Benutzeranmeldung mit Microsoft Entra-Passthrough-Authentifizierung

Was ist die Microsoft Entra-Passthrough-Authentifizierung?

Mit der Microsoft Entra-Passthrough-Authentifizierung können sich Benutzer mit denselben Kennwörtern sowohl an lokalen als auch an cloudbasierten Anwendungen anmelden. Diese Funktion stellt eine benutzerfreundlichere Oberfläche für Ihre Benutzer bereit, weil ein Kennwort wegfällt, und reduziert die Kosten des IT-Helpdesks, da Benutzer seltener vergessen, wie sie sich anmelden. Wenn Benutzer sich mithilfe von Microsoft Entra ID anmelden, überprüft diese Funktion die Benutzerkennwörter direkt anhand Ihres lokalen Active Directory.

Diese Funktion ist eine Alternative zur Kennwort-Hashsynchronisierung von Microsoft Entra, die Organisationen den gleichen Nutzen der Cloudauthentifizierung bietet. Allerdings können bestimmte Organisationen, die ihre lokale Active Directory-Sicherheits- und -Kennwortrichtlinien erzwingen möchten, stattdessen die Passthrough-Authentifizierung verwenden. Einen Vergleich der verschiedenen Microsoft Entra-Anmeldemethoden und Informationen, wie Sie die richtige Anmeldemethode für Ihre Organisation auswählen, finden Sie in diesem Leitfaden.

Sie können die Passthrough-Authentifizierung mit dem Feature für nahtloses einmaliges Anmelden (Single Sign-On, SSO) kombinieren. Wenn Sie über Windows 10 oder höher verfügen, verwenden Sie Microsoft Entra Hybrid Join (AADJ). Auf diese Weise müssen Ihre Benutzer, wenn sie über ihren Unternehmenscomputer innerhalb des Unternehmensnetzwerks auf Anwendungen zugreifen, nicht einmal ihre Kennwörter eingeben.

Wichtige Vorteile der Microsoft Entra-Passthrough-Authentifizierung

• Große Benutzerfreundlichkeit
  • Benutzer verwenden für die Anmeldung bei lokalen und cloudbasierten Anwendungen das gleiche Kennwort.
  • Benutzer verbringen weniger Zeit mit dem gemeinsamen Lösen von Kennwortproblemen mit dem IT-Helpdesk
  • Benutzer können die Self-Service-Kennwortverwaltung selbst in der Cloud durchführen.
• Einfache Bereitstellung und Verwaltung
  • Bereitstellungen oder Netzwerkkonfigurationen müssen nicht mehr komplex und lokal sein.
  • Es muss nur ein einfacher Agent lokal installiert werden.
  • Es gibt keinen zusätzlichen Verwaltungsaufwand. Der Agent empfängt Verbesserungen und Fehlerbehebungen automatisch.
• Sicher
  • Lokale Kennwörter werden niemals in irgendeiner Form in der Cloud gespeichert.
  • Ihre Benutzerkonten werden durch die nahtlose Kompatibilität mit Microsoft Entra-Richtlinien für bedingten Zugriff, einschließlich der Multi-Faktor-Authentifizierung, durch das Blockieren der Legacyauthentifizierung und durch das Herausfiltern von Brute-Force-Kennwortangriffen geschützt.
  • Der Agent stellt innerhalb des Netzwerks nur ausgehende Verbindungen her. Daher muss der Agent nicht in einem Umkreisnetzwerk (auch als DMZ bezeichnet) installiert werden.
  • Die Kommunikation zwischen einem Agent und Microsoft Entra ID wird per zertifikatbasierter Authentifizierung geschützt. Diese Zertifikate werden alle paar Monate automatisch von Microsoft Entra ID verlängert.
• Hoch verfügbar
  • Zusätzliche Agents können auf mehrere lokalen Servern installiert werden, um Hochverfügbarkeit von Anmeldeanforderungen bereitzustellen.

Wichtige Features

• Benutzeranmeldungen in allen browserbasierten Webanwendungen und Microsoft Office-Clientanwendungen werden unterstützt, die die moderne Authentifizierung verwenden.
• Bei den Benutzernamen für die Anmeldung kann es sich entweder um den lokalen Standardbenutzernamen (userPrincipalName) oder um ein anderes (als Alternate ID bezeichnetes) Attribut handeln, das in Microsoft Entra Connect konfiguriert ist.
• Das Feature funktioniert nahtlos mit Features für den bedingten Zugriff wie die Multi-Factor Authentication (MFA), mit der Sie Ihre Benutzer schützen können.
• Es ist in eine cloudbasierte Self-Service-Kennwortverwaltung integriert, einschließlich Rückschreiben von Kennwörtern auf lokalem Active Directory und Kennwortschutz, indem häufig verwendete Kennwörter gesperrt werden.
• Umgebungen mit mehreren Gesamtstrukturen werden unterstützt, wenn Gesamtstruktur-Vertrauensstellungen zwischen Ihren AD-Gesamtstrukturen bestehen und das Namensuffixrouting ordnungsgemäß konfiguriert ist.
• Das nahtlose einmalige Anmelden ist eine kostenlose Funktion, und Sie benötigen dafür keine kostenpflichtigen Versionen von Microsoft Entra ID.
• Sie kann über Microsoft Entra Connect aktiviert werden.
• Dazu wird ein einfacher lokaler Agent verwendet, der auf Kennwortüberprüfungsanforderungen lauscht und darauf reagiert.
• Die Installation von mehreren Agents stellt Hochverfügbarkeit von Anmeldeanforderungen bereit.
• So werden Ihre lokalen Konten gegen Brute-Force-Kennwortangriffe in der Cloud geschützt.

Nächste Schritte

• Schnellstart: Aktivieren und Ausführen der Microsoft Entra-Passthrough-Authentifizierung.
• Migrieren Ihrer Apps zur Microsoft Entra ID: Ressourcen, mit deren Hilfe Sie den Anwendungszugriff und die Anwendungsauthentifizierung zu Microsoft Entra ID migrieren können.
• Smart Lockout: Konfigurieren der Smart Lockout-Funktion für Ihren Mandanten zum Schutz der Benutzerkonten.
• Hybride Einbindung in Microsoft Entra: Konfigurieren Sie die Funktion des hybriden Einbindens in Microsoft Entra auf Ihrem Mandanten, um das einmalige Anmelden bei Ihren sämtlichen cloudbasierten und lokalen Ressourcen nutzen zu können.
• Aktuelle Einschränkungen: Informationen zu den unterstützten und nicht unterstützten Szenarien
• Technische Einzelheiten – Funktionsweise dieses Features verstehen
• Häufig gestellte Fragen: Antworten auf häufig gestellte Fragen
• Problembehandlung – Beheben von häufig auftretenden Problemen mit diesem Feature
• Ausführliche Informationen zur Sicherheit: zusätzliche ausführliche technische Informationen zum Feature.
• Nahtloses SSO mit Microsoft Entra: Hier finden Sie Informationen zu dieser Ergänzungsfunktion.
• UserVoice: Verfassen neuer Feature-Anforderungen