Bereiten Sie sich jetzt auf das Ende von Microsoft Active Directory vor, wenn es zugunsten des sichereren und weniger riskanten Entra ausläuft.
Künstliche Intelligenz steht bei fast allem, was Microsoft heutzutage tut, an erster Stelle, aber es gibt noch ein weiteres Ziel, das das Unternehmen mit seinen Nutzern anstreben möchte - eines, das vielleicht nicht leicht zu erreichen ist - und das ist, nur mit Entra verbunden zu sein.
Das bedeutet, dass es kein Active Directory (AD) und keine herkömmliche Domäne mehr gibt: Stattdessen treten Ihre Geräte nativ Entra (ehemals Azure AD) bei und werden in den cloudbasierten Verzeichnisdienst von Microsoft integriert, um eine zentrale Verwaltung, Authentifizierung und Sicherheit zu gewährleisten.
Das ist ein großer Unterschied zu den Hybrid-Join-Setups, auf die sich viele von uns in der Vergangenheit verlassen haben, bei denen sich Arbeitsstationen sowohl mit Entra-Ressourcen als auch mit der traditionellen Active Directory-Domäne verbinden und andere mit einer AD-Domäne und Online-Ressourcen wie gehosteten E-Mail-, SharePoint- und OneDrive-Ressourcen.
Microsoft’s intention to have customers transition to an Entra-only join was revealed at its recent Ignite annual information technology professional conference, from which I always look to for indicators on the company’s future plans and how they will potentially impact me.
Obwohl der hybride Ansatz in den letzten 10 Jahren für viele die bevorzugte Methode war, birgt er mehr Risiken für ein System. Sie ist von Natur aus weniger sicher, da ein Domänenvertrauen erforderlich ist, das Angreifern bekannte seitliche Bewegungspfade eröffnet.
Hinzu kommt der zusätzliche Aufwand für die gleichzeitige Pflege von Active Directory und Entra, was oft zu Problemen führt, wenn alte Gruppenrichtlinien mit Intune-Richtlinien konkurrieren. Dies wiederum erhöht die Komplexität bei der Fehlersuche, warum Systeme Folgendes tun x und Sie wollen, dass sie Folgendes tun y.
Die Migration von Systemen zu Entra only join wird die Sicherheit erhöhen
Der Einsatz von hybriden Verbindungen bedeutet auch, dass Sie mehr Komplexität in Ihrer Infrastruktur zulassen. Sie müssen den Überblick über Domänen, Domänencontroller, Domänennamenserver, DHCP-Server und verschiedene Technologien von Firewalls bis hin zu virtuellen privaten Netzwerken behalten, um sicherzustellen, dass Ihre herkömmliche Domäne lediglich funktioniert. Darüber hinaus müssen Sie sicherstellen, dass diese Anlagen gewartet, gepatcht und aktiv unterstützt werden.
Dies kann auch bedeuten, dass Zeit und Energie für die Aktualisierung und Wartung von Server-Betriebssystemen aufgewendet werden müssen. Wenn Sie dann auch noch von Windows 10 auf Windows 11 migrieren müssen, werden Sie den Einsatz von Technologieressourcen in Ihrem Unternehmen möglicherweise neu bewerten müssen.
Die Zukunft mit einer reinen Entra-Verbindung wird letztendlich eine vereinfachte Registrierung ermöglichen, die lediglich mit einer Internetverbindung bereitgestellt werden kann. Dies ist besonders praktisch, wenn Sie eine verstreute Belegschaft haben - alles, was Sie für die Bereitstellung eines Arbeitsplatzes benötigen, ist eine Internetverbindung und ein Autopilot, der für die Verbindung mit Entra ID eingerichtet ist.
Zusätzliche zukünftige Funktionen werden nur in Entra ID enthalten sein, so dass Sie für zukünftige Änderungen, die Microsoft in seinen Cloud-Angeboten vornehmen wird, gerüstet sind.
But perhaps the most important security considerations are the use of Entra ID for authentication and identity management, compliance policy enforcement through tools like Microsoft Intune, single sign-on and the application of advanced security measures such as multifactor authentication (MFA).
Wie man auf Entra-only umsteigt
Nehmen Sie zunächst eine Bestandsaufnahme Ihrer Geschäftsanwendungen vor und stellen Sie fest, ob diese eine eigene Migration zu Cloud-Versionen ihrer Active Directory-Pendants beginnen oder ob Ihre aktuellen Anwendungen tatsächlich mit einer Entra ID-verbundenen Workstation arbeiten können. Möglicherweise stellen Sie fest, dass es wichtige Anwendungen gibt, die immer noch ein traditionelles Netzwerk benötigen. Prüfen Sie die langfristigen Pläne von Lieferanten und Anbietern und bauen Sie diese in Ihre eigenen Pläne ein.
