Unterstützte Szenarien für die Verwendung von AD FS zum Einrichten der einmaligen Anmeldung in Microsoft 365, Azure oder Intune

Einführung

Dieser Artikel enthält eine Übersicht über verschiedene Active Directory-Verbunddienste (AD FS) (AD FS)-Szenarien und deren Auswirkungen auf einmaliges Anmelden (Single Sign-On, SSO) in Microsoft 365, Microsoft Azure oder Microsoft Intune.

Weitere Informationen

Wie bei den meisten Diensten auf Unternehmensebene kann der AD FS-Verbunddienst (für SSO genutzt) je nach Geschäftsanforderungen auf viele verschiedene Arten implementiert werden. Die folgenden AD FS-Szenarien konzentrieren sich auf die Veröffentlichung des lokalen AD FS-Verbunddiensts im Internet. Dies ist ein sehr spezifischer Aspekt der AD FS-Implementierung.

Szenario 1: Vollständig implementiertes AD FS

Beschreibung

Active Directory-Clientanforderungen für AD FS-Verbundserverfarmdienste über SSO-Authentifizierung. Ein AD FS-Verbundserverproxy (Load Balanced) macht diese Kernauthentifizierungsdienste für das Internet verfügbar, indem Anforderungen und Antworten zwischen Internetclients und der internen AD FS-Umgebung hin- und hergesendet werden.

Empfehlungen

Dies ist die empfohlene Implementierung von AD FS.

Supportannahmen

Es gibt keine Supportannahmen für dieses Szenario. Dieses Szenario wird von Microsoft-Support unterstützt.

Szenario 2: Von der Firewall veröffentlichte AD FS

Beschreibung

Active Directory-Clientanforderungen für AD FS-Verbundserverfarmdienste über SSO-Authentifizierung. Ein Microsoft Internet Security and Acceleration (ISA)/Microsoft Forefront Threat Management Gateway (TMG)-Server (oder eine Serverfarm) macht diese Kernauthentifizierungsdienste per Reverseproxy für das Internet verfügbar.

Einschränkungen

Der erweiterte Authentifizierungsschutz muss in der AD FS-Verbundserverfarm deaktiviert sein, damit dies funktioniert. Dies schwächt das Sicherheitsprofil des Systems. Aus Sicherheitsgründen wird empfohlen, dies nicht zu tun.

Supportannahmen

Es wird davon ausgegangen, dass die ISA/TMG-Firewall und die Reverseproxyregel ordnungsgemäß implementiert sind und funktionsfähig sind. Damit Microsoft-Support dieses Szenario unterstützen können, müssen die folgenden Bedingungen erfüllt sein:

  • Der Reverseproxy des HTTPS-Datenverkehrs (Port 443) zwischen dem Internetclient und dem AD FS-Server muss transparent sein.
  • Der AD FS-Server muss eine originalgetreue Kopie der SAML-Anforderungen vom Internetclient erhalten.
  • Internetclients müssen originalgetreue Kopien von SAML-Antworten erhalten, als wären die Clients direkt an den lokalen AD FS-Server angefügt.

Informationen zu häufig auftretenden Problemen, die dazu führen können, dass diese Konfiguration fehlschlägt, finden Sie in der folgenden Ressource:

Szenario 3: Nicht veröffentlichte AD FS

Beschreibung

Active Directory-Clientanforderungen eines AD FS-Verbundserverfarmdienstes über die SSO-Authentifizierung, und die Serverfarm wird durch keine Methode für das Internet verfügbar gemacht.

Einschränkungen

Internetclients (einschließlich mobiler Geräte) können keine Microsoft-Clouddienstressourcen verwenden. Aus Gründen des Servicelevels wird empfohlen, dies nicht zu tun.

Outlook-Rich-Clients können keine Verbindung mit Exchange Online Ressourcen herstellen. Weitere Informationen finden Sie im folgenden Microsoft Knowledge Base-Artikel:

2466333 Verbundbenutzer können keine Verbindung mit einem Exchange Online Postfach herstellen

Supportannahmen

Es wird davon ausgegangen, dass der Kunde durch die Implementierung bestätigt, dass dieses Setup nicht die vollständig angekündigte Suite von Diensten bereitstellt, die von Azure Active Directory (Azure AD) unterstützt werden. Unter diesen Umständen wird dieses Szenario von Microsoft-Support unterstützt.

Szenario 4: VPN-veröffentlichtes AD FS

Beschreibung

Active Directory-Clientanforderungen eines AD FS-Verbundservers (oder einer Verbundserverfarm) über die SSO-Authentifizierung, und der Server oder die Serverfarm wird durch keine Methode für das Internet verfügbar gemacht. Internetclients stellen eine Verbindung mit AD FS-Diensten her und verwenden sie nur über eine VPN-Verbindung (Virtual Private Network) mit der lokalen Netzwerkumgebung.

Einschränkungen

Sofern Internetclients (einschließlich mobiler Geräte) nicht VPN-fähig sind, können sie keine Microsoft-Clouddienste verwenden. Aus Gründen des Servicelevels wird empfohlen, dies nicht zu tun.

Outlook-Rich-Clients (einschließlich ActiveSync-Clients) können keine Verbindung mit Exchange Online Ressourcen herstellen. Weitere Informationen finden Sie im folgenden Microsoft Knowledge Base-Artikel:

2466333 Verbundbenutzer können keine Verbindung mit einem Exchange Online mailboxSupport-Annahmen herstellen

Es wird davon ausgegangen, dass der Kunde durch die Implementierung bestätigt, dass dieses Setup nicht die vollständig angekündigte Suite von Diensten bereitstellt, die vom Identitätsverbund in Azure AD unterstützt werden.

Es wird angenommen, dass das VPN korrekt implementiert ist und funktionsfähig ist. Damit dieses Szenario von Microsoft-Support unterstützt wird, müssen die folgenden Bedingungen erfüllt sein:

  • Der Client kann über HTTPS (Port 443) über den DNS-Namen eine Verbindung mit dem AD FS-System herstellen.
  • Der Client kann mithilfe der entsprechenden Ports/Protokolle über den DNS-Namen eine Verbindung mit dem Azure AD-Verbundendpunkt herstellen.

Ad FS und Azure AD-Identitätsverbund mit hoher Verfügbarkeit

Jedes Szenario kann mithilfe eines eigenständigen AD FS-Verbundservers anstelle einer Serverfarm variiert werden. Es ist jedoch immer eine bewährte Methode von Microsoft, alle kritischen Infrastrukturdienste mithilfe von Hochverfügbarkeitstechnologie zu implementieren, um Zugriffsverluste zu vermeiden.

Die lokale AD FS-Verfügbarkeit wirkt sich direkt auf die Verfügbarkeit von Microsoft-Clouddiensten für Verbundbenutzer aus, und die Dienstebene liegt in der Verantwortung des Kunden. Die Microsoft TechNet-Bibliothek enthält umfassende Anleitungen zum Planen und Bereitstellen von AD FS in der lokalen Umgebung. Diese Anleitung kann Kunden dabei helfen, ihr Zieldienstniveau für dieses kritische Subsystem zu erreichen. Weitere Informationen finden Sie auf der folgenden TechNet-Website:

Active Directory-Verbunddienste (AD FS) 2.0

References

Benötigen Sie weitere Hilfe? Besuchen Sie die Microsoft Community- oder die Azure Active Directory Forum-Website.