Microsoft Entra Connect-Optionen für die Benutzeranmeldung
Mit Microsoft Entra Connect können sich Ihre Benutzer*innen sowohl bei Cloudressourcen als auch bei lokalen Ressourcen mit denselben Kennwörtern anmelden. In diesem Artikel werden die wichtigsten Konzepte für jedes Identitätsmodell beschrieben, um Sie bei der Auswahl der Identität zu unterstützen, die Sie für die Anmeldung bei Microsoft Entra ID verwenden möchten.
Wenn Sie mit dem Microsoft Entra-Identitätsmodell bereits vertraut sind und mehr über eine bestimmte Methode erfahren möchten, finden Sie weitere Informationen unter den entsprechenden Links:
- Kennworthashsynchronisierung mit einmaliger Anmeldung (Single Sign-On, SSO)
- Passthrough-Authentifizierung mit einmaliger Anmeldung (Single Sign-On, SSO)
- Verbund-SSO (mit Active Directory Federation Services (AD FS))
- Verbund mit PingFederate
Hinweis
Beachten Sie unbedingt, dass Sie durch die Konfiguration des Verbunds für Microsoft Entra ID eine Vertrauensstellung zwischen Ihrem Microsoft Entra-Mandanten und Ihren Verbunddomänen einrichten. Mit dieser Vertrauensstellung verfügen Benutzer*innen der Verbunddomäne über Zugriff auf Microsoft Entra-Cloudressourcen innerhalb des Mandanten.
Auswählen einer Benutzeranmeldemethode für Ihre Organisation
Die erste Entscheidung bei der Implementierung von Microsoft Entra Connect besteht in der Auswahl, welche Authentifizierungsmethode Ihre Benutzer*innen zum Anmelden verwenden sollen. Es ist wichtig, sicherzustellen, dass Sie die richtige Methode auswählen, die die Sicherheits- und erweiterten Anforderungen Ihrer Organisation erfüllt. Authentifizierung ist von kritischer Bedeutung, weil sie die Identitäten von Benutzern für den Zugriff auf Apps und Daten in der Cloud überprüft. Um die richtige Authentifizierungsmethode auszuwählen, müssen Sie die Zeit, die vorhandene Infrastruktur, die Komplexität und die Implementierungskosten für die gewählte Lösung berücksichtigen. Diese Faktoren sind für jede Organisation unterschiedlich und können sich im Laufe der Zeit ändern.
Microsoft Entra ID unterstützt die folgenden Authentifizierungsmethoden:
- Cloudauthentifizierung – Wenn Sie diese Authentifizierungsmethode auswählen, übernimmt Microsoft Entra ID den Authentifizierungsprozess für die Anmeldung der Benutzer*innen. Bei der Cloudauthentifizierung können Sie zwischen zwei Optionen wählen:
- Kennworthashsynchronisierung (PHS) – Die Kennworthashsynchronisierung ermöglicht es Benutzer*innen, denselben Benutzernamen und dasselbe Kennwort wie lokal zu verwenden, ohne eine zusätzliche Infrastruktur neben Microsoft Entra Connect bereitstellen zu müssen.
- Passthrough-Authentifizierung (PTA) – Diese Option ist vergleichbar mit der Kennworthashsynchronisierung, bietet aber eine einfache Kennwortvalidierung, die lokale Software-Agents für Organisationen mit strengen Sicherheits- und Compliancerichtlinien verwendet.
- Verbundauthentifizierung – Wenn Sie diese Authentifizierungsmethode auswählen, übergibt Microsoft Entra ID den Authentifizierungsprozess zur Validierung der Benutzeranmeldung an ein separates, vertrauenswürdiges Authentifizierungssystem, z. B. an AD FS oder ein Drittanbieter-Verbundsystem.
Für die meisten Organisationen, die lediglich die Benutzeranmeldung für Microsoft 365, SaaS-Anwendungen und andere Microsoft Entra ID-basierte Ressourcen aktivieren möchten, empfiehlt sich die Standardoption für die Kennworthashsynchronisierung.
Ausführliche Informationen zum Auswählen einer Authentifizierungsmethode finden Sie unter Auswählen der passenden Authentifizierungsmethode für Ihre Microsoft Entra-Hybrididentitätslösung.
