Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Virtual Machines
Azure Virtual Network
Microsoft Entra ID
Microsoft Entra ID ist ein cloudbasierter Verzeichnis- und Identitätsdienst. Die folgende Referenzarchitektur zeigt bewährte Methoden zum Integrieren von lokalen Active Directory-Domänen mit Microsoft Entra ID, um die cloudbasierte Identitätsauthentifizierung zu ermöglichen.
Architecture
Laden Sie eine Visio-Datei dieser Architektur herunter.
Note
Aus Gründen der Einfachheit zeigt dieses Diagramm nur die Verbindungen direkt im Zusammenhang mit der Microsoft Entra-ID und nicht protokollbezogenen Datenverkehr, der als Teil der Authentifizierung und des Identitätsverbunds auftreten kann. Beispielsweise kann eine Webanwendung den Webbrowser umleiten, um die Anforderung über die Microsoft Entra-ID zu authentifizieren. Nach der Authentifizierung kann die Anforderung zusammen mit den entsprechenden Identitätsinformationen an die Webanwendung übergeben werden.
Components
Microsoft Entra-Mandant: Eine Instanz von Microsoft Entra-ID , die von Ihrer Organisation erstellt wurde. Sie fungiert als ein Verzeichnisdienst für Cloudanwendungen, indem sie Objekte speichert, die aus dem lokalen Active Directory kopiert wurden, und stellt Identitätsdienste bereit.
Webebenen-Subnetz: Dieses Subnetz hostt virtuelle Computer (VMs), die eine Webanwendung ausführen. Die Microsoft Entra-ID dient als Identitätsbroker für diese Anwendung.
Lokaler Active Directory Domain Services (AD DS)-Server: Ein lokaler Verzeichnis- und Identitätsdienst. Das AD DS-Verzeichnis kann mit Microsoft Entra ID synchronisiert werden, um die Authentifizierung lokaler Benutzer*innen zu ermöglichen.
Microsoft Entra Connect-Synchronisierungsserver: Ein lokaler Computer, auf dem der Microsoft Entra Connect-Synchronisierungsdienst ausgeführt wird. Dieser Dienst synchronisiert Informationen, die im lokalen Active Directory gespeichert sind, mit Microsoft Entra-ID. Beispielsweise werden diese Änderungen automatisch mit der Microsoft Entra-ID synchronisiert, wenn Benutzer und Gruppen lokal bereitgestellt oder aufgehoben werden.
Note
Aus Sicherheitsgründen speichert Microsoft Entra ID Benutzerkennwörter als Hashes. Wenn ein Benutzer eine Kennwortzurücksetzung erfordert, muss die Zurücksetzung lokal ausgeführt werden, und der aktualisierte Hash muss an die Microsoft Entra-ID gesendet werden. Microsoft Entra ID P1- oder P2-Editionen enthalten Features, mit denen Kennwortänderungen in der Cloud initiiert und dann wieder in das lokale AD DS geschrieben werden können.
VMs für N-Tier-Anwendungen: VMs, die skalierbare, robuste und sichere Anwendungen unterstützen, indem Workloads in einzelne Ebenen wie Web, Geschäftslogik und Daten getrennt werden. Weitere Informationen zu diesen Ressourcen finden Sie unter N-Tier-Architektur auf virtuellen Computern.
Szenariodetails
Mögliche Anwendungsfälle
Berücksichtigen Sie die folgenden typischen Verwendungsmöglichkeiten für diese Referenzarchitektur:
Webanwendungen, die in Azure bereitgestellt werden und Zugriff für Remotebenutzer bereitstellen, die zu Ihrer Organisation gehören.
Implementieren von Self-Service-Funktionen für Kunden, z. B. Zurücksetzen ihrer Kennwörter und Delegieren der Gruppenverwaltung. Für diese Funktionalität ist microsoft Entra ID P1 oder P2 Edition erforderlich.
Architekturen, in denen das lokale Netzwerk und das virtuelle Azure-Netzwerk der Anwendung nicht über einen VPN-Tunnel oder einen Azure ExpressRoute-Schaltkreis verbunden sind.
