Verwaltung und Anpassung der Active Directory-Verbunddienste mit Azure AD Connect

In diesem Artikel wird beschrieben, wie Active Directory-Verbunddienste (AD FS) mit Azure Active Directory (Azure AD) Connect verwaltet und angepasst werden. Darüber hinaus werden andere gängige AD FS-Aufgaben behandelt, die Sie möglicherweise zur vollständigen Konfiguration einer AD FS-Farm benötigen.

Thema Inhalt
Verwalten von AD FS
Reparieren der Vertrauensstellung Beschreibung des Vorgangs zum Reparieren der Verbundvertrauensstellung mit Microsoft 365.
Erstellen eines Verbunds mit Azure AD mithilfe einer alternativen Anmelde-ID Konfigurieren eines Verbunds mithilfe einer alternativen Anmelde-ID
Hinzufügen eines AD FS-Servers Beschreibung des Vorgangs zum Erweitern einer AD FS-Farm mit einem zusätzlichen AD FS-Server
Hinzufügen eines AD FS-Webanwendungsproxy-Servers Beschreibung des Vorgangs zum Erweitern einer AD FS-Farm mit einem zusätzlichen WAP-Server (Web Application Proxy)
Hinzufügen einer Verbunddomäne Beschreibung des Vorgangs zum Hinzufügen einer Verbunddomäne
Aktualisieren des TLS-/SSL-Zertifikats Beschreibung des Vorgangs zum Aktualisieren des TLS-/SSL-Zertifikats für eine AD FS-Farm
Anpassen von AD FS
Hinzufügen eines benutzerdefinierten Firmenlogos oder einer Abbildung Beschreibung des Vorgangs zum Anpassen einer AD FS-Anmeldeseite mit einem Firmenlogo und einer Abbildung
Hinzufügen einer Anmeldebeschreibung Beschreibung des Vorgangs zum Hinzufügen einer Beschreibung für die Anmeldeseite
Ändern von AD FS-Anspruchsregeln Beschreibung des Vorgangs zum Ändern der AD FS-Ansprüche für verschiedene Verbundszenarien

Verwalten von AD FS

Sie können verschiedene AD FS-bezogene Aufgaben in Azure AD Connect durchführen, die mithilfe des Azure AD Connect-Assistenten mit minimalem Benutzereingriff ausgeführt werden können. Nachdem Sie die Installation von Azure AD Connect durch Ausführen des Assistenten abgeschlossen haben, können Sie den Assistenten erneut ausführen, um zusätzliche Aufgaben durchzuführen.

Reparieren der Vertrauensstellung

Mithilfe von Azure AD Connect können Sie den aktuellen Status der AD FS- und Azure AD-Vertrauensstellung überprüfen und entsprechende Maßnahmen ergreifen, um die Vertrauensstellung zu reparieren. Führen Sie diese Schritte aus, um Ihre Azure AD- und AD FS-Vertrauensstellung zu reparieren.

  1. Wählen Sie in der Liste mit den weiteren Aufgaben die Option AAD- und ADFS-Vertrauensstellung reparieren . AAD- und ADFS-Vertrauensstellung reparieren

  2. Geben Sie auf der Seite Mit Azure AD verbinden die Anmeldeinformationen des globalen Administrators für Azure AD an, und klicken Sie auf Weiter. Screenshot der Seite „Mit Azure AD verbinden“ mit eingegebenen Beispielanmeldeinformationen

  3. Geben Sie auf der Seite Anmeldeinformationen für den Remotezugriff die Anmeldeinformationen für den Domänenadministrator ein.

    Screenshot der Seite „Anmeldeinformationen für den Remotezugriff“ mit eingegebenen Beispielanmeldeinformationen

    Nachdem Sie auf Weiter geklickt haben, überprüft Azure AD Connect die Zertifikatsintegrität und zeigt etwaige Probleme an.

    Status von Zertifikaten

    Auf der Seite Bereit zur Konfiguration wird die Liste der Aktionen angezeigt, die ausgeführt werden, um die Vertrauensstellung zu reparieren.

