Bearbeiten

Freigeben über


Passthrough-Authentifizierung für Microsoft Entra – häufig gestellte Fragen

In diesem Artikel werden häufig gestellte Fragen zur Microsoft Entra-Passthrough-Authentifizierung behandelt. Der Inhalt wird bei Bedarf aktualisiert.

Welche der Methoden für die Anmeldung bei Microsoft Entra ID (Passthrough-Authentifizierung, Kennworthashsynchronisierung oder Active Directory-Verbunddienste (AD FS)) soll ich auswählen?

Einen Vergleich der verschiedenen Microsoft Entra-Anmeldemethoden und Informationen, wie Sie die richtige Anmeldemethode für Ihre Organisation auswählen, finden Sie in diesem Leitfaden.

Ist die Passthrough-Authentifizierung ein kostenloses Feature?

Die Passthrough-Authentifizierung ist ein kostenloses Feature. Sie benötigen dafür keine kostenpflichtigen Versionen von Microsoft Entra ID.

Funktioniert der bedingte Zugriff mit der Passthrough-Authentifizierung?

Ja. Für alle Funktionen mit bedingtem Zugriff, z. B. die Multi-Faktor-Authentifizierung von Microsoft Entra, kann die Passthrough-Authentifizierung genutzt werden.

Unterstützt die Passthrough-Authentifizierung eine alternative Anmelde-ID (Alternate ID) anstelle von „UserPrincipalName“ als Benutzernamen?

Ja. Sowohl die Passthrough-Authentifizierung (PTA) als auch die Kennworthashsynchronisierung (Password Hash Sync, PHS) unterstützen die Anmeldung mit einem UPN-fremden Wert (etwa mit einer alternativen E-Mail-Adresse). Weitere Informationen zu alternativer Anmelde-ID.

Kann die Kennworthashsynchronisierung als Fallback für die Passthrough-Authentifizierung verwendet werden?

Nein. Bei der Passthrough-Authentifizierung wird kein automatisches Failover auf die Kennwort-Hashsynchronisierung ausgeführt. Um Benutzeranmeldefehler zu vermeiden, sollten Sie die Passthrough-Authentifizierung für hohe Verfügbarkeit konfigurieren.

Was geschieht, wenn ich von der Kennworthashsynchronisierung auf die Passthrough-Authentifizierung umstelle?

Wenn Sie Microsoft Entra Connect verwenden, um die Anmeldemethode von Kennworthashsynchronisierung in Passthrough-Authentifizierung zu ändern, wird die Passthrough-Authentifizierung die primäre Anmeldemethode für Ihre Benutzer*innen in verwalteten Domänen. Die Kennworthashes aller Benutzer*innen, die zuvor per Kennworthashsynchronisierung synchronisiert wurden, bleiben in Microsoft Entra ID gespeichert.

Kann ich einen privaten Microsoft Entra-Netzwerkconnector und einen Passthrough-Authentifizierungs-Agent auf demselben Server installieren?

Ja. Die umbenannten Versionen des Passthrough-Authentifizierungs-Agents (Versionen 1.5.193.0 oder höher) unterstützen diese Konfiguration.

Welche Versionen von Microsoft Entra Connect und dem Passthrough-Authentifizierungs-Agent werden benötigt?

Damit dieses Feature funktioniert, benötigen Sie Version 1.1.750.0 oder höher für Microsoft Entra Connect und Version 1.5.193.0 oder höher für den Passthrough-Authentifizierungs-Agent. Installieren Sie die gesamte Software auf Servern mit Windows Server 2012 R2 oder höher.

Warum verwendet mein Connector weiterhin eine ältere Version und wird nicht automatisch auf die neueste Version aktualisiert?

Dies kann darauf zurückzuführen sein, dass der Updatedienst nicht ordnungsgemäß funktioniert oder keine neuen Updates verfügbar sind, die der Dienst installieren kann. Der Updatedienst funktioniert fehlerfrei, wenn er ausgeführt wird, und im Ereignisprotokoll werden keine Fehler aufgezeichnet (Anwendungs- und Dienstprotokolle > Microsoft > AzureADConnect-Agent > Updater > Admin).