Note
Microsoft Entra ID kann die Identität von Benutzer*innen und Anwendungen authentifizieren, die im Verzeichnis einer Organisation enthalten sind. Einige Anwendungen und Dienste, z. B. SQL Server, erfordern möglicherweise eine Computerauthentifizierung, in diesem Fall ist diese Lösung nicht geeignet.
Recommendations
Sie können die folgenden Empfehlungen auf die meisten Szenarien anwenden. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.
Konfigurieren des Microsoft Entra Connect-Synchronisierungsdiensts
Der Microsoft Entra Connect-Synchronisierungsdienst stellt sicher, dass Identitätsinformationen, die in der Cloud gespeichert sind, mit denjenigen konsistent sind, die lokal gespeichert sind. Sie installieren diesen Dienst mithilfe der Microsoft Entra Connect-Software.
Bevor Sie Microsoft Entra Connect Sync implementieren, bestimmen Sie die Synchronisierungsanforderungen Ihrer Organisation. Überlegen Sie beispielsweise, was synchronisiert werden soll, welche Domänen einbezogen werden sollen und wie oft die Synchronisierung erfolgen soll.
Sie können den Microsoft Entra Connect-Synchronisierungsdienst auf einem virtuellen Computer oder auf einem lokal gehosteten Computer ausführen. Je nach Volatilität der Informationen in Ihrem Active Directory-Verzeichnis ist es unwahrscheinlich, dass die Auslastung des Microsoft Entra Connect-Synchronisierungsdiensts nach der Erstsynchronisierung mit Microsoft Entra ID hoch ist. Durch Ausführen des Diensts auf einem virtuellen Computer wird es einfacher, den Server bei Bedarf zu skalieren. Überwachen Sie die Aktivität auf dem virtuellen Computer, wie im Abschnitt "Überwachungsüberlegungen " beschrieben, um festzustellen, ob die Skalierung erforderlich ist.
Wenn Sie über mehrere lokale Domänen in einer Gesamtstruktur verfügen, empfiehlt es sich, Informationen für die gesamte Gesamtstruktur mit einem einzelnen Microsoft Entra-Mandanten zu speichern und zu synchronisieren. Filtern Sie Informationen nach Identitäten, die in mehreren Domänen auftreten, sodass jede Identität nur einmal in Microsoft Entra-ID angezeigt wird, anstatt dupliziert zu werden. Duplizierung kann zu Inkonsistenzen führen, wenn Daten synchronisiert werden. Weitere Informationen finden Sie im Abschnitt " Überprüfen der Netzwerktopologie" .
Verwenden Sie die Filterung, damit nur erforderliche Daten in Microsoft Entra ID gespeichert werden. Beispielsweise könnte es sein, dass Ihre Organisation keine Informationen über inaktive Konten in Microsoft Entra ID speichern möchte. Filterung kann nach Gruppen, Domänen, Organisationseinheiten oder Attributen erfolgen. Sie können Filter kombinieren, um komplexere Regeln zu erzeugen. Sie können beispielsweise Objekte synchronisieren, die in einer Domäne gespeichert sind, die einen bestimmten Wert in einem ausgewählten Attribut aufweisen. Weitere Informationen finden Sie unter Microsoft Entra Connect Sync: Konfigurieren der Filterung.
Um hohe Verfügbarkeit für den Active Directory Connect-Synchronisierungsdienst zu implementieren, führen Sie einen sekundären Stagingserver aus. Weitere Informationen finden Sie im Stagingmodus.
Note
Microsoft Entra Cloud Sync ist ein Angebot von Microsoft, das entwickelt wurde, um Ihre Hybrididentitätsziele für die Synchronisierung von Benutzern, Gruppen und Kontakten mit Microsoft Entra ID zu erfüllen und zu erreichen. Mit der Microsoft Entra-Cloudsynchronisierung wird die Bereitstellung von Active Directory zu Microsoft Entra ID in Microsoft 365 koordiniert.
