Azure Active Directory-Passthrough-Authentifizierung: Schnellstart

Bereitstellen der Azure AD-Passthrough-Authentifizierung

Mit der Azure Active Directory-Passthrough-Authentifizierung (Azure AD) können sich Benutzer mit denselben Kennwörtern sowohl bei lokalen als auch bei cloudbasierten Anwendungen anmelden. Benutzer werden bei der Passthrough-Authentifizierung angemeldet, indem sie ihre Kennwörter direkt für Ihre lokale Active Directory-Instanz angeben.

Wichtig

Wenn Sie von AD FS (oder andere Verbundtechnologien nutzen) zur Passthrough-Authentifizierung migrieren, wird dringend empfohlen, dem ausführlichen Leitfaden zur Bereitstellung zu folgen.

Hinweis

Wenn Sie die Pass-Through-Authentifizierung in der Azure Government-Cloud bereitstellen, lesen Sie die Überlegungen zur Hybrididentität für Azure Government.

Befolgen Sie diese Anweisungen, um die Passthrough-Authentifizierung bereitzustellen:

Schritt 1: Überprüfen der Voraussetzungen

Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt werden:

Wichtig

Vom Sicherheitsstandpunkt aus sollten Administratoren den Server, auf dem der PTA-Agent ausgeführt wird, so behandeln, als sei er ein Domänencontroller. Die PTA-Agent-Server sollten wie in Sichern von Domänencontrollern gegen Angriffe beschrieben geschützt werden.

Im Azure Active Directory Admin Center

  1. Erstellen Sie ein rein cloudbasiertes Hybrididentitätsadministratorkonto oder ein globales Administratorkonto für Ihren Azure AD-Mandanten. Auf diese Weise können Sie die Konfiguration Ihres Mandanten verwalten, falls Ihre lokalen Dienste ausfallen oder nicht verfügbar sind. Erfahren Sie, wie Sie ein rein cloudbasiertes Hybrididentitätsadministratorkonto hinzufügen. Die Ausführung dieses Schritts ist sehr wichtig, damit sichergestellt ist, dass Sie für Ihren Mandanten nicht gesperrt werden.
  2. Fügen Sie Ihrem Azure AD-Mandanten mindestens einen benutzerdefinierten Domänennamen hinzu. Ihre Benutzer können sich mit einem dieser Domänennamen anmelden.

In Ihrer lokalen Umgebung

  1. Bestimmen Sie einen Server mit Windows Server 2016 oder höher, auf dem Azure AD Connect ausgeführt werden soll. Wenn nicht bereits aktiviert, aktivieren Sie TLS 1.2 auf dem Server. Fügen Sie den Server derselben Active Directory-Gesamtstruktur wie die Benutzer hinzu, deren Kennwörter überprüft werden müssen. Beachten Sie, dass die Installation des Passthroughauthentifizierungs-Agents unter Windows Server Core-Versionen nicht unterstützt wird.

  2. Installieren Sie die aktuelle Version von Azure AD Connect auf dem Server, den Sie im vorherigen Schritt ausgewählt haben. Wenn Azure AD Connect bereits ausgeführt wird, vergewissern Sie sich, dass die Version 1.1.750.0 oder höher lautet.

    Hinweis

    Die Azure AD Connect-Versionen 1.1.557.0, 1.1.558.0, 1.1.561.0 und 1.1.614.0 weisen ein Problem in Bezug auf die Kennworthashsynchronisierung auf. Wenn Sie die Kennworthashsynchronisierung nicht zusammen mit der Passthrough-Authentifizierung verwenden möchten, finden Sie Informationen dazu in den Versionshinweisen zu Azure AD Connect.

  3. Bestimmen Sie mindestens einen weiteren Server (mit Windows Server 2016 oder höher, mit aktivierter TLS 1.2), auf dem eigenständige Authentifizierungs-Agents ausgeführt werden können. Diese zusätzlichen Server werden benötigt, um die Hochverfügbarkeit von Anmeldeanforderungen sicherzustellen. Fügen Sie die Server derselben Active Directory-Gesamtstruktur wie die Benutzer hinzu, deren Kennwörter überprüft werden müssen.

    Wichtig

    Für Produktionsumgebungen wird empfohlen, dass Sie mindestens drei Authentifizierungs-Agents auf Ihrem Mandanten ausführen. In einem System können maximal 40 Authentifizierungs-Agents pro Mandant installiert werden. Eine bewährte Methode ist die Behandlung aller Server, auf denen Authentifizierungs-Agents ausgeführt werden, als Ebene-0-Systeme (siehe Referenz).

