Schritt 1. Ermitteln Ihres Cloudidentitätsmodells

Microsoft 365 verwendet Azure Active Directory (Azure AD), einen cloudbasierten Benutzeridentitäts- und Authentifizierungsdienst, der in Ihrem Microsoft 365-Abonnement enthalten ist, um Identitäten und Authentifizierung für Microsoft 365 zu verwalten. Die richtige Konfiguration Ihrer Identitätsinfrastruktur ist für die Verwaltung des Zugriffs und der Berechtigungen von Microsoft 365-Benutzern für Ihre Organisation von entscheidender Bedeutung.

Bevor Sie beginnen, schauen Sie sich dieses Video an, um eine Übersicht über die Identitätsmodelle und Authentifizierung für Microsoft 365 zu erhalten.

Ihre erste Planungsentscheidung ist Ihr Cloudidentitätsmodell.

Microsoft-Cloudidentitätsmodelle

Um Benutzerkonten zu planen, müssen Sie zunächst die beiden Identitätsmodelle in Microsoft 365 verstehen. Sie können die Identitäten Ihrer Organisation nur in der Cloud verwalten, oder Sie können Ihre lokalen AD DS-Identitäten (Active Directory Domain Services) verwalten und diese zur Authentifizierung verwenden, wenn Benutzer auf Microsoft 365-Clouddienste zugreifen.

Nachfolgend finden Sie die beiden Identitätstypen sowie deren beste Anwendungsfälle und Vorteile.

Attribut Reine Cloudidentität Hybrididentität
Definition Das Benutzerkonto ist nur im Azure AD-Mandanten für Ihr Microsoft 365-Abonnement vorhanden. Ein Benutzerkonto ist in AD DS vorhanden, und eine Kopie befindet sich auch im Azure AD-Mandanten für Ihr Microsoft 365-Abonnement. Das Benutzerkonto in Azure AD kann auch eine Hashversion des bereits gehashten AD DS-Benutzerkontokennworts enthalten.
Authentifizierung von Benutzeranmeldeinformationen durch Microsoft 365 Der Azure AD-Mandant für Ihr Microsoft 365-Abonnement führt die Authentifizierung mit dem Cloudidentitätskonto durch. Der Azure AD-Mandant für Ihr Microsoft 365-Abonnement behandelt verarbeitet entweder den Authentifizierungsprozess oder leitet den Benutzer an einen anderen Identitätsanbieter weiter.
Ideal für Organisationen, die keinen lokalen AD DS besitzen oder benötigen. Organisationen, die AD DS oder einen anderen Identitätsanbieter verwenden.
Größter Vorteil Einfach zu verwenden. Es sind keine zusätzlichen Verzeichnistools oder Server erforderlich. Benutzer können dieselben Anmeldeinformationen verwenden, wenn sie auf lokale oder cloudbasierte Ressourcen zugreifen.

Reine Cloudidentität

Bei der reinen Cloudidentität werden Benutzerkonten verwendet, die nur in Azure AD vorhanden sind. Reine Cloudidentität wird in der Regel von kleinen Organisationen verwendet, die nicht über lokale Server verfügen oder AD DS nicht zum Verwalten lokaler Identitäten verwenden.

Hier sind die grundlegenden Komponenten der reinen Cloudidentität.

Grundlegende Komponenten der reinen Cloudidentität.

Sowohl lokale als auch Remotebenutzer (online) verwenden ihre Azure AD-Benutzerkonten und -Kennwörter, um auf Microsoft 365-Clouddienste zuzugreifen. Azure AD authentifiziert Benutzeranmeldeinformationen basierend auf den gespeicherten Benutzerkonten und Kennwörtern.

Verwaltung

Da Benutzerkonten nur in Azure AD gespeichert werden, verwalten Sie Cloudidentitäten mit Tools wie Microsoft 365 Admin Center und Windows PowerShell.

Hybrididentität

Die Hybrididentität verwendet Konten, die von einem lokalen AD DS stammen und eine Kopie im Azure AD-Mandanten eines Microsoft 365-Abonnements aufweisen. Die meisten Änderungen, mit Ausnahme bestimmter Kontoattribute, werden nur auf eine Weise ablaufen. Änderungen, die Sie an AD DS-Benutzerkonten vornehmen, werden mit Ihrer Kopie in Azure AD synchronisiert.

