Verwalten und Anpassen von AD FS mithilfe von Azure AD Connect

  • Artikel
  • 10 Minuten Lesedauer

In diesem Artikel wird beschrieben, wie Active Directory-Verbunddienste (AD FS) mit Azure Active Directory (Azure AD) Connect verwaltet und angepasst werden.

Außerdem erfahren Sie mehr über andere gängige AD FS-Aufgaben, die Sie möglicherweise ausführen müssen, um eine AD FS-Farm vollständig zu konfigurieren. Diese Aufgaben sind in der folgenden Tabelle aufgeführt.

Aufgabe BESCHREIBUNG
Verwalten von AD FS
Reparieren der Vertrauensstellung Beschreibung des Vorgangs zum Reparieren der Verbundvertrauensstellung mit Microsoft 365
Erstellen eines Verbunds mit Azure AD mithilfe einer alternativen Anmelde-ID Beschreibung des Vorgangs zum Konfigurieren eines Verbunds mithilfe einer alternativen Anmelde-ID
Hinzufügen eines AD FS-Servers Beschreibung des Vorgangs zum Erweitern einer AD FS-Farm mit einem zusätzlichen AD FS-Server
Hinzufügen eines AD FS-Webanwendungs-Proxyservers (WAP-Server). Beschreibung des Vorgangs zum Erweitern einer AD FS-Farm mit einem zusätzlichen WAP-Server
Hinzufügen einer Verbunddomäne Beschreibung des Vorgangs zum Hinzufügen einer Verbunddomäne
Aktualisieren des TLS-/SSL-Zertifikats Beschreibung des Vorgangs zum Aktualisieren des TLS-/SSL-Zertifikats für eine AD FS-Farm
Anpassen von AD FS
Hinzufügen eines benutzerdefinierten Firmenlogos oder einer Abbildung Beschreibung des Vorgangs zum Anpassen einer AD FS-Anmeldeseite mit einem Firmenlogo und einer Abbildung
Hinzufügen einer Anmeldebeschreibung Beschreibung des Vorgangs zum Hinzufügen einer Beschreibung für die Anmeldeseite
Ändern von AD FS-Anspruchsregeln Beschreibung des Vorgangs zum Ändern der AD FS-Ansprüche für verschiedene Verbundszenarien

Verwalten von AD FS

Sie können verschiedene AD FS-bezogene Aufgaben in Azure AD Connect durchführen, die mithilfe des Azure AD Connect-Assistenten mit minimalem Benutzereingriff ausgeführt werden können. Nachdem Sie die Installation von Azure AD Connect durch Ausführen des Assistenten abgeschlossen haben, können Sie den Assistenten erneut ausführen, um weitere Aufgaben durchzuführen.

Reparieren der Vertrauensstellung

Mithilfe von Azure AD Connect können Sie den aktuellen Status der AD FS- und Azure AD-Vertrauensstellung überprüfen und entsprechende Maßnahmen ergreifen, um die Vertrauensstellung zu reparieren. Gehen Sie wie folgt vor, um Ihre Azure AD- und AD FS-Vertrauensstellung zu reparieren:

  1. Wählen Sie in der Liste mit den Aufgaben die Option AAD- und ADFS-Vertrauensstellung reparieren aus.

    Screenshot: Seite „Weitere Aufgaben“ zum Reparieren der Azure AD- und AD FS-Vertrauensstellung

  2. Geben Sie auf der Seite Mit Azure AD verbinden die Anmeldeinformationen des Hybrididentitätsadministrators für Azure AD an, und wählen Sie Weiter aus.

    Screenshot: Zeigt die Seite

  3. Geben Sie auf der Seite Anmeldeinformationen für den Remotezugriff die Anmeldeinformationen für den Domänenadministrator ein.

    Screenshot: Seite „Anmeldeinformationen für den Remotezugriff“ mit eingegebenen Beispielanmeldeinformationen für den Domänenadministrator

  4. Wählen Sie Weiter aus.

    Azure AD Connect überprüft die Zertifikatsintegrität und zeigt etwaige Probleme an.

    Screenshot: Seite „Zertifikate“ mit dem Status der aktuellen Zertifikate

    Auf der Seite Bereit zur Konfiguration wird die Liste der Aktionen angezeigt, die ausgeführt werden, um die Vertrauensstellung zu reparieren.

