Azure Active Directory-Passthrough-Authentifizierung: Häufig gestellte Fragen

In diesem Artikel werden häufig gestellte Fragen zur Passthrough-Authentifizierung von Azure Active Directory (Azure AD) behandelt. Der Inhalt wird bei Bedarf aktualisiert.

Welche der Methoden für die Anmeldung bei Azure AD (Passthrough-Authentifizierung, Kennworthashsynchronisierung oder Active Directory-Verbunddienste (AD FS)) soll ich auswählen?

Einen Vergleich der verschiedenen Azure AD-Anmeldemethoden und Informationen, wie Sie die richtige Anmeldemethode für Ihre Organisation wählen, finden Sie in diesem Leitfaden.

Ist die Passthrough-Authentifizierung ein kostenloses Feature?

Die Passthrough-Authentifizierung ist ein kostenloses Feature. Sie benötigen für die Verwendung keine kostenpflichtigen Editionen von Azure AD.

Funktioniert der bedingte Zugriff mit der Passthrough-Authentifizierung?

Ja. Für alle Funktionen mit bedingtem Zugriff, z. B. Azure AD Multi-Factor Authentication, kann die Passthrough-Authentifizierung genutzt werden.

Unterstützt die Passthrough-Authentifizierung eine alternative Anmelde-ID (Alternate ID) anstelle von „UserPrincipalName“ als Benutzernamen?

Ja. Die Anmeldung mit einem UPN-fremden Wert (etwa mit einer alternativen E-Mail-Adresse) wird sowohl für die Passthrough-Authentifizierung (PTA) als auch für die Kennworthashsynchronisierung (Password Hash Sync, PHS) unterstützt. Weitere Informationen zur alternativen Anmelde-ID finden Sie hier.

Kann die Kennworthashsynchronisierung als Fallback für die Passthrough-Authentifizierung verwendet werden?

Nein. Bei der Passthrough-Authentifizierung wird kein automatisches Failover auf die Kennworthashsynchronisierung ausgeführt. Um Benutzeranmeldefehler zu vermeiden, sollten Sie die Passthrough-Authentifizierung für Hochverfügbarkeit konfigurieren.

Was geschieht, wenn ich von der Kennworthashsynchronisierung auf die Passthrough-Authentifizierung umstelle?

Wenn Sie Azure AD Connect verwenden, um die Anmeldemethode von Kennworthashsynchronisierung in Passthrough-Authentifizierung zu ändern, wird die Passthrough-Authentifizierung die primäre Anmeldemethode für Ihre Benutzer in verwalteten Domänen. Beachten Sie, dass die Kennworthashes aller Benutzer, die zuvor per Kennworthashsynchronisierung synchronisiert wurden, in Azure AD gespeichert bleiben.

Kann ich einen Azure AD-Anwendungsproxy-Connector und einen Passthrough-Authentifizierungs-Agent auf demselben Server installieren?

Ja. Die umbenannten Versionen des Passthrough-Authentifizierungs-Agents (Versionen 1.5.193.0 oder höher) unterstützen diese Konfiguration.

Welche Versionen von Azure AD Connect und dem Passthrough-Authentifizierungs-Agent werden benötigt?

Damit dieses Feature funktioniert, benötigen Sie Version 1.1.750.0 oder höher für Azure AD Connect und Version 1.5.193.0 oder höher für den Passthrough-Authentifizierungs-Agent. Installieren Sie die gesamte Software auf Servern mit Windows Server 2012 R2 oder höher.

Warum verwendet mein Connector noch eine ältere Version und wird nicht automatisch auf die neueste Version aktualisiert?

Dies kann darauf zurückzuführen sein, dass der Updatedienst nicht ordnungsgemäß funktioniert oder keine neuen Updates verfügbar sind, die der Dienst installieren kann. Der Updatedienst funktioniert fehlerfrei, wenn er ausgeführt wird, und im Ereignisprotokoll werden keine Fehler aufgezeichnet (Anwendungs- und Dienstprotokolle > Microsoft > AzureADConnect-Agent > Updater > Admin).

Nur Hauptversionen werden für das automatische Upgrade veröffentlicht. Es wird empfohlen, Ihren Agent nur dann manuell zu aktualisieren, wenn dies unbedingt erforderlich ist. Beispielsweise können Sie nicht auf ein großes Release warten, da Sie ein bekanntes Problem beheben müssen oder ein neues Feature verwenden möchten. Weitere Informationen zu neuen Releases, den Releasetyp (Download, automatisches Upgrade), Fehlerbehebungen und neue Features finden Sie unter Agent für die Azure AD-Passthrough-Authentifizierung: Verlauf der Versionsveröffentlichungen.