    Screenshot der Seite „Bereit zur Konfiguration“ mit einer Aktionsliste

  4. Klicken Sie auf Installieren , um die Vertrauensstellung zu reparieren.

Hinweis

Azure AD Connect kann nur selbstsignierte Zertifikate reparieren bzw. Maßnahmen dafür ergreifen. Azure AD Connect kann nicht zum Reparieren von Drittanbieterzertifikaten verwendet werden.

Erstellen eines Verbunds mit Azure AD mithilfe von AlternateID

Es wird empfohlen, lokal und in der Cloud identische Benutzerprinzipalnamen (UPN) zu verwenden. Wenn der lokale UPN eine nicht routingfähige Domäne verwendet (z.B. „Contoso.local“) oder aufgrund von lokalen Anwendungsabhängigkeiten nicht geändert werden kann, wird die Einrichtung einer alternativen Anmelde-ID empfohlen. Alternative Anmelde-IDs bieten die Möglichkeit, eine Anmeldeumgebung zu konfigurieren, in der sich Benutzer mit anderen Attributen als dem UPN anmelden können, z.B. mit der E-Mail-Adresse. Bei der Entscheidung für den Benutzerprinzipalnamen in Azure AD Connect wird standardmäßig das userPrincipalName-Attribut in Active Directory verwendet. Wenn Sie ein anderes Attribut als Benutzerprinzipalnamen auswählen und einen Verbund mit AD FS verwenden, konfiguriert Azure AD Connect AD FS für eine alternative Anmelde-ID. Ein Beispiel für die Auswahl eines anderen Attributs als Benutzerprinzipalnamen finden Sie unten:

Auswahl des AlternateID-Attributs

Das Konfigurieren einer alternativen Anmelde-ID für AD FS besteht aus zwei Hauptschritten:

  1. Konfigurieren der richtigen Gruppe von Ausstellungsansprüchen: Die Ausstellungsanspruchsregeln auf der vertrauenden Seite bei Azure AD werden geändert, um das ausgewählte UserPrincipalName-Attribut als alternative ID des Benutzers zu verwenden.

  2. Aktivieren der alternativen Anmelde-ID in der AD FS-Konfiguration: Die AD FS-Konfiguration wird aktualisiert, damit AD FS Benutzer in den entsprechenden Gesamtstrukturen mithilfe der alternativen ID suchen können. Diese Konfiguration wird für AD FS unter Windows Server 2012 R2 (mit KB2919355) oder höher unterstützt. Wenn die AD FS-Server unter 2012 R2 ausgeführt werden, überprüft Azure AD Connect das Vorhandensein des erforderlichen KB-Updates. Wenn das KB-Update nicht installiert ist, wird nach Abschluss der Konfiguration eine Warnung angezeigt, wie unten dargestellt:

    Warnung zu fehlendem KB-Update unter 2012 R2

    Installieren Sie zur Korrektur der Konfiguration bei fehlendem KB-Update das erforderliche Update KB2919355, und reparieren Sie dann die Vertrauensstellung mithilfe der Informationen unter AAD reparieren und AD FS-Vertrauensstellung.

Hinweis

Weitere Informationen zur alternativen Anmelde-ID sowie Schritte zur manuellen Konfiguration finden Sie unter Konfigurieren alternativer Anmelde-IDs

Hinzufügen eines AD FS-Servers

Hinweis

Für Azure AD Connect ist das PFX-Zertifikat erforderlich, um einen AD FS-Server hinzuzufügen. Daher können Sie diesen Vorgang nur ausführen, wenn Sie die AD FS-Farm mit Azure AD Connect konfiguriert haben.

  1. Wählen Sie Weiteren Verbundserver bereitstellen und klicken Sie auf Weiter.

    Weiterer Verbundserver

  2. Geben Sie auf der Seite Mit Azure AD verbinden die Anmeldeinformationen des globalen Administrators für Azure AD ein und klicken Sie auf Weiter.

    Screenshot der Seite „Mit Azure AD verbinden“ mit eingegebenen Beispielanmeldeinformationen

  3. Geben Sie die Anmeldeinformationen des Domänenadministrators an.

    Anmeldeinformationen des Domänenadministrators

  4. Sie werden von Azure AD Connect zum Eingeben des Kennworts für die PFX-Datei aufgefordert, die Sie beim Konfigurieren der neuen AD FS-Farm mit Azure AD Connect angegeben haben. Klicken Sie auf Kennwort eingeben , um das Kennwort für die PFX-Datei anzugeben.