  4. Wenn zwischen Ihren Servern und Azure AD eine Firewall eingerichtet wurde, konfigurieren Sie die folgenden Elemente:

    • Stellen Sie sicher, dass Authentifizierung-Agents ausgehende Anforderungen an Azure AD über die folgenden Ports senden können:

      Portnummer Wie diese verwendet wird
      80 Herunterladen der Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) bei der Überprüfung des TLS/SSL-Zertifikats
      443 Verarbeitung der gesamten ausgehende Kommunikation mit dem Dienst
      8080 (optional) Authentifizierungs-Agents melden ihren Status alle zehn Minuten über Port 8080, wenn Port 443 verfügbar ist. Dieser Status wird im Azure AD-Portal angezeigt. Port 8080 wird nicht für Benutzeranmeldungen verwendet.

      Wenn Ihre Firewall Regeln gemäß Ursprungsbenutzern erzwingt, öffnen Sie diese Ports für den Datenverkehr aus Windows-Diensten, die als Netzwerkdienst ausgeführt werden.

    • Wenn Ihre Firewall oder Ihr Proxy das Hinzufügen von DNS-Einträgen zu einer Positivliste zulässt, fügen Sie Verbindungen mit *.msappproxy.net und *.servicebus.windows.net hinzu. Aktivieren Sie andernfalls den Zugriff auf die IP-Adressbereiche für das Azure-Rechenzentrum, die wöchentlich aktualisiert werden.

    • Vermeiden Sie alle Formen der Inline-Inspektion und Terminierung bei ausgehender TLS-Kommunikation zwischen Azure Passthrough Agent und Azure Endpoint.

    • Wenn Sie einen ausgehenden HTTP-Proxy verwenden, vergewissern Sie sich, dass diese URL (autologon.microsoftazuread-sso.com) in der Positivliste enthalten ist. Sie sollten diese URL explizit angeben, da der Platzhalter möglicherweise nicht akzeptiert wird.

    • Ihre Authentifizierungs-Agents benötigen für den anfänglichen Registrierungsprozess Zugriff auf login.windows.net und login.microsoftonline.com. Öffnen Sie Ihre Firewall auch für diese URLs.

    • Geben Sie zur Zertifikatüberprüfung die folgenden URLs frei: crl3.digicert.com:80, crl4.digicert.com:80, ocsp.digicert.com:80, www.d-trust.net:80, root-c3-ca2-2009.ocsp.d-trust.net:80, crl.microsoft.com:80, oneocsp.microsoft.com:80 und ocsp.msocsp.com:80. Da diese URLs für die Überprüfung des Zertifikats in Verbindung mit anderen Microsoft-Produkten verwendet werden, haben Sie diese möglicherweise bereits freigegeben.

Voraussetzungen für die Azure Government-Cloud

Laden Sie vor dem Aktivieren der Pass-Through-Authentifizierung über Azure AD Connect in Schritt 2 das neueste Release des PTA-Agents im Azure-Portal herunter. Sie müssen sicherstellen, dass die Agent-Version mindestens 1.5.1742.0 lautet. Informationen zum Überprüfen des Agents finden Sie unter Upgrade von Authentifizierungs-Agents.

Nachdem Sie das neueste Release des Agents heruntergeladen haben, fahren Sie anhand der folgenden Anweisungen fort, um die Pass-Through-Authentifizierung über Azure AD Connect zu konfigurieren.

Schritt 2: Aktivieren des Features

Aktivieren Sie die Passthrough-Authentifizierung über Azure AD Connect.

Wichtig

Sie können die Passthrough-Authentifizierung auf dem primären Server oder dem Stagingserver von Azure AD Connect aktivieren. Es wird dringend empfohlen, die Aktivierung über den primären Server durchzuführen. Wenn Sie in Zukunft einen Azure AD Connect-Stagingserver einrichten, müssen Sie weiterhin die Pass-Through-Authentifizierung als Anmeldeoption auswählen. Wenn Sie eine andere Option auswählen, wird die Pass-Through-Authentifizierung auf dem Mandanten deaktiviert und die Einstellung auf dem primären Server überschrieben.

Wählen Sie den benutzerdefinierten Installationspfad, wenn Sie Azure AD Connect zum ersten Mal installieren. Wählen Sie auf der Seite Benutzeranmeldung die Option Passthrough-Authentifizierung als Anmeldemethode aus. Nach erfolgreicher Durchführung wird auf demselben Server wie Azure AD Connect ein Passthrough-Authentifizierungs-Agent installiert. Darüber hinaus wird die Passthrough-Authentifizierungsfunktion auf Ihrem Mandanten aktiviert.