So aktualisieren Sie einen Connector manuell

  • Laden Sie die neueste Version des Agents herunter. (Sie finden sie unter „Azure AD Connect-Passthrough-Authentifizierung“ im Azure-Portal. Sie finden den Link auch unter „Azure AD-Passthrough-Authentifizierung: Verlauf der Versionsveröffentlichungen | Microsoft-Dokumentation“).
  • Das Installationsprogramm startet die Dienste des Authentifizierungs-Agents von Microsoft Azure AD Connect neu. In einigen Fällen ist möglicherweise ein Neustart des Servers erforderlich, wenn das Installationsprogramm nicht alle Dateien ersetzen kann. Daher empfiehlt es sich, alle Anwendungen (d. h. Ereignisanzeige) zu schließen, bevor Sie das Upgrade starten.
  • Führen Sie das Installationsprogramm aus. Der Upgradevorgang ist schnell und erfordert keine Angabe von Anmeldeinformationen. Der Agent wird nicht erneut registriert.

Was geschieht, wenn das Kennwort des Benutzers abgelaufen ist und er versucht, sich mit der Passthrough-Authentifizierung anzumelden?

Wenn Sie das Kennwortrückschreiben für einen bestimmten Benutzer konfiguriert haben und der Benutzer sich mit der Passthrough-Authentifizierung anmeldet, kann er sein Kennwort ändern oder zurücksetzen. Die Kennwörter werden erwartungsgemäß in das lokale Active Directory zurückgeschrieben.

Wenn Sie das Kennwortrückschreiben für einen bestimmten Benutzer nicht konfiguriert haben oder der Benutzer keine gültige Azure AD hat, kann der Benutzer sein Kennwort in der Cloud nicht aktualisieren. Das Kennwort lässt sich nicht aktualisieren, auch wenn es bereits abgelaufen ist. Dem Benutzer wird stattdessen diese Meldung angezeigt: „Eine Kennwortänderung auf dieser Website wird von Ihrer Organisation nicht gestattet. Ändern Sie Ihr Kennwort anhand der von Ihrer Organisation empfohlenen Methode, oder bitten Sie Ihren Administrator um Hilfe.“ Der Benutzer oder der Administrator muss das Kennwort im lokalen Active Directory zurücksetzen.

Der Benutzer meldet sich mit seinen Anmeldeinformationen (Benutzername, Kennwort) bei Azure AD an. In der Zwischenzeit läuft das Kennwort des Benutzers ab, aber der Benutzer kann weiterhin auf Azure AD-Ressourcen zugreifen. Was ist dafür die Ursache?

Der Ablauf des Kennworts löst nicht die Sperrung von Authentifizierungstoken oder Cookies aus. Solange die Token oder Cookies gültig sind, kann der Benutzer sie verwenden. Dies gilt unabhängig von der Art der Authentifizierung (PTA, PHS und Verbundszenarien).

Weitere Informationen finden Sie in der folgenden Dokumentation: Microsoft Identity Platform-Zugriffstoken – Microsoft Identity Platform | Microsoft-Dokumentation.

Wie schützt die Passthrough-Authentifizierung vor Brute-Force-Kennwortangriffen?

Was kommunizieren Passthrough-Authentifizierungs-Agents über die Ports 80 und 443?

  • Die Authentifizierungs-Agents stellen HTTPS-Anforderungen für alle Funktionsvorgänge über Port 443 aus.

  • Die Authentifizierungs-Agents stellen HTTP-Anforderungen über Port 80, um die TLS/SSL-Zertifikatsperrlisten (CRLs) herunterzuladen.

    Hinweis

    In kürzlich veröffentlichten Updates wurde die Zahl der Ports, die für diese Funktion erforderlich sind, gesenkt. Wenn Sie eine ältere Version von Azure AD Connect oder des Authentifizierungs-Agents verwenden, halten Sie auch folgende Ports offen: 5671, 8080, 9090, 9091, 9350, 9352 und 10100–10120.

Können die Passthrough-Authentifizierungs-Agents über einen ausgehenden Webproxyserver kommunizieren?

Ja. Wenn in Ihrer lokalen Umgebung WPAD (Web Proxy Auto-Discovery) aktiviert ist, versuchen die Authentifizierungs-Agents automatisch, einen Webproxyserver im Netzwerk zu finden und zu verwenden.

Wenn in Ihrer Umgebung kein WPAD verwendet wird, können Sie Proxyinformationen (wie unten gezeigt) hinzufügen, um einem Passthrough-Authentifizierungs-Agent die Kommunikation mit Azure AD zu ermöglichen:

  • Konfigurieren Sie Proxyinformationen im Internet Explorer, bevor Sie den Passthrough-Authentifizierungs-Agent auf dem Server installieren. Dadurch können Sie die Installation des Authentifizierungs-Agents abschließen. Er wird im Admin-Portal jedoch nach wie vor als Inaktiv angezeigt.
  • Wechseln Sie auf dem Server zu „C:\Programme\Microsoft Azure AD Connect Authentication Agent“.
  • Bearbeiten Sie die Konfigurationsdatei „AzureADConnectAuthenticationAgentService“, und fügen Sie die folgenden Zeilen hinzu (ersetzen Sie „http://contosoproxy.com:8080" durch Ihre tatsächliche Proxyadresse):
   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Kann ich zwei oder mehr Passthrough-Authentifizierungs-Agents auf dem gleichen Server installieren?