    Screenshot der Seite „SSL-Zertifikat angeben“ mit geöffnetem Fenster „Zertifikatkennwort“

    Screenshot der Seite „SSL-Zertifikat angeben“, nachdem ein Kennwort für die PFX-Datei eingegeben wurde

  5. Geben Sie auf der Seite AD FS-Server den Servernamen oder die IP-Adresse ein, der bzw. die der AD FS-Farm hinzugefügt werden soll.

    AD FS-Server

  6. Klicken Sie auf Weiter und führen Sie die Schritte auf der letzten Konfigurationsseite aus. Nachdem Azure AD Connect die Server der AD FS-Farm hinzugefügt hat, haben Sie die Möglichkeit, die Konnektivität zu überprüfen.

    Screenshot der Seite „Bereit zur Konfiguration“ mit einer Liste der Aktionen, die nach dem Klicken auf „Installieren“ ausgeführt werden können

    Screenshot der Seite „Installation abgeschlossen“, auf der die Meldung „Die Intranetkonfiguration wurde erfolgreich überprüft“ angezeigt wird

Hinzufügen eines AD FS-WAP-Servers

Hinweis

Für Azure AD Connect ist das PFX-Zertifikat erforderlich, um einen WAP-Server hinzuzufügen. Daher können Sie diesen Vorgang nur ausführen, wenn Sie die AD FS-Farm mit Azure AD Connect konfiguriert haben.

  1. Wählen Sie in der Liste mit den verfügbaren Aufgaben die Option Webanwendungsproxy bereitstellen .

    Webanwendungsproxy bereitstellen

  2. Geben Sie die Anmeldeinformationen des globalen Azure-Administrators an.

    Screenshot der Seite „Mit Azure AD verbinden“, auf der ein Benutzername und ein Kennwort als Beispiel eingegeben sind

  3. Geben Sie auf der Seite SSL-Zertifikat angeben das Kennwort für die PFX-Datei an, die Sie beim Konfigurieren der AD FS-Farm mit Azure AD Connect angegeben haben. Zertifikatkennwort

    Angabe des TLS-/SSL-Zertifikats

  4. Fügen Sie den Server als WAP-Server hinzu. Da der WAP-Server möglicherweise nicht der Domäne angehört, werden Sie vom Assistenten zur Eingabe von Administratoranmeldeinformationen für den hinzugefügten Server aufgefordert.

    Anmeldeinformationen für Verwaltungsserver

  5. Geben Sie auf der Seite Anmeldeinformationen der Proxyvertrauensstellung Administratoranmeldeinformationen an, um die Proxyvertrauensstellung zu konfigurieren und auf den primären Server in der AD FS-Farm zuzugreifen.

    Anmeldeinformationen der Proxyvertrauensstellung

  6. Auf der Seite Bereit zur Konfiguration zeigt der Assistent die Liste mit den Aktionen an, die ausgeführt werden.

    Screenshot der Seite „Bereit zur Konfiguration“ mit der Liste der Aktionen, die ausgeführt werden können

  7. Klicken Sie auf Installieren , um die Konfiguration abzuschließen. Nach Abschluss der Konfiguration bietet der Assistent Ihnen die Möglichkeit, die Verbindung mit den Servern zu überprüfen. Klicken Sie auf Überprüfen , um die Konnektivität zu überprüfen.

    Installation abgeschlossen

Hinzufügen einer Verbunddomäne

Das Hinzufügen einer Domäne, die einen Verbund mit Azure AD bilden soll, ist mithilfe von Azure AD Connect einfach. Azure AD Connect fügt die Domäne für den Verbund hinzu und ändert auch die Anspruchsregeln, damit der richtige Aussteller angezeigt wird, falls Sie über mehrere Domänen in einem Verbund mit Azure AD verfügen.