Kennworthashsynchronisierung
Mit der Kennworthashsynchronisierung werden Benutzerkennworthashes aus Ihrem lokalen Active Directory mit Microsoft Entra ID synchronisiert. Werden Kennwörter geändert oder lokal zurückgesetzt, werden die neuen Kennworthashes sofort mit Microsoft Entra ID synchronisiert, damit Ihre Benutzer*innen für Cloudressourcen und lokale Ressourcen dasselbe Kennwort verwenden können. Die Klartextkennwörter selbst werden niemals an Microsoft Entra ID gesendet oder in Microsoft Entra ID gespeichert. Sie können die Kennworthashsynchronisierung mit der Kennwortrückschreibung kombinieren, um es den Benutzer*innen zu ermöglichen, ihre Kennwörter in Microsoft Entra ID selbst zurückzusetzen.
Darüber hinaus können Sie auch das nahtlose einmalige Anmelden für Benutzer auf in die Domäne eingebundenen Computern aktivieren, die sich im Unternehmensnetzwerk befinden. Beim einmaligen Anmelden müssen aktivierte Benutzer nur einen Benutzernamen eingeben, um sicher auf die Cloudressourcen zuzugreifen.
Weitere Informationen finden Sie im Artikel Kennworthashsynchronisierung.
Passthrough-Authentifizierung
Bei der Passthrough-Authentifizierung wird das Kennwort des Benutzers anhand des lokalen Active Directory-Controllers überprüft. Das Kennwort muss in Microsoft Entra ID nicht hinterlegt sein. So können lokale Richtlinien, z.B. Einschränkungen der Anmeldestunden, während der Authentifizierung für Clouddienste ausgewertet werden.
Bei der Passthrough-Authentifizierung wird ein einfacher Agent auf einem in die Domäne eingebundenen Windows Server 2012 R2-Computer in der lokalen Umgebung genutzt. Dieser Agent lauscht auf Anforderungen zur Kennwortüberprüfung. Es müssen für ihn keine Ports für eingehenden Datenverkehr aus dem Internet geöffnet sein.
Darüber hinaus können Sie auch das einmalige Anmelden für Benutzer auf in die Domäne eingebundenen Computern aktivieren, die sich im Unternehmensnetzwerk befinden. Beim einmaligen Anmelden müssen aktivierte Benutzer nur einen Benutzernamen eingeben, um sicher auf die Cloudressourcen zuzugreifen.
Weitere Informationen finden Sie unter:
Verbund, der eine neue oder vorhandene Farm mit AD FS in Windows Server 2012 R2 verwendet
Durch eine Verbundanmeldung können sich Ihre Benutzer*innen bei Microsoft Entra ID-basierten Diensten mit ihren lokalen Kennwörtern anmelden. Während sie sich auf dem internen Netzwerk befinden, müssen sie nicht einmal ihre Kennwörter eingegeben. Mit der Verbundoption für AD FS können Sie eine neue oder vorhandene Windows Server 2012 R2-Farm mit AD FS bereitstellen. Wenn Sie eine vorhandene Farm angeben, konfiguriert Microsoft Entra Connect die Vertrauensstellung zwischen der Farm und Microsoft Entra ID, sodass sich Ihre Benutzer*innen anmelden können.
Bereitstellen des Verbunds mit AD FS unter Windows Server 2012 R2
Wenn Sie eine neue Farm bereitstellen, ist Folgendes erforderlich:
- Ein Windows Server 2012 R2-Server für den Verbundserver.
- Ein Windows Server 2012 R2-Server für den Webanwendungsproxy.
- Eine PFX-Datei mit einem TLS/SSL-Zertifikat für den vorgesehenen Verbunddienstnamen. Zum Beispiel: „fs.contoso.com“.
Wenn Sie eine neue Farm bereitstellen oder eine vorhandene Farm verwenden, ist Folgendes erforderlich:
- Lokale Administratorrechte auf Ihren Verbundservern.
- Lokale Administratorrechte für jeden Arbeitsgruppenserver (keiner Domäne angehörend), auf dem Sie die Webanwendungsproxy-Rolle bereitstellen möchten.
- Der Computer, auf dem Sie den Assistenten ausführen, muss eine Verbindung mit allen weiteren Computern herstellen können, auf denen Sie AD FS oder den Webanwendungsproxy über die Windows-Remoteverwaltung installieren möchten.
Weitere Informationen finden Sie unter Konfigurieren von SSO mit AD FS.
Verbund mit PingFederate
Durch eine Verbundanmeldung können sich Ihre Benutzer*innen bei Microsoft Entra ID-basierten Diensten mit ihren lokalen Kennwörtern anmelden. Während sie sich auf dem internen Netzwerk befinden, müssen sie nicht einmal ihre Kennwörter eingegeben.
Weitere Informationen zum Konfigurieren von PingFederate für die Verwendung mit Microsoft Entra ID finden Sie unter PingFederate-Integration mit Microsoft Entra ID und Microsoft 365.