Überprüfen der Sicherheitskonfiguration und -richtlinie
Benutzerkennwortverwaltung. Die Microsoft Entra ID P1- oder P2-Editionen unterstützen das Kennwortrückschreiben. Mit diesem Feature können Ihre lokalen Benutzer Self-Service-Kennwortzurücksetzungen aus dem Azure-Portal ausführen. Dieses Feature sollte erst aktiviert werden, nachdem Sie die Kennwortsicherheitsrichtlinie Ihrer Organisation überprüft haben. Sie können beispielsweise einschränken, welche Benutzer ihre Kennwörter ändern können, und Sie können die Kennwortverwaltung anpassen. Weitere Informationen finden Sie unter [Anpassen der Benutzeroberfläche für die Self-Service-Kennwortzurücksetzung von Microsoft Entra].
Schützen von lokalen Anwendungen, auf die extern zugegriffen werden kann. Verwenden Sie den Microsoft Entra-Anwendungsproxy, um externen Benutzer*innen kontrollierten Zugriff auf lokale Webanwendungen über Microsoft Entra ID zu ermöglichen. Nur Benutzer, die über gültige Anmeldeinformationen in Ihrem Azure-Verzeichnis verfügen, verfügen über die Berechtigung, die Anwendung zu verwenden. Weitere Informationen finden Sie unter Aktivieren des Anwendungsproxys in der Microsoft Entra-ID.
Überwachen Sie Microsoft Entra ID aktiv auf Anzeichen verdächtiger Aktivitäten. Erwägen Sie die Verwendung der Microsoft Entra ID P2-Edition, die Microsoft Entra ID Protection enthält. ID Protection verwendet adaptive Machine Learning-Algorithmen und Heuristiken, um Anomalien und Risikoereignisse zu erkennen, die darauf hindeuten können, dass eine Identität kompromittiert wurde. So kann es beispielsweise potenziell ungewöhnliche Aktivitäten wie unregelmäßige Anmeldeaktivitäten, Anmeldungen aus unbekannten Quellen oder IP-Adressen mit verdächtigen Aktivitäten oder Anmeldungen von Geräten erkennen, die infiziert werden könnten. Mit diesen Daten generiert Identity Protection Berichte und Warnungen, damit Sie diese Risikoereignisse untersuchen und geeignete Aktionen durchführen können. Weitere Informationen finden Sie unter ID Protection.
Sie können das Berichterstellungsfeature von Microsoft Entra ID im Azure-Portal verwenden, um sicherheitsbezogene Aktivitäten zu überwachen, die in Ihrem System auftreten. Weitere Informationen zur Verwendung dieser Berichte finden Sie unter Microsoft Entra-Überwachung und -Integrität.
Überprüfung der Netzwerktopologie
Konfigurieren Sie Microsoft Entra Connect so, dass eine Topologie implementiert wird, die den Anforderungen Ihrer Organisation am ehesten entspricht. Microsoft Entra Connect unterstützt die folgenden Topologien:
Einzelne Gesamtstruktur, einzelnes Microsoft Entra-Verzeichnis: In dieser Topologie synchronisiert Microsoft Entra Connect Objekte und Identitätsinformationen aus einer oder mehreren Domänen in einer einzelnen lokalen Gesamtstruktur mit einem einzelnen Microsoft Entra-Mandanten. Das ist die Standardtopologie, die durch die Expressinstallation von Microsoft Entra Connect implementiert wird.
Note
Verwenden Sie nicht mehrere Microsoft Entra Connect-Synchronisierungsserver, um verschiedene Domänen in derselben lokalen Gesamtstruktur mit demselben Microsoft Entra-Mandanten zu verbinden. Diese Konfiguration ist nur geeignet, wenn einer der Server im Stagingmodus ausgeführt wird, wie im folgenden Abschnitt beschrieben.
Mehrere Gesamtstrukturen, einzelnes Microsoft Entra-Verzeichnis: In dieser Topologie synchronisiert Microsoft Entra Connect Objekte und Identitätsinformationen aus mehreren Gesamtstrukturen mit einem einzelnen Microsoft Entra-Mandanten. Verwenden Sie diese Topologie, wenn Ihre Organisation mehrere lokale Gesamtstrukturen hat. Sie können Identitätsinformationen konsolidieren, sodass jeder eindeutige Benutzer einmal im Microsoft Entra-Verzeichnis dargestellt wird, auch wenn der Benutzer in mehr als einer Gesamtstruktur vorhanden ist. Für alle Gesamtstrukturen wird derselbe Microsoft Entra Connect-Synchronisierungsserver verwendet. Der Microsoft Entra Connect-Synchronisierungsserver muss in die Domäne eingebunden und aus allen Gesamtstrukturen erreichbar sein. Weitere Informationen finden Sie unter Voraussetzungen für Microsoft Entra Connect.
