
Mehr als eine Frage des Geschmacks
Kontrovers diskutiert: Warum der Namenswechsel von Azure AD zu Entra ID problematisch ist
Von: Klaus Bierschenk
Namensänderungen sind bekanntlich nichts Neues im Microsoft Produktportfolio. Die Kunden sind daran gewöhnt. Allerdings wurde, zumindest in meiner Wahrnehmung, selten ein neuer Produktname in den sozialen Medien so stark diskutiert wie der Namenswechsel von Azure AD zu Microsoft Entra ID. Warum ist das so? Das dürfte damit zusammenhängen, dass es bei der Bezeichnung Active Directory um mehr geht als nur um einen Produktnamen.
Um das besser zu verstehen, macht es Sinn, sich mit der Historie auseinanderzusetzen und damit, was das Active Directory eigentlich ist. Spricht heute jemand vom Active Directory, oder einfach nur vom AD, meint er im Grunde genommen die Active Directory Domain Services (AD DS) – einen Identitäts- und Zugriffsverwaltungsdienst im lokalen Rechenzentrum. Allerdings befindet dieser sich bei Microsoft in einer Reihe mit weiteren Technologien, die alle unter dem Oberbegriff Active Directory stehen. Hierzu gehören beispielsweise die AD Certificate Services oder die AD Federation Services, um nur zwei zu nennen. Somit versteht sich „Active Directory“ auch als Synonym einer Technologiefamilie.
Identität gibt in der Cloud die Grenze vor
Vor über zehn Jahren hat Microsoft mit zunehmender Etablierung der Cloud Offensive einen ähnlich gelagerten Service für die Cloud auf den Markt gebracht: das Azure Active Directory. Dabei handelt es sich ebenfalls um einen Identitäts- und Zugriffsverwaltungsdienst, aber mit einer ganz anderen Zielsetzung als der Name zunächst andeutet. Während das AD DS ein hierarchisch aufgebauter Dienst ist, kommt das Azure AD mit einer flachen Struktur daher. Auch Domänencontroller sind nicht Teil des reinen Azure AD Setups, genauso wenig wie Serverrollen, eine Standort-Topologie und Gruppenrichtlinien – alles zentrale Elemente des AD DS, die es in der Cloud nicht braucht und die es dort auch nicht gibt.
Um die Verwirrung komplett zu machen, gibt es weitere Technologien in MS Entra ID wie die „Azure AD Domain Services“, die künftig wohl „Microsoft Entra Domain Services“ heißen werden. Diese haben aber mit Entra ID, wie wir es hier besprechen, nichts zu tun, sondern ergänzen ein Cloud-Setup um Features wie Kerberos, LDAP oder auch Group Policies, sofern es in einem Unternehmen noch Anwendungen gibt, die darauf bauen und in der Cloud nicht darauf verzichten können.
Die Ähnlichkeit im Namen sorgt somit für Schwierigkeiten. Administratoren können auf die Idee kommen, das Management in der Cloud ähnlich anzugehen wie bei dem lokalen Verzeichnisdienst. Und das ist riskant, denn es hat sich etwas Entscheidendes verändert: Bei einem rein lokalen Active Directory Setup ist die Sicherheitsgrenze das Netzwerk. Hier werden netzwerkseitig Maßnahmen getroffen, um Zugriffe von außerhalb des Netzes zu regeln (VPN, DMZ). In der Cloud ist diese Grenze die Identität. Der Zugriff erfolgt über das öffentliche Internet und wer von wo zugreifen darf, wird auf Ebene von Identitäten geregelt. Hier gleiche Maßstäbe anzusetzen kann zu Problemen führen. Beispiel: In Zeiten von Active Directory haben Unternehmen meist eine fixe Anzahl von Administratoren, allesamt mit hochrangigen Berechtigungen ausgestattet (Domänenadministrator). In der Cloud und in Zeiten von Zero Trust wird das anders gelebt. Hier gibt es Werkzeuge, die für ein gezieltes Management von Rollen und Berechtigungen im Cloud-Verzeichnisdienst sorgen, wie beispielsweise PIM (Privileged Identity Management). Diese Technologien setzen die Prinzipien JIT (Just in Time) und JEA (Just Enough Access) durch und sorgen in der Public World für ausreichend Schutz. Kein Verantwortlicher wird dauerhaft administrative Benutzer in der Rolle des „Global Admin“ vorhalten, dem Gegenstück von MS Entra ID zu dem Domänenadministrator der AD DS, um bei dem Beispiel zu bleiben.