Nur Hauptversionen werden für das automatische Upgrade veröffentlicht. Es wird empfohlen, Ihren Agent nur dann manuell zu aktualisieren, wenn dies unbedingt erforderlich ist. Beispielsweise können Sie nicht auf ein großes Release warten, da Sie ein bekanntes Problem beheben müssen oder ein neues Feature verwenden möchten. Weitere Informationen zu neuen Versionen, dem Typ der Version (Download, automatisches Upgrade), Fehlerbehebungen und neuen Features finden Sie unter Microsoft Entra Pass-Through-Authentifizierungs-Agent: Versionsverlauf.

So aktualisieren Sie einen Connector manuell

  • Laden Sie die neueste Version des Agents herunter. (Sie finden diese unter „Microsoft Entra Connect:  Passthrough-Authentifizierung“ im Microsoft Entra Admin Center. Sie finden den Link auch unter „Microsoft Entra-Passthrough-Authentifizierung: Verlauf der Versionsveröffentlichungen“.
  • Das Installationsprogramm startet die Dienste des Authentifizierungs-Agents von Microsoft Entra Connect neu. In einigen Fällen ist möglicherweise ein Serverneustart erforderlich, wenn das Installationsprogramm nicht alle Dateien ersetzen kann. Wir empfehlen, alle Anwendungen zu schließen, bevor Sie das Upgrade starten.
  • Führen Sie das Installationsprogramm aus. Der Upgradevorgang ist schnell und erfordert keine Angabe von Anmeldeinformationen, und der Agent wird nicht erneut registriert.

Was geschieht, wenn das Kennwort meines Benutzers abgelaufen ist und er versucht, sich mithilfe der Pass-Through-Authentifizierung anzumelden?

Wenn Sie Kennwortrückschreiben für einen bestimmten Benutzer konfiguriert haben und sich der Benutzer mithilfe der Pass-Through-Authentifizierung anmeldet, kann er seine Kennwörter ändern oder zurücksetzen. Die Kennwörter werden erwartungsgemäß in das lokale Active Directory zurückgeschrieben.

Wenn Sie das Kennwortrückschreiben für einen bestimmten Benutzer nicht konfiguriert haben oder der Benutzer keine gültige Microsoft Entra ID-Lizenz hat, kann der Benutzer sein Kennwort in der Cloud nicht aktualisieren. Sie können ihr Kennwort nicht aktualisieren, auch wenn ihr Kennwort abgelaufen ist. Dem Benutzer wird stattdessen diese Meldung angezeigt: „Eine Kennwortänderung auf dieser Website wird von Ihrer Organisation nicht gestattet. Ändern Sie Ihr Kennwort anhand der von Ihrer Organisation empfohlenen Methode, oder bitten Sie Ihren Administrator um Hilfe.“ Der Benutzer oder der Administrator muss das Kennwort im lokalen Active Directory zurücksetzen.

Der Benutzer meldet sich mit Anmeldeinformationen (Benutzername, Kennwort) bei Microsoft Entra-ID an. In der Zwischenzeit läuft das Kennwort des Benutzers ab, aber der Benutzer bzw. die Benutzerin kann weiterhin auf Microsoft Entra-Ressourcen zugreifen. Was ist dafür die Ursache?

Der Ablauf des Kennworts löst nicht die Sperrung von Authentifizierungstoken oder Cookies aus. Solange die Token oder Cookies gültig sind, kann der Benutzer sie verwenden. Dies gilt unabhängig vom Authentifizierungstyp (PTA, PHS und Verbundszenarien).

Weitere Details finden Sie in der folgenden Dokumentation:

Microsoft Identity Platform-Zugriffstoken – Microsoft Identity Platform | Microsoft-Dokumentation

Wie schützt die Passthrough-Authentifizierung vor Brute-Force-Kennwortangriffen?

Was kommunizieren Passthrough-Authentifizierungs-Agents über die Ports 80 und 443?

  • Die Authentifizierungs-Agents stellen HTTPS-Anforderungen für alle Funktionsvorgänge über Port 443 aus.

  • Die Authentifizierungs-Agents stellen HTTP-Anforderungen über Port 80, um die TLS/SSL-Zertifikatsperrlisten (CRLs) herunterzuladen.