Nein, Sie können nur einen Passthrough-Authentifizierungs-Agent auf einem einzelnen Server installieren. Wenn Sie die Passthrough-Authentifizierung für Hochverfügbarkeit konfigurieren möchten, folgen Sie den hier aufgeführten Anweisungen.

Muss ich Zertifikate, die von Passthrough-Authentifizierungs-Agents verwendet werden, manuell verlängern?

Die Kommunikation zwischen den einzelnen Passthrough-Authentifizierungs-Agents und Azure AD wird per zertifikatbasierter Authentifizierung geschützt. Diese Zertifikate werden alle paar Monate automatisch von Azure AD verlängert. Sie müssen diese Zertifikate nicht manuell verlängern. Abgelaufene Zertifikate können Sie bei Bedarf entfernen.

Gewusst wie: Entfernen eines Passthrough-Authentifizierungs-Agents

Solange ein Passthrough-Authentifizierungs-Agent ausgeführt wird, bleibt er aktiv und verarbeitet fortlaufend Anmeldeanforderungen von Benutzern. Wenn Sie einen Authentifizierungs-Agent deinstallieren möchten, wechseln Sie zu Systemsteuerung > Programme > Programme und Funktionen, und deinstallieren Sie die beiden Programme Microsoft Azure AD Connect-Authentifizierungs-Agent und Microsoft Azure AD Connect Agent Updater.

Nach Abschluss des vorherigen Schritts sehen Sie auf dem Blatt „Passthrough-Authentifizierung“ im Azure Active Directory-Admin Center den Authentifizierungs-Agent als Inaktiv. Dies entspricht dem erwarteten Verhalten. Der Authentifizierungs-Agent wird nach 10 Tagen automatisch aus der Liste entfernt.

Ich verwende bereits AD FS für die Anmeldung bei Azure AD. Wie kann ich zur Passthrough-Authentifizierung wechseln?

Wenn Sie von AD FS (oder andere Verbundtechnologien nutzen) zur Passthrough-Authentifizierung migrieren, wird dringend empfohlen, dem ausführlichen Leitfaden zur Bereitstellung zu folgen.

Kann ich die Passthrough-Authentifizierung in einer Active Directory-Umgebung mit mehreren Gesamtstrukturen verwenden?

Ja. Umgebungen mit mehreren Gesamtstrukturen (bidirektional) werden unterstützt, wenn Gesamtstruktur-Vertrauensstellungen zwischen Ihren Active Directory-Gesamtstrukturen bestehen und das Namensuffixrouting ordnungsgemäß konfiguriert ist.

Bietet die Passthrough-Authentifizierung einen Lastenausgleich zwischen mehreren Authentifizierungs-Agents?

Nein, die Installation von mehreren Passthrough-Authentifizierungs-Agents garantiert nur Hochverfügbarkeit. Dadurch wird kein deterministischer Lastenausgleich zwischen den Authentifizierungs-Agents bereitgestellt. Jeder Authentifizierungs-Agent kann eine bestimmte Benutzeranmeldungsanforderung verarbeiten.

Wie viele Passthrough-Authentifizierungs-Agents muss ich installieren?

Mit der Installation von mehreren Passthrough-Authentifizierungs-Agents wird für Hochverfügbarkeit gesorgt. Es wird aber kein deterministischer Lastenausgleich zwischen den Authentifizierungs-Agents bereitgestellt.

Berücksichtigen Sie die Spitzenlast und durchschnittliche Last in Bezug auf die Anmeldeanforderungen, die Sie für Ihren Mandanten erwarten. Als Richtwert gilt, dass ein einzelner Authentifizierungs-Agent auf einem Standardserver mit einer CPU mit vier Kernen und 16 GB RAM pro Sekunde 300 bis 400 Authentifizierungen verarbeiten kann.

Um den Netzwerkverkehr abzuschätzen, verwenden Sie die folgende Anleitung zur Skalierung:

  • Jede Anforderung hat eine Nutzlastgröße von (0,5 K + 1 K * anz_agents) Bytes, d. h. Daten von Azure AD zum Authentifizierungs-Agent. Hier gibt „anz_agents“ die Anzahl der für Ihren Mandanten registrierten Authentifizierung-Agents an.
  • Jede Antwort hat eine Nutzlastgröße von 1 K Bytes, d. h. Daten vom Authentifizierungs-Agent zu Azure AD.