Note
In dieser Topologie dürfen Sie keine separaten Microsoft Entra Connect-Synchronisierungsserver verwenden, um jede lokale Gesamtstruktur mit einem einzelnen Microsoft Entra-Mandanten zu verbinden. Diese Konfiguration kann zu duplizierten Identitätsinformationen in der Microsoft Entra-ID führen, wenn Benutzer in mehr als einer Gesamtstruktur vorhanden sind.
Mehrere Gesamtstrukturen, separate Topologien: Diese Topologie führt Identitätsinformationen aus separaten Gesamtstrukturen in einem einzigen Microsoft Entra-Mandanten zusammen und behandelt alle Gesamtstrukturen als separate Entitäten. Diese Topologie ist nützlich, wenn Sie Gesamtstrukturen aus verschiedenen Organisationen kombinieren und die Identitätsinformationen für jeden Benutzer nur in einer Gesamtstruktur gespeichert werden.
Note
Wenn die globalen Adresslisten in jeder Gesamtstruktur synchronisiert werden, kann ein Benutzer in einer Gesamtstruktur in einem anderen als Kontakt vorhanden sein. Dieses Verhalten kann auftreten, wenn Ihre Organisation GALSync mit Forefront Identity Manager 2010 oder Microsoft Identity Manager 2016 implementiert hat. In diesem Szenario können Sie angeben, dass Benutzer durch ihr Mail-Attribut identifiziert werden sollen. Sie können identitäten auch mithilfe der Attribute "ObjectSID " und "msExchMasterAccountSID " abgleichen. Dieser Ansatz ist nützlich, wenn Sie über eine oder mehrere Ressourcengesamtstrukturen verfügen, die Konten deaktiviert haben.
Stagingserver: In dieser Konfiguration führen Sie eine zweite Instanz des Microsoft Entra Connect-Synchronisierungsservers parallel zum ersten aus. Diese Struktur unterstützt die folgenden Szenarien:
Hohe Verfügbarkeit
Testen und Bereitstellen einer neuen Konfiguration des Microsoft Entra Connect-Synchronisierungsservers
Einführung eines neuen Servers und Außerbetriebnahme einer alten Konfiguration
In diesen Szenarien wird die zweite Instanz im Stagingmodus ausgeführt. Der Server zeichnet importierte Objekte und Synchronisierungsdaten in der Datenbank auf, übergibt die Daten jedoch nicht an die Microsoft Entra-ID. Wenn Sie den Stagingmodus deaktivieren, beginnt der Server mit dem Schreiben von Daten in die Microsoft Entra-ID. Es beginnt auch, Kennwortrückschreiben in die lokalen Verzeichnisse durchzuführen, falls zutreffend. Weitere Informationen hierzu finden Sie unter Microsoft Entra Connect Sync: Operative Aufgaben und Überlegungen.
Mehrere Microsoft Entra-Verzeichnisse: Normalerweise erstellen Sie ein einzelnes Microsoft Entra-Verzeichnis für eine Organisation. Es kann jedoch Szenarien geben, in denen Sie Informationen in separaten Microsoft Entra-Verzeichnissen partitionieren müssen. Vermeiden Sie in diesem Fall Synchronisierungs- und Kennwortrückschreibprobleme, indem Sie sicherstellen, dass jedes Objekt aus der lokalen Gesamtstruktur nur in einem Microsoft Entra-Verzeichnis angezeigt wird. Um dieses Szenario zu implementieren, konfigurieren Sie separate Microsoft Entra Connect-Synchronisierungsserver für jedes Microsoft Entra-Verzeichnis, und verwenden Sie die Filterung, sodass jeder Microsoft Entra Connect-Synchronisierungsserver sich gegenseitig ausschließende Objekte verwaltet.
Weitere Informationen zu diesen Topologien finden Sie unter Topologien für Microsoft Entra Connect.