    Screenshot der Seite „Bereit zur Konfiguration“ mit der Liste der Aktionen, die ausgeführt werden können

  5. Wählen Sie Installieren aus, um die Vertrauensstellung zu reparieren.

Hinweis

Azure AD Connect kann nur selbstsignierte Zertifikate reparieren bzw. Maßnahmen dafür ergreifen. Azure AD Connect kann nicht zum Reparieren von Drittanbieterzertifikaten verwendet werden.

Erstellen eines Verbunds mit Azure AD mithilfe von alternateID

Es wird empfohlen, lokal und in der Cloud identische Benutzerprinzipalnamen (User Principal Name, UPN) zu verwenden. Wenn der lokale UPN eine nicht routingfähige Domäne verwendet (z. B. Contoso.local) oder aufgrund lokaler Anwendungsabhängigkeiten nicht geändert werden kann, empfiehlt es sich, eine alternative Anmelde-ID einzurichten. Mithilfe einer alternativen Anmelde-ID können Sie eine Anmeldeumgebung konfigurieren, in der sich Benutzer mit einem anderen Attribut als ihrem UPN anmelden können, z. B. mit einer E-Mail-Adresse.

Bei der Entscheidung für den UPN in Azure AD Connect wird standardmäßig das userPrincipalName-Attribut in Active Directory verwendet. Wenn Sie ein anderes Attribut für den UPN auswählen und einen Verbund mithilfe von AD FS erstellen, konfiguriert Azure AD Connect AD FS für eine alternative Anmelde-ID.

Ein Beispiel für die Auswahl eines anderen Attributs für den UPN sehen Sie in der folgenden Abbildung:

Screenshot: Seite „Azure AD-Anmeldungskonfiguration“ zum Auswählen eines anderen Attributs für den UPN

Das Konfigurieren einer alternativen Anmelde-ID für AD FS besteht aus zwei Hauptschritten:

  1. Konfigurieren der richtigen Gruppe von Ausstellungsansprüchen: Die Ausstellungsanspruchsregeln in der Azure AD-Vertrauensstellung der vertrauenden Seite werden geändert, um das ausgewählte UserPrincipalName-Attribut als alternative ID des Benutzers zu verwenden.

  2. Aktivieren der alternativen Anmelde-ID in der AD FS-Konfiguration: Die AD FS-Konfiguration wird aktualisiert, damit AD FS Benutzer in den entsprechenden Gesamtstrukturen mithilfe der alternativen ID suchen kann. Diese Konfiguration wird für AD FS unter Windows Server 2012 R2 (mit KB2919355) oder höher unterstützt. Wenn die AD FS-Server unter 2012 R2 ausgeführt werden, überprüft Azure AD Connect das Vorhandensein des erforderlichen KB-Updates. Wenn die KB nicht erkannt wird, wird nach Abschluss der Konfiguration eine Warnung angezeigt, wie in der folgenden Abbildung gezeigt:

    Screenshot: Seite „Konfiguration abgeschlossen“ mit einer Warnung im Zusammenhang mit einer fehlenden KB unter Windows Server 2012 R2

    Wenn eine KB fehlt, können Sie die Konfiguration korrigieren, indem Sie die erforderliche KB2919355 installieren. Anschließend können Sie die Anweisungen unter Reparieren der Vertrauensstellung befolgen.

Hinweis

Weitere Informationen zu alternateID und zu den Schritten zur manuellen Konfiguration finden Sie unter Configure an alternative sign-in ID (Konfigurieren einer alternativen Anmelde-ID).

Hinzufügen eines AD FS-Servers

Hinweis

Für Azure AD Connect ist ein PFX-Zertifikat erforderlich, um einen AD FS-Server hinzuzufügen. Daher können Sie diesen Vorgang nur ausführen, wenn Sie die AD FS-Farm mit Azure AD Connect konfiguriert haben.

  1. Wählen Sie Weiteren Verbundserver bereitstellen und dann Weiter aus.

    Screenshot: Bereich „Weitere Aufgaben“ zum Bereitstellen eines zusätzlichen Verbundservers

  2. Geben Sie auf der Seite Mit Azure AD verbinden die Anmeldeinformationen des Hybrididentitätsadministrators für Azure AD an, und wählen Sie Weiter aus.