Wenn Ihre Anwendungen mehr als 10 Jahre alt sind, stehen die Chancen sehr gut, dass Sie nicht in der Lage sein werden, einen reinen Entra-Join zu implementieren und bei einer hybriden Anordnung bleiben müssen. Ältere Anwendungen verfügen oft nicht über die notwendigen Prozesse für die Verwendung alternativer Authentifizierungsverfahren und verwenden immer noch herkömmliche Authentifizierungsverfahren.
They don’t understand machine authentication and instead assume a more traditional Active Directory infrastructure and do not look for support to connect to cloud resources. I’ve personally seen too many applications still rely on older authentication techniques such as NTLM and have not made any move to be able to work with newer technologies.
Erstellen Sie eine Liste der Anwendungen, die in ein modernes Netz verlagert werden können, und derjenigen, die dies nicht können. Wenden Sie sich jetzt an diese Anbieter, auch wenn Sie noch keine unmittelbaren Pläne für eine reine Entra-Umstellung haben.
Prüfen Sie, ob es bestehende Methoden gibt, die Ihnen die für Ihre Anwendungen benötigten Tools zur Verfügung stellen können. Wenn Ihre Anwendungen beispielsweise eine Laufwerkszuordnung benötigen, um eine Verbindung zu Workstations herzustellen, kann dies mit verschiedenen Methoden erfolgen, die keine Gruppenrichtlinien beinhalten. Intune kann verwendet werden, um Laufwerksbuchstaben mithilfe von ADMX-Vorlagen zuzuordnen.
Überprüfung der Gruppenrichtlinien
Nehmen Sie sich als Nächstes die Zeit, um zu überprüfen, ob alle Ihre Gruppenrichtlinien noch gültig und wirksam sind. Bei der Umstellung auf Intune werden viele von Ihnen feststellen, dass die Gruppenrichtlinien, die Sie noch in Ihrem Active Directory haben, in Ihrem Netzwerk nicht mehr benötigt werden oder gültig sind.
Exportieren Sie Ihre Gruppenrichtlinienobjekte und überprüfen Sie, was sie tun. Über viele Jahre hinweg haben viele von uns benutzerdefinierte Gruppenrichtlinien verwendet, um spezielle Einstellungen für die jeweiligen Betriebssysteme und Office-Suiten vorzunehmen, die wir zu dieser Zeit verwendeten.
Aber werfen Sie nicht alle Ihre gewohnten Praktiken über Bord. In einem herkömmlichen Active Directory sind Sie zum Beispiel daran gewöhnt, Kerberos-Schlüssel regelmäßig zu wechseln. Bei der Umstellung auf Entra ID gibt es einen ähnlichen Prozess. Genau wie bei Active Directory müssen Sie auch die Kerberos-Schlüssel rotieren. Durch diesen Schritt wird der Diebstahl oder die Nachahmung von Kerberos-Tickets minimiert.
Sie müssen diese Schlüssel mit dem folgenden PowerShell-Befehl regelmäßig rotieren:
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred -RotateServerKey
Die Verlagerung in die Cloud ändert nichts an der Notwendigkeit, Prozesse durchzuführen, die die Sicherheit der Anmeldeinformationen gewährleisten. Die Rotation von Schlüsseln ist sowohl bei lokalen als auch bei Cloud-Ressourcen obligatorisch.
Erwarten Sie weitere Entra-exklusive Join-Funktionen von Microsoft
In Zukunft fügt Microsoft neue Funktionen hinzu, die sich ausschließlich auf Entra beziehen. Aktuelle Versionen von Autopilot funktionieren zum Beispiel mit den folgenden Anforderungen:
- Windows 11, Version 23H2 mit KB5035942 oder höher.
- Windows 11, Version 22H2 mit KB5035942 oder höher.
- Microsoft Entra ID: nur Microsoft Entra join wird unterstützt.
Sie brauchen sich nicht mehr um die Autopilot-Unterstützung zu kümmern, wenn Sie nur mit Entra-join arbeiten.
Windows 11 22H2-Geräte, die nur mit Entra verbunden sind, werden für die Web-Anmeldung unterstützt. Wie von Microsoft angegeben, sind dies die Anforderungen:
- Windows 11, Version 22H2 mit 5030310, oder höher.
- Microsoft Entra ist beigetreten.
- Internet-Konnektivität, da die Authentifizierung über das Internet erfolgt.
Für die Web-Anmeldung wird ein hybrides verbundenes Gerät oder ein Active Directory-Gerät nicht unterstützt.
Active Directory wird über einen langen Zeitraum hinweg auslaufen - nehmen Sie sich jetzt die Zeit, um sicherzustellen, dass Sie langfristig planen und die Ressourcen Ihres Unternehmens auf Ihre Bedürfnisse ausrichten können.
