Passthrough-Authentifizierung für Microsoft Entra – häufig gestellte Fragen

Einen Vergleich der verschiedenen Microsoft Entra-Anmeldemethoden und Informationen, wie Sie die richtige Anmeldemethode für Ihre Organisation auswählen, finden Sie in diesem Leitfaden.

Die Passthrough-Authentifizierung ist ein kostenloses Feature. Sie benötigen dafür keine kostenpflichtigen Versionen von Microsoft Entra ID.

Ja. Für alle Funktionen mit bedingtem Zugriff, z. B. die Multi-Faktor-Authentifizierung von Microsoft Entra, kann die Passthrough-Authentifizierung genutzt werden.

Ja. Sowohl die Passthrough-Authentifizierung (PTA) als auch die Kennworthashsynchronisierung (Password Hash Sync, PHS) unterstützen die Anmeldung mit einem UPN-fremden Wert (etwa mit einer alternativen E-Mail-Adresse). Weitere Informationen zur alternativen Anmelde-ID finden Sie hier.

Nein. Bei der Passthrough-Authentifizierung wird kein automatisches Failover auf die Kennworthashsynchronisierung ausgeführt. Um Benutzeranmeldefehler zu vermeiden, sollten Sie die Passthrough-Authentifizierung für Hochverfügbarkeit konfigurieren.

Wenn Sie Microsoft Entra Connect verwenden, um die Anmeldemethode von Kennworthashsynchronisierung in Passthrough-Authentifizierung zu ändern, wird die Passthrough-Authentifizierung die primäre Anmeldemethode für Ihre Benutzer*innen in verwalteten Domänen. Die Kennworthashes aller Benutzer*innen, die zuvor per Kennworthashsynchronisierung synchronisiert wurden, bleiben in Microsoft Entra ID gespeichert.

Ja. Die umbenannten Versionen des Passthrough-Authentifizierungs-Agents (Versionen 1.5.193.0 oder höher) unterstützen diese Konfiguration.

Damit dieses Feature funktioniert, benötigen Sie Version 1.1.750.0 oder höher für Microsoft Entra Connect und Version 1.5.193.0 oder höher für den Passthrough-Authentifizierungs-Agent. Installieren Sie die gesamte Software auf Servern mit Windows Server 2012 R2 oder höher.

Dies kann darauf zurückzuführen sein, dass der Updatedienst nicht ordnungsgemäß funktioniert oder keine neuen Updates verfügbar sind, die der Dienst installieren kann. Der Updatedienst funktioniert fehlerfrei, wenn er ausgeführt wird, und im Ereignisprotokoll werden keine Fehler aufgezeichnet (Anwendungs- und Dienstprotokolle > Microsoft > AzureADConnect-Agent > Updater > Admin).

Nur Hauptversionen werden für das automatische Upgrade veröffentlicht. Es wird empfohlen, Ihren Agent nur dann manuell zu aktualisieren, wenn dies unbedingt erforderlich ist. Beispielsweise können Sie nicht auf ein großes Release warten, da Sie ein bekanntes Problem beheben müssen oder ein neues Feature verwenden möchten. Weitere Informationen zu neuen Releases, den Releasetyp (Download, automatisches Upgrade), Fehlerbehebungen und neue Features finden Sie unter Agent für die Microsoft Entra-Passthrough-Authentifizierung: Verlauf der Versionsveröffentlichungen.

So aktualisieren Sie einen Connector manuell

• Laden Sie die neueste Version des Agents herunter. (Sie finden diese unter „Microsoft Entra Connect:  Passthrough-Authentifizierung“ im Microsoft Entra Admin Center. Sie finden den Link auch unter „Microsoft Entra-Passthrough-Authentifizierung: Verlauf der Versionsveröffentlichungen“.
• Das Installationsprogramm startet die Dienste des Authentifizierungs-Agents von Microsoft Entra Connect neu. In einigen Fällen ist möglicherweise ein Serverneustart erforderlich, wenn das Installationsprogramm nicht alle Dateien ersetzen kann. Daher empfiehlt es sich, alle Anwendungen (d. h. die Ereignisanzeige) zu schließen, bevor Sie das Upgrade starten.
• Führen Sie den Installer aus. Der Upgradevorgang ist schnell und erfordert keine Angabe von Anmeldeinformationen. Der Agent wird nicht erneut registriert.

Wenn Sie das Kennwortrückschreiben für einen bestimmten Benutzer konfiguriert haben und der Benutzer sich mit der Passthrough-Authentifizierung anmeldet, kann er sein Kennwort ändern oder zurücksetzen. Die Kennwörter werden erwartungsgemäß in das lokale Active Directory zurückgeschrieben.

