Verwalten der AD FS-Vertrauensstellung mit Microsoft Entra ID mithilfe von Microsoft Entra Connect
Überblick
Wenn Sie Ihre lokale Umgebung mit Microsoft Entra-ID verbinden, richten Sie eine Vertrauensstellung zwischen dem lokalen Identitätsanbieter und der Microsoft Entra-ID ein. Microsoft Entra Connect kann den Verbund zwischen dem lokalen Active Directory-Verbunddienst (AD FS) und Microsoft Entra ID verwalten. Dieser Artikel bietet eine Übersicht über:
- Die verschiedenen Einstellungen, die für die Vertrauensstellung von Microsoft Entra Connect konfiguriert werden.
- Die Ausstellungstransformationsregeln (Anspruchsregeln), die von Microsoft Entra Connect festgelegt werden.
- Wie Sie Ihre Anspruchsregeln zwischen Upgrades und Konfigurationsupdates sichern und wiederherstellen.
- Bewährte Methode zum Sichern und Überwachen der AD FS-Vertrauensstellung mit Microsoft Entra ID.
Von Microsoft Entra Connect gesteuerte Einstellungen
Microsoft Entra Connect verwaltet nur Einstellungen im Zusammenhang mit Microsoft Entra ID-Vertrauensstellung. Microsoft Entra Connect ändert keine Einstellungen für andere vertrauende Parteien in AD FS. In der folgenden Tabelle sind die Einstellungen der Microsoft Entra Connect-Steuerelemente angegeben:
| Einstellung | Beschreibung |
|---|---|
| Tokensignaturzertifikat | Microsoft Entra Connect kann verwendet werden, um die Vertrauensstellung mit Microsoft Entra ID zurückzusetzen und neu zu erstellen. Microsoft Entra Connect nimmt einen einmaligen sofortigen Rollover der Tokensignaturzertifikate für AD FS vor und aktualisiert die Verbundeinstellungen der Microsoft Entra ID-Domäne. |
| Tokensignierungsalgorithmus | Microsoft empfiehlt die Verwendung von SHA-256 als Tokensignaturalgorithmus. Microsoft Entra Connect kann erkennen, ob der Tokensignierungsalgorithmus auf einen Wert festgelegt ist, der weniger sicher ist als SHA-256. Die Einstellung wird im nächsten möglichen Konfigurationsvorgang auf SHA-256 aktualisiert. Andere Vertrauensstellungen der vertrauenden Seite müssen aktualisiert werden, damit das neue Tokensignaturzertifikat verwendet wird. |
| Microsoft Entra ID-Vertrauensbezeichner | Microsoft Entra Connect legt den richtigen Bezeichnerwert für die vertrauensbasierte Microsoft Entra-ID fest. AD FS identifiziert die Microsoft Entra-Vertrauensstellung mit dem Bezeichnerwert eindeutig. |
| Microsoft Entra-Endpunkte | Microsoft Entra Connect stellt sicher, dass die für die Microsoft Entra ID-Vertrauensstellung konfigurierten Endpunkte immer entsprechend den neuesten empfohlenen Werten für Ausfallsicherheit und Leistung entsprechen. |
| Ausstellungstransformationsregeln | Es gibt Eine Reihe von Anspruchsregeln, die für eine optimale Leistung der Funktionen von Microsoft Entra ID in einer Verbundeinstellung erforderlich sind. Microsoft Entra Connect stellt sicher, dass die Vertrauensstellung der Microsoft Entra-ID immer mit dem richtigen Satz empfohlener Anspruchsregeln konfiguriert ist. |
| Alternative ID | Wenn die Synchronisierung für die Verwendung von alternativer ID konfiguriert ist, konfiguriert Microsoft Entra Connect AD FS für die Authentifizierung mit alternativer ID. |
| Automatische Metadatenaktualisierung | Die Vertrauensstellung mit Microsoft Entra ist für die automatische Metadatenaktualisierung konfiguriert. AD FS prüft die Metadaten der Microsoft Entra ID-Vertrauensstellung in regelmäßigen Abständen und hält sie auf dem neuesten Stand, falls sie auf der Microsoft Entra ID-Seite geändert wurden. |
| Integrierte Windows-Authentifizierung (IWA) | Beim Vorgang Hybrid-Microsoft Entra-Einbindung ist IWA für die Geräteregistrierung aktiviert, um den Vorgang für kompatible Geräte zu ermöglichen |
Von Microsoft Entra Connect konfigurierte Ausführungsflows und Verbundeinstellungen
Microsoft Entra Connect aktualisiert während des Konfigurationsflows nicht alle Einstellungen für Microsoft Entra ID-Vertrauensstellung. Die geänderten Einstellungen hängen davon ab, welcher Aufgaben- oder Ausführungsfluss ausgeführt wird. In der folgenden Tabelle sind die Einstellungen aufgeführt, die in verschiedenen Ausführungsflüssen betroffen sind.