Konfigurieren Sie die Benutzerauthentifizierungsmethode
Standardmäßig konfiguriert der Microsoft Entra Connect-Synchronisierungsserver die Kennworthashsynchronisierung zwischen der lokalen Domäne und Microsoft Entra ID. Der Microsoft Entra-Dienst geht davon aus, dass Benutzer*innen sich authentifizieren, indem sie dasselbe Kennwort angeben, das sie lokal verwenden. Für viele Organisationen ist dies geeignet, Sie sollten aber die vorhandenen Richtlinien und die vorhandene Infrastruktur Ihres Unternehmens berücksichtigen. Berücksichtigen Sie die folgenden Faktoren:
Die Sicherheitsrichtlinie Ihrer Organisation verbietet möglicherweise die Synchronisierung von Kennworthashes mit der Cloud. In diesem Fall sollte Ihre Organisation die Pass-Through-Authentifizierung in Betracht ziehen.
Sie könnten fordern, dass für Benutzer nahtloses einmaligen Anmelden verwendet wird, wenn sie im Unternehmensnetzwerk von Computern, die zur Domäne gehören, auf Cloudressourcen zugreifen.
Ihre Organisation hat möglicherweise bereits Active Directory-Verbunddienste (AD FS) oder einen Nicht-Microsoft-Verbundanbieter bereitgestellt. Sie können Die Microsoft Entra-ID so konfigurieren, dass sie diese Infrastruktur verwendet, um Authentifizierung und SSO zu implementieren, anstatt Kennwortinformationen zu verwenden, die in der Cloud gespeichert sind.
Weitere Informationen finden Sie unter Microsoft Entra Connect-Benutzeranmeldungsoptionen.
Konfigurieren des Microsoft Entra-Anwendungsproxys
Verwenden Sie Microsoft Entra ID, um Zugriff auf lokale Anwendungen zu ermöglichen.
Machen Sie Ihre lokalen Webanwendungen mithilfe von Anwendungsproxyconnectors verfügbar, die von der Microsoft Entra-Anwendungsproxykomponente verwaltet werden. Der Anwendungsproxyconnector öffnet eine ausgehende Netzwerkverbindung mit dem Microsoft Entra-Anwendungsproxy. Die Anforderungen von Remotebenutzer*innen werden von Microsoft Entra ID über diese Proxyverbindung an die Web-Apps zurückgeleitet. Diese Konfiguration macht das Öffnen eingehender Ports in der lokalen Firewall überflüssig und reduziert die Angriffsfläche Ihrer Organisation.
Weitere Informationen finden Sie unter Veröffentlichen von Anwendungen mithilfe des Microsoft Entra-Anwendungsproxys.
Konfigurieren der Microsoft Entra-Objektsynchronisierung
Die Standardkonfiguration für Microsoft Entra Connect synchronisiert Objekte aus Ihrem lokalen Active Directory-Verzeichnis basierend auf den in Microsoft Entra Connect Sync angegebenen Regeln: Grundlegendes zur Standardkonfiguration. Objekte, die diese Regeln erfüllen, werden synchronisiert, während alle anderen Objekte ignoriert werden. Betrachten Sie die folgenden Beispielregeln:
Benutzerobjekte müssen über ein eindeutiges sourceAnchor-Attribut verfügen, und das accountEnabled-Attribut muss aufgefüllt werden.
Benutzerobjekte müssen über ein sAMAccountName-Attribut verfügen und können nicht mit dem Text Azure AD_ oder MSOL_ beginnen.
Microsoft Entra Connect wendet mehrere Regeln auf die Objekte "User", "Contact", "Group", "ForeignSecurityPrincipal" und "Computer" an. Verwenden Sie den Synchronisierungsregeln-Editor, der mit Microsoft Entra Connect installiert ist, wenn Sie den Standardsatz von Regeln ändern müssen.
Sie können auch Ihre eigenen Filter definieren, um die zu synchronisierenden Objekte nach Domäne oder Organisationseinheit zu begrenzen. Alternativ können Sie komplexere benutzerdefinierte Filterung implementieren.