Informationen zum Einrichten von Microsoft Entra Connect mithilfe von PingFederate finden Sie unter Benutzerdefinierte Installation von Microsoft Entra Connect.
Anmelden mit einer früheren Version von AD FS oder einer Drittanbieterlösung
Wenn Sie die Cloudanmeldung bereits mit einer früheren Version von AD FS (z. B. AD FS 2.0) oder einer Drittanbieterlösung konfiguriert haben, können Sie die Konfiguration der Benutzeranmeldung über Microsoft Entra Connect überspringen. Auf diese Weise profitieren Sie von den neuesten Synchronisierungsfunktionen und anderen Features von Microsoft Entra Connect und können gleichzeitig Ihre vorhandene Lösung für die Anmeldung nutzen.
Weitere Informationen finden Sie unter Microsoft Entra-Verbund – Kompatibilitätsliste für Drittanbieter.
Benutzeranmeldung und Benutzerprinzipalname
Grundlegendes zu Benutzerprinzipalnamen
In Active Directory ist das Standardsuffix des Benutzerprinzipalnamens (UPN) der DNS-Name der Domäne, in der das Benutzerkonto erstellt wurde. In den meisten Fällen ist dies der Domänenname, der als Organisationsdomäne im Internet registriert ist. Allerdings können Sie weitere UPN-Suffixe mithilfe von Active Directory-Domänen und -Vertrauensstellungen hinzufügen.
Der UPN des Benutzers hat das Format „username@domain“. Für eine Active Directory-Domäne mit dem Namen „contoso.com“ hat Benutzer John beispielsweise den UPN „john@contoso.com“. Der UPN des Benutzers basiert auf RFC 822. Obwohl der UPN und die E-Mail-Adresse das gleiche Format verwenden, entspricht der Wert des UPN für einen Benutzer möglicherweise nicht der E-Mail-Adresse dieses Benutzers.
Benutzerprinzipalname in Microsoft Entra ID
Der Microsoft Entra Connect-Assistent verwendet entweder das userPrincipalName-Attribut, oder Sie können das Attribut (bei der benutzerdefinierten Installation) angeben, das lokal als Benutzerprinzipalname in Microsoft Entra ID verwendet werden soll. Dies ist der Wert, der zur Anmeldung bei Microsoft Entra ID verwendet wird. Wenn der Wert des userPrincipalName-Attributs nicht einer überprüften Domäne in Microsoft Entra ID entspricht, ersetzt ihn Microsoft Entra ID durch den Standardwert „.onmicrosoft.com“.
Jedes Verzeichnis in Microsoft Entra ID verfügt über einen integrierten Domänennamen im Format „contoso.onmicrosoft.com“, den Sie verwenden können, um mit der Nutzung von Azure oder anderen Microsoft-Diensten zu beginnen. Sie können mithilfe von benutzerdefinierten Domänen die Anmeldung vereinfachen und die Benutzerfreundlichkeit erhöhen. Informationen zu benutzerdefinierten Domänennamen in Microsoft Entra ID und eine Anleitung zur Überprüfung einer Domäne finden Sie unter Hinzufügen eines benutzerdefinierten Domänennamens zu Microsoft Entra ID.
Microsoft Entra Anmeldekonfiguration
Microsoft Entra-Anmeldekonfiguration mit Microsoft Entra Connect
Die Microsoft Entra-Anmeldung hängt davon ab, ob Microsoft Entra ID das UPN-Suffix eines zu synchronisierenden Benutzers oder einer zu synchronisierenden Benutzerin mit einer der überprüften benutzerdefinierten Domänen im Microsoft Entra-Verzeichnis abgleichen kann. Microsoft Entra Connect bietet Unterstützung beim Konfigurieren der Einstellungen für die Microsoft Entra-Anmeldung, damit die Benutzeranmeldung in der Cloud der lokalen Anmeldung ähnelt.