    Screenshot der Seite „Mit Azure AD verbinden“ mit eingegebenen Beispielanmeldeinformationen

  3. Geben Sie die Anmeldeinformationen des Domänenadministrators an.

    Screenshot: Seite „Mit Azure AD verbinden“ mit eingegebenen Beispielanmeldeinformationen

  4. Sie werden von Azure AD Connect zum Eingeben des Kennworts für die PFX-Datei aufgefordert, die Sie beim Konfigurieren der neuen AD FS-Farm mit Azure AD Connect angegeben haben. Wählen Sie Kennwort eingeben aus, um das Kennwort für die PFX-Datei anzugeben.

    Screenshot: Seite „Anmeldeinformationen des Domänenadministrators“ mit eingegebenen Beispielanmeldeinformationen

    Screenshot der Seite „SSL-Zertifikat angeben“, nachdem ein Kennwort für die PFX-Datei eingegeben wurde

  5. Geben Sie auf der Seite AD FS-Server den Servernamen oder die IP-Adresse ein, der bzw. die der AD FS-Farm hinzugefügt werden soll.

    Screenshot: Seite AD FS-Server“

  6. Wählen Sie Weiter aus, und schließen Sie dann die letzte Konfigurationsseite ab.

    Nachdem Azure AD Connect die Server der AD FS-Farm hinzugefügt hat, haben Sie die Möglichkeit, die Konnektivität zu überprüfen.

    Screenshot: Seite „Bereit zur Konfiguration“ mit einer Liste der Aktionen, die nach dem Auswählen von „Installieren“ ausgeführt werden können

    Screenshot: Seite „Installation abgeschlossen“

Hinzufügen eines AD FS-WAP-Servers

Hinweis

Für Azure AD Connect ist die PFX-Zertifikatdatei erforderlich, um einen Webanwendungs-Proxyserver hinzuzufügen. Daher können Sie diesen Vorgang nur ausführen, wenn Sie die AD FS-Farm mithilfe von Azure AD Connect konfiguriert haben.

  1. Wählen Sie in der Liste mit den verfügbaren Aufgaben die Option Webanwendungsproxy bereitstellen .

    Webanwendungsproxy bereitstellen

  2. Geben Sie die Anmeldeinformationen des Azure-Hybrididentitätsadministrators an.

    Screenshot der Seite „Mit Azure AD verbinden“, auf der ein Benutzername und ein Kennwort als Beispiel eingegeben sind

  3. Geben Sie auf der Seite SSL-Zertifikat angeben das Kennwort für die PFX-Datei an, die Sie beim Konfigurieren der AD FS-Farm mit Azure AD Connect angegeben haben. Zertifikatskennwort

    Angabe des TLS-/SSL-Zertifikats

  4. Fügen Sie den Server als WAP-Server hinzu. Da der WAP-Server möglicherweise nicht der Domäne angehört, werden Sie vom Assistenten zur Eingabe von Administratoranmeldeinformationen für den hinzugefügten Server aufgefordert.

    Anmeldeinformationen für Verwaltungsserver

  5. Geben Sie auf der Seite Anmeldeinformationen der Proxyvertrauensstellung Administratoranmeldeinformationen an, um die Proxyvertrauensstellung zu konfigurieren und auf den primären Server in der AD FS-Farm zuzugreifen.

    Anmeldeinformationen der Proxyvertrauensstellung

  6. Auf der Seite Bereit zur Konfiguration zeigt der Assistent die Liste mit den Aktionen an, die ausgeführt werden.

    Screenshot: Seite „Bereit zur Konfiguration“ mit der Liste der Aktionen, die ausgeführt werden können

  7. Wählen Sie Installieren aus, um die Konfiguration abzuschließen. Nach Abschluss der Konfiguration bietet der Assistent Ihnen die Möglichkeit, die Verbindung mit den Servern zu überprüfen. Wählen Sie Überprüfen aus, um die Konnektivität zu überprüfen.

