Bereiten Sie sich jetzt auf das Ende von Microsoft Active Directory vor, wenn es zugunsten des sichereren und weniger riskanten Entra ausläuft.
Künstliche Intelligenz steht bei fast allem, was Microsoft heutzutage tut, an erster Stelle, aber es gibt noch ein weiteres Ziel, das das Unternehmen mit seinen Nutzern anstreben möchte - eines, das vielleicht nicht leicht zu erreichen ist - und das ist, nur mit Entra verbunden zu sein.
Das bedeutet, dass es kein Active Directory (AD) und keine herkömmliche Domäne mehr gibt: Stattdessen treten Ihre Geräte nativ Entra (ehemals Azure AD) bei und werden in den cloudbasierten Verzeichnisdienst von Microsoft integriert, um eine zentrale Verwaltung, Authentifizierung und Sicherheit zu gewährleisten.
Das ist ein großer Unterschied zu den Hybrid-Join-Setups, auf die sich viele von uns in der Vergangenheit verlassen haben, bei denen sich Arbeitsstationen sowohl mit Entra-Ressourcen als auch mit der traditionellen Active Directory-Domäne verbinden und andere mit einer AD-Domäne und Online-Ressourcen wie gehosteten E-Mail-, SharePoint- und OneDrive-Ressourcen.
Microsofts Absicht, die Kunden zu einer reinen Entra-Verbindung übergehen zu lassen, wurde auf der kürzlich stattgefundenen Ignite-Konferenz für Informationstechnologie-Fachleute bekannt gegeben, auf der ich immer nach Indikatoren für die Zukunftspläne des Unternehmens und deren mögliche Auswirkungen auf mich Ausschau halte.
Obwohl der hybride Ansatz in den letzten 10 Jahren für viele die bevorzugte Methode war, birgt er mehr Risiken für ein System. Sie ist von Natur aus weniger sicher, da ein Domänenvertrauen erforderlich ist, das Angreifern bekannte seitliche Bewegungspfade eröffnet.
Hinzu kommt der zusätzliche Aufwand für die gleichzeitige Pflege von Active Directory und Entra, was oft zu Problemen führt, wenn alte Gruppenrichtlinien mit Intune-Richtlinien konkurrieren. Dies wiederum erhöht die Komplexität bei der Fehlersuche, warum Systeme Folgendes tun x und Sie wollen, dass sie Folgendes tun y.
Die Migration von Systemen zu Entra only join wird die Sicherheit erhöhen
Der Einsatz von hybriden Verbindungen bedeutet auch, dass Sie mehr Komplexität in Ihrer Infrastruktur zulassen. Sie müssen den Überblick über Domänen, Domänencontroller, Domänennamenserver, DHCP-Server und verschiedene Technologien von Firewalls bis hin zu virtuellen privaten Netzwerken behalten, um sicherzustellen, dass Ihre herkömmliche Domäne lediglich funktioniert. Darüber hinaus müssen Sie sicherstellen, dass diese Anlagen gewartet, gepatcht und aktiv unterstützt werden.
Dies kann auch bedeuten, dass Zeit und Energie für die Aktualisierung und Wartung von Server-Betriebssystemen aufgewendet werden müssen. Wenn Sie dann auch noch von Windows 10 auf Windows 11 migrieren müssen, werden Sie den Einsatz von Technologieressourcen in Ihrem Unternehmen möglicherweise neu bewerten müssen.
Die Zukunft mit einer reinen Entra-Verbindung wird letztendlich eine vereinfachte Registrierung ermöglichen, die lediglich mit einer Internetverbindung bereitgestellt werden kann. Dies ist besonders praktisch, wenn Sie eine verstreute Belegschaft haben - alles, was Sie für die Bereitstellung eines Arbeitsplatzes benötigen, ist eine Internetverbindung und ein Autopilot, der für die Verbindung mit Entra ID eingerichtet ist.
Zusätzliche zukünftige Funktionen werden nur in Entra ID enthalten sein, so dass Sie für zukünftige Änderungen, die Microsoft in seinen Cloud-Angeboten vornehmen wird, gerüstet sind.
Die vielleicht wichtigsten Sicherheitsaspekte sind jedoch die Verwendung von Entra ID für die Authentifizierung und das Identitätsmanagement, die Durchsetzung von Compliance-Richtlinien durch Tools wie Microsoft Intune, Single Sign-On und die Anwendung fortschrittlicher Sicherheitsmaßnahmen wie die Multifaktor-Authentifizierung (MFA).
Wie man auf Entra-only umsteigt
Nehmen Sie zunächst eine Bestandsaufnahme Ihrer Geschäftsanwendungen vor und stellen Sie fest, ob diese eine eigene Migration zu Cloud-Versionen ihrer Active Directory-Pendants beginnen oder ob Ihre aktuellen Anwendungen tatsächlich mit einer Entra ID-verbundenen Workstation arbeiten können. Möglicherweise stellen Sie fest, dass es wichtige Anwendungen gibt, die immer noch ein traditionelles Netzwerk benötigen. Prüfen Sie die langfristigen Pläne von Lieferanten und Anbietern und bauen Sie diese in Ihre eigenen Pläne ein.
