weitere Informationen, Tipps, Links etc. dazu?

    Freitag, 23. Oktober 2015 09:50

Antworten

  • Hallo Rolf Hasselbusch,

    es sind inzwischen verschiedenen Szenarien möglich geworden. Das angesprochen Thema zum Azure AD Domain Service habe ich in einem ersten Blogbeitrag besprochen. (http://blog.ugoffice365.ms/security/kerberos-und-ntlm-aus-der-azure-cloud-azure-active-directory-domain-services-04248/)Nun zu Ihren Fragen:
    "Kann ich als kleines Unternehmen (~25 MA) auf ein lokales AD verzichten und dafür die Azure AD Services nutzen?"
    Antwort: Im Prinzip ja. Es sind aber die jeweiligen Anforderungen zu betrachten. Das Azure AD unterstützt das "joinen" von Clientcomputern ab Windows 10. Eine Verwaltung der Clients erfolgt über die MDM Möglichkeiten, besser aber über Intune (welches unter anderem im Lizenzpaket EMS enthalten ist). Wenn nun aber die neuen Azure AD Domain Services genutzt werden sollen, würde ich auch derzeit über die erstere Variante empfehlen. GPOs sind zwar schon möglich, aber diese sind in der jetzigen Preview Version nur stark eingeschränkt nutzbar. Ich würde im Moment noch ein paar Tage warten, bis die Community mehr über die GPO Möglichkeiten erfahren hat.

    Sicherer ist aber auf jeden Fall die Verwaltung über Intune. Wir machen das mit unseren Rechnern schon seit drei Jahren und haben dies auch schon bei Kunden umgesetzt.

    Gruss

    Michael


    MVP Office 365 | Senior IT-Infrastructure Architect | Senior IT Consultant Messaging, Security & Collaboration Solutions

    Dienstag, 27. Oktober 2015 16:25

Alle Antworten

  • Hallo Rolf Hasselbusch,

    hast Du Dir folgenden Thread angesehen?

    https://azure.microsoft.com/de-de/documentation/articles/active-directory-aadconnect/

    Gruß

    Aleksander


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht,  kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Freitag, 23. Oktober 2015 12:50
    Moderator
  • Hallo Rolf,

    Ganz so einfach geht das nicht. Azure AD ist dafür gedacht, Benutzer zu verwalten, im besonderen wenn diese Cloud Lösungen wie Office 365 oder andere Dienste benutzen.

    Gewisse Funktionen des Domain Controllers (Rechner in die Domäne hinzufügen, Benutzer für on-premise Rechner authentifizieren) geht nicht.

    Was Du macht kannst, ist, den Domain Controller als VM in Azure zu betreiben.

    Hier gibts einen guten Überblick über die Unterschiede von AD und Azure AD (auf Englisch):

    http://blogs.technet.com/b/chrisavis/archive/2013/04/26/active-directory-differences-between-on-premise-and-in-the-cloud-part-2.aspx

    hier weitere Infos für Dein Szenario:

    http://serverfault.com/questions/570265/can-i-replace-my-domain-controller-with-azure-active-directory

    Gruss MM


    PS: Please mark as answer if helpful. Thanks!
    Blog: http://www.manuelmeyer.net
    Twitter: https://twitter.com/manumeyer1

    Dienstag, 27. Oktober 2015 15:59
  • Hallo Manuel,

    leider stimmt die Aussage "Gewisse Funktionen des Domain Controllers (Rechner in die Domäne hinzufügen, Benutzer für on-premise Rechner authentifizieren) geht nicht." so nicht mehr.

    Auf meinem Blog habe ich hierzu einen ersten Artikel geschrieben.

    http://blog.ugoffice365.ms/security/kerberos-und-ntlm-aus-der-azure-cloud-azure-active-directory-domain-services-04248/

    Gruss

    Michael

    PS: Derzeit ist das noch eine Preview Version...