    Hinweis

    In kürzlich veröffentlichten Updates wurde die Zahl der Ports, die für diese Funktion erforderlich sind, gesenkt. Wenn Sie eine ältere Version von Microsoft Entra Connect oder des Authentifizierungs-Agents verwenden, halten Sie auch folgende Ports offen: 5671, 8080, 9090, 9091, 9350, 9352 und 10100-10120.

Können die Passthrough-Authentifizierungs-Agents über einen ausgehenden Webproxyserver kommunizieren?

Ja. Wenn in Ihrer lokalen Umgebung WPAD (Web Proxy Auto-Discovery) aktiviert ist, versuchen die Authentifizierungs-Agents automatisch, einen Webproxyserver im Netzwerk zu finden und zu verwenden. Weitere Informationen zum verwenden des ausgehenden Proxyservers finden Sie unter Verwenden von vorhandenen lokalen Proxyservern.

Wenn Sie nicht über WPAD in Ihrer Umgebung verfügen, können Sie Proxyinformationen hinzufügen, damit ein Pass-Through-Authentifizierungs-Agent mit microsoft Entra ID kommunizieren kann:

  • Konfigurieren Sie Proxyinformationen im Internet Explorer, bevor Sie den Passthrough-Authentifizierungs-Agent auf dem Server installieren. Auf diese Weise können Sie die Installation des Authentifizierungs-Agents abschließen, wird jedoch weiterhin als inaktiven im Verwaltungsportal angezeigt.
  • Wechseln Sie auf dem Server zu „C:\Programme\Microsoft Azure AD Connect Authentication Agent“.
  • Bearbeiten Sie die Konfigurationsdatei „AzureADConnectAuthenticationAgentService“, und fügen Sie die folgenden Zeilen hinzu (ersetzen Sie „http://contosoproxy.com:8080" durch Ihre tatsächliche Proxyadresse):
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Kann ich zwei oder mehr Passthrough-Authentifizierungs-Agents auf dem gleichen Server installieren?

Nein, Sie können nur einen Passthrough-Authentifizierungs-Agent auf einem einzelnen Server installieren. Wenn Sie die Passthrough-Authentifizierung für Hochverfügbarkeit konfigurieren möchten, folgen Sie den hier aufgeführten Anweisungen.

Muss ich Zertifikate, die von Passthrough-Authentifizierungs-Agents verwendet werden, manuell verlängern?

Die Kommunikation zwischen den einzelnen Passthrough-Authentifizierungs-Agents und Microsoft Entra ID wird per zertifikatbasierter Authentifizierung geschützt. Diese Zertifikate werden alle paar Monate automatisch von Microsoft Entra ID verlängert. Sie müssen diese Zertifikate nicht manuell verlängern. Abgelaufene Zertifikate können Sie bei Bedarf entfernen.

Gewusst wie: Entfernen eines Passthrough-Authentifizierungs-Agents

Solange ein Passthrough-Authentifizierungs-Agent ausgeführt wird, bleibt er aktiv und verarbeitet fortlaufend Anmeldeanforderungen von Benutzern. Wenn Sie einen Authentifizierungs-Agent deinstallieren möchten, wechseln Sie zu Systemsteuerung -> Programme -> Programme und Features. Deinstallieren Sie sowohl den Microsoft Entra Connect Authentication Agent als auch die Microsoft Entra Connect Agent Updater Programme.

Wenn Sie das Blatt „Passthrough-Authentifizierung“ im Microsoft Entra Admin Center mindestens als Hybrididentitätsadministrator aktivieren. Der Authentifizierungs-Agent sollte als inaktiv angezeigt werden. Dies entspricht dem erwarteten Verhalten. Der Authentifizierungs-Agent wird nach 10 Tagen automatisch aus der Liste entfernt.

Ich verwende bereits AD FS für die Anmeldung bei Microsoft Entra ID. Wie kann ich zur Passthrough-Authentifizierung wechseln?

Wenn Sie von AD FS (oder andere Verbundtechnologien) zur Passthrough-Authentifizierung migrieren, wird dringend empfohlen, diese Schnellstartanleitung zu befolgen.

Kann ich die Passthrough-Authentifizierung in einer Active Directory-Umgebung mit mehreren Gesamtstrukturen verwenden?

Ja. Umgebungen mit mehreren Gesamtstrukturen (bidirektional) werden unterstützt, wenn Gesamtstruktur-Vertrauensstellungen zwischen Ihren Active Directory-Gesamtstrukturen bestehen und das Namensuffixrouting ordnungsgemäß konfiguriert ist.

