Designentscheidung: Überlegungen zur Benutzerauthentifizierung

Active Directory Domain Services (AD DS): Bei diesem Dienst handelt es sich um die traditionelle on-premises Active Directory-Infrastruktur, die GPOs, Kerberos-Authentifizierung und Domänenverknüpfungen unterstützt. Ein neuer AD DS kann auf virtuellen Maschinen in der Cloud erstellt und gehostet werden. Alternativ kann eine vorhandene AD DS-Infrastruktur zu einem Hybridmodell mit einigen Controllern in Azure und einigen on-premises Controllern werden. In beiden Bereitstellungsszenarien kann die AD DS-Domäne mithilfe von Azure AD Connect mit Azure Active Directory (AAD) synchronisiert werden.

Azure Active Directory (Azure AD): Dieser Dienst ist der Cloud-basierte Authentifizierungs- und Mobilgeräteverwaltungsdienst von Azure, der Benutzerauthentifizierung ermöglicht. Azure AD unterstützt keine Geräteauthentifizierung, Domänenverknüpfungen oder Gruppenrichtlinienobjekte (GPOs). Azure AD kann jedoch mit Azure Active Director Domain Services (AAD DS) kombiniert werden, um das für Citrix in Azure erforderliche Mindestmaß an Support bereitzustellen.

Azure Active Directory Domain Services (Azure AD DS): Dieser Dienst ist ein in der Cloud gehosteter Dienst für verwaltete Domänen Dieser Dienst unterstützt GPOs, Kerberos-Authentifizierung und Domain-Joins. Der Unterschied zwischen Azure AD DS und AD DS besteht darin, dass die AD-Domänencontroller von Microsoft und nicht von Ihnen verwaltet werden. Azure AD DS lässt sich direkt in Azure AD integrieren und ist eine hervorragende Option für Cloud-basierte Citrix-Bereitstellungen.

Hier sind die Fragen, die Sie zur Active Directory-Infrastruktur beantworten müssen:

Sollte ich weiterhin nur meine on-premises Active Directory-Infrastruktur verwenden?

  • Einfach bereitzustellen, indem Sie einfach Cloud Connectors installieren und sie der on-premises Domain hinzufügen

  • Citrix Cloud kann so konfiguriert werden, dass nur die on-premises AD-Domäne verwendet wird

  • Die Verwendung oder Synchronisierung mit Azure AD ist nicht erforderlich, sodass Azure AD ausschließlich als Identitätsmanagement für die Azure-Verwaltung verwendet wird

  • Um Latenz durch die Domänenauthentifizierung zu verhindern, empfiehlt Citrix, Domänencontroller in der Nähe der Citrix Virtual Delivery Agent (VDA) -Hosts und Cloud Connectors

  • Möglicherweise ist eine Genehmigung der Informationssicherheit (Infosec) erforderlich, um Domänencontroller in Azure zu platzieren

  • Nicht empfohlen für Bereitstellungen, die Microsoft 365 verwenden und bei denen sich Benutzer für diesen Dienst bei Azure AD anmelden

Sollte ich das on-premises Active Directory mithilfe des Hybridmodus mit Azure AD Connect erweitern?

  • Microsoft empfiehlt dieses Design, wenn Sie über eine vorhandene on-premises AD-Infrastruktur verfügen und eine der folgenden Funktionen benötigen:
    • Schemaerweiterungen
    • kontobasierte eingeschränkte Kerberos-Delegierung
  • Für die Cloud Connectors und VDAs sollte immer mindestens ein Active Directory-Domänencontroller verfügbar sein. Dieses Design verhindert jegliche Authentifizierungsengpässe oder Latenzen während der Gruppenrichtlinienverarbeitung, Domänenverknüpfungen und Authentifizierungsereignisse.

  • Citrix empfiehlt dieses Modell, wenn Sie Citrix Workloads haben, die noch on-premises sind

  • Citrix empfiehlt dieses Modell, wenn Citrix Cloud-Dienste wie Endpoint Management verwendet werden.