  1. Zum Hinzufügen einer Verbunddomäne wählen Sie die Aufgabe Weitere Azure AD-Domäne hinzufügen.

    Weitere Azure AD-Domäne

  2. Geben Sie auf der nächsten Seite des Assistenten die Anmeldeinformationen des globalen Administrators für Azure AD an.

    Stellen Sie eine Verbindung mit Azure AD her.

  3. Geben Sie auf der Seite Anmeldeinformationen für den Remotezugriff die Anmeldeinformationen des Domänenadministrators an.

    Anmeldeinformationen für den Remotezugriff

  4. Auf der nächsten Seite stellt der Assistent eine Liste mit den Azure AD-Domänen bereit, mit denen Sie für Ihr lokales Verzeichnis einen Verbund eingehen können. Wählen Sie die Domäne in der Liste aus.

    Azure AD-Domäne

    Nach der Auswahl der Domäne erhalten Sie vom Assistenten die entsprechenden Informationen zu weiteren Aktionen, die er ausführt, sowie zur Auswirkung der Konfiguration. In einigen Fällen – wenn Sie eine Domäne auswählen, die noch nicht in Azure AD überprüft wurde – erhalten Sie vom Assistenten Informationen zur Überprüfung der Domäne. Ausführliche Informationen finden Sie unter Hinzufügen eines benutzerdefinierten Domänennamens zu Azure Active Directory .

  5. Klicken Sie auf Weiter. Auf der Seite Bereit zur Konfiguration wird die Liste mit den Aktionen angezeigt, die von Azure AD Connect ausgeführt werden. Klicken Sie auf Installieren , um die Konfiguration abzuschließen.

    Bereit zur Konfiguration

Hinweis

Benutzer aus der hinzugefügten Verbunddomäne müssen synchronisiert werden, bevor sie sich bei Azure AD anmelden können.

AD FS-Anpassung

Die folgenden Abschnitte enthalten detaillierte Informationen zu einigen häufigen Aufgaben, die zum Anpassen der AD FS-Anmeldeseite eventuell erforderlich sind.

Hinzufügen eines benutzerdefinierten Firmenlogos oder einer Abbildung

Zum Ändern des auf der Anmeldeseite angezeigten Firmenlogos verwenden Sie das unten angegebene Windows PowerShell-Cmdlet und die entsprechende Syntax.

Hinweis

Die empfohlene Größe für das Logo beträgt 260 × 35 @ 96 dpi und einer Dateigröße von höchstens 10 KB.

Set-AdfsWebTheme -TargetName default -Logo @{path="c:\Contoso\logo.PNG"}

Hinweis

Der TargetName -Parameter ist erforderlich. Das mit AD FS veröffentlichte Standarddesign heißt „Standard“.

Hinzufügen einer Anmeldebeschreibung

Zum Hinzufügen einer Beschreibung für die Anmeldeseite verwenden Sie das folgende Windows PowerShell-Cmdlet und die folgende Syntax:

Set-AdfsGlobalWebContent -SignInPageDescriptionText "<p>Sign-in to Contoso requires device registration. Click <A href='http://fs1.contoso.com/deviceregistration/'>here</A> for more information.</p>"

Ändern von AD FS-Anspruchsregeln

AD FS unterstützt eine umfangreiche Sprache für Ansprüche, die Sie zum Erstellen von benutzerdefinierten Anspruchsregeln verwenden können. Weitere Informationen finden Sie unter Rolle der Anspruchsregelsprache.

In den folgenden Abschnitten wird beschrieben, wie Sie benutzerdefinierte Regeln für einige Szenarien in Zusammenhang mit dem Azure AD- und AD FS-Verbund schreiben können.

Unveränderliche ID hängt von einem Wert im Attribut ab

Azure AD Connect ermöglicht Ihnen das Festlegen eines Attributs, das als Quellanker verwendet wird, wenn Objekte mit Azure AD synchronisiert werden. Wenn der Wert im benutzerdefinierten Attribut nicht leer ist, kann es ratsam sein, einen Anspruch mit unveränderlicher ID ausgeben.

