Bearbeiten

Freigeben über


Passthrough-Authentifizierung für Microsoft Entra – häufig gestellte Fragen

In diesem Artikel werden häufig gestellte Fragen zur Microsoft Entra-Passthrough-Authentifizierung behandelt. Der Inhalt wird bei Bedarf aktualisiert.

Welche der Methoden für die Anmeldung bei Microsoft Entra ID (Passthrough-Authentifizierung, Kennwort-Hashsynchronisierung oder Active Directory-Verbunddienste (AD FS)) soll ich auswählen?

Einen Vergleich der verschiedenen Microsoft Entra-Anmeldemethoden und Informationen, wie Sie die richtige Anmeldemethode für Ihre Organisation auswählen, finden Sie in diesem Leitfaden.

Ist die Passthrough-Authentifizierung ein kostenloses Feature?

Die Passthrough-Authentifizierung ist ein kostenloses Feature. Sie benötigen dafür keine kostenpflichtigen Versionen von Microsoft Entra ID.

Funktioniert der bedingte Zugriff mit der Passthrough-Authentifizierung?

Ja. Für alle Funktionalitäten mit bedingtem Zugriff, z. B. die Multi-Faktor-Authentifizierung von Microsoft Entra, kann die Passthrough-Authentifizierung genutzt werden.

Unterstützt die Passthrough-Authentifizierung eine alternative Anmelde-ID (Alternate ID) anstelle von „UserPrincipalName“ als Benutzernamen?

Ja. Sowohl die Passthrough-Authentifizierung (PTA) als auch die Kennwort-Hashsynchronisierung (Password Hash Sync, PHS) unterstützen die Anmeldung mit einem UPN-fremden Wert (etwa mit einer alternativen E-Mail-Adresse). Weitere Informationen zur alternativen Anmelde-ID finden Sie hier.

Kann die Kennwort-Hashsynchronisierung als Fallback für die Passthrough-Authentifizierung verwendet werden?

Nein. Bei der Passthrough-Authentifizierung wird kein automatisches Failover auf die Kennwort-Hashsynchronisierung ausgeführt. Um Benutzeranmeldefehler zu vermeiden, sollten Sie die Passthrough-Authentifizierung für hohe Verfügbarkeit konfigurieren.

Was geschieht, wenn ich von der Kennwort-Hashsynchronisierung auf die Passthrough-Authentifizierung umstelle?

Wenn Sie Microsoft Entra Connect verwenden, um die Anmeldemethode von Kennwort-Hashsynchronisierung in Passthrough-Authentifizierung zu ändern, wird die Passthrough-Authentifizierung die primäre Anmeldemethode für Ihre Benutzer*innen in verwalteten Domänen. Die Kennwort-Hashes aller Benutzer*innen, die zuvor per Kennwort-Hashsynchronisierung synchronisiert wurden, bleiben in Microsoft Entra ID gespeichert.

Kann ich einen Konnektor für ein privates Netzwerk von Microsoft Entra und einen Passthrough-Authentifizierungs-Agent auf demselben Server installieren?

Ja. Die umbenannten Versionen des Passthrough-Authentifizierungs-Agents (Versionen 1.5.193.0 oder höher) unterstützen diese Konfiguration.

Welche Versionen von Microsoft Entra Connect und dem Passthrough-Authentifizierungs-Agent werden benötigt?

Damit dieses Feature funktioniert, benötigen Sie Version 1.1.750.0 oder höher für Microsoft Entra Connect und Version 1.5.193.0 oder höher für den Passthrough-Authentifizierungs-Agent. Installieren Sie die gesamte Software auf Servern mit Windows Server 2012 R2 oder höher.

Warum verwendet mein Konnektor noch eine ältere Version und wird nicht automatisch auf die neueste Version aktualisiert?

Dies kann darauf zurückzuführen sein, dass der Update-Dienst nicht ordnungsgemäß funktioniert oder keine neuen Updates verfügbar sind, die der Dienst installieren kann. Der UpdateDienst funktioniert fehlerfrei, wenn er ausgeführt wird, und im Ereignisprotokoll werden keine Fehler aufgezeichnet (Anwendungs- und Dienstprotokolle > Microsoft > AzureADConnect-Agent -> Updater -> Admin).