Für die meisten Kunden reichen zwei oder drei Authentifizierungs-Agents insgesamt aus, um Hochverfügbarkeit und genügend Kapazität zu erzielen. Es wird empfohlen, die Authentifizierungs-Agents in der Nähe Ihres Domänencontrollers zu installieren, um die Anmeldungslatenz zu verbessern.

Hinweis

In einem System können maximal 40 Authentifizierungs-Agents pro Mandant installiert werden.

Warum benötige ich ein rein cloudbasiertes globales Administratorkonto, um die Passthrough-Authentifizierung zu aktivieren?

Es wird empfohlen, die Passthrough-Authentifizierung mit einem rein cloudbasierten globalen Administratorkonto zu aktivieren oder zu deaktivieren. Erfahren Sie, wie Sie ein rein cloudbasiertes Konto für den globalen Administrator hinzufügen. Auf diese Weise wird sichergestellt, dass Sie sich nicht aus Ihrem Mandanten aussperren.

Wie kann ich die Passthrough-Authentifizierung deaktivieren?

Führen Sie den Azure AD Connect-Assistenten erneut aus, und ändern Sie die Anmeldemethode für Benutzer von der Passthrough-Authentifizierung in eine andere Methode. Diese Änderung deaktiviert die Passthrough-Authentifizierung für den Mandanten und deinstalliert den Authentifizierungs-Agent vom Server. Auf anderen Servern müssen Sie die Authentifizierungs-Agents manuell deinstallieren.

Was geschieht, wenn ich einen Passthrough-Authentifizierungs-Agent deinstalliere?

Wenn Sie einen Passthrough-Authentifizierungs-Agents auf einem Server deinstallieren, werden vom Server keine Anmeldeanforderungen mehr angenommen. Um eine Unterbrechung der Anmeldefunktion für Benutzer zu vermeiden, stellen Sie sicher, dass ein anderer Authentifizierungs-Agent ausgeführt wird, bevor Sie einen Passthrough-Authentifizierungs-Agent deinstallieren.

Ich habe einen älteren Mandanten, der ursprünglich mit AD FS eingerichtet wurde. Wir haben kürzlich auf PTA umgestellt, doch anscheinend werden unsere UPN-Änderungen nicht mit Azure AD synchronisiert. Warum werden unsere UPN-Änderungen nicht synchronisiert?

Unter den folgenden Umständen können lokale UPN-Änderungen nicht synchronisiert werden:

  • Ihr Azure AD-Mandant wurde vor dem 15. Juni 2015 erstellt.
  • Sie wurden ursprünglich mit Ihrem Azure AD-Mandanten und mit AD FS zur Authentifizierung in den Verbund aufgenommen.
  • Sie haben eine Umstellung vorgenommen, sodass verwaltete Benutzer PTA als Authentifizierung verwenden.

Das liegt daran, dass Mandanten, die vor dem 15. Juni 2015 erstellt wurden, UPN-Änderungen standardmäßig blockiert haben. Wenn Sie UPN-Änderungen freigeben müssen, führen Sie das folgende PowerShell-Cmdlet aus:

Set-MsolDirSyncFeature -Feature SynchronizeUpnForManagedUsers -Enable $True

Bei Mandanten, die nach dem 15. Juni 2015 erstellt wurden, werden UPN-Änderungen standardmäßig synchronisiert.

Wie erfasse ich die PTA-Agent-ID aus den Azure AD-Anmeldeprotokollen und dem PTA-Server, um zu überprüfen, welcher PTA-Server für ein Anmeldeereignis verwendet wurde?

So überprüfen Sie, welcher lokale Server oder Authentifizierungs-Agent für ein bestimmtes Anmeldeereignis verwendet wurde

  1. Wechseln Sie im Azure-Portal zum Anmeldeereignis.

  2. Wählen Sie Authentifizierungsdetails aus. In der Spalte Details zur Authentifizierungsmethode werden Details zur Agent-ID im Format „Passthrough-Authentifizierung; PTA AgentId: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX“ angezeigt.

  3. Melden Sie sich beim lokalen Server an, und führen Sie das folgende Cmdlet aus, um Details zur Agent-ID für den Agent abzurufen, der auf Dem lokalen Server installiert ist:

    Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

    Der zurückgegebene GUID-Wert ist die Agent-ID des Authentifizierungs-Agents, der auf diesem speziellen Server installiert ist. Wenn Sie in Ihrer Umgebung über mehrere Agents verfügen, können Sie dieses Cmdlet auf jedem Agent-Server ausführen und die Details der Agent-ID erfassen.

  4. Korrelieren Sie die Agent-ID, die Sie vom lokalen Server und den Azure AD-Anmeldeprotokollen erhalten, um zu überprüfen, welcher Agent oder Server die Anmeldeanforderung bestätigt hat.

Nächste Schritte