Freigeben über


Benutzeranmeldung mit Microsoft Entra-Passthrough-Authentifizierung

Was ist die Microsoft Entra-Passthrough-Authentifizierung?

Mit der Microsoft Entra-Passthrough-Authentifizierung können sich Benutzer mit denselben Kennwörtern sowohl an lokalen als auch an cloudbasierten Anwendungen anmelden. Diese Funktion stellt eine benutzerfreundlichere Oberfläche für Ihre Benutzer bereit, weil ein Kennwort wegfällt, und reduziert die Kosten des IT-Helpdesks, da Benutzer seltener vergessen, wie sie sich anmelden. Wenn Benutzer sich mithilfe von Microsoft Entra ID anmelden, überprüft diese Funktion die Benutzerkennwörter direkt anhand Ihres lokalen Active Directory.

Dieses Feature ist eine Alternative zur Microsoft Entra password hash synchronization, das denselben Vorteil der Cloudauthentifizierung für Organisationen bietet. Allerdings können bestimmte Organisationen, die ihre lokale Active Directory-Sicherheits- und -Kennwortrichtlinien erzwingen möchten, stattdessen die Passthrough-Authentifizierung verwenden. Einen Vergleich der verschiedenen Microsoft Entra-Anmeldemethoden und Informationen, wie Sie die richtige Anmeldemethode für Ihre Organisation auswählen, finden Sie in diesem Leitfaden.

Microsoft Entra-Passthrough-Authentifizierung

Sie können die Passthrough-Authentifizierung mit dem Feature für nahtloses einmaliges Anmelden (Single Sign-On, SSO) kombinieren. Wenn Sie über Windows 10 oder höher verfügen, verwenden Sie Microsoft Entra Hybrid Join (AADJ). Auf diese Weise müssen Ihre Benutzer, wenn sie über ihren Unternehmenscomputer innerhalb des Unternehmensnetzwerks auf Anwendungen zugreifen, nicht einmal ihre Kennwörter eingeben.

Wichtige Vorteile der Microsoft Entra-Passthrough-Authentifizierung

  • Große Benutzerfreundlichkeit
    • Benutzer verwenden für die Anmeldung bei lokalen und cloudbasierten Anwendungen das gleiche Kennwort.
    • Benutzer verbringen weniger Zeit damit, das IT-Helpdesk wegen Kennwortproblemen zu kontaktieren.
    • Benutzer können die Self-Service-Kennwortverwaltung selbst in der Cloud durchführen.
  • Einfache Bereitstellung und Verwaltung
    • Es besteht keine Notwendigkeit für komplexe lokale Bereitstellungen oder Netzwerkkonfigurationen.
    • Es muss nur ein einfacher Agent lokal installiert werden.
    • Es gibt keinen zusätzlichen Verwaltungsaufwand. Der Agent empfängt Verbesserungen und Fehlerbehebungen automatisch.
  • Sicher
    • Lokale Kennwörter werden niemals in irgendeiner Form in der Cloud gespeichert.
    • Ihre Benutzerkonten werden durch die nahtlose Kompatibilität mit Microsoft Entra-Richtlinien für bedingten Zugriff, einschließlich der Multi-Faktor-Authentifizierung, durch das Blockieren der Legacyauthentifizierung und durch das Herausfiltern von Brute-Force-Kennwortangriffen geschützt.
    • Der Agent stellt innerhalb des Netzwerks nur ausgehende Verbindungen her. Daher muss der Agent nicht in einem Umkreisnetzwerk (auch als DMZ bezeichnet) installiert werden.
    • Die Kommunikation zwischen einem Agent und Microsoft Entra ID wird per zertifikatbasierter Authentifizierung geschützt. Diese Zertifikate werden alle paar Monate automatisch von Microsoft Entra ID verlängert.
  • Hoch verfügbar
    • Zusätzliche Agents können auf mehreren lokalen Servern installiert werden, um die Hochverfügbarkeit von Anmeldeanforderungen sicherzustellen.

Wichtige Features

  • Unterstützt die Benutzeranmeldung in allen browserbasierten Webanwendungen und in Microsoft Office-Clientanwendungen, die die moderne Authentifizierung verwenden.
  • Bei den Benutzernamen für die Anmeldung kann es sich entweder um den lokalen Standardbenutzernamen (userPrincipalName) oder um ein anderes (als Alternate ID bezeichnetes) Attribut handeln, das in Microsoft Entra Connect konfiguriert ist.
  • Das Feature funktioniert nahtlos mit Features für den bedingten Zugriff wie die Multi-Factor Authentication (MFA), mit der Sie Ihre Benutzer schützen können.
  • Es ist in eine cloudbasierte Self-Service-Kennwortverwaltung integriert, einschließlich Rückschreiben von Kennwörtern auf lokalem Active Directory und Kennwortschutz, indem häufig verwendete Kennwörter gesperrt werden.
  • Umgebungen mit mehreren Gesamtstrukturen werden unterstützt, wenn Gesamtstruktur-Vertrauensstellungen zwischen Ihren AD-Gesamtstrukturen bestehen und das Namensuffixrouting ordnungsgemäß konfiguriert ist.
  • Es handelt sich um eine kostenlose Funktion, und Sie benötigen keine kostenpflichtigen Editionen von Microsoft Entra ID, um sie zu nutzen.
  • Sie kann über Microsoft Entra Connect aktiviert werden.
  • Dazu wird ein einfacher lokaler Agent verwendet, der auf Kennwortüberprüfungsanforderungen lauscht und darauf reagiert.
  • Die Installation von mehreren Agents gewährleistet die Hochverfügbarkeit für Anmeldeanforderungen.
  • So werden Ihre lokalen Konten gegen Brute-Force-Kennwortangriffe in der Cloud geschützt.

Nächste Schritte