Nur Hauptversionen werden für das automatische Upgrade veröffentlicht. Es wird empfohlen, Ihren Agent nur dann manuell zu aktualisieren, wenn dies unbedingt erforderlich ist. Beispielsweise können Sie nicht auf ein großes Release warten, da Sie ein bekanntes Problem beheben müssen oder ein neues Feature verwenden möchten. Weitere Informationen zu neuen Releases, den Releasetyp (Download, automatisches Upgrade), Fehlerbehebungen und neue Features finden Sie unter Agent für die Microsoft Entra-Passthrough-Authentifizierung: Verlauf der Versionsveröffentlichungen.

So aktualisieren Sie einen Konnektor manuell:

  • Laden Sie die neueste Version des Agents herunter. (Sie finden diese unter „Microsoft Entra Connect:  Passthrough-Authentifizierung“ im Microsoft Entra Admin Center. Sie finden den Link auch unter „Microsoft Entra-Passthrough-Authentifizierung: Verlauf der Versionsveröffentlichungen“.
  • Das Installationsprogramm startet die Dienste des Authentifizierungs-Agents von Microsoft Entra Connect neu. In einigen Fällen ist möglicherweise ein Serverneustart erforderlich, wenn das Installationsprogramm nicht alle Dateien ersetzen kann. Wir empfehlen, alle Anwendungen zu schließen, bevor Sie das Upgrade starten.
  • Führen Sie das Installationsprogramm aus. Der Upgrade-Vorgang ist schnell und erfordert keine Angabe von Anmeldedaten. Der Agent wird nicht erneut registriert.

Was geschieht, wenn das Kennwort des Benutzers abgelaufen ist und er versucht, sich mit der Passthrough-Authentifizierung anzumelden?

Wenn Sie das Kennwortrückschreiben für einen bestimmten Benutzer konfiguriert haben und der Benutzer sich mit der Passthrough-Authentifizierung anmeldet, kann er sein Kennwort ändern oder zurücksetzen. Die Passwörter werden erwartungsgemäß in das lokale Active Directory zurückgeschrieben.

Wenn Sie das Kennwortrückschreiben für einen bestimmten Benutzer nicht konfiguriert haben oder der Benutzer keine gültige Microsoft Entra ID-Lizenz hat, kann der Benutzer sein Kennwort in der Cloud nicht aktualisieren. Das Kennwort lässt sich nicht aktualisieren, auch wenn es bereits abgelaufen ist. Dem Benutzer wird stattdessen diese Meldung angezeigt: „Eine Kennwortänderung auf dieser Website wird von Ihrer Organisation nicht gestattet. Ändern Sie Ihr Kennwort anhand der von Ihrer Organisation empfohlenen Methode, oder bitten Sie Ihren Administrator um Hilfe.“ Der Benutzer oder der Administrator muss das Kennwort im lokalen Active Directory zurücksetzen.

Der Benutzer bzw. die Benutzerin meldet sich mit Anmeldedaten (Benutzername, Kennwort) bei Microsoft Entra ID an. In der Zwischenzeit läuft das Kennwort des Benutzers ab, aber der Benutzer bzw. die Benutzerin kann weiterhin auf Microsoft Entra-Ressourcen zugreifen. Was ist dafür die Ursache?

Der Ablauf des Kennworts löst nicht die Sperrung von Authentifizierungstoken oder Cookies aus. Solange die Token oder Cookies gültig sind, kann der Benutzer sie verwenden. Dies gilt unabhängig von der Art der Authentifizierung (PTA, PHS und Verbundszenarien).

Weitere Details finden Sie in der folgenden Dokumentation:

Microsoft Identity Platform-Zugriffstoken – Microsoft Identity Platform | Microsoft-Dokumentation

Wie schützt die Passthrough-Authentifizierung vor Brute-Force-Kennwortangriffen?

Was kommunizieren Passthrough-Authentifizierungs-Agents über die Ports 80 und 443?

  • Die Authentifizierungs-Agents stellen HTTPS-Anforderungen für alle Funktionsvorgänge über Port 443 aus.

  • Die Authentifizierungs-Agents stellen HTTP-Anforderungen über Port 80, um die TLS/SSL-Zertifikatsperrlisten (CRLs) herunterzuladen.