Wenn Sie das Kennwortrückschreiben für einen bestimmten Benutzer nicht konfiguriert haben oder der Benutzer keine gültige Microsoft Entra ID-Lizenz hat, kann der Benutzer sein Kennwort in der Cloud nicht aktualisieren. Das Kennwort lässt sich nicht aktualisieren, auch wenn es bereits abgelaufen ist. Dem Benutzer wird stattdessen diese Meldung angezeigt: „Eine Kennwortänderung auf dieser Website wird von Ihrer Organisation nicht gestattet. Ändern Sie Ihr Kennwort anhand der von Ihrer Organisation empfohlenen Methode, oder bitten Sie Ihren Administrator um Hilfe.“ Der Benutzer oder der Administrator muss das Kennwort im lokalen Active Directory zurücksetzen.

Der Ablauf des Kennworts löst nicht die Sperrung von Authentifizierungstoken oder Cookies aus. Solange die Token oder Cookies gültig sind, kann der Benutzer sie verwenden. Dies gilt unabhängig von der Art der Authentifizierung (PTA, PHS und Verbundszenarien).

Weitere Details finden Sie in der folgenden Dokumentation:

Microsoft Identity Platform-Zugriffstoken – Microsoft Identity Platform | Microsoft-Dokumentation

Lesen Sie die Informationen zu Smart Lockout.

• Die Authentifizierungs-Agents stellen HTTPS-Anforderungen für alle Funktionsvorgänge über Port 443 aus.

• Die Authentifizierungs-Agents stellen HTTP-Anforderungen über Port 80, um die TLS/SSL-Zertifikatsperrlisten (CRLs) herunterzuladen.

  Hinweis

  In kürzlich veröffentlichten Updates wurde die Zahl der Ports, die für diese Funktion erforderlich sind, gesenkt. Wenn Sie eine ältere Version von Microsoft Entra Connect oder des Authentifizierungs-Agents verwenden, halten Sie auch folgende Ports offen: 5671, 8080, 9090, 9091, 9350, 9352 und 10100-10120.

Ja. Wenn in Ihrer lokalen Umgebung WPAD (Web Proxy Auto-Discovery) aktiviert ist, versuchen die Authentifizierungs-Agents automatisch, einen Webproxyserver im Netzwerk zu finden und zu verwenden. Weitere Informationen zum verwenden des ausgehenden Proxyservers finden Sie unter Verwenden von vorhandenen lokalen Proxyservern.

Wenn in Ihrer Umgebung kein WPAD verwendet wird, können Sie Proxyinformationen (wie unten gezeigt) hinzufügen, um einem Passthrough-Authentifizierungs-Agent die Kommunikation mit Microsoft Entra ID zu ermöglichen:

• Konfigurieren Sie Proxyinformationen im Internet Explorer, bevor Sie den Passthrough-Authentifizierungs-Agent auf dem Server installieren. Dadurch können Sie die Installation des Authentifizierungs-Agents abschließen. Er wird im Verwaltungsportal jedoch nach wie vor mit dem Status Inaktiv angezeigt.
• Wechseln Sie auf dem Server zu „C:\Programme\Microsoft Azure AD Connect Authentication Agent“.
• Bearbeiten Sie die Konfigurationsdatei „AzureADConnectAuthenticationAgentService“, und fügen Sie die folgenden Zeilen hinzu (ersetzen Sie „http://contosoproxy.com:8080" durch Ihre tatsächliche Proxyadresse):

   <system.net>
      <defaultProxy enabled="true" useDefaultCredentials="true">
         <proxy
            usesystemdefault="true"
            proxyaddress="http://contosoproxy.com:8080"
            bypassonlocal="true"
         />
     </defaultProxy>
   </system.net>

Nein, Sie können nur einen Passthrough-Authentifizierungs-Agent auf einem einzelnen Server installieren. Wenn Sie die Passthrough-Authentifizierung für Hochverfügbarkeit konfigurieren möchten, folgen Sie den hier aufgeführten Anweisungen.

Die Kommunikation zwischen den einzelnen Passthrough-Authentifizierungs-Agents und Microsoft Entra ID wird per zertifikatbasierter Authentifizierung geschützt. Diese Zertifikate werden alle paar Monate automatisch von Microsoft Entra ID verlängert. Sie müssen diese Zertifikate nicht manuell verlängern. Abgelaufene Zertifikate können Sie bei Bedarf entfernen.