Konfigurieren der Überwachungs-Agents
Die folgenden lokalen Agents führen die Integritätsüberwachung durch:
Microsoft Entra Connect installiert einen Agent, der Informationen zu Synchronisierungsvorgängen erfasst. Verwenden Sie das Blatt „Microsoft Entra Connect Health“ im Azure-Portal, um die Integrität und Leistung zu überwachen. Weitere Informationen finden Sie unter Verwenden von Microsoft Entra Connect Health für die Synchronisierung.
Wenn Sie die Integrität der AD DS-Domänen und -Verzeichnisse in Azure überwachen möchten, installieren Sie den Microsoft Entra Connect Health-Agent für AD DS auf einem Computer in der lokalen Domäne. Verwenden Sie das Blatt „Microsoft Entra Connect Health“ im Azure-Portal für die Systemüberwachung. Weitere Informationen finden Sie unter Verwenden von Microsoft Entra Connect Health mit AD DS.
Installieren Sie den Microsoft Entra Connect Health for AD FS-Agent, um den Status der Dienste zu überwachen, die lokal ausgeführt werden, und verwenden Sie das Blatt "Microsoft Entra Connect Health" im Azure-Portal, um AD FS zu überwachen. Weitere Informationen finden Sie unter Verwenden von Microsoft Entra Connect Health mit AD FS.
Weitere Informationen finden Sie unter Installieren der Microsoft Entra Connect Health-Agents.
Considerations
Diese Überlegungen bilden die Säulen des Azure Well-Architected Framework, einer Reihe von Leitprinzipien, die Sie zur Verbesserung der Qualität eines Workloads verwenden können. Weitere Informationen finden Sie unter Well-Architected Framework.
Reliability
Zuverlässigkeit trägt dazu bei, dass Ihre Anwendung die Verpflichtungen erfüllen kann, die Sie für Ihre Kunden vornehmen. Weitere Informationen finden Sie unter Prüfliste zur Entwurfsüberprüfung für Zuverlässigkeit.
Der Microsoft Entra-Dienst ist geografisch verteilt und wird in mehreren Rechenzentren ausgeführt, die auf der ganzen Welt verteilt sind und ein automatisches Failover ermöglichen. Wenn ein Rechenzentrum nicht verfügbar ist, stellt die Microsoft Entra-ID sicher, dass Ihre Verzeichnisdaten beispielsweise in mindestens zwei geografisch verteilten Rechenzentren verfügbar sind.
Note
Der Servicelevelvertrag (SLA) für die Microsoft 365 Apps AD-Stufe und premium-Dienste garantiert mindestens 99,9% Verfügbarkeit. Es gibt keine SLA für die kostenlose Ebene von Microsoft Entra ID. Weitere Informationen finden Sie unter SLA für Microsoft Entra ID.
Erwägen Sie die Bereitstellung einer zweiten Instanz des Microsoft Entra Connect-Synchronisierungsservers im Stagingmodus, um die Verfügbarkeit zu erhöhen.
Wenn Sie nicht die LocalDB-Instanz von SQL Server Express verwenden, die in Microsoft Entra Connect enthalten ist, sollten Sie SQL-Clustering verwenden, um Hochverfügbarkeit zu erzielen. Microsoft Entra Connect unterstützt keine Lösungen wie Spiegelung und AlwaysOn.
Weitere Überlegungen zum Erreichen einer hohen Verfügbarkeit des Microsoft Entra Connect-Synchronisierungsservers und zum Wiederherstellen nach einem Fehler finden Sie unter Microsoft Entra Connect Sync: Operative Aufgaben und Überlegungen – Notfallwiederherstellung.
Security
Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Prüfliste zur Entwurfsüberprüfung für sicherheitsrelevante.
Verwenden Sie die Microsoft Entra-Steuerung für bedingten Zugriff, um Authentifizierungsanforderungen von unerwarteten Quellen zu verweigern:
Lösen Sie die mehrstufige Microsoft Entra-Authentifizierung (MFA) aus, wenn ein Benutzer versucht, eine Verbindung von einem nicht vertrauenswürdigen Speicherort herzustellen, z. B. über das Internet statt über ein vertrauenswürdiges Netzwerk.
Verwenden Sie den Geräteplattformtyp des Benutzers, z. B. iOS, Android oder Windows, um Zugriffsrichtlinien für Anwendungen und Features zu bestimmen.