| Ausführungsflow | Einstellungen, die betroffen sind |
|---|---|
| Erstinstallation (Express) | Nichts |
| Erstinstallation (neue AD FS-Farm) | Eine neue AD FS-Farm wird erstellt, und eine Vertrauensstellung mit Microsoft Entra wird von Grund auf neu erstellt. |
| Erstinstallation (vorhandene AD FS-Farm, vorhandene Microsoft Entra-Vertrauensstellung) | Microsoft Entra ID-Vertrauensbezeichner, Ausstellungstransformationsregeln, Microsoft Entra Endpunkte, Alternate-ID (falls erforderlich), automatische Metadatenaktualisierung |
| Zurücksetzen Microsoft Entra ID-Vertrauensstellung | Tokensignaturzertifikat, Tokensignaturalgorithmus, Bezeichner der Microsoft Entra-Vertrauensstellung, Ausstellungstransformationsregeln, Microsoft Entra-Endpunkte, alternative ID (falls erforderlich), automatische Metadatenaktualisierung |
| Hinzufügen eines Verbundservers | Nichts |
| Hinzufügen eines WAP-Servers | Nichts |
| Geräteoptionen | Ausstellungstransformationsregeln, IWA für die Geräteregistrierung |
| Hinzufügen einer Verbunddomäne | Wenn die Domäne zum ersten Mal hinzugefügt wird, d. h., das Setup wechselt von einem einzelnen Domänenverbund in einen Verbund mit mehreren Domänen – Microsoft Entra Connect erstellt die Vertrauensstellung von Grund auf neu. Wenn die Vertrauensstellung mit Microsoft Entra bereits für mehrere Domänen konfiguriert ist, werden nur Ausstellungstransformationsregeln geändert |
| TLS aktualisieren | Nichts |
Bei allen Operationen, in denen eine Einstellung geändert wird, erstellt Microsoft Entra Connect eine Sicherungskopie der aktuellen Vertrauenseinstellungen unter %ProgramData%\AADConnect\ADFS
Anmerkung
Vor Version 1.1.873.0 bestand die Sicherung nur aus Ausstellungstransformationsregeln, und sie wurden in der Ablaufverfolgungsprotokoll-Datei des Assistenten gesichert.
Die Ausstellungstransformationsregeln, die von Microsoft Entra Connect festgelegt werden
Microsoft Entra Connect stellt sicher, dass die Vertrauensstellung der Microsoft Entra-ID immer mit dem richtigen Satz empfohlener Anspruchsregeln konfiguriert ist. Microsoft empfiehlt die Verwendung von Microsoft Entra Connect zur Verwaltung Ihres Microsoft Entra ID-Trusts. Dieser Abschnitt enthält die Ausstellungstransformationsregeln und deren Beschreibung.