    Installation abgeschlossen

Hinzufügen einer Verbunddomäne

Das Hinzufügen einer Domäne, die einen Verbund mit Azure AD bilden soll, ist mithilfe von Azure AD Connect einfach. Azure AD Connect fügt die Domäne für den Verbund hinzu und ändert auch die Anspruchsregeln, damit der richtige Aussteller angezeigt wird, falls Sie über mehrere Domänen in einem Verbund mit Azure AD verfügen.

  1. Zum Hinzufügen einer Verbunddomäne wählen Sie Weitere Azure AD-Domäne hinzufügen aus.

    Screenshot: Bereich „Weitere Aufgaben“ zum Auswählen von „Weitere Azure AD-Domäne hinzufügen“

  2. Geben Sie auf der nächsten Seite des Assistenten die Anmeldeinformationen des globalen Administrators für Azure AD an.

    Screenshot: Bereich „Weitere Aufgaben“ zum Auswählen von „Weitere Azure AD-Domäne hinzufügen“

  3. Geben Sie auf der Seite Anmeldeinformationen für den Remotezugriff die Anmeldeinformationen des Domänenadministrators an.

    Screenshot: Bereich „Weitere Aufgaben“ zum Auswählen von „Weitere Azure AD-Domäne hinzufügen“

  4. Auf der nächsten Seite stellt der Assistent eine Liste mit den Azure AD-Domänen bereit, mit denen Sie für Ihr lokales Verzeichnis einen Verbund eingehen können. Wählen Sie die Domäne in der Liste aus.

    Screenshot: Bereich „Weitere Aufgaben“ zum Hinzufügen einer weiteren Azure AD-Domäne

    Nach der Auswahl der Domäne erhalten Sie vom Assistenten Informationen zu weiteren Aktionen, die er ausführt, sowie zur Auswirkung der Konfiguration. In einigen Fällen – wenn Sie eine Domäne auswählen, die noch nicht in Azure AD überprüft wurde – unterstützt der Assistent Sie beim Überprüfen der Domäne. Weitere Informationen finden Sie unter Hinzufügen eines benutzerdefinierten Domänennamens zu Azure Active Directory.

  5. Wählen Sie Weiter aus.

    Auf der Seite Bereit zur Konfiguration sind die Aktionen aufgeführt, die von Azure AD Connect ausgeführt werden.

    Screenshot: Bereich „Weitere Aufgaben“ zum Hinzufügen einer weiteren Azure AD-Domäne

  6. Wählen Sie Installieren aus, um die Konfiguration abzuschließen.

Hinweis

Benutzer aus der hinzugefügten Verbunddomäne müssen synchronisiert werden, bevor sie sich bei Azure AD anmelden können.

Anpassen von AD FS

Die folgenden Abschnitte enthalten detaillierte Informationen zu einigen häufigen Aufgaben, die zum Anpassen der AD FS-Anmeldeseite eventuell erforderlich sind.

Zum Ändern des auf der Anmeldeseite angezeigten Firmenlogos verwenden Sie das unten angegebene Windows PowerShell-Cmdlet und die entsprechende Syntax.

Hinweis

Die empfohlene Größe für das Logo beträgt 260 x 35 bei 96 dpi und einer Dateigröße von höchstens 10 KB.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Hinweis

Der TargetName -Parameter ist erforderlich. Das mit AD FS veröffentlichte Standarddesign heißt „Standard“.

Hinzufügen einer Anmeldebeschreibung

Zum Hinzufügen einer Beschreibung für die Anmeldeseiteverwenden Sie das folgende Windows PowerShell-Cmdlet und die folgende Syntax:

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Select <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

Ändern von AD FS-Anspruchsregeln

AD FS unterstützt eine umfangreiche Sprache für Ansprüche, die Sie zum Erstellen von benutzerdefinierten Anspruchsregeln verwenden können. Weitere Informationen finden Sie unter Rolle der Anspruchsregelsprache.

In den folgenden Abschnitten wird beschrieben, wie Sie benutzerdefinierte Regeln für einige Szenarien in Zusammenhang mit dem Azure AD- und AD FS-Verbund schreiben können.