Microsoft Entra Connect listet die UPN-Suffixe auf, die für die Domänen definiert sind, und versucht, diese mit einer benutzerdefinierten Domäne in Microsoft Entra ID abzugleichen. Danach hilft Azure AD Connect Ihnen mit der entsprechenden Aktion, die ausgeführt werden muss. Die Microsoft Entra-Anmeldeseite listet die UPN-Suffixe auf, die für das lokale Active Directory definiert wurden, und zeigt den entsprechenden Status für jedes Suffix. Mögliche Statuswerte:
State | BESCHREIBUNG | Erforderliche Aktion |
---|---|---|
Überprüft | Microsoft Entra Connect hat eine übereinstimmende verifizierte Domäne in Microsoft Entra ID gefunden. Alle Benutzer dieser Domäne können sich mit ihren lokalen Anmeldeinformationen anmelden. | Es ist keine Aktion erforderlich. |
Nicht überprüft | Microsoft Entra Connect hat eine übereinstimmende benutzerdefinierte Domäne in Microsoft Entra ID gefunden, aber sie ist nicht verifiziert. Das UPN-Suffix der Benutzer dieser Domäne wird nach der Synchronisierung in das Standardsuffix „.onmicrosoft.com“ geändert, wenn die Domäne nicht überprüft wurde. | Überprüfen der benutzerdefinierten Domäne in Microsoft Entra ID |
Nicht hinzugefügt | Microsoft Entra Connect konnte keine benutzerdefinierte Domäne finden, die dem UPN-Suffix entspricht. Das UPN-Suffix der Benutzer der Benutzer dieser Domäne wird in das Standardsuffix „.onmicrosoft.com“ geändert, wenn die Domäne nicht in Azure hinzugefügt und überprüft wurde. | Hinzufügen eines benutzerdefinierten Domänennamens zu Azure Active Directory |
Die Microsoft Entra-Anmeldeseite listet die für die lokale Active Directory-Instanz definierten UPN-Suffixe und die entsprechende benutzerdefinierte Domäne in Microsoft Entra ID mit ihrem aktuellen Überprüfungsstatus auf. In einer benutzerdefinierten Installation können Sie jetzt das Attribut für den Benutzerprinzipalnamen auf der Seite Microsoft Entra-Anmeldung auswählen.
Sie können auf die Schaltfläche für die Aktualisierung klicken, um den aktuellen Status der benutzerdefinierten Domänen erneut aus Microsoft Entra ID abzurufen.
Auswählen des Attributs für den Benutzerprinzipalnamen in Microsoft Entra ID
Das userPrincipalName-Attribut wird von Benutzer*innen verwendet, wenn sie sich bei Microsoft Entra ID und Microsoft 365 anmelden. Sie müssen die Domänen überprüfen (auch als UPN-Suffixe bezeichnet), die in Microsoft Entra ID verwendet werden, bevor die Benutzer*innen synchronisiert werden.
Es wird dringend empfohlen, das Standardattribut „userPrincipalName“ beizubehalten. Wenn dieses Attribut nicht routingfähig ist und nicht überprüft werden kann, können Sie ein anderes Attribut als das Attribut mit der Anmelde-ID auswählen, beispielsweise „email“. Dieser Wert wird als alternative ID bezeichnet. Der Attributwert der alternativen ID muss dem RFC 822-Standard entsprechen. Sie können eine alternative ID mit Kennwort- und Verbund-SSO als Anmeldungslösung verwenden.
Hinweis
Eine alternative ID ist nicht mit allen Microsoft 365-Workloads kompatibel. Weitere Informationen finden Sie unter Konfigurieren der alternativen Anmelde-ID.
Andere benutzerdefinierte Zustandswerte für Domänen und Auswirkungen auf die Azure-Anmeldung
Es ist wichtig, die Beziehung zwischen den benutzerdefinierten Zustandswerten für Domänen in Ihrem Microsoft Entra-Verzeichnis und den lokal definierten UPN-Suffixen zu verstehen. Gehen wir die verschiedenen Azure-Anmeldemöglichkeiten beim Einrichten der Synchronisierung mit Microsoft Entra Connect durch.
Nehmen wir für die folgenden Informationen einmal an, dass wir mit dem UPN-Suffix „contoso.com“ arbeiten, das zum Beispiel im lokalen Verzeichnis als Teil des UPN verwendet wird. Beispiel: user@contoso.com.