| Regelname | Beschreibung |
|---|---|
| UPN ausstellen | Diese Regel fragt den Wert für „userprincipalname“ über das Attribut ab, das in den Synchronisierungseinstellungen für „userprincipalname“ konfiguriert ist. |
| „objectguid“ und „msdsconsistencyguid“ für benutzerdefinierten ImmutableId-Anspruch abfragen | Diese Regel fügt in die Pipeline einen temporären Wert für den objectguid- und den msdsconsistencyguid-Wert hinzu, falls vorhanden |
| Das Vorhandensein von „msdsconsistencyguid“ überprüfen | Basierend darauf, ob der Wert für „msdsconsistencyguid“ vorhanden ist, wird ein temporäres Flag festgelegt, um anzugeben, was als „ImmutableId“ verwendet werden soll |
| „msdsconsistencyguid“ als unveränderliche ID ausstellen, falls vorhanden | „msdsconsistencyguid“ wird als „ImmutableId“ ausgestellt, falls der Wert vorhanden ist |
| „objectGuidRule“ ausstellen, wenn die msdsConsistencyGuid-Regel nicht vorhanden ist | Wenn der Wert für msdsconsistencyguid nicht vorhanden ist, wird der Wert von objectguid als ImmutableId ausgegeben. |
| „nameidentifier“ ausstellen | Diese Regel stellt den Wert für den nameidentifier-Anspruch aus. |
| „accounttype“ für in die Domäne eingebundene Computer ausstellen | Wenn es sich bei der zu authentifizierenden Entität um ein domänenverbundenes Gerät handelt, gibt diese Regel den Kontotyp als DJ aus, was auf ein domänenverbundenes Gerät hinweist. |
| „AccountType“ mit dem Wert USER ausstellen, wenn es kein Computerkonto ist | Wenn es sich bei der authentifizierten Entität um einen Benutzer handelt, gibt diese Regel den Kontotyp als "Benutzer" aus. |
| „issuerid“ ausstellen, wenn es kein Computerkonto ist | Diese Regel gibt den issuerId-Wert aus, wenn die Authentifizierungsentität kein Gerät ist. Der Wert wird über einen regex erstellt, der von Microsoft Entra Connect konfiguriert wird. Das Regex wird erstellt, nachdem alle Domänen, die mit Microsoft Entra Connect federiert sind, berücksichtigt wurden. |
| „issuerid“ für DJ-Computerauthentifizierung ausstellen | Diese Regel gibt den issuerId-Wert aus, wenn es sich bei der Authentifizierungsentität um ein Gerät handelt. |
| „onpremobjectguid“ für in die Domäne eingebundene Computer ausstellen | Wenn die Entität, die authentifiziert wird, ein in die Domäne eingebundenes Gerät ist, stellt diese Regel die lokale „objectguid“ für das Gerät aus |
| Primäre SID weiterleiten | Diese Regel gibt die primäre SID der authentifizierenden Entität aus. |
| Anspruch weiterleiten – insideCorporateNetwork | Diese Regel gibt eine Anforderung aus, die Microsoft Entra ID hilft festzustellen, ob die Authentifizierung aus dem Unternehmensnetzwerk oder von extern erfolgt. |
| Anspruch weiterleiten – Psso | |
| Ansprüche für den Kennwortablauf ausstellen | Diese Regel stellt drei Ansprüche aus: für die Kennwortablaufzeit, die Anzahl von Tagen, bis das Kennwort der authentifizierenden Entität abläuft, und die URL für die Weiterleitung zum Ändern des Kennworts. |
| Anspruch weiterleiten – authnmethodsreferences | Der Wert des unter dieser Regel ausgestellten Anspruchs gibt an, welche Art der Authentifizierung für die Entität ausgeführt wurde. |
| Anspruch weiterleiten – multifactorauthenticationinstant | Der Wert dieses Anspruchs gibt die Uhrzeit in UTC an, zu der der Benutzer zuletzt eine mehrstufige Authentifizierung ausgeführt hat. |
