Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwenden des AWS Directory Service für Entra ID Domain Services
<a name="azure-sftp"></a>

 Für Kunden, die nur SFTP-Transfer benötigen und keine Domain verwalten möchten, gibt es Simple Active Directory. Alternativ können Kunden, die die Vorteile von Active Directory und hoher Verfügbarkeit in einem vollständig verwalteten Dienst nutzen möchten, AWS Managed Microsoft AD verwenden. Und für Kunden, die ihre bestehende Active Directory-Gesamtstruktur für ihre SFTP-Übertragung nutzen möchten, gibt es den Active Directory Connector. 

Beachten Sie Folgendes:
+ Um Ihre bestehende Active Directory-Gesamtstruktur für Ihre SFTP-Übertragungsanforderungen zu nutzen, können Sie [Active Directory Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) verwenden.
+ Wenn Sie die Vorteile von Active Directory und hoher Verfügbarkeit in einem vollständig verwalteten Dienst nutzen möchten, können Sie Folgendes verwenden AWS Directory Service for Microsoft Active Directory. Details hierzu finden Sie unter [Verwenden des AWS Directory Service für Microsoft Active Directory](directory-services-users.md).

In diesem Thema wird beschrieben, wie Sie einen Active Directory-Connector und [Entra ID-Domänendienste (früher Azure AD)](https://azure.microsoft.com/en-us/services/active-directory-ds/) verwenden, um SFTP-Übertragungsbenutzer mit Entra ID zu authentifizieren.

**Topics**
+ [Bevor Sie beginnen, AWS Directory Service für Entra ID Domain Services zu verwenden](#azure-prereq)
+ [Schritt 1: Hinzufügen von Entra ID Domain Services](#azure-add-adds)
+ [Schritt 2: Erstellen eines Dienstkontos](#azure-create-service-acct)
+ [Schritt 3: AWS Verzeichnis mit AD Connector einrichten](#azure-setup-directory)
+ [Schritt 4: AWS Transfer Family Server einrichten](#azure-setup-transfer-server)
+ [Schritt 5: Zugriff auf Gruppen gewähren](#azure-grant-access)
+ [Schritt 6: Benutzer testen](#azure-test)

## Bevor Sie beginnen, AWS Directory Service für Entra ID Domain Services zu verwenden
<a name="azure-prereq"></a>

**Anmerkung**  
AWS Transfer Family hat ein Standardlimit von 100 Active Directory-Gruppen pro Server. Wenn Ihr Anwendungsfall mehr als 100 Gruppen erfordert, sollten Sie die Verwendung einer benutzerdefinierten Identitätsanbieterlösung in Betracht ziehen, wie unter [Vereinfachen der Active Directory-Authentifizierung mit einem benutzerdefinierten Identitätsanbieter für](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/) beschrieben AWS Transfer Family.

Für AWS benötigen Sie Folgendes:
+ Eine virtuelle private Cloud (VPC) in einer AWS Region, in der Sie Ihre Transfer Family Family-Server verwenden
+ Mindestens zwei private Subnetze in Ihrer VPC
+ Die VPC muss über eine Internetverbindung verfügen
+ Ein Kunden-Gateway und ein virtuelles privates Gateway für die site-to-site VPN-Verbindung mit Microsoft Entra

Für Microsoft Entra benötigen Sie Folgendes:
+ Eine Entra-ID und ein Active Directory-Domänendienst
+ Eine Entra-Ressourcengruppe
+ Ein virtuelles Entra-Netzwerk
+ VPN-Konnektivität zwischen Ihrer Amazon VPC und Ihrer Entra-Ressourcengruppe
**Anmerkung**  
Dies kann über native IPSEC-Tunnel oder mithilfe von VPN-Appliances erfolgen. In diesem Thema verwenden wir IPSEC-Tunnel zwischen einem virtuellen Entra-Netzwerk-Gateway und einem lokalen Netzwerk-Gateway. Die Tunnel müssen so konfiguriert sein, dass sie den Verkehr zwischen Ihren Entra Domain Service-Endpunkten und den Subnetzen, in denen sich Ihre VPC befindet, zulassen. AWS 
+ Ein Kunden-Gateway und ein virtuelles privates Gateway für die site-to-site VPN-Verbindung mit Microsoft Entra

Das folgende Diagramm zeigt die Konfiguration, die Sie benötigen, bevor Sie beginnen.