Solange ein Passthrough-Authentifizierungs-Agent ausgeführt wird, bleibt er aktiv und verarbeitet fortlaufend Anmeldeanforderungen von Benutzern. Wenn Sie einen Authentifizierungs-Agent deinstallieren möchten, wechseln Sie zu Systemsteuerung > Programme > Programme und Funktionen, und deinstallieren Sie die beiden Programme Microsoft Entra Connect-Authentifizierungs-Agent und Microsoft Entra Connect Agent Updater.

Wenn Sie das Blatt „Passthrough-Authentifizierung“ im Microsoft Entra Admin Center mindestens als Hybrididentitätsadministrator aktivieren, wird der Authentifizierungs-Agent nach Ausführung des vorherigen Schritts als Inaktiv angezeigt. Dies entspricht dem erwarteten Verhalten. Der Authentifizierungs-Agent wird nach 10 Tagen automatisch aus der Liste entfernt.

Wenn Sie von AD FS (oder andere Verbundtechnologien) zur Passthrough-Authentifizierung migrieren, wird dringend empfohlen, diese Schnellstartanleitung zu befolgen.

Ja. Umgebungen mit mehreren Gesamtstrukturen (bidirektional) werden unterstützt, wenn Gesamtstruktur-Vertrauensstellungen zwischen Ihren Active Directory-Gesamtstrukturen bestehen und das Namensuffixrouting ordnungsgemäß konfiguriert ist.

Nein, die Installation von mehreren Passthrough-Authentifizierungs-Agents garantiert nur Hochverfügbarkeit. Dadurch wird kein deterministischer Lastenausgleich zwischen den Authentifizierungs-Agents bereitgestellt. Jeder Authentifizierungs-Agent kann eine bestimmte Benutzeranmeldungsanforderung verarbeiten.

Mit der Installation von mehreren Passthrough-Authentifizierungs-Agents wird für Hochverfügbarkeit gesorgt. Dadurch wird jedoch kein deterministischer Lastenausgleich zwischen den Authentifizierungs-Agents bereitgestellt.

Berücksichtigen Sie die Spitzenlast und durchschnittliche Last in Bezug auf die Anmeldeanforderungen, die Sie für Ihren Mandanten erwarten. Als Richtwert gilt, dass ein einzelner Authentifizierungs-Agent auf einem Standardserver mit einer CPU mit vier Kernen und 16 GB RAM pro Sekunde 300 bis 400 Authentifizierungen verarbeiten kann.

Um den Netzwerkverkehr abzuschätzen, verwenden Sie die folgende Anleitung zur Skalierung:

• Jede Anforderung hat eine Nutzlastgröße von (500 + 1.000 · num_of_agents) Bytes, d. h. Daten von Microsoft Entra ID zum Authentifizierungs-Agent. Hier gibt „anz_agents“ die Anzahl der für Ihren Mandanten registrierten Authentifizierung-Agents an.
• Jede Antwort hat eine Nutzlastgröße von 1.000 Bytes, d. h. Daten vom Authentifizierungs-Agent zu Microsoft Entra ID.

Für die meisten Kunden reichen zwei oder drei Authentifizierungs-Agents insgesamt aus, um Hochverfügbarkeit und genügend Kapazität zu erzielen. Für Produktionsumgebungen wird jedoch empfohlen, dass Sie mindestens drei Authentifizierungs-Agents auf Ihrem Mandanten ausführen. Es wird empfohlen, die Authentifizierungs-Agents in der Nähe Ihres Domänencontrollers zu installieren, um die Anmeldungslatenz zu verbessern.

Es wird empfohlen, die Passthrough-Authentifizierung mit einem rein cloudbasierten globalen Administratorkonto zu aktivieren oder zu deaktivieren. Erfahren Sie, wie Sie ein rein cloudbasiertes Konto für den globalen Administrator hinzufügen. Auf diese Weise wird sichergestellt, dass Sie sich nicht aus Ihrem Mandanten aussperren.

Führen Sie den Microsoft Entra Connect-Assistenten erneut aus, und ändern Sie die Anmeldemethode für Benutzer*innen von der Passthrough-Authentifizierung in eine andere Methode. Diese Änderung deaktiviert die Passthrough-Authentifizierung für den Mandanten und deinstalliert den Authentifizierungs-Agent vom Server. Auf anderen Servern müssen Sie die Authentifizierungs-Agents manuell deinstallieren.