| Anspruch weiterleiten – AlternateLoginID | Diese Regel gibt den AlternateLoginID-Anspruch aus, wenn die Authentifizierung mithilfe einer alternativen Anmelde-ID ausgeführt wurde. |
Anmerkung
Die Anspruchsregeln für UPN-ausstellen und ImmutableId sind anders, wenn Sie nicht die Standardoptionen bei der Konfiguration von Microsoft Entra Connect verwenden
Wiederherstellen von Ausstellungstransformationsregeln
Microsoft Entra Connect, Version 1.1.873.0 oder höher, erstellt eine Sicherung der Microsoft Entra ID-Vertrauenseinstellungen, wenn ein Update an den Microsoft Entra ID-Vertrauenseinstellungen vorgenommen wird. Die Einstellungen für die Microsoft Entra-Vertrauensstellung werden in %ProgramData%\AADConnect\ADFS gesichert. Der Dateiname befindet sich im folgenden Format: AadTrust-<Datum>-<Uhrzeit>.txtz. B. - AadTrust-20180710-150216.txt
Sie können die Ausstellungstransformationsregeln mithilfe der folgenden empfohlenen Schritte wiederherstellen
- Öffnen Sie die AD FS-Verwaltungsoberfläche im Server-Manager
- Öffnen Sie die Eigenschaften der Microsoft Entra-Vertrauensstellung, indem Sie AD FS > Vertrauensstellungen der vertrauenden Seite > Microsoft Office 365 Identity Platform > Anspruchsausstellungsrichtlinie bearbeiten aufrufen
- Wählen Sie Regel hinzufügenaus
- Wählen Sie in der Anspruchsregelvorlage "Ansprüche mithilfe einer benutzerdefinierten Regel senden" aus, und wählen Sie Weiteraus
- Kopieren Sie den Namen der Anspruchsregel aus der Sicherungsdatei, und fügen Sie ihn in das Feld Anspruchsregelname ein.
- Kopieren Sie die Anspruchsregel aus der Sicherungsdatei in das Textfeld für benutzerdefinierte Regel, und wählen Sie Fertig stellen aus
Anmerkung
Stellen Sie sicher, dass Ihre zusätzlichen Regeln nicht mit den von Microsoft Entra Connect konfigurierten Regeln in Konflikt treten.
Bewährte Methode zum Sichern und Überwachen der AD FS-Vertrauensstellung mit Microsoft Entra
Wenn Sie Ihren AD FS mit Microsoft Entra-ID verbinden, ist es wichtig, dass die Verbundkonfiguration (zwischen AD FS und Microsoft Entra ID konfigurierte Vertrauensstellung) genau überwacht wird und ungewöhnliche oder verdächtige Aktivitäten erfasst werden. Dazu empfehlen wir, Warnungen einzurichten und benachrichtigt zu werden, wenn Änderungen an der Verbundkonfiguration vorgenommen werden. Informationen zum Einrichten von Warnungen finden Sie unter Überwachen von Änderungen an der Verbundkonfiguration.
Wenn Sie die mehrstufige Cloud-Authentifizierung von Microsoft Entra verwenden, für die mehrstufige Authentifizierung mit Verbundbenutzern empfehlen wir dringend, zusätzlichen Sicherheitsschutz zu aktivieren. Dieser Sicherheitsschutz verhindert die Umgehung der mehrstufigen Cloudauthentifizierung von Microsoft Entra beim Verbund mit Microsoft Entra-ID. Wenn die Funktion für eine Verbunddomäne in Ihrem Microsoft Entra-Mandanten aktiviert ist, wird sichergestellt, dass ein böswilliger Akteur Azure MFA nicht umgehen kann. Dies wird erreicht, indem verhindert wird, dass der schlechte Akteur imitieren kann, dass eine mehrstufige Authentifizierung bereits vom Identitätsanbieter ausgeführt wurde. Der Schutz kann über eine neue Sicherheitseinstellung federatedIdpMfaBehavioraktiviert werden. Weitere Informationen finden Sie unter Bewährte Methoden zum Sichern von Active Directory-Verbunddiensten