Azure AD Connect Office 365Microsoft bietet neue und interessante Möglichkeiten, Azure AD Connect für die Authentifizierung zu konfigurieren.

In der Vergangenheit waren die beiden Hauptoptionen Password Hash Synchronization oder ADFS. Microsoft hat nun die Pass-through-Authentifizierung hinzugefügt und auch eine neue Funktion namens Seamless Single Sign-On hinzugefügt.

Mit all diesen Optionen, sind hier ein paar Gedanken, die Ihnen helfen, das passende Verfahren für Ihr Unternehmen auszuwählen:

HABEN SIE KOMPLEXE BENUTZERLOGIN-REGELN, DIE AUF ORT, ZEIT UND/ODER GERÄTEN BASIEREN?

Einige Unternehmen haben sehr komplexe Regeln für die Benutzeranmeldung an Office 365. Diese Regeln können die Beschränkung des Zugriffs auf der Basis von Standort, Tageszeit oder Gerätetyp beinhalten. Viele dieser Regeln, wie z.B. gerätetyp- oder standortspezifische Regeln, können durch Azure Active Directory Conditional Access Policies verwaltet werden, aber wenn Sie nach zeitbasierten Regeln oder einer Kombination aus allen oben genannten Regeln suchen, dann könnte ADFS die Lösung für Sie sein.

ADFS bietet die größte Flexibilität für benutzerdefinierte Richtlinien und Zugriffsbeschränkungen, ist aber auch die komplizierteste der zu verwaltenden Umgebungen. ADFS erfordert zahlreiche redundante lokale Server, denn wenn die ADFS-Umgebung ausfällt, schlägt auch Ihre Authentifizierung bei Office 365 fehl.

Wenn Sie keine extrem komplizierten Authentifizierungsregeln benötigen:

HABEN SIE HOHE COMPLIANCE-ANFORDERUNGEN, BEI DENEN SIE VON ÜBERALL AUF IHRE PASSWÖRTER ZUGREIFEN KÖNNEN, ABER ACTIVE DIRECTORY IST EINE HERAUSFORDERUNG?

Wenn Passwörter in Azure AD repliziert werden, werden sie zweimal und gründlich gesichert, so dass Microsoft alle Anforderungen aus Compliance-Sicht erfüllen kann. Einige Finanz- und Rechtsorganisationen ziehen es jedoch vor, alle Passwortinformationen lokal aufzubewahren. In diesem Szenario ist die Pass-through-Authentifizierung das Richtige für Sie. Diese Lösung verfügt über in Ihrer Umgebung installierte Agenten, die alle Azure AD-Authentifizierungen direkt an Ihre Domänencontroller zurückgeben. Dadurch wird sichergestellt, dass die gesamte Authentifizierung vor Ort erfolgt und dass alle lokalen Authentifizierungssicherheitsmaßnahmen auf Ihre Cloud-Logins angewendet werden.

Die Weitergabe birgt ähnliche Risiken wie ADFS, da die Agenten für die Authentifizierung erforderlich sind, aber sie sind viel einfacher zu handhaben und werden zur einfacheren Bereitstellung und Verwaltung in die AD Connect-Installation integriert.

TRIFFT KEINE DER OBEN GENANNTEN FRAGESTELLUNGEN AUF SIE ZU?

Dann fallen Sie in die gebräuchlichste Kategorie und zwar in die Passwort-Hash-Synchronisation. Wenn immer möglich, empfehlen Microsoft und hagel-IT die Verwendung von Password Hash, da es die einfachste und stabilste Lösung ist. Wenn bei der Authentifizierung für Office 365 die lokale Umgebung ausfällt, wird die Authentifizierung nicht beeinträchtigt. Die Passwort-Hash-Synchronisierung ist in die Grundinstallation von AD Connect integriert, so dass keine zusätzliche Software erforderlich ist, und wie bereits erwähnt, werden die Passwörter doppelt gehasht und gesichert, um die Einhaltung der Vorschriften zu gewährleisten.

UND WAS IST MIT EINEM NAHTLOSEN SINGLE SIGN-ON?

Na klar, das will man gerne haben: Seamless Single Sign-On ist eine in AD Connect integrierte Lösung, die eine Reduzierung der Eingabeaufforderungen für Benutzernamen und Kennwörter ermöglicht, wenn Benutzer im Büro sind. Wenn Sie Passwort-Hash oder Pass-through-Authentifizierung verwenden, wird empfohlen, Seamless Single Sign-On zu aktivieren. Die nahtlose Single Sign-On-Funktionalität ist bereits in ADFS integriert, so dass es nicht notwendig ist, sie extra einzuschalten. Nahtloses Single Sign-On ist zudem vorteilhaft, da es nach Möglichkeit funktioniert, aber es blockiert weder die Anmeldung noch stört es die Benutzerfreundlichkeit, wenn es nicht ordnungsgemäß funktioniert.

Sind Sie ein bestehender ADFS-Benutzer und möchten zurück zu Password Hash wechseln? Sind Sie neu in Office 365 und benötigen Hilfe bei der Einrichtung von AD Connect? Kontaktieren Sie hagel-IT und wir helfen Ihnen gerne weiter.

Jens Hagel
Folge mir

Jens Hagel

Geschäftsführer bei hagel IT-Services GmbH
Gründer und Inhaber der Firma hagel IT-Services GmbH in Hamburg. Natürlich leidenschaftlicher Technikfan und immer auf der Suche nach Verbesserungen.
Jens Hagel
Folge mir

Kommentarbereich geschlossen.