    Hinweis

    In kürzlich veröffentlichten Updates wurde die Zahl der Ports, die für dieses Feature erforderlich sind, gesenkt. Wenn Sie eine ältere Version von Microsoft Entra Connect oder des Authentifizierungs-Agents verwenden, halten Sie auch folgende Ports offen: 5671, 8080, 9090, 9091, 9350, 9352 und 10100-10120.

Können die Passthrough-Authentifizierungs-Agents über einen ausgehenden Web-Proxyserver kommunizieren?

Ja. Wenn in Ihrer lokalen Umgebung WPAD (Web Proxy Auto-Discovery) aktiviert ist, versuchen die Authentifizierungs-Agents automatisch, einen Webproxyserver im Netzwerk zu finden und zu verwenden. Weitere Informationen zum Verwenden des ausgehenden Proxyservers finden Sie unter Verwenden von vorhandenen lokalen Proxyservern.

Wenn in Ihrer Umgebung kein WPAD verwendet wird, können Sie Proxy-Informationen (wie unten gezeigt) hinzufügen, um einem Passthrough-Authentifizierungs-Agent die Kommunikation mit Microsoft Entra ID zu ermöglichen:

  • Konfigurieren Sie Proxy-Informationen im Internet Explorer, bevor Sie den Passthrough-Authentifizierungs-Agent auf dem Server installieren. Dadurch können Sie die Installation des Authentifizierungs-Agents abschließen. Er wird im Verwaltungsportal jedoch nach wie vor mit dem Status Inaktiv angezeigt.
  • Wechseln Sie auf dem Server zu „C:\Programme\Microsoft Azure AD Connect Authentication Agent“.
  • Bearbeiten Sie die Konfigurationsdatei „AzureADConnectAuthenticationAgentService“ und fügen Sie die folgenden Zeilen hinzu (ersetzen Sie „http://contosoproxy.com:8080" durch Ihre tatsächliche Proxyadresse):
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Kann ich zwei oder mehr Passthrough-Authentifizierungs-Agents auf dem gleichen Server installieren?

Nein, Sie können nur einen Passthrough-Authentifizierungs-Agent auf einem einzelnen Server installieren. Wenn Sie die Passthrough-Authentifizierung für hohe Verfügbarkeit konfigurieren möchten, folgen Sie den hier aufgeführten Anweisungen.

Muss ich Zertifikate, die von Passthrough-Authentifizierungs-Agents verwendet werden, manuell verlängern?

Die Kommunikation zwischen den einzelnen Passthrough-Authentifizierungs-Agents und Microsoft Entra ID wird per zertifikatbasierter Authentifizierung geschützt. Diese Zertifikate werden alle paar Monate automatisch von Microsoft Entra ID verlängert. Sie müssen diese Zertifikate nicht manuell verlängern. Abgelaufene Zertifikate können Sie bei Bedarf entfernen.

Gewusst wie: Entfernen eines Passthrough-Authentifizierungs-Agents

Solange ein Passthrough-Authentifizierungs-Agent ausgeführt wird, bleibt er aktiv und verarbeitet fortlaufend Anmeldeanforderungen von Benutzern. Wenn Sie einen Authentifizierungs-Agent deinstallieren möchten, wechseln Sie zu Systemsteuerung -> Programme -> Programme und Funktionen und deinstallieren Sie die beiden Programme Microsoft Entra Connect-Authentifizierungs-Agent und Microsoft Entra Connect Agent Updater.

Wenn Sie das Blatt „Passthrough-Authentifizierung“ im Microsoft Entra Admin Center mindestens als Hybrididentitätsadministrator aktivieren. Der Authentifizierungs-Agent sollte als inaktiv angezeigt werden. Dies entspricht dem erwarteten Verhalten. Der Authentifizierungs-Agent wird nach 10 Tagen automatisch aus der Liste entfernt.

Ich verwende bereits AD FS für die Anmeldung bei Microsoft Entra ID. Wie kann ich zur Passthrough-Authentifizierung wechseln?

Wenn Sie von AD FS (oder andere Verbundtechnologien) zur Passthrough-Authentifizierung migrieren, wird dringend empfohlen, unsere Schnellstartanleitung zu befolgen.

Kann ich die Passthrough-Authentifizierung in einer Active Directory-Umgebung mit mehreren Gesamtstrukturen verwenden?