  • Platzieren Sie mindestens zwei Domänencontroller in Azure und verwenden Sie Azure AD Connect, um AAD mit AD DS über ExpressRoute oder VPN zu synchronisieren

  • Für die Verwendung von Windows 10 unter einer Hybrid Use Benefit-Lizenz müssen sich Computer- und Benutzerkonten im gleichen Azure Active Directory befinden

  • Möglicherweise ist eine Genehmigung der Informationssicherheit (Infosec) erforderlich, um Domänencontroller in Azure zu platzieren

  • Wenn Sie Smartcards verwenden, muss Kerberos auf einem Domänencontroller aktiviert sein

Sollte ich ein neues Azure Active Directory (AAD) einrichten?

  • Microsoft empfiehlt dieses Modell, wenn Sie eine reine Cloud-Bereitstellung verwenden oder wenn Sie keine vorhandene on-premises AD-Infrastruktur haben.

  • Citrix empfiehlt dieses Design, wenn sich alle Ihre Citrix-Workloads in Azure befinden und einen dieser Dienste verwenden:
    • Citrix DaaS
  • Planen Sie die Verwendung von Azure AD Connect, um Azure AD mit Azure AD DS zu synchronisieren und die Kennwort-Hash

  • Wenn Sie Smartcards verwenden, muss Kerberos für Azure AD DS aktiviert sein

  • Für die Verwendung von Windows 10 unter einer Hybrid Use Benefit-Lizenz müssen sich Computer- und Benutzerkonten im gleichen Azure Active Directory befinden

  • Azure AD DS unterstützt keine Schemaerweiterungen, unidirektionalen Vertrauensstellungen oder kontobasierte eingeschränkte Delegierung für Kerberos

  • Azure AD DS unterstützt keine Domänen- oder Unternehmensadministratorrechte

Sollte ich Azure AD als Citrix Cloud Identity-Anbieter verwenden?

  • Citrix Cloud unterstützt sowohl Azure AD als auch AD DS für die Authentifizierung

  • Wenn Sie Azure AD als Citrix Cloud Identity-Anbieter verwenden, behalten Sie die Kontrolle über Kennwortrichtlinien und können Konten problemlos deaktivieren.

  • Die Verwendung von Azure AD bietet Multifaktor-Authentifizierung (MFA), um die Sicherheitslage für die Citrix Cloud zu erhöhen

  • Wenn Azure AD mit einem Branding versehen ist, verfügt Citrix Cloud über eine eigene Anmeldeseite

  • Azure AD erweitert Citrix Cloud um die Unterstützung von föderierten Identitätsoptionen wie Okta, Ping oder ADFS

  • Erfordert die globale Administratorrolle für die Zustimmung, damit Citrix Cloud eine Verbindung zu Azure AD herstellen kann. Wenn der Zugriff auf diese Rolle nicht verfügbar ist, sollten Sie andere Identitätsanbieter wie das on-premises AD oder den standardmäßigen Citrix Identitätsanbieter verwenden.

Sollte ich die Multifaktor-Authentifizierung (MFA) für die Azure Active Directory-Konten aktivieren?

  • Die Multifaktor-Authentifizierung wird immer für alle Ressourcen empfohlen, auf die über das Internet zugegriffen wird. Die Multifaktor-Authentifizierung verringert die verfügbaren Angriffsvektoren und erhöht die Sicherheitslage des Systems.

  • Azure AD macht die Aktivierung von MFA einfach und lässt sich problemlos in den Citrix Cloud-Identitätsanbieter integrieren

  • Wenn Sie Azure AD für MFA nicht verwenden, sollten Sie andere Identitätsanbieter wie Okta in Betracht ziehen, um diese zusätzliche Sicherheit zu gewährleisten

Azure Active Directory und Citrix XenApp und XenDesktop

Überlegungen zum Entwurf der hybriden Azure Active Directory

Identitäts- und Zugriffsmanagement der Citrix Cloud

Citrix TIPS: Citrix Tipps zu Azure Landing Zones im Unternehmensmaßstab — Teil 2

Vergleichen Sie selbstverwaltete Active Directory Domain Services, Azure Active Directory und verwaltete Azure Active Directory Domain Services

Was ist eine hybride Identität mit Azure Active Directory?

XenApp und XenDesktop Services unterstützen Azure AD Domain Services

Designentscheidung: Überlegungen zur Benutzerauthentifizierung