    MVP Office 365 | Senior IT-Infrastructure Architect | Senior IT Consultant Messaging, Security & Collaboration Solutions

    Dienstag, 27. Oktober 2015 16:18
  • Hallo Rolf Hasselbusch,

    es sind inzwischen verschiedenen Szenarien möglich geworden. Das angesprochen Thema zum Azure AD Domain Service habe ich in einem ersten Blogbeitrag besprochen. (http://blog.ugoffice365.ms/security/kerberos-und-ntlm-aus-der-azure-cloud-azure-active-directory-domain-services-04248/)Nun zu Ihren Fragen:
    "Kann ich als kleines Unternehmen (~25 MA) auf ein lokales AD verzichten und dafür die Azure AD Services nutzen?"
    Antwort: Im Prinzip ja. Es sind aber die jeweiligen Anforderungen zu betrachten. Das Azure AD unterstützt das "joinen" von Clientcomputern ab Windows 10. Eine Verwaltung der Clients erfolgt über die MDM Möglichkeiten, besser aber über Intune (welches unter anderem im Lizenzpaket EMS enthalten ist). Wenn nun aber die neuen Azure AD Domain Services genutzt werden sollen, würde ich auch derzeit über die erstere Variante empfehlen. GPOs sind zwar schon möglich, aber diese sind in der jetzigen Preview Version nur stark eingeschränkt nutzbar. Ich würde im Moment noch ein paar Tage warten, bis die Community mehr über die GPO Möglichkeiten erfahren hat.

    Sicherer ist aber auf jeden Fall die Verwaltung über Intune. Wir machen das mit unseren Rechnern schon seit drei Jahren und haben dies auch schon bei Kunden umgesetzt.

    Gruss

    Michael


    MVP Office 365 | Senior IT-Infrastructure Architect | Senior IT Consultant Messaging, Security & Collaboration Solutions

    Dienstag, 27. Oktober 2015 16:25
  • Hi Michael,

    Danke für die Korrektur. Das hab ich so noch nicht mitbekommen. 

    Bei Azure gehts ja rasant zu und her... :-)

    Gruss MM


    PS: Please mark as answer if helpful. Thanks!
    Blog: http://www.manuelmeyer.net
    Twitter: https://twitter.com/manumeyer1

    Mittwoch, 28. Oktober 2015 08:39
  • Hi Michael,

    vielen Dank für deine ausführliche Antwort und deinen Blog Beitrag, das gibt schon einen sehr guten Überblick.

    Aus deinem Blog und demTechnet Artikel unter http://blogs.technet.com/b/ad/archive/2015/10/14/azure-ad-domain-services-is-now-in-public-preview-use-azure-ad-as-a-cloud-based-domain-controller.aspx schließe ich das es bisher zum einen jeweils nur eine Gruppe für Benutzer und Computer gibt, also keine Unterscheidung von Rechnern oder Benutzern per OU Zugehörigkeit möglich ist und zum anderen das es (bisher) nur ein globales GPO Objekt gibt.

    Wenn das so stimmt ist es für uns aktuell noch kein Ersatz für ein lokales AD.

    Vielen Dank und Gruß aus Hamburg nach Neumünster :)

    Rolf

    Mittwoch, 28. Oktober 2015 09:45
  • Hallo Manuel,
    sehr gerne.

    Gruss

    Michael


    MVP Office 365 | Senior IT-Infrastructure Architect | Senior IT Consultant Messaging, Security & Collaboration Solutions

    Mittwoch, 28. Oktober 2015 10:04
  • Hallo Rolf,

    sehr gerne geschehen.

    Und ja, es sind nur die zwei Gruppen möglich. Jeweils eine in der jeweiligen OU (AAD Benutzer und AAD Computer).

    Eine Unterscheidung könnte nur per WMI Abfragen in der jeweiligen GPO stattfinden, aber dies wäre ja nur eingeschränkt umsetzbar.

    Trotzdem möchte ich noch einmal nachfragen, wie die oben erwähnten rund 25 MA in "so verschiedenen" OUs aufgeteilt sind? Was ist der Grund der OU Struktur?
    Gerne können wir auch das offline direkt mal besprechen, ob es nicht eine Möglichkeit der Kombination gibt.
    Wenn wir das "historisch gewachsene" Geflecht etwas entspannen, könnten eventuell neue Szenarien entstehen.
    MKN at ANKBS.de

    Gruss

    Michael


    MVP Office 365 | Senior IT-Infrastructure Architect | Senior IT Consultant Messaging, Security & Collaboration Solutions

    Mittwoch, 28. Oktober 2015 10:10