Ja. Umgebungen mit mehreren Gesamtstrukturen (bidirektional) werden unterstützt, wenn Gesamtstruktur-Vertrauensstellungen zwischen Ihren Active Directory-Gesamtstrukturen bestehen und das Namensuffix-Routing ordnungsgemäß konfiguriert ist.

Bietet die Passthrough-Authentifizierung einen Lastenausgleich zwischen mehreren Authentifizierungs-Agents?

Nein, die Installation von mehreren Passthrough-Authentifizierungs-Agents garantiert nur hohe Verfügbarkeit. Dadurch wird kein deterministischer Lastenausgleich zwischen den Authentifizierungs-Agents bereitgestellt. Jeder Authentifizierungs-Agent kann eine bestimmte Benutzeranmeldungsanforderung verarbeiten.

Wie viele Passthrough-Authentifizierungs-Agents muss ich installieren?

Mit der Installation von mehreren Passthrough-Authentifizierungs-Agents wird für hohe Verfügbarkeit gesorgt. Dadurch wird jedoch kein deterministischer Lastenausgleich zwischen den Authentifizierungs-Agents bereitgestellt.

Berücksichtigen Sie die Spitzenlast und durchschnittliche Last in Bezug auf die Anmeldeanforderungen, die Sie für Ihren Mandanten erwarten. Als Richtwert gilt, dass ein einzelner Authentifizierungs-Agent auf einem Standardserver mit einer CPU mit vier Kernen und 16 GB RAM pro Sekunde 300 bis 400 Authentifizierungen verarbeiten kann.

Um den Netzwerkverkehr abzuschätzen, verwenden Sie die folgende Anleitung zur Skalierung:

  • Jede Anforderung hat eine Nutzlastgröße von (500 + 1.000 · num_of_agents) Bytes, d. h. Daten von Microsoft Entra ID zum Authentifizierungs-Agent. Hier gibt „anz_agents“ die Anzahl der für Ihren Mandanten registrierten Authentifizierungs-Agenten an.
  • Jede Antwort hat eine Nutzlastgröße von 1.000 Bytes, d. h. Daten vom Authentifizierungs-Agent zu Microsoft Entra ID.

Für die meisten Kunden reichen zwei oder drei Authentifizierungs-Agents insgesamt aus, um hohe Verfügbarkeit und genügend Kapazität zu erreichen. Für Produktionsumgebungen wird jedoch empfohlen, dass Sie mindestens drei Authentifizierungs-Agents auf Ihrem Mandanten ausführen. Es wird empfohlen, die Authentifizierungs-Agenten in der Nähe Ihres Domänen-Controllers zu installieren, um die Anmeldungslatenz zu verbessern.

Hinweis

In einem System können maximal 40 Authentifizierungs-Agents pro Mandant installiert werden.

Welche Rolle muss ich die Passthrough-Authentifizierung aktivieren?

Es wird empfohlen, die Passthrough-Authentifizierung mit einem Hybrididentität-Administratorkonto zu aktivieren oder zu deaktivieren. Auf diese Weise wird sichergestellt, dass Sie sich nicht aus Ihrem Mandanten aussperren. ]

Wie kann ich die Passthrough-Authentifizierung deaktivieren?

Führen Sie den Microsoft Entra Connect-Assistenten erneut aus und ändern Sie die Anmeldemethode für Benutzer*innen von der Passthrough-Authentifizierung in eine andere Methode. Diese Änderung deaktiviert die Passthrough-Authentifizierung für den Mandanten und deinstalliert den Authentifizierungs-Agent vom Server. Auf anderen Servern müssen Sie die Authentifizierungs-Agents manuell deinstallieren.

Was geschieht, wenn ich einen Passthrough-Authentifizierungs-Agent deinstalliere?

Wenn Sie einen Passthrough-Authentifizierungs-Agents auf einem Server deinstallieren, werden vom Server keine Anmeldeanforderungen mehr angenommen. Um eine Unterbrechung der Anmeldefunktion für Benutzer zu vermeiden, stellen Sie sicher, dass ein anderer Authentifizierungs-Agent ausgeführt wird, bevor Sie einen Passthrough-Authentifizierungs-Agent deinstallieren.

Ich habe einen älteren Mandanten, der ursprünglich mit AD FS eingerichtet wurde. Wir haben kürzlich auf PTA umgestellt, doch anscheinend werden unsere UPN-Änderungen nicht mit Microsoft Entra ID synchronisiert. Warum werden unsere UPN-Änderungen nicht synchronisiert?

