Benutzeranmeldung mit der Azure Active Directory-Passthrough-Authentifizierung

Was ist die Azure Active Directory-Passthrough-Authentifizierung?

Mit der Azure AD-Passthrough-Authentifizierung (Azure Active Directory) können sich Benutzer mit denselben Kennwörtern sowohl an lokalen als auch an cloudbasierten Anwendungen anmelden. Diese Funktion stellt eine benutzerfreundlichere Oberfläche für Ihre Benutzer bereit, weil ein Kennwort wegfällt, und reduziert die Kosten des IT-Helpdesks, da Benutzer seltener vergessen, wie sie sich anmelden. Wenn Benutzer sich mithilfe von Azure AD anmelden, überprüft dieses Feature die Benutzerkennwörter direkt anhand Ihres lokalen Active Directory.

Diese Funktion ist eine Alternative zum Kennworthashsynchronisierung von Azure AD, die Organisationen auch eine Möglichkeit zur Cloudauthentifizierung bereitstellt. Allerdings können bestimmte Organisationen, die ihre lokale Active Directory-Sicherheits- und -Kennwortrichtlinien erzwingen möchten, stattdessen die Passthrough-Authentifizierung verwenden. Einen Vergleich der verschiedenen Azure AD-Anmeldemethoden und Informationen, wie Sie die richtige Anmeldemethode für Ihre Organisation wählen, finden Sie in diesem Leitfaden.

Azure AD Pass-through Authentication

Sie können die Passthrough-Authentifizierung mit dem Feature zum nahtlosen einmaligen Anmelden (Single Sign-On, SSO) kombinieren. Auf diese Weise müssen Ihre Benutzer, wenn sie über ihren Unternehmenscomputer innerhalb des Unternehmensnetzwerks auf Anwendungen zugreifen, nicht einmal ihre Kennwörter eingeben.

Wichtige Vorteile der Azure AD-Passthrough-Authentifizierung

  • Große Benutzerfreundlichkeit
    • Benutzer verwenden für die Anmeldung bei lokalen und cloudbasierten Anwendungen das gleiche Kennwort.
    • Benutzer verbringen weniger Zeit mit dem gemeinsamen Lösen von Kennwortproblemen mit dem IT-Helpdesk
    • Benutzer können die Self-Service-Kennwortverwaltung selbst in der Cloud durchführen.
  • Einfache Bereitstellung und Verwaltung
    • Bereitstellungen oder Netzwerkkonfigurationen müssen nicht mehr komplex und lokal sein.
    • Es muss nur ein einfacher Agent lokal installiert werden.
    • Es gibt keinen zusätzlichen Verwaltungsaufwand. Der Agent empfängt Verbesserungen und Fehlerbehebungen automatisch.
  • Sicher
    • Lokale Kennwörter werden niemals in irgendeiner Form in der Cloud gespeichert.
    • Ihre Benutzerkonten werden durch die nahtlose Kompatibilität mit Azure AD-Richtlinien für bedingten Zugriff, einschließlich der Multi-Factor Authentication (MFA), durch das Blockieren der Legacyauthentifizierung und durch das Herausfiltern von Brute-Force-Kennwortangriffen geschützt.
    • Der Agent stellt innerhalb des Netzwerks nur ausgehende Verbindungen her. Daher muss der Agent nicht in einem Umkreisnetzwerk (auch als DMZ bezeichnet) installiert werden.
    • Die Kommunikation zwischen einem Agent und Azure AD wird per zertifikatbasierter Authentifizierung geschützt. Diese Zertifikate werden alle paar Monate automatisch von Azure AD verlängert.
  • Hoch verfügbar
    • Zusätzliche Agents können auf mehrere lokalen Servern installiert werden, um Hochverfügbarkeit von Anmeldeanforderungen bereitzustellen.

Wichtige Features

  • Benutzeranmeldungen in allen browserbasierten Webanwendungen und Microsoft Office-Clientanwendungen werden unterstützt, die die moderne Authentifizierung verwenden.
  • Bei den Benutzernamen für die Anmeldung kann es sich entweder um den lokalen Standardbenutzernamen (userPrincipalName) oder um ein anderes (als Alternate ID bezeichnetes) Attribut handeln, das in Azure AD Connect konfiguriert ist.
  • Das Feature funktioniert nahtlos mit Features für den bedingten Zugriff wie die Multi-Factor Authentication (MFA), mit der Sie Ihre Benutzer schützen können.
  • Es ist in eine cloudbasierte Self-Service-Kennwortverwaltung integriert, einschließlich Rückschreiben von Kennwörtern auf lokalem Active Directory und Kennwortschutz, indem häufig verwendete Kennwörter gesperrt werden.
  • Umgebungen mit mehreren Gesamtstrukturen werden unterstützt, wenn Gesamtstruktur-Vertrauensstellungen zwischen Ihren AD-Gesamtstrukturen bestehen und das Namensuffixrouting ordnungsgemäß konfiguriert ist.
  • Es handelt sich um ein kostenloses Feature, sodass Sie für dessen Verwendung keine kostenpflichtigen Editionen von Azure AD benötigen.
  • Dies kann über Azure AD Connect aktiviert werden.
  • Dazu wird ein einfacher lokaler Agent verwendet, der auf Kennwortüberprüfungsanforderungen lauscht und darauf reagiert.
  • Die Installation von mehreren Agents stellt Hochverfügbarkeit von Anmeldeanforderungen bereit.
  • So werden Ihre lokalen Konten gegen Brute-Force-Kennwortangriffe in der Cloud geschützt.

Nächste Schritte