Azure AD Connect: Benutzeranmeldung

Wenn Sie Azure AD Connect bereits installiert haben (per Expressinstallation oder benutzerdefinierter Installation), wählen Sie in Azure AD Connect die Aufgabe Benutzeranmeldung ändern aus, und klicken Sie auf Weiter. Wählen Sie anschließend Passthrough-Authentifizierung als Anmeldemethode aus. Nach erfolgreicher Durchführung wird auf demselben Server wie Azure AD Connect ein Passthrough-Authentifizierungs-Agent installiert, und das Feature wird auf Ihrem Mandanten aktiviert.

Azure AD Connect: Benutzeranmeldung ändern

Wichtig

Die Passthrough-Authentifizierung ist ein Feature auf Mandantenebene. Wenn Sie es aktivieren, wirkt sich dies auf die Anmeldung der Benutzer in allen verwalteten Domänen Ihres Mandanten aus. Wenn Sie von Active Directory-Verbunddienste (AD FS) zur Passthrough-Authentifizierung wechseln, sollten Sie mindestens zwölf Stunden warten, bevor Sie Ihre AD FS-Infrastruktur herunterfahren. Diese Wartezeit soll sicherstellen, dass Benutzer sich während des Übergangs weiterhin bei Exchange ActiveSync anmelden können. Weitere Informationen zur Migration von AD FS zur Passthrough-Authentifizierung finden Sie hier im ausführlichen Bereitstellungsplan.

Schritt 3: Testen des Features

Befolgen Sie diese Anweisungen, um zu überprüfen, ob die Passthrough-Authentifizierung ordnungsgemäß aktiviert ist:

  1. Melden Sie sich mit den Anmeldeinformationen des Hybrididentitätsadministrators für Ihren Mandanten beim Azure Active Directory Admin Center an.
  2. Wählen Sie im linken Bereich die Option Azure Active Directory aus.
  3. Wählen Sie Azure AD Connect aus.
  4. Überprüfen Sie, ob das Feature Passthrough-Authentifizierung als aktiviert angezeigt wird.
  5. Wählen Sie Passthrough-Authentifizierung aus. Im Bereich Passthrough-Authentifizierung werden die Server aufgelistet, auf denen Ihre Authentifizierungs-Agents installiert sind.

Azure Active Directory Admin Center: Bereich „Azure AD Connect“

Azure Active Directory Admin Center: Bereich „Passthrough-Authentifizierung“

Jetzt können sich Benutzer aus allen verwalteten Domänen Ihres Mandanten mit der Passthrough-Authentifizierung anmelden. Benutzer von Verbunddomänen melden sich aber weiterhin mithilfe der AD FS oder einem anderen Verbundanbieter an, den Sie zuvor konfiguriert haben. Wenn Sie eine Verbunddomäne in eine verwaltete Domäne konvertieren, melden sich alle Benutzer dieser Domäne automatisch mit der Passthrough-Authentifizierung an. Benutzer, die auf die Cloud beschränkt sind, sind von der Passthrough-Authentifizierungsfunktion nicht betroffen.

Schritt 4: Sicherstellen der Hochverfügbarkeit

Wenn Sie die Bereitstellung der Passthrough-Authentifizierung in einer Produktionsumgebung planen, sollten Sie weitere eigenständige Authentifizierungs-Agents installieren. Installieren Sie Authentifizierungs-Agents auf anderen Servern als dem, auf dem Azure AD Connect ausgeführt wird. Mit dieser Einrichtung erzielen Sie Hochverfügbarkeit für Anforderungen zur Benutzeranmeldung.

Wichtig

Für Produktionsumgebungen wird empfohlen, dass Sie mindestens drei Authentifizierungs-Agents auf Ihrem Mandanten ausführen. In einem System können maximal 40 Authentifizierungs-Agents pro Mandant installiert werden. Eine bewährte Methode ist die Behandlung aller Server, auf denen Authentifizierungs-Agents ausgeführt werden, als Ebene-0-Systeme (siehe Referenz).

Durch die Installation von mehreren Passthrough-Authentifizierungs-Agents wird zwar Hochverfügbarkeit, jedoch kein deterministischer Lastenausgleich zwischen den Authentifizierungs-Agents sichergestellt. Berücksichtigen Sie beim Ermitteln der Anzahl der für Ihren Mandanten erforderlichen Authentifizierungs-Agents die Spitzenlast und die durchschnittliche Last in Bezug auf die Anmeldeanforderungen, die Sie für Ihren Mandanten erwarten. Als Richtwert gilt, dass ein einzelner Authentifizierungs-Agent auf einem Standardserver mit einer CPU mit vier Kernen und 16 GB RAM pro Sekunde 300 bis 400 Authentifizierungen verarbeiten kann.