Wenn Ihre Anwendungen mehr als 10 Jahre alt sind, stehen die Chancen sehr gut, dass Sie nicht in der Lage sein werden, einen reinen Entra-Join zu implementieren und bei einer hybriden Anordnung bleiben müssen. Ältere Anwendungen verfügen oft nicht über die notwendigen Prozesse für die Verwendung alternativer Authentifizierungsverfahren und verwenden immer noch herkömmliche Authentifizierungsverfahren.
Sie verstehen die Maschinenauthentifizierung nicht und gehen stattdessen von einer eher traditionellen Active Directory-Infrastruktur aus und suchen nicht nach Unterstützung für die Verbindung zu Cloud-Ressourcen. Ich persönlich habe zu viele Anwendungen gesehen, die immer noch auf ältere Authentifizierungstechniken wie NTLM setzen und keine Schritte unternommen haben, um mit neueren Technologien arbeiten zu können.
Erstellen Sie eine Liste der Anwendungen, die in ein modernes Netz verlagert werden können, und derjenigen, die dies nicht können. Wenden Sie sich jetzt an diese Anbieter, auch wenn Sie noch keine unmittelbaren Pläne für eine reine Entra-Umstellung haben.
Prüfen Sie, ob es bestehende Methoden gibt, die Ihnen die für Ihre Anwendungen benötigten Tools zur Verfügung stellen können. Wenn Ihre Anwendungen beispielsweise eine Laufwerkszuordnung benötigen, um eine Verbindung zu Workstations herzustellen, kann dies mit verschiedenen Methoden erfolgen, die keine Gruppenrichtlinien beinhalten. Intune kann verwendet werden, um Laufwerksbuchstaben mithilfe von ADMX-Vorlagen zuzuordnen.
Überprüfung der Gruppenrichtlinien
Nehmen Sie sich als Nächstes die Zeit, um zu überprüfen, ob alle Ihre Gruppenrichtlinien noch gültig und wirksam sind. Bei der Umstellung auf Intune werden viele von Ihnen feststellen, dass die Gruppenrichtlinien, die Sie noch in Ihrem Active Directory haben, in Ihrem Netzwerk nicht mehr benötigt werden oder gültig sind.
Exportieren Sie Ihre Gruppenrichtlinienobjekte und überprüfen Sie, was sie tun. Über viele Jahre hinweg haben viele von uns benutzerdefinierte Gruppenrichtlinien verwendet, um spezielle Einstellungen für die jeweiligen Betriebssysteme und Office-Suiten vorzunehmen, die wir zu dieser Zeit verwendeten.
Aber werfen Sie nicht alle Ihre gewohnten Praktiken über Bord. In einem herkömmlichen Active Directory sind Sie zum Beispiel daran gewöhnt, Kerberos-Schlüssel regelmäßig zu wechseln. Bei der Umstellung auf Entra ID gibt es einen ähnlichen Prozess. Genau wie bei Active Directory müssen Sie auch die Kerberos-Schlüssel rotieren. Durch diesen Schritt wird der Diebstahl oder die Nachahmung von Kerberos-Tickets minimiert.
Sie müssen diese Schlüssel mit dem folgenden PowerShell-Befehl regelmäßig rotieren:
Set-AzureADKerberosServer -Domain $domain -CloudCredential $cloudCred -DomainCredential $domainCred -RotateServerKey
Die Verlagerung in die Cloud ändert nichts an der Notwendigkeit, Prozesse durchzuführen, die die Sicherheit der Anmeldeinformationen gewährleisten. Die Rotation von Schlüsseln ist sowohl bei lokalen als auch bei Cloud-Ressourcen obligatorisch.
Erwarten Sie weitere Entra-exklusive Join-Funktionen von Microsoft
In Zukunft fügt Microsoft neue Funktionen hinzu, die sich ausschließlich auf Entra beziehen. Aktuelle Versionen von Autopilot funktionieren zum Beispiel mit den folgenden Anforderungen:
- Windows 11, Version 23H2 mit KB5035942 oder höher.
- Windows 11, Version 22H2 mit KB5035942 oder höher.
- Microsoft Entra ID: nur Microsoft Entra join wird unterstützt.
Sie brauchen sich nicht mehr um die Autopilot-Unterstützung zu kümmern, wenn Sie nur mit Entra-join arbeiten.
Windows 11 22H2-Geräte, die nur mit Entra verbunden sind, werden für die Web-Anmeldung unterstützt. Wie von Microsoft angegeben, sind dies die Anforderungen:
- Windows 11, Version 22H2 mit 5030310, oder höher.
- Microsoft Entra ist beigetreten.
- Internet-Konnektivität, da die Authentifizierung über das Internet erfolgt.
Für die Web-Anmeldung wird ein hybrides verbundenes Gerät oder ein Active Directory-Gerät nicht unterstützt.
Active Directory wird über einen langen Zeitraum hinweg auslaufen - nehmen Sie sich jetzt die Zeit, um sicherzustellen, dass Sie langfristig planen und die Ressourcen Ihres Unternehmens auf Ihre Bedürfnisse ausrichten können.