Express-Einstellungen/Kennworthashsynchronisierung
State | Auswirkung auf die Azure-Benutzeranmeldung |
---|---|
Nicht hinzugefügt | In diesem Fall wurde keine benutzerdefinierte Domäne für „contoso.com“ im Microsoft Entra-Verzeichnis hinzugefügt. Benutzer mit lokalem UPN und dem Suffix „@contoso.com“ können nicht ihren lokalen UPN zur Azure-Anmeldung verwenden. Sie müssen stattdessen einen neuen, von Microsoft Entra ID bereitgestellten UPN verwenden, indem Sie das Suffix für das Microsoft Entra-Standardverzeichnis hinzufügen. Wenn Sie beispielsweise Benutzer*innen mit dem Microsoft Entra-Verzeichnis „azurecontoso.onmicrosoft.com“ synchronisieren, erhält der*die lokale Benutzer*in user@contoso.com den UPN user@azurecontoso.onmicrosoft.com. |
Nicht überprüft | In diesem Fall wurde dem Microsoft Entra-Verzeichnis die benutzerdefinierte Domäne „contoso.com“ hinzugefügt. Diese ist jedoch noch nicht überprüft. Wenn Sie mit der Synchronisierung von Benutzer*innen fortfahren, ohne die Domäne zu überprüfen, weist Microsoft Entra ID den Benutzer*innen wie im Szenario „Nicht hinzugefügt“ neue UPNs zu. |
Überprüft | In diesem Fall haben wir die benutzerdefinierte Domäne „contoso.com“, die bereits in Microsoft Entra ID für das UPN-Suffix hinzugefügt und überprüft wurde. Benutzer*innen sind nun in der Lage, ihren lokalen Benutzerprinzipalnamen (z. B. „user@contoso.com“) zu verwenden, um sich bei Azure anzumelden, nachdem sie mit Microsoft Entra ID synchronisiert wurden. |
AD FS-Verbund
Sie können mit der Standarddomäne „.onmicrosoft.com“ in Microsoft Entra ID oder einer nicht überprüften benutzerdefinierten Domäne in Microsoft Entra ID keinen Verbund erstellen. Wenn Sie bei der Ausführung des Microsoft Entra Connect-Assistenten eine nicht überprüfte Domäne auswählen, um einen Verbund zu erstellen, fordert Sie Microsoft Entra Connect auf, über den DNS-Hostinganbieter für die Domäne zunächst die erforderlichen Datensätze zu erstellen. Weitere Informationen finden Sie unter Überprüfen der für den Verbund ausgewählten Microsoft Entra-Domäne.
Wenn Sie die Benutzeranmeldeoption Verbund mit AD FS ausgewählt haben, müssen Sie über eine benutzerdefinierte Domäne verfügen, um mit der Erstellung eines Verbunds in Microsoft Entra ID fortzufahren. Im vorliegenden Fall bedeutet dies, dass wir dem Microsoft Entra-Verzeichnis die benutzerdefinierte Domäne „contoso.com“ hinzufügen müssen.
Zustand | Auswirkung auf die Azure-Benutzeranmeldung |
---|---|
Nicht hinzugefügt | In diesem Fall konnte Microsoft Entra Connect im Microsoft Entra-Verzeichnis keine übereinstimmende benutzerdefinierte Domäne für das UPN-Suffix „contoso.com“ finden. Sie müssen die benutzerdefinierte Domäne „contoso.com“ hinzufügen, wenn Benutzer sich mithilfe von AD FS mit ihren lokalen Benutzerprinzipalnamen (z.B. user@contoso.com) anmelden sollen. |
Nicht überprüft | In diesem Fall zeigt Microsoft Entra Connect entsprechende Details an, damit Sie Ihre Domäne zu einem späteren Zeitpunkt überprüfen können. |
Überprüft | In diesem Fall können Sie ohne weitere Aktionen direkt mit der Konfiguration fortfahren. |
Ändern der Benutzeranmeldungsmethode
Nach der Erstkonfiguration von Microsoft Entra Connect durch den Assistenten können Sie mit den verfügbaren Aufgaben in Microsoft Entra Connect die Benutzeranmeldemethoden „Verbund“, „Kennworthashsynchronisierung“ oder „Passthrough-Authentifizierung“ ändern. Führen Sie den Microsoft Entra Connect-Assistenten erneut aus. Es wird eine Liste mit Aufgaben angezeigt, die Sie durchführen können. Wählen Sie Ändern der Benutzeranmeldung aus der Liste der Aufgaben.
Auf der nächsten Seite werden Sie aufgefordert, die Anmeldeinformationen für Microsoft Entra ID anzugeben.
Wählen Sie auf der Seite Benutzeranmeldung die gewünschte Benutzeranmeldung aus.
Hinweis
Wenn Sie nur vorübergehend zur Kennworthashsynchronisierung wechseln, wählen Sie das Kontrollkästchen Benutzerkonten nicht konvertieren aus. Ist diese Option nicht aktiviert, werden alle Benutzer zu Verbundbenutzern konvertiert. Dieser Vorgang kann mehrere Stunden dauern.
Nächste Schritte
- Erfahren Sie mehr zum Integrieren lokaler Identitäten in Microsoft Entra ID.
- Erfahren Sie mehr über Microsoft Entra Connect-Entwurfskonzepte.