AzureAD ist nur ein Verzeichnis. Der Auth-Fluss kann auf verschiedene Arten erfolgen (von Microsoft bereitgestellte Versionen).
- Native AzureAD-Cloud-Konten und -Kennwörter. Die Authentifizierung und Autorisierung erfolgt in AzureAD.
- AzureAD mit AzureAD verbindet sich mit Synchronisierungskonten und / oder Kennworthashes. Dies synchronisiert Domänenkonten. AzureAD Connect ist eine benutzerdefinierte Version von Microsoft Identity Manager, die für die direkte Arbeit mit Domänenkonten konfiguriert ist. Authentifizierung und Autorisierung finden immer noch in AzureAD statt.
- AzureAD mit AzureAD Connect und Passthrough-Authentifizierung. Hier kommt es zum Umschalten: Die Authentifizierung findet auf dem Domänencontroller statt. AzureAD vertraut dem Domänencontroller und autorisiert dann den Zugriff auf Ressourcen
- AzureAD mit ADFS (oder SAML IdP von Drittanbietern) - Funktioniert wie oben, die Authentifizierung wird über ADFS als Proxy in AD verschoben.
Die Authentifizierung wird in AzureAD auch auf Domänenbasis konfiguriert. Das heißt, die einzelnen Domänen sind für ein bestimmtes Authentifizierungsschema und nicht für einzelne Benutzerkonten konfiguriert.
Bei einem Dev-Setup können Sie, wenn Sie eine kleine Domäne haben, diese synchronisieren und Konten zusammenhalten.
Ohne Domänencontroller können Sie Cloud-Konten und einfache Skripts verwenden, um Konten und Kennwörter neu zu erstellen. Führen Sie beispielsweise ein PowerShell-Skript aus, das die lokale Kontendarstellung in AzureAD erstellt und das Kennwort übernimmt und für das lokale Konto und das Cloud-Konto festlegt. Sie sind immer noch separate und keine verknüpften Entitäten, aber Sie erhalten ein ähnliches Ergebnis. Wenn die Domäne, die Sie verwenden möchten, bereits für die Authentifizierung ohne Cloud konfiguriert ist (Passthrough, Verbund), können Sie kein Cloud-Konto mit dieser Domäne erstellen.
Um dies auf Kontoebene zu tun, benötigen Sie Rechte innerhalb des AzureAD-Verzeichnisses. Mit den Mitwirkendenrechten können Sie Assets im Abonnement bereitstellen, ziehen jedoch keine Rechte auf Verzeichnisebene. Denken Sie daran, dass einige Änderungen sich auf eine gesamte überprüfte Domäne auswirken. Dies kann sich auf alle Benutzer auswirken, deren Anmelde-IDs an diese Domänen gebunden sind.