Unter den folgenden Umständen können lokale UPN-Änderungen nicht synchronisiert werden:

  • Ihr Microsoft Entra-Mandant wurde vor dem 15. Juni 2015 erstellt.
  • Sie wurden ursprünglich mit Ihrem Microsoft Entra-Mandanten und mit AD FS zur Authentifizierung in den Verbund aufgenommen.
  • Sie haben eine Umstellung vorgenommen, sodass verwaltete Benutzer PTA als Authentifizierung verwenden.

Das liegt daran, dass Mandanten, die vor dem 15. Juni 2015 erstellt wurden, UPN-Änderungen standardmäßig blockiert haben. Wenn Sie UPN-Änderungen freigeben müssen, führen Sie das folgende PowerShell-Cmdlet aus. Rufen Sie die ID mithilfe des Cmdlets Get-MgDirectoryOnPremiseSynchronization ab.

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

Bei Mandanten, die nach dem 15. Juni 2015 erstellt wurden, werden UPN-Änderungen standardmäßig synchronisiert.

Wie erfasse ich die PTA-Agent-ID aus den Microsoft Entra-Anmeldeprotokollen und dem PTA-Server, um zu überprüfen, welcher PTA-Server für ein Anmeldeereignis verwendet wurde?

So überprüfen Sie, welcher lokale Server oder Authentifizierungs-Agent für ein bestimmtes Anmeldeereignis verwendet wurde:

  1. Wechseln Sie im Microsoft Entra Admin Center zum Anmeldeereignis.

  2. Wählen Sie Authentifizierungsdetails aus. In der Spalte Details zur Authentifizierungsmethode werden Details zur Agent-ID im Format „Passthrough-Authentifizierung; PTA AgentId: 00001111-aaaa-2222-bbbb-3333cccc4444" angezeigt.

  3. Melden Sie sich beim lokalen Server an und führen Sie das folgende Cmdlet aus, um Details zur Agent-ID für den Agent abzurufen, der auf dem lokalen Server installiert ist:

    Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

    Der zurückgegebene GUID-Wert ist die Agent-ID des Authentifizierungs-Agents, der auf diesem speziellen Server installiert ist. Wenn Sie in Ihrer Umgebung über mehrere Agents verfügen, können Sie dieses Cmdlet auf jedem Agent-Server ausführen und die Details der Agent-ID erfassen.

  4. Korrelieren Sie die Agent-ID, die Sie vom lokalen Server und den Microsoft Entra-Anmeldeprotokollen erhalten, um zu überprüfen, welcher Agent oder Server die Anmeldeanforderung bestätigt hat.

Nächste Schritte

  • Aktuelle Einschränkungen: Informieren Sie sich über die unterstützten Szenarien.
  • Schnellstart: Aktivieren und Ausführen der Passthrough-Authentifizierung von Microsoft Entra.
  • Migrieren Ihrer Apps zur Microsoft Entra ID: Ressourcen, mit deren Hilfe Sie den Anwendungszugriff und die Anwendungsauthentifizierung zu Microsoft Entra ID migrieren können.
  • Smart Lockout: Erfahren Sie, wie Sie die Smart Lockout-Funktion für Ihren Mandanten zum Schutz von Benutzerkonten konfigurieren.
  • Technische Einzelheiten: Hier finden Sie Informationen zur Funktionsweise der Passthrough-Authentifizierung.
  • Problembehandlung: Hier finden Sie Informationen zum Beheben von allgemeinen Problemen, die bei der Passthrough-Authentifizierung auftreten können.
  • Ausführliche Informationen zur Sicherheit: Hier erhalten Sie ausführliche technische Informationen zur Pass-Through-Authentifizierung.
  • Hybride Einbindung in Microsoft Entra: Konfigurieren Sie die Funktion des hybriden Einbindens in Microsoft Entra auf Ihrem Mandanten, um das einmalige Anmelden bei Ihren sämtlichen cloudbasierten und lokalen Ressourcen nutzen zu können.
  • Nahtloses SSO mit Microsoft Entra: Hier finden Sie Informationen zu diesem ergänzenden Feature.
  • UserVoice: Verwenden Sie das Microsoft Entra-Forum, um neue Features anzufordern.