Hybrididentität mit Microsoft Entra ID
Organisationen sind eine Mischung aus lokalen Anwendungen und Cloudanwendungen. Benutzer benötigen lokal und in der Cloud Zugriff auf diese Anwendungen.
Die Microsoft-Identität umfasst lokale und cloudbasierte Funktionen. Diese Lösungen schaffen eine gemeinsame Benutzeridentität für die Authentifizierung und Autorisierung bei allen Ressourcen, unabhängig vom Standort.
Um Hybrididentität in Microsoft Entra ID zu erreichen, kann je nach Szenario eine von drei Authentifizierungsmethoden verwendet werden. Die drei Methoden sind:
- Kennworthashsynchronisierung (Password hash synchronization, PHS)
- Passthrough-Authentifizierung (PTA)
- Verbund (AD FS)
Diese Authentifizierungsmethoden bieten auch SSO-Funktionen. Einmaliges Anmelden meldet Benutzer automatisch bei ihren Unternehmensgeräten an, die mit dem Unternehmensnetzwerk verbunden sind.
Gängige Szenarien und Empfehlungen
Im Folgenden finden Sie allgemeine Hybrididentitäts- und Zugriffsverwaltungsszenarios mit Empfehlungen dazu, welche Hybrididentitätsoptionen jeweils geeignet sein könnte.
Ziel
PHS und SSO11
PTA und SSO22
AD FS33
Automatisches Synchronisieren neuer Benutzer-, Kontakt- und Gruppenkonten, die in meiner lokalen Active Directory-Instanz erstellt werden, mit der Cloud
Ja
Ja
Ja
Einrichten meines Mandanten für Office 365-Hybridszenarios
Ja
Ja
Ja
Ermöglichen der Anmeldung und des Zugriffs auf Clouddienste für meine Benutzer mit ihrem lokalen Kennwort
Ja
Ja
Ja
Implementieren des einmaligen Anmeldens mit Anmeldeinformationen des Unternehmens
Ja
Ja
Ja
Sicherstellen, dass keine Kennworthashes in der Cloud gespeichert werden
Ja
Ja
Aktivieren cloudbasierter Lösungen für die Multi-Faktor-Authentifizierung
Ja
Ja
Ja
Aktivieren lokaler Lösungen für die Multi-Faktor-Authentifizierung
Ja
Unterstützen der Smartcard-Authentifizierung für meine Benutzer4
Ja
Anzeigen von Benachrichtigungen zum Kennwortablauf im Office-Portal und auf dem Windows 10-Desktop
Ja
1 Kennworthashsynchronisierung mit einmaligem Anmelden
2 Pass-Through-Authentifizierung und einmaliges Anmelden
3 Einmalige Verbundanmeldung mit AD FS
4 AD FS kann in Ihre Unternehmens-PKI integriert werden, damit die Anmeldung mithilfe von Zertifikaten möglich ist. Bei diesen Zertifikaten kann es sich um Softzertifikate handeln, die über vertrauenswürdige Bereitstellungskanäle wie MDM und GPO, Smartcardzertifikate (einschließlich PIV/CAC-Karten) oder Hello for Business bereitgestellt werden.