Was bedeutet Hybrididentität in Azure Active Directory?
Heutzutage werden Unternehmen und Konzerne immer mehr zu einer Mischung aus lokalen Anwendungen und Cloudanwendungen. Benutzer benötigen lokal und in der Cloud Zugriff auf diese Anwendungen. Wenn Benutzer sowohl lokal als auch in der Cloud verwaltet werden, ergeben sich herausfordernde Szenarien.
Identitätslösungen von Microsoft umfassen lokale und cloudbasierte Funktionen. Diese Lösungen schaffen eine gemeinsame Benutzeridentität für die Authentifizierung und Autorisierung bei allen Ressourcen, unabhängig vom Standort. Wir bezeichnen dies als Hybrididentität.
Durch die Hybrididentität in Azure AD und die Hybrididentitätsverwaltung sind diese Szenarien möglich.
Um Hybrididentität in Azure AD zu erreichen, kann je nach Szenario eine von drei Authentifizierungsmethoden verwendet werden. Die drei Methoden sind:
- Kennworthashsynchronisierung (Password hash synchronization, PHS)
- Passthrough-Authentifizierung (PTA)
- Verbund (AD FS)
Diese Authentifizierungsmethoden bieten auch SSO-Funktionen. Einmaliges Anmelden meldet Benutzer automatisch bei ihren Unternehmensgeräten an, die mit dem Unternehmensnetzwerk verbunden sind.
Weitere Informationen finden Sie unter Wählen der richtigen Authentifizierungsmethode für Ihre Azure Active Directory-Hybrididentitätslösung.
Gängige Szenarien und Empfehlungen
Im Folgenden sind einige verbreitete Hybrididentitäts- und Zugriffsverwaltungsszenarien mit Empfehlungen zur Auswahl der jeweils geeigneten Hybrididentitätsoptionen aufgeführt.
| Ziel | PHS und SSO1 | PTA und SSO2 | AD FS3 |
|---|---|---|---|
| Automatisches Synchronisieren neuer Benutzer-, Kontakt- und Gruppenkonten, die in meiner lokalen Active Directory-Instanz erstellt werden, mit der Cloud |  |
|
|
| Einrichten meines Mandanten für Microsoft 365-Hybridszenarios | |
|
|
| Ermöglichen der Anmeldung und des Zugriffs auf Clouddienste für meine Benutzer mit ihrem lokalen Kennwort | |
|
|
| Implementieren des einmaligen Anmeldens mit Anmeldeinformationen des Unternehmens | |
|
|
| Sicherstellen, dass keine Kennworthashes in der Cloud gespeichert werden | |
|
|
| Aktivieren der cloudbasierten Lösungen für mehrstufige Authentifizierung | |
|
|
| Aktivieren der lokalen Multi-Factor Authentication-Lösungen | |
||
| Unterstützen der Smartcard-Authentifizierung für meine Benutzer*innen4 | |
1 Kennwort-Hashsynchronisierung mit einmaligem Anmelden
2 Passthrough-Authentifizierung und einmaliges Anmelden
3 Einmalige Verbundanmeldung mit AD FS
4 AD FS kann in Ihre Unternehmens-PKI integriert werden, damit die Anmeldung mithilfe von Zertifikaten möglich ist. Bei diesen Zertifikaten kann es sich um Softzertifikate handeln, die über vertrauenswürdige Bereitstellungskanäle bereitgestellt werden, etwa MDM-, GPO- oder Smartcard-Zertifikate (einschließlich PIV/CAC-Karten) oder Hello for Business (cert-trust). Weitere Informationen zur Unterstützung der Smartcard-Authentifizierung finden Sie in diesem Blog.
Lizenzanforderungen für die Verwendung von Azure AD Connect
Die Nutzung dieses Features ist kostenlos und in Ihrem Azure-Abonnement enthalten.