Häufig gestellte Fragen zur Migration von Active Directory-Verbundserver zu Microsoft Entra
Microsoft Entra ID bietet eine einfache cloudbasierte Anmeldeerfahrung für alle Ihre Ressourcen und Apps mit strenger Authentifizierung und risikobasierten adaptiven Zugriffsrichtlinien in Echtzeit, um Zugriff auf Ressourcen zu gewähren, was die Betriebskosten für die Verwaltung und Wartung einer AD FS-Umgebung reduziert und die IT-Effizienz steigert.
Weitere Informationen dazu, warum Sie ein Upgrade von AD FS auf Microsoft Entra ID durchführen sollten, finden Sie unter Umstieg von AD FS zu Microsoft Entra ID. Informationen, wie Sie ein Upgrade von AD FS durchführen, finden Sie unter Migrieren von Verbund- zur Cloudauthentifizierung.
Allgemeine Fragen
In diesem Dokument finden Sie Antworten auf häufig gestellte Fragen zur Migration von AD FS zu Microsoft Entra ID.
Kann ich AD FS parallel zur Kennworthashsynchronisierung oder Passthrough-Authentifizierung ausführen?
Ja, das ist möglich. Das ist eine übliche Vorgehensweise. Mithilfe eines gestaffelten Rollouts nur für einen Teil Ihrer Benutzer können Sie überprüfen, ob die Benutzer sich direkt bei Microsoft Entra ID authentifizieren können, während die Domäne im Verbund bleibt. Das Dokument Migrieren vom Verbund zur Cloudauthentifizierung leitet Sie durch den Prozess.
Beim internen Zugriff auf Websites über AD FS können Benutzer das einmalige Anmelden nutzen. Wie behalten wir dieses Benutzererlebnis nach der Umstellung auf Microsoft Entra ID bei?
Es gibt mehrere Möglichkeiten. Die erste und empfohlene Möglichkeit besteht darin, Ihre vorhandenen in die Domäne eingebundenen Windows 10/11-Computer in als Microsoft Entra-Hybridgeräte einzubinden oder die Microsoft Entra-Einbindung zu verwenden. Damit stellen Sie das gleiche nahtlose Benutzererlebnis bei der Anmeldung bereit. Die zweite Möglichkeit ist die Nutzung des nahtlosen einmaligen Anmeldens für nicht als Hybridgerät in Microsoft Entra eingebundene Computer oder Windows-Clients mit niedrigeren Versionen, um dasselbe Benutzererlebnis zu erzielen.
Ich registriere als Hybridgeräte in Microsoft Entra eingebundene Geräte mithilfe von AD FS-Geräteansprüchen. Wie ermögliche ich es Geräten, den Prozess der Azure AD-Hybrideinbindung mit AD FS fortzusetzen?
Sie können die Microsoft Entra-Hybrideinbindung für Geräte konfigurieren, um den Registrierungsvorgang ohne AD FS abzuschließen.
Ich verfüge über Autorisierungsregeln in AD FS. Was ist die entsprechende Vorgehensweise in Microsoft Entra ID?
Das Äquivalent sind Microsoft Entra-Richtlinien für bedingten Zugriff. Es gibt mehrere vordefinierte Vorlagenrichtlinien, mit denen Sie beginnen können.
Wenn ich Benutzer zu einer Gruppe für gestaffeltes Rollout hinzufüge, wirkt sich dies auf ihre aktuellen Sitzungen aus, und müssen sie sich erneut authentifizieren?
Nein, die aktuelle Sitzung bleibt gültig, und wenn Benutzer sich das nächste Mal authentifizieren müssen, nutzen sie dafür die verwaltete Authentifizierung anstelle der Verbundauthentifizierung.
Ich habe eine Anspruchsanbieter-Vertrauensstellung mit einem anderen Unternehmen für den Zugriff auf Ressourcen eingerichtet. Wie stelle ich diese Vertrauensstellung um?
Nutzen Sie Microsoft Entra B2B, um den gleichen Authentifizierungszugriff zu erzielen.
Wir verfügen über benutzerdefinierte Anspruchsregeln. Kann Microsoft Entra ID diese unterstützen?
Je nach den erforderlichen Regeln ja. Um dies herauszufinden, ist der AD FS-Anwendungsaktivitätsbericht am besten geeignet. Dort können Sie sehen, wie Sie SAML-Ansprüche anpassen.
Wie lange dauert die Umstellung einer Domäne vom Verbund auf eine verwaltete Domäne?
Die vollständige Umstellung kann bis zu 4 Stunden dauern. Planen Sie Ihr Wartungsfenster entsprechend.
Ist AD FS für die Verwendung von O365 erforderlich?
Nein, O365 kann Sie direkt authentifizieren, ohne dass AD FS erforderlich ist.
Muss ich nach dem Verschieben der Anwendungskonfiguration in Microsoft Entra ID noch weitere Schritte unternehmen, um die Migration abzuschließen?
Ja, die Migration einer Anwendung zu Microsoft Entra ist erst abgeschlossen, wenn Sie die App selbst so umkonfiguriert haben (Cutover), dass Microsoft Entra verwendet wird.
Ist AD FS erforderlich, damit sich Benutzer*innen mit ihrer E-Mail-Adresse oder dem Benutzerprinzipalnamen (User Principal Name, UPN) anmelden können?
Nein, Microsoft Entra unterstützt die Anmeldung mit einer E-Mail-Adresse oder einem Benutzerprinzipalnamen.