Hybrididentität mit Microsoft Entra ID

Abgeschlossen

Organisationen sind eine Mischung aus lokalen Anwendungen und Cloudanwendungen. Benutzer benötigen lokal und in der Cloud Zugriff auf diese Anwendungen.

Die Microsoft-Identität umfasst lokale und cloudbasierte Funktionen. Diese Lösungen schaffen eine gemeinsame Benutzeridentität für die Authentifizierung und Autorisierung bei allen Ressourcen, unabhängig vom Standort.

Um Hybrididentität in Microsoft Entra ID zu erreichen, kann je nach Szenario eine von drei Authentifizierungsmethoden verwendet werden. Die drei Methoden sind:

• Kennworthashsynchronisierung (Password hash synchronization, PHS)
• Passthrough-Authentifizierung (PTA)
• Verbund (AD FS)

Diese Authentifizierungsmethoden bieten auch SSO-Funktionen. Einmaliges Anmelden meldet Benutzer automatisch bei ihren Unternehmensgeräten an, die mit dem Unternehmensnetzwerk verbunden sind.

Gängige Szenarien und Empfehlungen

Im Folgenden finden Sie allgemeine Hybrididentitäts- und Zugriffsverwaltungsszenarios mit Empfehlungen dazu, welche Hybrididentitätsoptionen jeweils geeignet sein könnte.

Ziel

PHS und SSO1¹

PTA und SSO2²

AD FS3³

Automatisches Synchronisieren neuer Benutzer-, Kontakt- und Gruppenkonten, die in meiner lokalen Active Directory-Instanz erstellt werden, mit der Cloud

Ja

Ja

Ja

Einrichten meines Mandanten für Office 365-Hybridszenarios

Ja

Ja

Ja

Ermöglichen der Anmeldung und des Zugriffs auf Clouddienste für meine Benutzer mit ihrem lokalen Kennwort

Ja

Ja

Ja

Implementieren des einmaligen Anmeldens mit Anmeldeinformationen des Unternehmens

Ja

Ja

Ja

Sicherstellen, dass keine Kennworthashes in der Cloud gespeichert werden

Ja

Ja

Aktivieren cloudbasierter Lösungen für die Multi-Faktor-Authentifizierung

Ja

Ja

Ja

Aktivieren lokaler Lösungen für die Multi-Faktor-Authentifizierung

Ja

Unterstützen der Smartcard-Authentifizierung für meine Benutzer⁴

Ja

Anzeigen von Benachrichtigungen zum Kennwortablauf im Office-Portal und auf dem Windows 10-Desktop

Ja

¹ Kennworthashsynchronisierung mit einmaligem Anmelden

² Pass-Through-Authentifizierung und einmaliges Anmelden

³ Einmalige Verbundanmeldung mit AD FS

⁴ AD FS kann in Ihre Unternehmens-PKI integriert werden, damit die Anmeldung mithilfe von Zertifikaten möglich ist. Bei diesen Zertifikaten kann es sich um Softzertifikate handeln, die über vertrauenswürdige Bereitstellungskanäle wie MDM und GPO, Smartcardzertifikate (einschließlich PIV/CAC-Karten) oder Hello for Business bereitgestellt werden.