Um den Netzwerkverkehr abzuschätzen, verwenden Sie die folgende Anleitung zur Skalierung:

  • Jede Anforderung hat eine Nutzlastgröße von (0,5 K + 1 K * Anz_Agents) Byte, d. h. Daten von Azure AD zum Authentifizierungs-Agent. Hier gibt „anz_agents“ die Anzahl der für Ihren Mandanten registrierten Authentifizierung-Agents an.
  • Jede Antwort hat eine Nutzlastgröße von 1 K Byte, d. h. Daten vom Authentifizierungs-Agent zu Azure AD.

Bei den meisten Kunden reichen insgesamt drei Authentifizierungs-Agents aus, um Hochverfügbarkeit und genügend Kapazität bereitzustellen. Es wird empfohlen, die Authentifizierungs-Agents in der Nähe Ihres Domänencontrollers zu installieren, um die Anmeldungslatenz zu verbessern.

Befolgen Sie zunächst die folgenden Anweisungen zum Herunterladen der Authentifizierungs-Agent-Software:

  1. Zum Herunterladen der neuesten Version des Authentifizierungs-Agents (Version 1.5.193.0 oder höher) melden Sie sich mit den Anmeldeinformationen des Hybrididentitätsadministrators für Ihren Mandanten beim Azure Active Directory Admin Center an.
  2. Wählen Sie im linken Bereich die Option Azure Active Directory aus.
  3. Klicken Sie auf Azure AD Connect, Passthrough-Authentifizierung und dann auf Agent herunterladen.
  4. Wählen Sie die Schaltfläche Bedingungen akzeptieren und herunterladen aus.

Azure Active Directory Admin Center: Schaltfläche „Authentifizierungs-Agent herunterladen“

Azure Active Directory Admin Center: Bereich für das Herunterladen des Agents

Hinweis

Sie können die Authentifizierungs-Agent-Software auch direkt herunterladen. Lesen und akzeptieren Sie die Nutzungsbedingungen für den Authentifizierungs-Agent, bevor Sie ihn installieren.

Es gibt zwei Methoden zum Bereitstellen eines eigenständigen Authentifizierungs-Agents:

Die erste Methode ist die interaktive Bereitstellung, indem einfach die heruntergeladene ausführbare Authentifizierungs-Agent-Datei ausgeführt wird, und Sie bei Aufforderung die Anmeldeinformationen des globalen Administrators Ihres Mandanten angeben.

Zweitens können Sie auch ein unbeaufsichtigtes Bereitstellungsskript erstellen und ausführen. Dies ist hilfreich, wenn Sie mehrere Authentifizierungs-Agents gleichzeitig bereitstellen oder Authentifizierungs-Agents auf Windows-Servern installieren möchten, auf denen keine Benutzeroberfläche aktiviert ist bzw. auf die Sie nicht mit Remotedesktop zugreifen können. Hier finden Sie die Anweisungen für diesen Ansatz:

  1. Führen Sie den folgenden Befehl aus, um einen Authentifizierungs-Agent zu installieren: AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q.
  2. Sie können den Authentifizierungs-Agent mithilfe von Windows PowerShell bei unserem Dienst registrieren. Erstellen Sie ein PowerShell-Anmeldeinformationsobjekt ($cred) mit einem globalen Administratorbenutzernamen und -kennwort für Ihren Mandanten. Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei username> und > durch die entsprechenden Werte:
$User = "<username>"
$PlainPassword = '<password>'
$SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
$cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User, $SecurePassword
  1. Wechseln Sie zu C:\Programme\Microsoft Azure AD Connect Authentication Agent, und führen Sie das folgende Skript unter Verwendung des zuvor erstellten Objekts aus:
RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -moduleName "PassthroughAuthPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature PassthroughAuthentication

Wichtig

Wenn ein Authentifizierungs-Agent auf einem virtuellen Computer installiert ist, können Sie den virtuellen Computer nicht klonen, um einen weiteren Authentifizierungs-Agent einzurichten. Diese Methode wird nicht unterstützt.

Schritt 5: Konfigurieren der Smart Lockout-Funktion

Smart Lockout unterstützt Sie beim Sperren von Angreifern, die versuchen, Benutzerkennwörter zu erraten oder mithilfe von Brute-Force-Methoden in Ihr System einzudringen. Durch Konfigurieren der Smart Lockout-Einstellungen in Azure AD und/oder entsprechender Sperrungseinstellungen in einer lokalen Active Directory-Instanz können Angriffe herausgefiltert werden, bevor sie Active Directory erreichen. Lesen Sie diesen Artikel, um mehr darüber zu erfahren, wie Sie die Smart Lockout-Einstellungen für Ihren Mandanten zum Schutz Ihrer Benutzerkonten konfigurieren können.

Nächste Schritte