![\[Entra/Azure AD und AWS Transfer Family Architekturdiagramm. Eine AWS VPC, die über das Internet eine Verbindung zu einem virtuellen Entra-Netzwerk herstellt und dabei einen AWS Directory Service Service-Connector zum Entra-Domänendienst verwendet.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/azure-architecture.png)


## Schritt 1: Hinzufügen von Entra ID Domain Services
<a name="azure-add-adds"></a>

 Entra ID unterstützt standardmäßig keine Domänenbeitritte. Um Aktionen wie den Domänenbeitritt durchzuführen und Tools wie Gruppenrichtlinien zu verwenden, müssen Administratoren die Entra ID Domain Services aktivieren. Wenn Sie Entra DS noch nicht hinzugefügt haben oder Ihre bestehende Implementierung nicht mit der Domain verknüpft ist, die Ihr SFTP-Übertragungsserver verwenden soll, müssen Sie eine neue Instanz hinzufügen.

Informationen zur Aktivierung der Entra ID Domain Services finden Sie unter [Tutorial: Erstellen und Konfigurieren einer verwalteten Microsoft Entra Domain Services-Domain Services-Domain](https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-getting-started).

**Anmerkung**  
Wenn Sie Entra DS aktivieren, stellen Sie sicher, dass es für die Ressourcengruppe und die Entra-Domäne konfiguriert ist, mit der Sie Ihren SFTP-Übertragungsserver verbinden.

![\[alt text not found\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/azure-ad-add-instance.png)


## Schritt 2: Erstellen eines Dienstkontos
<a name="azure-create-service-acct"></a>

 Entra muss über ein Dienstkonto verfügen, das Teil einer Admin-Gruppe in Entra DS ist. Dieses Konto wird mit dem AWS Active Directory-Connector verwendet. Stellen Sie sicher, dass dieses Konto mit Entra DS synchronisiert ist. 

![\[Entra-Bildschirm mit einem Profil für einen Benutzer.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/azure-service-acct.png)


**Tipp**  
Die Multi-Faktor-Authentifizierung für Entra ID wird für Transfer Family Family-Server, die das SFTP-Protokoll verwenden, nicht unterstützt. Der Transfer Family Family-Server kann das MFA-Token nicht bereitstellen, nachdem sich ein Benutzer bei SFTP authentifiziert hat. Stellen Sie sicher, dass MFA deaktiviert ist, bevor Sie versuchen, eine Verbindung herzustellen.  

![\[Geben Sie Details zur Multi-Faktor-Authentifizierung ein, aus denen hervorgeht, dass der MFA-Status für zwei Benutzer deaktiviert ist.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/azure-ad-mfa-disable.png)


## Schritt 3: AWS Verzeichnis mit AD Connector einrichten
<a name="azure-setup-directory"></a>

 Nachdem Sie Entra DS konfiguriert und ein Dienstkonto mit IPSEC-VPN-Tunneln zwischen Ihrer AWS VPC und dem Entra Virtual Network erstellt haben, können Sie die Konnektivität testen, indem Sie die Entra DS-DNS-IP-Adresse von einer beliebigen EC2-Instance aus pingen. AWS 

Nachdem Sie sich vergewissert haben, dass die Verbindung aktiv ist, können Sie weiter unten fortfahren.

**So richten Sie Ihr AWS Verzeichnis mit AD Connector ein**

1. Öffnen Sie die [Directory Service Service-Konsole](https://console.aws.amazon.com/directoryservicev2/) und wählen Sie **Verzeichnisse** aus.

1. Wählen Sie **Verzeichnis einrichten** aus.

1. Wählen Sie als Verzeichnistyp **AD Connector** aus.

1. Wählen Sie eine Verzeichnisgröße aus, klicken Sie auf **Weiter** und wählen Sie dann Ihre VPC und Subnetze aus.

1. Wählen Sie **Weiter** aus und füllen Sie dann die Felder wie folgt aus:
   + **DNS-Name des Verzeichnisses**: Geben Sie den Domainnamen ein, den Sie für Ihren Entra DS verwenden.
   + **DNS-IP-Adressen**: Geben Sie Ihre Entra DS-IP-Adressen ein.
   + **Benutzername und **Passwort** für das Serverkonto**: Geben Sie die Details für das Dienstkonto *ein, das Sie in Schritt 2: Dienstkonto erstellen* erstellt haben.