Wenn Sie einen Passthrough-Authentifizierungs-Agents auf einem Server deinstallieren, werden vom Server keine Anmeldeanforderungen mehr angenommen. Um eine Unterbrechung der Anmeldefunktion für Benutzer zu vermeiden, stellen Sie sicher, dass ein anderer Authentifizierungs-Agent ausgeführt wird, bevor Sie einen Passthrough-Authentifizierungs-Agent deinstallieren.

Unter den folgenden Umständen können lokale UPN-Änderungen nicht synchronisiert werden:

• Ihr Microsoft Entra-Mandant wurde vor dem 15. Juni 2015 erstellt.
• Sie wurden ursprünglich mit Ihrem Microsoft Entra-Mandanten und mit AD FS zur Authentifizierung in den Verbund aufgenommen.
• Sie haben eine Umstellung vorgenommen, sodass verwaltete Benutzer PTA als Authentifizierung verwenden.

Das liegt daran, dass Mandanten, die vor dem 15. Juni 2015 erstellt wurden, UPN-Änderungen standardmäßig blockiert haben. Wenn Sie UPN-Änderungen freigeben müssen, führen Sie das folgende PowerShell-Cmdlet aus. Rufen Sie die ID mithilfe des Cmdlets Get-MgDirectoryOnPremiseSynchronization ab.

$params = @{ "SynchronizeUpnForManagedUsersEnabled" = "True" }
Update-MgDirectoryOnPremiseSynchronization -OnPremisesDirectorySynchronizationId $SynchronizationId -BodyParameter $params

Bei Mandanten, die nach dem 15. Juni 2015 erstellt wurden, werden UPN-Änderungen standardmäßig synchronisiert.

So überprüfen Sie, welcher lokale Server oder Authentifizierungs-Agent für ein bestimmtes Anmeldeereignis verwendet wurde

1. Wechseln Sie im Microsoft Entra Admin Center zum Anmeldeereignis.

2. Wählen Sie Authentifizierungsdetails aus. In der Spalte Details zur Authentifizierungsmethode werden Details zur Agent-ID im Format „Passthrough-Authentifizierung; PTA AgentId: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX“ angezeigt.

3. Melden Sie sich beim lokalen Server an, und führen Sie das folgende Cmdlet aus, um Details zur Agent-ID für den Agent abzurufen, der auf Dem lokalen Server installiert ist:

   Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Azure AD Connect Agents\Azure AD Connect Authentication Agent' | Select *Instance*

   Der zurückgegebene GUID-Wert ist die Agent-ID des Authentifizierungs-Agents, der auf diesem speziellen Server installiert ist. Wenn Sie in Ihrer Umgebung über mehrere Agents verfügen, können Sie dieses Cmdlet auf jedem Agent-Server ausführen und die Details der Agent-ID erfassen.

4. Korrelieren Sie die Agent-ID, die Sie vom lokalen Server und den Microsoft Entra-Anmeldeprotokollen erhalten, um zu überprüfen, welcher Agent oder Server die Anmeldeanforderung bestätigt hat.

Nächste Schritte

• Aktuelle Einschränkungen: Informieren Sie sich über die unterstützten Szenarien.
• Schnellstart: Aktivieren und Ausführen der Passthrough-Authentifizierung von Microsoft Entra.
• Migrieren Ihrer Apps zur Microsoft Entra ID: Ressourcen, mit deren Hilfe Sie den Anwendungszugriff und die Anwendungsauthentifizierung zu Microsoft Entra ID migrieren können.
• Smart Lockout: Erfahren Sie, wie Sie die Smart Lockout-Funktion für Ihren Mandanten zum Schutz von Benutzerkonten konfigurieren.
• Technische Einzelheiten: Hier finden Sie Informationen zur Funktionsweise der Passthrough-Authentifizierung.
• Problembehandlung: Hier finden Sie Informationen zum Beheben von allgemeinen Problemen, die bei der Passthrough-Authentifizierung auftreten können.
• Ausführliche Informationen zur Sicherheit: Hier erhalten Sie ausführliche technische Informationen zur Pass-Through-Authentifizierung.
• Hybride Einbindung in Microsoft Entra: Konfigurieren Sie die Funktion des hybriden Einbindens in Microsoft Entra auf Ihrem Mandanten, um das einmalige Anmelden bei Ihren sämtlichen cloudbasierten und lokalen Ressourcen nutzen zu können.
• Nahtloses SSO mit Microsoft Entra: Hier finden Sie Informationen zu diesem Ergänzungsfeature.
• UserVoice: Verwenden Sie das Microsoft Entra-Forum, um neue Features anzufordern.