Azure AD Connect bietet die laufende Kontosynchronisierung. Es wird auf einem lokalen Server ausgeführt, überprüft auf Änderungen in AD DS und leitet diese Änderungen an Azure AD weiter. Azure AD Connect bietet die Möglichkeit zu filtern, welche Konten synchronisiert werden, und ob eine Hashversion der Benutzerkennwörter synchronisiert werden soll; dies wird als „Kennworthashsynchronisierung“ (Password hash synchronization, PHS) bezeichnet.

Wenn Sie die Hybrididentität implementieren, ist Ihr lokales AD DS die autorisierende Quelle für Kontoinformationen. Dies bedeutet, dass Sie Verwaltungsaufgaben hauptsächlich lokal durchführen, die dann mit Azure AD synchronisiert werden.

Nachfolgend finden Sie die Komponenten der Hybrididentität.

Komponenten der Hybrididentität.

Der Azure AD-Mandant hat eine Kopie der AD DS-Konten. In dieser Konfiguration authentifizieren sich sowohl lokale als auch Remotebenutzer beim Zugriff auf Microsoft 365-Clouddienste bei Azure AD.

Hinweis

Sie müssen immer Azure AD Connect verwenden, um Benutzerkonten für die Hybrididentität zu synchronisieren. Sie benötigen die synchronisierten Benutzerkonten in Azure AD, um die Lizenzzuweisung und Gruppenverwaltung durchzuführen, um Berechtigungen zu konfigurieren und um andere Verwaltungsaufgaben auszuführen, die Benutzerkonten umfassen.

Hybride Identitäts- und Verzeichnissynchronisierung für Microsoft 365

Je nach Ihren Geschäftlichen Anforderungen und technischen Anforderungen ist das Hybrididentitätsmodell und die Verzeichnissynchronisierung die häufigste Wahl für Unternehmenskunden, die Microsoft 365 einführen. Mit der Verzeichnissynchronisierung können Sie Identitäten in Ihrem Active Directory Domain Services (AD DS) verwalten, und alle Updates für Benutzerkonten, Gruppen und Kontakte werden mit dem Azure Active Directory (Azure AD)-Mandanten Ihres Microsoft 365-Abonnements synchronisiert.

Hinweis

Wenn AD DS-Benutzerkonten zum ersten Mal synchronisiert werden, wird ihnen nicht automatisch eine Microsoft 365-Lizenz zugewiesen, und sie können nicht auf Microsoft 365-Dienste wie E-Mail zugreifen. Sie müssen ihnen zunächst einen Verwendungsort zuweisen. Weisen Sie diesen Benutzerkonten dann eine Lizenz zu, entweder einzeln oder dynamisch über die Gruppenmitgliedschaft.

Authentifizierung für Hybrididentität

Bei Verwendung des hybriden Identitätsmodells gibt es zwei Arten der Authentifizierung:

  • Verwaltete Authentifizierung

    Azure AD verarbeitet den Authentifizierungsprozess mithilfe einer lokal gespeicherten Hashversion des Kennworts oder sendet die Anmeldeinformationen an einen lokalen Software-Agent, um vom lokalen AD DS authentifiziert zu werden.

  • Verbundauthentifizierung

    Azure AD leitet den Clientcomputer, der die Authentifizierung anfordert, an einen anderen Identitätsanbieter um.

Verwaltete Authentifizierung

Es gibt zwei Arten der verwalteten Authentifizierung:

  • Kennworthashsynchronisierung (Password hash synchronization, PHS)

    Azure AD führt die Authentifizierung selbst durch.

  • Passthrough-Authentifizierung (PTA)

    Azure AD lässt AD DS die Authentifizierung durchführen.

Kennworthashsynchronisierung (Password hash synchronization, PHS)

Mit PHS synchronisieren Sie Ihre AD DS-Benutzerkonten mit Microsoft 365 und verwalten Ihre Benutzer lokal. Hashes von Benutzerkennwörtern werden von Ihrem AD DS mit Azure AD synchronisiert, sodass die Benutzer lokal und in der Cloud dasselbe Kennwort haben. Dies ist die einfachste Möglichkeit, die Authentifizierung für AD DS-Identitäten in Azure AD zu aktivieren.