Azure AD ist keine Ressource
Der Name „Azure AD“ ist zweigeteilt. „AD“ haben wir gerade betrachtet, aber was ist mit dem „Azure“ im Namen? Der war ebenfalls unglücklich getroffen und somit irritierend. Dienste in Azure werden als Teil einer Subscription implementiert. Diese dient der Abrechnung. Bei MS Entra ID ist das nicht der Fall. Eine Subscription ist zwar Teil eines Tenant, das ist richtig, aber keineswegs andersherum. MS Entra ID benötigt keine Subscription, das Abrechnungsmodell ist hier ein anderes. Werden IaaS-Elemente (Infrastructure as a Service) implementiert, wie beispielsweise virtuelle Maschinen oder SQL-Cluster, ist eine Subscription beim Setup zwingend anzugeben. Der Name „Azure AD“ könnte somit vermuten lassen, das beim Erstellen eines MS Entra ID Tenants eine Subscription angegeben werden muss. Dem ist nicht so. Die einzige Verbindung ist der Trust, wenn die Subscription darin landet. Dieser ermöglicht beispielsweise, dass Benutzerkonten aus dem Verzeichnisdienst für Rollen und Berechtigungen auf Ressourcen der Subscription zugreifen (IaaS). Ein MS Entra ID Tenant beherbergt typischerweise eine Vielzahl Subscriptions, auf diese Art bilden Unternehmen ihre Abrechnungsmodelle ab.
Fazit
Zusammenfassend lässt sich sagen, dass der Name nie repräsentativ war für das, was das Produkt ist. Und der neue Name? Entra ist zunächst mal unabhängig. So lässt sich Entra von „Entrance“ (Eingang) ableiten. In Zeiten, in denen Unternehmen mit ihrem Tenant offen arbeiten, in einer B2B-Welt, in der über Gastbenutzerszenarien kreuz und quer auf Services zugegriffen wird, da trifft Entra namentlich eher den Punkt.
Namen sind auch eine Frage des Geschmacks. Es ist wie bei Autotypen oder Farben – der eine mag es, der andere nicht. Aber Fakt ist, dass durch die Umbenennung von Azure AD verhindert wird, dass ein falscher Eindruck entsteht, was die Technik eigentlich abliefert. Es wird noch eine Zeit dauern, bis der neue Name überall angekommen ist. Zwölf Jahre Azure AD gehen nicht spurlos vorüber. Zurecht für einigen Unmut sorgt, dass der Name hier und dort anzupassen ist: Drittherstellersoftware, Schulungsunterlagen, sogar Powershell-Module beinhalten „Azure Active Directory“ als Branding. Da wird es noch dauern, bis nicht mehr von einem Azure AD die Rede ist.

Über den Autor: Klaus Bierschenk
Klaus Bierschenk ist seit über 20 Jahren in der IT-Branche tätig und wirkt schon lange in internationalen Identity- und Security-Projekten mit. Als Technologieberater bei CGI Deutschland liegt sein Schwerpunkt auf hybriden Themen. Klaus Bierschenkt berät IT-Betreiber bei Herausforderungen im Kontext von Microsoft Active Directory und Microsoft Entra ID. Regelmäßig tritt er als Referent in der Microsoft Azure Community auf, zudem schreibt er in seinem Technik-Blog „NothingButCloud“ und publiziert Fachartikel.