Unveränderliche ID hängt von einem Wert im Attribut ab

Azure AD Connect ermöglicht Ihnen das Festlegen eines Attributs, das als Quellanker verwendet wird, wenn Objekte mit Azure AD synchronisiert werden. Wenn der Wert im benutzerdefinierten Attribut nicht leer ist, kann es ratsam sein, einen Anspruch mit unveränderlicher ID auszugeben.

Beispielsweise können Sie ms-ds-consistencyguid als Attribut für den Quellanker auswählen und ImmutableID als ms-ds-consistencyguid ausgeben, falls für das Attribut ein Wert vorhanden ist. Wenn kein Wert für das Attribut vorhanden ist, geben Sie objectGuid als unveränderliche ID aus. Sie können den Satz mit den benutzerdefinierten Anspruchsregeln wie im folgenden Abschnitt beschrieben erstellen.

Regel 1: Abfragen von Attributen

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

Bei dieser Regel fragen Sie die Werte von ms-ds-consistencyguid und objectGuid für den Benutzer aus Active Directory ab. Ändern Sie den Speichernamen in einen passenden Speichernamen in Ihrer AD FS-Bereitstellung. Ändern Sie außerdem den Anspruchstyp in einen passenden Anspruchstyp für Ihren Verbund, wie Sie dies für objectGuid und ms-ds-consistencyguid definiert haben.

Durch die Verwendung von add anstelle von issue vermeiden Sie außerdem das Hinzufügen eines ausgehenden Ausstellungswerts für die Entität und können die Werte als Zwischenwerte verwenden. Sie geben den Anspruch in einer späteren Regel aus, nachdem Sie festgelegt haben, welcher Wert als unveränderliche ID verwendet wird.

Regel 2: Überprüfen, ob „ms-ds-consistencyguid“ für den Benutzer vorhanden ist

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Diese Regel definiert das temporäre Flag idflag, das auf useguid festgelegt ist, wenn ms-ds-consistencyguid für den Benutzer nicht ausgefüllt ist. Die Logik dahinter ist, dass AD FS leere Ansprüche nicht zulässt. Wenn Sie also in der Regel 1 die Ansprüche http://contoso.com/ws/2016/02/identity/claims/objectguid und http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid hinzufügen, erhalten Sie den Anspruch msdsconsistencyguid nur, wenn der Wert für den Benutzer ausgefüllt ist. Wenn er nicht ausgefüllt ist, merkt AD FS, dass ein leerer Wert vorhanden ist, und verwirft ihn sofort. Alle Objekte verfügen über objectGuid, sodass dieser Anspruch immer vorhanden ist, nachdem Regel 1 ausgeführt wurde.

Regel 3: Ausgeben von „ms-ds-consistencyguid“ als unveränderliche ID, sofern vorhanden

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Dies ist eine implizite Exist -Überprüfung. Wenn der Wert für den Anspruch vorhanden ist, geben Sie ihn als unveränderliche ID aus. Im vorherigen Beispiel wird der Anspruch nameidentifier verwendet. Sie müssen diesen in den entsprechenden Anspruchstyp für die unveränderliche ID in Ihrer Umgebung ändern.

Regel 4: Ausgeben von „objectGuid“ als unveränderliche ID, wenn „ms-ds-consistencyGuid“ nicht vorhanden ist

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

Mit dieser Regel überprüfen Sie einfach das temporäre Flag idflag. Sie entscheiden, ob der Anspruch basierend auf dessen Wert ausgegeben werden soll.

Hinweis

Die Reihenfolge dieser Regeln ist wichtig.

SSO mit Unterdomänen-UPN

Mit Azure AD Connect können Sie mehrere Domänen für den Verbund hinzufügen. Dies ist unter Hinzufügen einer neuen Verbunddomäne beschrieben. Ab der Azure AD Connect-Version 1.1.553.0 wird automatisch die korrekte Anspruchsregel für issuerID erstellt. Sollten Sie die Azure AD Connect-Version 1.1.553.0 (oder eine höhere Version) nicht verwenden können, verwenden Sie das Tool Azure AD RPT Claim Rules, um korrekte Anspruchsregeln für die Azure AD-Vertrauensstellung der vertrauenden Seite zu generieren und festzulegen.

Nächste Schritte

Erfahren Sie mehr über Azure AD Connect-Optionen für die Benutzeranmeldung.