Kennworthashsynchronisierung (Password Hash Synchronization, PHS).

Wenn Kennwörter lokal geändert oder zurückgesetzt werden, werden die neuen Kennworthashes mit Azure AD synchronisiert, sodass Ihre Benutzer immer dasselbe Kennwort für Cloudressourcen und lokale Ressourcen verwenden können. Die Benutzerkennwörter werden niemals an Azure AD gesendet oder in Azure AD im Klartext gespeichert. Einige Premiumfeatures von Azure AD, z. B. Identity Protection, erfordern PHS, unabhängig davon, welche Authentifizierungsmethode ausgewählt ist.

Weitere Informationen finden Sie unter Auswählen der richtigen Authentifizierungsmethode .

Passthrough-Authentifizierung (PTA)

PTA bietet eine einfache Kennwortüberprüfung für Azure AD-Authentifizierungsdienste mithilfe eines Software-Agents, der auf einem oder mehreren lokalen Servern ausgeführt wird, um die Benutzer direkt mit Ihrem AD DS zu überprüfen. Mit PTA synchronisieren Sie AD DS-Benutzerkonten mit Microsoft 365 und verwalten Ihre Benutzer lokal.

Pass-Through-Authentifizierung (PTA).

PTA ermöglicht Es Ihren Benutzern, sich sowohl bei lokalen als auch bei Microsoft 365-Ressourcen und -Anwendungen mit ihrem lokalen Konto und Kennwort anzumelden. Diese Konfiguration überprüft Benutzerkennwörter direkt mit Ihrem lokalen AD DS, ohne Kennworthashes in Azure AD zu speichern.

PTA ist auch für Organisationen mit einer Sicherheitsanforderung vorgesehen, um sofort lokale Benutzerkontostatus, Kennwortrichtlinien und Anmeldezeiten zu erzwingen.

Weitere Informationen finden Sie unter Auswählen der richtigen Authentifizierungsmethode .

Verbundauthentifizierung

Die Verbundauthentifizierung richtet sich in erster Linie an große Unternehmen mit komplexeren Authentifizierungsanforderungen. AD DS-Identitäten werden mit Microsoft 365 synchronisiert, und Benutzerkonten werden lokal verwaltet. Bei der Verbundauthentifizierung verfügen Benutzer über dasselbe Kennwort lokal und in der Cloud, und sie müssen sich nicht erneut anmelden, um Microsoft 365 zu verwenden.

Die Verbundauthentifizierung kann zusätzliche Authentifizierungsanforderungen unterstützen, z. B. smartcardbasierte Authentifizierung oder eine mehrstufige Authentifizierung von Drittanbietern. Dies ist in der Regel erforderlich, wenn Organisationen eine Authentifizierungsanforderung haben, die von Azure AD nicht nativ unterstützt wird.

Weitere Informationen finden Sie unter Auswählen der richtigen Authentifizierungsmethode .

Bei Authentifizierungs- und Identitätsanbietern von Drittanbietern können lokale Verzeichnisobjekte mit Microsoft 365 und dem Zugriff auf Cloudressourcen synchronisiert werden, die in erster Linie von einem Identitätsanbieter eines Drittanbieters (IdP) verwaltet werden. Wenn Ihre Organisation eine Verbundlösung eines Drittanbieters verwendet, können Sie die Anmeldung mit dieser Lösung für Microsoft 365 konfigurieren, sofern die Verbundlösung eines Drittanbieters mit Azure AD kompatibel ist.

Weitere Informationen finden Sie in der Kompatibilitätsliste des Azure AD-Partnerverbunds .

Verwaltung

Da die ursprünglichen und autoritativen Benutzerkonten im lokalen AD DS gespeichert sind, verwalten Sie Ihre Identitäten mit denselben Tools wie Sie Ad DS verwalten.

Sie verwenden nicht die Microsoft 365 Admin Center oder PowerShell für Microsoft 365, um synchronisierte Benutzerkonten in Azure AD zu verwalten.

Nächster Schritt

Schützen Ihrer microsoft 365-privilegierten Konten

Fahren Sie mit Schritt 2 fort, um Ihre globalen Administratorkonten zu sichern.