1. Füllen Sie die Bildschirme aus, um den Verzeichnisdienst zu erstellen.

Jetzt sollte der Verzeichnisstatus **Aktiv** lauten und es kann mit einem SFTP-Übertragungsserver verwendet werden.

![\[Auf dem Bildschirm mit den Verzeichnisdiensten wird je nach Bedarf ein Verzeichnis mit dem Status Aktiv angezeigt.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/azure-connector-ready.png)


## Schritt 4: AWS Transfer Family Server einrichten
<a name="azure-setup-transfer-server"></a>

Erstellen Sie einen Transfer Family Family-Server mit dem SFTP-Protokoll und dem Identitätsanbietertyp **AWS Directory Service**. **Wählen Sie aus der Dropdownliste Verzeichnis das Verzeichnis aus, das Sie in *Schritt 3: AWS Verzeichnis mit AD Connector einrichten* hinzugefügt haben.**

**Anmerkung**  
Sie können ein Microsoft AD-Verzeichnis nicht im AWS Directory Service löschen, wenn Sie es auf einem Transfer Family Family-Server verwendet haben. Sie müssen zuerst den Server löschen, und dann können Sie das Verzeichnis löschen. 

## Schritt 5: Zugriff auf Gruppen gewähren
<a name="azure-grant-access"></a>

 Nachdem Sie den Server erstellt haben, müssen Sie auswählen, welche Gruppen im Verzeichnis Zugriff auf das Hoch- und Herunterladen von Dateien über die aktivierten Protokolle haben sollen AWS Transfer Family. Dazu erstellen Sie einen *Zugriff*.

**Anmerkung**  
Benutzer müssen *direkt* zu der Gruppe gehören, der Sie Zugriff gewähren. Nehmen wir beispielsweise an, dass Bob ein Benutzer ist und zu Gruppe A gehört und dass Gruppe A selbst in Gruppe B enthalten ist.  
Wenn Sie Zugriff auf Gruppe A gewähren, wird Bob Zugriff gewährt.
 Wenn Sie Zugriff auf Gruppe B (und nicht auf Gruppe A) gewähren, hat Bob keinen Zugriff.

 Um Zugriff zu gewähren, müssen Sie die SID für die Gruppe abrufen.

Verwenden Sie den folgenden PowerShell Windows-Befehl, um die SID für eine Gruppe abzurufen, und *YourGroupName* ersetzen Sie sie durch den Namen der Gruppe. 

```
Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid
```

![\[Windows PowerShell zeigt eine Objekt-SID an, die abgerufen wird.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/azure-grant-access.png)


**Gewähren Sie Gruppen Zugriff**

1. Öffnen Sie [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Navigieren Sie zu Ihrer Serverdetailseite und wählen Sie im Bereich **Zugriffe** die Option **Zugriff hinzufügen** aus. 

1. Geben Sie die SID ein, die Sie aus der Ausgabe des vorherigen Verfahrens erhalten haben.

1. Wählen Sie für **Access** eine AWS Identity and Access Management Rolle für die Gruppe aus.

1. Wählen Sie im Abschnitt **Richtlinie** eine Richtlinie aus. Der Standardwert ist **None (Kein)**.

1. Wählen Sie für **Home-Verzeichnis** einen Amazon S3 S3-Bucket aus, der dem Home-Verzeichnis der Gruppe entspricht.

1. Wählen Sie **Hinzufügen**, um die Zuordnung zu erstellen.

Die Details von Ihrem Transferserver sollten etwa wie folgt aussehen:

![\[Ein Teil des Detailbildschirms mit den Transfer Family Family-Servern, der ein Beispiel für eine Verzeichnis-ID für den Identity Provider zeigt.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/azure-assoc-1.png)


![\[Ein Teil des Detailbildschirms mit den Transfer Family Family-Servern, in dem die externe ID des Active Directory im Bereich Zugriffe angezeigt wird.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/azure-assoc-2.png)


## Schritt 6: Benutzer testen
<a name="azure-test"></a>

Sie können testen ([Benutzer werden getestet](directory-services-users.md#directory-services-test-user)), ob ein Benutzer Zugriff auf das AWS Managed Microsoft AD Verzeichnis für Ihren Server hat. Ein Benutzer muss zu genau einer Gruppe gehören (eine externe ID), die im Abschnitt **Zugriff auf** der **Endpunktkonfigurationsseite** aufgeführt ist. Wenn der Benutzer keiner oder mehreren Gruppen angehört, wird diesem Benutzer kein Zugriff gewährt.