Notieren Sie den aktivierten oder deaktivierten Status der Geräte der Benutzer. Integrieren Sie diese Informationen in die Zugriffsrichtlinienüberprüfungen. Wenn beispielsweise das Telefon eines Benutzers verloren geht oder gestohlen wird, sollte es als deaktiviert aufgezeichnet werden, um zu verhindern, dass es verwendet wird, um Zugriff zu erhalten.
Steuern Sie Benutzerzugriff auf Ressourcen anhand von Gruppenmitgliedschaften. Verwenden Sie dynamische Microsoft Entra-Mitgliedschaftsregeln, um die Gruppenverwaltung zu vereinfachen.
Verwenden Sie risikobasierte Richtlinien für bedingten Zugriff mit ID-Schutz, um erweiterten Schutz basierend auf ungewöhnlichen Anmeldeaktivitäten oder anderen Ereignissen bereitzustellen.
Weitere Informationen finden Sie unter risikobasierte Zugriffsrichtlinien.
Kostenoptimierung
Die Kostenoptimierung konzentriert sich auf Möglichkeiten, unnötige Ausgaben zu reduzieren und die betriebliche Effizienz zu verbessern. Weitere Informationen finden Sie unter Prüfliste für die Überprüfung der Kostenoptimierung.
Verwenden Sie den Azure-Preisrechner, um die voraussichtlichen Kosten zu ermitteln.
Berücksichtigen Sie die folgenden Kostenaspekte:
Microsoft Entra Connect: Das Microsoft Entra Connect-Synchronisierungsfeature ist in allen Editionen von Microsoft Entra ID verfügbar.
Es gibt keine zusätzlichen Lizenzanforderungen für die Verwendung von Microsoft Entra Connect. Und es ist in Ihrem Azure-Abonnement enthalten.
Preisinformationen zu den Editionen von Microsoft Entra ID finden Sie unter Preise für Microsoft Entra.
VMs für N-Tier-Anwendung: Kosteninformationen zu diesen Ressourcen finden Sie unter Architektur bewährte Methoden für virtuelle Azure-Computer und Skalierungssätze.
Operative Exzellenz
Operational Excellence deckt die Betriebsprozesse ab, mit denen eine Anwendung bereitgestellt und in der Produktion ausgeführt wird. Weitere Informationen finden Sie unter Prüfliste für die Überprüfung von Operational Excellence.
Manageability
Es gibt zwei Aspekte beim Verwalten von Microsoft Entra ID:
- Verwalten der Microsoft Entra-ID in der Cloud
- Verwalten der Microsoft Entra Connect-Synchronisierungsserver
Microsoft Entra ID bietet die folgenden Optionen zum Verwalten von Domänen und Verzeichnissen in der Cloud:
Das Microsoft Graph PowerShell-Modul wird verwendet, um allgemeine Verwaltungsaufgaben von Microsoft Entra zu skripten, z. B. Benutzerverwaltung, Domänenverwaltung und Konfigurieren von SSO.
Das Microsoft Entra-Verwaltungsblatt im Azure-Portal bietet eine interaktive Verwaltungsansicht des Verzeichnisses. Außerdem können Sie die meisten Aspekte der Microsoft Entra-ID steuern und konfigurieren.
Mit Microsoft Entra Connect werden die folgenden Tools installiert, um Microsoft Entra Connect-Synchronisierungsdienste über Ihre lokalen Computer verwalten zu können:
Mit der Microsoft Entra Connect-Konsole können Sie die Konfiguration des Microsoft Entra Connect-Synchronisierungsservers ändern, die Synchronisierung anpassen, den Stagingmodus aktivieren oder deaktivieren und den Benutzeranmeldungsmodus wechseln. Sie können die AD FS-Anmeldung mithilfe Ihrer lokalen Infrastruktur aktivieren.
Der Synchronisierungsdienst-Manager verwendet die Registerkarte "Vorgänge " in diesem Tool, um den Synchronisierungsprozess zu verwalten und zu erkennen, ob Teile des Prozesses fehlgeschlagen sind. Mit diesem Tool können Sie Synchronisierungen manuell auslösen. Auf der Registerkarte "Connectors " können Sie die Verbindungen für die Domänen steuern, an die das Synchronisierungsmodul angefügt ist.