Bietet die Passthrough-Authentifizierung einen Lastenausgleich zwischen mehreren Authentifizierungs-Agents?

Nein, die Installation von mehreren Passthrough-Authentifizierungs-Agents garantiert nur Hochverfügbarkeit. Dadurch wird kein deterministischer Lastenausgleich zwischen den Authentifizierungs-Agents bereitgestellt. Jeder Authentifizierungs-Agent kann eine bestimmte Benutzeranmeldungsanforderung verarbeiten.

Wie viele Passthrough-Authentifizierungs-Agents muss ich installieren?

Mit der Installation von mehreren Passthrough-Authentifizierungs-Agents wird für Hochverfügbarkeit gesorgt. Dadurch wird jedoch kein deterministischer Lastenausgleich zwischen den Authentifizierungs-Agents bereitgestellt.

Berücksichtigen Sie die Spitzenlast und durchschnittliche Last in Bezug auf die Anmeldeanforderungen, die Sie für Ihren Mandanten erwarten. Als Richtwert gilt, dass ein einzelner Authentifizierungs-Agent auf einem Standardserver mit einer CPU mit vier Kernen und 16 GB RAM pro Sekunde 300 bis 400 Authentifizierungen verarbeiten kann.

Um den Netzwerkverkehr abzuschätzen, verwenden Sie die folgende Anleitung zur Skalierung:

  • Jede Anforderung hat eine Nutzlastgröße von (500 + 1.000 · num_of_agents) Bytes, d. h. Daten von Microsoft Entra ID zum Authentifizierungs-Agent. Hier gibt „anz_agents“ die Anzahl der für Ihren Mandanten registrierten Authentifizierung-Agents an.
  • Jede Antwort hat eine Nutzlastgröße von 1.000 Bytes, d. h. Daten vom Authentifizierungs-Agent zu Microsoft Entra ID.

Für die meisten Kunden reichen zwei oder drei Authentifizierungs-Agents insgesamt aus, um Hochverfügbarkeit und genügend Kapazität zu erzielen. Für Produktionsumgebungen wird jedoch empfohlen, dass Sie mindestens drei Authentifizierungs-Agents auf Ihrem Mandanten ausführen. Es wird empfohlen, die Authentifizierungs-Agents in der Nähe Ihres Domänencontrollers zu installieren, um die Anmeldungslatenz zu verbessern.

Hinweis

In einem System können maximal 40 Authentifizierungs-Agents pro Mandant installiert werden.

Welche Rolle muss ich die Passthrough-Authentifizierung aktivieren?

Es wird empfohlen, die Passthrough-Authentifizierung mit einem Hybrididentität-Administratorkonto zu aktivieren oder zu deaktivieren. Auf diese Weise wird sichergestellt, dass Sie sich nicht aus Ihrem Mandanten aussperren. ]

Wie kann ich die Passthrough-Authentifizierung deaktivieren?

Führen Sie den Microsoft Entra Connect-Assistenten erneut aus und ändern Sie die Anmeldemethode für Benutzer*innen von der Passthrough-Authentifizierung in eine andere Methode. Diese Änderung deaktiviert die Passthrough-Authentifizierung für den Mandanten und deinstalliert den Authentifizierungs-Agent vom Server. Auf anderen Servern müssen Sie die Authentifizierungs-Agents manuell deinstallieren.

Was geschieht, wenn ich einen Passthrough-Authentifizierungs-Agent deinstalliere?

Wenn Sie einen Passthrough-Authentifizierungs-Agents auf einem Server deinstallieren, werden vom Server keine Anmeldeanforderungen mehr angenommen. Um eine Unterbrechung der Anmeldefunktion für Benutzer zu vermeiden, stellen Sie sicher, dass ein anderer Authentifizierungs-Agent ausgeführt wird, bevor Sie einen Passthrough-Authentifizierungs-Agent deinstallieren.

Ich habe einen älteren Mandanten, der ursprünglich mit AD FS eingerichtet wurde. Wir haben kürzlich auf PTA umgestellt, doch anscheinend werden unsere UPN-Änderungen nicht mit Microsoft Entra ID synchronisiert. Warum werden unsere UPN-Änderungen nicht synchronisiert?

