Die Story hinter Azure AD

Azure AD Connect bildet in vielen Firmen den Grundpfeiler der Identitätsverwaltung in Microsoft Cloud-Services wie Microsoft 365 und/oder Microsoft Azure.

Das Produkt Azure AD Connect hat dabei im Laufe der Zeit diverse Veränderungen durchlaufen und wurde kontinuierlich aktualisiert. Gestartet als DirSync ist das Produkt so wie wir es heute verwenden deutlich ausgereifter und stabiler als noch zu Anfangszeiten.

Azure AD Connect bildet die Brücke zwischen dem klassischen On-Premises AD DS und Azure AD und stellt dabei als Tier 0 Infrastruktur eine kritische Komponente jeder Systemlandschaft dar.

Die Nachteile von Azure AD Connect

Um auf das Thema Azure AD Connect Cloud Sync eingehen zu können, müssen wir zunächst beleuchten, wo heute die Nachteile des bestehenden Produktes zu suchen sind.

Azure AD Connect bietet uns heute als Produkt keine Möglichkeit mit einer Active-Active Konfiguration betrieben zu werden. Dies bedeutet im Klartext, dass es in der heutigen Bereitstellungsvariante keine HA-Konfiguration des Azure AD Connect geben kann. Da wir also nur einen aktiven Azure AD Connect Server pro Tenant betreiben können, ist ein Ausfall dieser Serverkomponente immer mit manuellem Aufwand und somit in der Regel mit einer kurzen Ausfallzeit verbunden.

Azure AD Connect bietet zwar die Möglichkeit einen zweiten Server als “Staging” Instanz zu betreiben, dieser muss aber im Falle eines Ausfalls manuell aktiviert werden.

Azure AD Connect Cloud Sync

Hier kommt Azure AD Connect Cloud Sync ins Spiel. Azure AD Connect Cloud Sync bietet die Möglichkeit, mehrere aktive Sync-Agents zu betreiben und somit ein HA-Szenario abzubilden.

Der Ansatz von Azure AD Connect Cloud Sync ist zudem, den Fußabdruck der Komponente in der Serverinfrastruktur zu minimieren und somit weniger Aufwand mit dem Kernthema der Identitätsverwaltung zu haben.

Ein kurzes Video wie Azure AD Connect Cloud Sync aufgesetzt wird, haben wir Euch mit verlinkt.

Und was genau ist jetzt der Mythos?

Azure AD Connect Cloud Sync wird von vielen Unternehmen als “die Lösung” angesehen, wenn es um Hochverfügbarkeit von Indentitätsinfrastruktur geht. Oftmals falsch beraten, wird sich daran gemacht den “alten” Azure AD Connect Server abzulösen und so “moderner” zu werden.

Stand heute bleibt jedoch festzuhalten: Azure AD Connect Cloud Sync ist nur in sehr begrenzten Szenarien einsetzbar und nicht enterprise-tauglich!

Zu den Details:

Kein Support für Device-Objekte

Azure AD Connect Cloud Sync bietet keinen Support für die Synchronisierung der Device Objekte. Dies macht die Implementierung von Hybrid-joined Devices (Geräte die sowohl im lokalen AD als auch in Azure Active Directory eingebunden sind) unmöglich.

Keine Filterung auf Attributen

Den klassischen Fall, nämlich die Filterung nach Attributen von Objekten und das dedizierte Synchronisieren von wenigen Benutzern und Gruppen mit einer sauberen Steuerung, können wir heute über Azure AD Connect Cloud Sync nicht abbilden. De-facto ist es also nur auf Basis von OU’s oder Gruppen möglich, die Synchronisierung von Objekten einzuschränken.

Keine Unterstützung für Pass-through Authentication

Das von vielen Unternehmen eingesetzte PTA (Pass-through Authentication) ist mit Azure AD Connect Cloud Sync nicht möglich. Azure AD Connect Cloud Sync bietet also lediglich die Möglichkeit Password-Hash Synchronisation zu nutzen und die Authentifizierung der Nutzer über die Microsoft Cloud Infrastruktur abzubilden, eine Authentifizierung über das lokale Active Directory ist mit Azure AD Connect Cloud Sync nicht möglich.

Fazit

Mit Azure AD Connect Cloud Sync verfolgt Microsoft den richtigen Ansatz, für den Einsatz in Enterprise-Umgebungen fehlen dem Produkt jedoch noch wichtige Features und Funktionen, die beim heutigen AAD Connect Server enthalten sind.

Es lohnt sich das Produkt zu beobachten, denn der Agent-basierte Ansatz ist für die Umsetzung von HA-Szenarien ausgelegt und bietet eine erhöhte Stabilität – wenn die entsprechenden Features und Funktionen folgen!

Facebook-f Twitter Pinterest-p