Mit dem Synchronisierungsregeln-Editor können Sie anpassen, wie Objekte transformiert werden, wenn sie zwischen einem lokalen Verzeichnis und der Microsoft Entra-ID kopiert werden. Mit diesem Tool können Sie zusätzliche Attribute und Objekte für die Synchronisierung angeben. Anschließend werden Filter implementiert, um zu bestimmen, welche Objekte synchronisiert werden sollen oder nicht. Weitere Informationen finden Sie unter Microsoft Entra Connect Sync: Grundlegendes zur Standardkonfiguration und Microsoft Entra Connect Sync: Bewährte Methoden zum Ändern der Standardkonfiguration.
DevOps
Überlegungen zu DevOps finden Sie unter Operational Excellence in Deploy AD DS in einem virtuellen Azure-Netzwerk.
Leistungseffizienz
Die Leistungseffizienz bezieht sich auf die Fähigkeit Ihrer Workload, die Anforderungen der Benutzer effizient zu erfüllen. Weitere Informationen finden Sie unter Prüfliste zur Entwurfsüberprüfung für die Leistungseffizienz.
Der Microsoft Entra-Dienst unterstützt Skalierbarkeit basierend auf Replikaten. Es verfügt über ein einzelnes primäres Replikat, das Schreibvorgänge und mehrere schreibgeschützte sekundäre Replikate behandelt. Die Microsoft Entra-ID leitet versuchten Schreibvorgänge transparent um, die an sekundäre Replikate an das primäre Replikat vorgenommen wurden, und behält letztendliche Konsistenz bei. Alle Änderungen, die am primären Replikat vorgenommen wurden, werden an die sekundären Replikate weitergegeben. Diese Architektur wird effektiv skaliert, da die meisten Vorgänge, die für die Microsoft Entra-ID ausgeführt werden, lese- und schreibgeschützt sind. Weitere Informationen finden Sie in der Microsoft Entra-Architektur.
Bestimmen Sie für den Microsoft Entra Connect-Synchronisierungsserver, wie viele Objekte Sie wahrscheinlich aus Ihrem lokalen Verzeichnis synchronisieren werden. Wenn Sie weniger als 100.000 Objekte haben, können Sie die standardmäßige SQL Server Express LocalDB-Software verwenden, die mit Microsoft Entra Connect bereitgestellt wird. Wenn Sie eine größere Anzahl von Objekten haben, installieren Sie eine Produktionsversion von SQL Server. Führen Sie dann eine benutzerdefinierte Installation von Microsoft Entra Connect aus, und geben Sie an, dass sie eine vorhandene SQL Server-Instanz verwenden soll.
Contributors
Microsoft verwaltet diesen Artikel. Die folgenden Mitwirkenden haben diesen Artikel geschrieben.
Hauptautor:
- Eric Woodruff | Produkttechnischer Spezialist
Um nicht-öffentliche LinkedIn-Profile anzuzeigen, melden Sie sich bei LinkedIn an.
Nächste Schritte
- Überprüfen Sie Topologien für Microsoft Entra Connect , um sicherzustellen, dass die Hybridtopologie für Microsoft Entra Connect in einer unterstützten Konfiguration bereitgestellt wird.
- Erfahren Sie, wie Sie die Bereitstellung für bedingten Zugriff verwenden, um den Zugriff auf Ihre Anwendungen zu schützen.
- Lesen Sie "Integrieren von lokalem AD mit Microsoft Entra-ID ", um weitere Informationen zur Bereitstellung von AD DS in Azure als Infrastruktur zu erhalten.
- Überprüfen Sie den Microsoft Entra-Anwendungsproxy , wenn Sie Microsoft Entra-Integrationen mit lokaler oder Cloudinfrastruktur als Dienstanwendungen bereitstellen möchten.
- Überprüfen Sie bewährte Methoden für die Identitätsverwaltung , da Identität die neue Kontrollebene für sicherheit ist.
- Überprüfen Sie den sicheren privilegierten Zugriff , da für die Bereitstellung dieser Lösung hoch privilegierte Konten erforderlich sind.