Unter den folgenden Umständen können lokale UPN-Änderungen nicht synchronisiert werden:

  • Ihr Microsoft Entra-Mandant wurde vor dem 15. Juni 2015 erstellt.
  • Sie wurden ursprünglich mit Ihrem Microsoft Entra-Mandanten und mit AD FS zur Authentifizierung in den Verbund aufgenommen.
  • Sie haben eine Umstellung vorgenommen, sodass verwaltete Benutzer PTA als Authentifizierung verwenden.

Das liegt daran, dass Mandanten, die vor dem 15. Juni 2015 erstellt wurden, UPN-Änderungen standardmäßig blockiert haben. Wenn Sie UPN-Änderungen freigeben müssen, führen Sie das folgende PowerShell-Cmdlet aus. Rufen Sie die ID mithilfe des Cmdlets Get-MgDirectoryOnPremiseSynchronization ab.

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

Bei Mandanten, die nach dem 15. Juni 2015 erstellt wurden, werden UPN-Änderungen standardmäßig synchronisiert.

Wie erfasse ich die PTA-Agent-ID aus den Microsoft Entra-Anmeldeprotokollen und dem PTA-Server, um zu überprüfen, welcher PTA-Server für ein Anmeldeereignis verwendet wurde?

So überprüfen Sie, welcher lokale Server oder Authentifizierungs-Agent für ein bestimmtes Anmeldeereignis verwendet wurde

  1. Wechseln Sie im Microsoft Entra Admin Center zum Anmeldeereignis.

  2. Wählen Sie Authentifizierungsdetails aus. In der Spalte Details zur Authentifizierungsmethode werden Details zur Agent-ID im Format „Passthrough-Authentifizierung; PTA AgentId: 00001111-aaaa-2222-bbbb-3333cccc4444".

  3. Um Agent-ID-Details für den Agent abzurufen, der auf Ihrem lokalen Server installiert ist, melden Sie sich bei Ihrem lokalen Server an, und führen Sie das folgende Cmdlet aus:

    Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

    Der zurückgegebene GUID-Wert ist die Agent-ID des Authentifizierungs-Agents, der auf diesem speziellen Server installiert ist. Wenn Sie in Ihrer Umgebung über mehrere Agents verfügen, können Sie dieses Cmdlet auf jedem Agent-Server ausführen und die Details der Agent-ID erfassen.

  4. Korrelieren Sie die Agent-ID, die Sie vom lokalen Server und den Microsoft Entra-Anmeldeprotokollen erhalten, um zu überprüfen, welcher Agent oder Server die Anmeldeanforderung bestätigt hat.

Nächste Schritte

  • Aktuelle Einschränkungen: Informieren Sie sich über die unterstützten Szenarien.
  • Schnellstart: Aktivieren und Ausführen der Passthrough-Authentifizierung von Microsoft Entra.
  • Migrieren Ihrer Apps zur Microsoft Entra ID: Ressourcen, mit deren Hilfe Sie den Anwendungszugriff und die Anwendungsauthentifizierung zu Microsoft Entra ID migrieren können.
  • Smart Lockout: Erfahren Sie, wie Sie die Smart Lockout-Funktion für Ihren Mandanten zum Schutz von Benutzerkonten konfigurieren.
  • Technische Einzelheiten: Hier finden Sie Informationen zur Funktionsweise der Passthrough-Authentifizierung.
  • Problembehandlung: Hier finden Sie Informationen zum Beheben von allgemeinen Problemen, die bei der Passthrough-Authentifizierung auftreten können.
  • Ausführliche Informationen zur Sicherheit: Hier erhalten Sie ausführliche technische Informationen zur Pass-Through-Authentifizierung.
  • Hybride Einbindung in Microsoft Entra: Konfigurieren Sie die Funktion des hybriden Einbindens in Microsoft Entra auf Ihrem Mandanten, um das einmalige Anmelden bei Ihren sämtlichen cloudbasierten und lokalen Ressourcen nutzen zu können.
  • Nahtloses SSO mit Microsoft Entra: Hier finden Sie Informationen zu diesem Ergänzungsfeature.
  • UserVoice: Verwenden Sie das Microsoft Entra-Forum, um neue Features anzufordern.