Wint Azure Active Directory van Active Directory? Het is geen gewonnen wedstrijd in identity serviceland, laat ik daarmee beginnen. De bestaande identity oplossing Active Directory (AD DS) die we al vanaf begin 2000 zijn gaan gebruiken, is onmisbaar voor de meeste bedrijven.

Wat is Active Directory (AD)?

Wat is Azure Ad? Sinds de eerste clouddiensten door Microsoft worden aangeboden, waarbij identities een voorwaarde zijn, zijn we in die zin automatisch gebruik gaan maken van cloud identities in Azure Active Directory (AAD). De vraag die we ons bij deze ontwikkeling moeten stellen is: ĎWat gaat er dan met onze on-premise Active Directory identity oplossing gebeuren op de korte en lange termijní? Blijven AD DS en AAD naast elkaar gebruikt worden? Of gaan we afscheid nemen van onze on-premise Active Directory?

Toen Windows Server Active Directory in Windows Server 2000 werd geÔntroduceerd, werd deze identity oplossing voor steeds meer (primair interne) diensten zoals bijvoorbeeld Exchange, File Services en applicatie servers ingezet. Dit als authenticatie en autorisatie dienst van computers en users on-premise binnen het eigen perimeter network, veilig achter de bedrijfsfirewall.

Een voordeel bij het gebruik van Active Directory: het mogelijk maken van centraal beheer van gebruikers en instellingen op computers. De gebruikers accounts worden namelijk sinds de implementatie van AD niet meer op elke computer/server aangemaakt. Het aanmaken van de gebruikers (om bijvoorbeeld mee in te loggen) gebeurd op een AD server (Domain Controller) die de nieuw aangemaakte gebruiker repliceert naar andere Domain Controllers. Ook group based policies, ook wel GPOís genoemd, worden in een AD gebruikt om instellingen van gebruikers (of computers) centraal in te stellen.

De infrastructuur van een Active Directory bestaat uit een aantal servers die hiervoor dan wel de Active Directory Services role geÔnstalleerd moeten hebben. Afhankelijk van de grootte van de organisatie, en de bedrijfslokaties, kan het aantal servers die als DC gebruikt worden aangepast worden, met een best practices minimum aantal van twee Domain Controllers. Op deze manier wordt geborgd dat gebruikers altijd kunnen inloggen (authenticatie) met hun computer en de resources kunnen benaderen volgens de permissies, benodigd voor het uitvoeren van de werkzaamheden behorende bij hun functie (autorisatie).

Active Directory maakt gebruik van de Domain Name System (DNS) name resolution service die er zorg voor draagt dat computers en (applicatie) servers de domain controllers kunnen vinden. Daarnaast wordt DNS gebruikt zodat de Domain Controllers met elkaar kunnen communiceren, bijvoorbeeld voor het repliceren van wijzigingen zoals nieuw aangemaakte gebruikers of computer accounts.


Wat is Azure AD (AAD)?

Vanaf het moment van het ontstaan van Microsoft clouddiensten zijn user identities ook in de cloud nodig, deze worden geplaatst in de Azure Active Directory van de tenant. De clouddiensten zoals Microsoft 365, Exchange Online en andere Azure services/workloads, zijn namelijk onlosmakelijk verbonden met deze identity dienst Azure Active Directory. Dit om er voor te zorgen dat alleen de juiste gebruikers (authenticatie) de resources kunnen benaderen (autorisatie) waar toegang toe nodig is.
Azure AD is een identity platform, dat ook wel Identity as a Service (IaaS) genoemd wordt.  Ten opzichte van een AD, zijn bij een Azure AD  geen beheer, configuratie of updatewerkzaamheden nodig van de Domain Controllers. Ook ontbreekt de Group Policy functionaliteit in Azure AD, waardoor het beheren en configureren van settings op bijvoorbeeld Windows 10 niet direct vanuit Azure AD zelf uitgevoerd kan worden. De nieuwe benadering is in die zin meer vanuit het oogpunt van device management, en dit gaat verder dan het alleen instellen van settings. Microsoft biedt hier additionele diensten in de cloud voor aan zoals Intune. Intune helpt om settings, applicaties en remote beheer (reset/remote wipe) uit te voeren op computers (Azure AD joined devices), beheert door Azure AD.

Om de resources in clouddiensten veilig te kunnen benaderen in de cloud en eindgebruikers single sign on aan te bieden, heeft Microsoft dus user identities (gebruikers) in de cloud nodig. Deze gebruikers van de organisatie kunnen in Azure AD manueel of via synchronisatie aangemaakt worden.

Azure AD Connect

Azure AD Connect (vroeger ADSync) synchroniseert de bestaande user identities (accounts + password) van de on-premise Active Directory naar Azure AD in de cloud. Dit proces blijft na de initiŽle installatie standaard elk halfuur een synchronisatie van gebruikers, computers en groepen uitvoeren.

Het installeren van de AD Connect server wordt on-premise gedaan, bij voorkeur op een domain joined server, maar het liefst niet op een Domain Controller server. Tijdens het doorlopen van de installatiewizard van Azure AD Connect software installatie worden diverse settings omtrent de synchronisatie tussen AD en AAD ingesteld. Als één van de laatste stappen wordt de Azure AD Sync Service geÔnstalleerd op de Azure AD Connect server en kan de eerste synchronisatie van de user identities naar AAD beginnen. Zoals eerder gesteld blijft deze service elk half uur uitgevoerde wijzigingen in Active Directory synchroniseren naar Azure Active Directory.

Voordat de eerste diensten zoals de lokale mail service naar de Office 365 (Exchange Online)/Microsoft 365 cloud dienst verplaatst kunnen worden, zal de sync van user identities (gebruikers) door middel van Azure AD Connect eerst ingeregeld moeten zijn op een server in de on-premise omgeving.

Azure active directory vs Active Directory

Terug naar de initiŽle vraag van deze blog: Gaat Azure AD het winnen op de korte of lange termijn van AD DS? Nou, op het moment dat er lokale diensten aangeboden worden die afhankelijk zijn van Active Directory en er tevens clouddiensten van Microsoft afgenomen worden, dan zullen beide identity oplossingen (waarschijnlijke nog een lange tijd) naast elkaar blijven bestaan en "wintĒ dus geen van beide.

Zijn alle diensten/resources naar de cloud verplaatst, denk hierbij aan mail, bestanden, desktop-management, applicatie servers et cetera, en is de on-premise AD DS nergens meer voor nodig, dan pas "wintĒ AAD!

Vanaf dat moment kunnen de on-premise Active Directory Servers en de Azure AD Connect Server uit gefaseerd worden, en blijft alleen de identity service Azure Active Directory (AAD) over, als winnaar.
Voor degene die meer willen weten en leren over het configureren en installeren van Azure Active Directory en de synchronisatie tool Azure AD Connect de volgende trainingstip. In de training MS-100 (Microsoft Identity Services) zijn het implementeren en beheren van Azure AD en Azure AD Connect terug te vinden. Deze training kan daarbij gebruikt worden als basis om een migratie van lokale diensten (zoals de mail) naar de clouddiensten, zoals Microsoft 365/Exchange Online, met een Azure AD te ondersteunen.