Beispielsweise können Sie ms-ds-consistencyguid als Attribut für den Quellanker auswählen und ImmutableID als ms-ds-consistencyguid ausgeben, falls für das Attribut ein Wert vorhanden ist. Wenn kein Wert für das Attribut vorhanden ist, geben Sie objectGuid als unveränderliche ID aus. Sie können den Satz mit den benutzerdefinierten Anspruchsregeln wie im folgenden Abschnitt beschrieben erstellen.

Regel 1: Abfragen von Attributen

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"]
=> add(store = "Active Directory", types = ("http://contoso.com/ws/2016/02/identity/claims/objectguid", "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"), query = "; objectGuid,ms-ds-consistencyguid;{0}", param = c.Value);

Bei dieser Regel fragen Sie die Werte von ms-ds-consistencyguid und objectGuid für den Benutzer aus Active Directory ab. Ändern Sie den Speichernamen in einen passenden Speichernamen in Ihrer AD FS-Bereitstellung. Ändern Sie außerdem den Anspruchstyp in einen passenden Anspruchstyp für Ihren Verbund, wie Sie dies für objectGuid und ms-ds-consistencyguid definiert haben.

Durch die Verwendung von add anstelle von issue vermeiden Sie außerdem das Hinzufügen eines ausgehenden Ausstellungswerts für die Entität und können die Werte als Zwischenwerte verwenden. Sie geben den Anspruch in einer späteren Regel aus, nachdem Sie festgelegt haben, welcher Wert als unveränderliche ID verwendet wird.

Regel 2: Überprüfen, ob „ms-ds-consistencyguid“ für den Benutzer vorhanden ist

NOT EXISTS([Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"])
=> add(Type = "urn:anandmsft:tmp/idflag", Value = "useguid");

Diese Regel definiert das temporäre Flag idflag, das auf useguid festgelegt ist, wenn ms-ds-concistencyguid für den Benutzer nicht ausgefüllt ist. Die Logik dahinter ist die Tatsache, dass AD FS leere Ansprüche nicht zulässt. Wenn Sie also in der Regel 1 die Ansprüche http://contoso.com/ws/2016/02/identity/claims/objectguid und http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid hinzufügen, erhalten Sie den Anspruch msdsconsistencyguid nur, wenn der Wert für den Benutzer ausgefüllt ist. Wenn er nicht ausgefüllt ist, merkt AD FS, dass ein leerer Wert vorhanden ist, und verwirft ihn sofort. Alle Objekte verfügen über objectGuid, sodass dieser Anspruch immer vorhanden ist, nachdem Regel 1 ausgeführt wurde.

Regel 3: Ausgeben von „ms-ds-consistencyguid“ als unveränderliche ID, sofern vorhanden

c:[Type == "http://contoso.com/ws/2016/02/identity/claims/msdsconsistencyguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c.Value);

Dies ist eine implizite Exist -Überprüfung. Wenn der Wert für den Anspruch vorhanden ist, geben Sie ihn als unveränderliche ID aus. Im vorherigen Beispiel wird der Anspruch nameidentifier verwendet. Sie müssen diesen in den entsprechenden Anspruchstyp für die unveränderliche ID in Ihrer Umgebung ändern.

Regel 4: Ausgeben von objectGuid als unveränderliche ID, wenn ms-ds-consistencyGuid nicht vorhanden ist

c1:[Type == "urn:anandmsft:tmp/idflag", Value =~ "useguid"]
&& c2:[Type == "http://contoso.com/ws/2016/02/identity/claims/objectguid"]
=> issue(Type = "http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID", Value = c2.Value);

In dieser Regel überprüfen Sie einfach das temporäre Flag idflag. Sie entscheiden, ob der Anspruch basierend auf dessen Wert ausgegeben werden soll.

Hinweis

Die Reihenfolge dieser Regeln ist wichtig.

SSO mit Unterdomänen-UPN

Mit Azure AD Connect können Sie mehrere Domänen für den Verbund hinzufügen. Dies ist unter Hinzufügen einer neuen Verbunddomäne beschrieben. Ab der Azure AD Connect-Version 1.1.553.0 wird automatisch die korrekte Anspruchsregel für „issuerID“ erstellt. Sollten Sie die Azure AD Connect-Version 1.1.553.0 (oder eine höhere Version) nicht verwenden können, verwenden Sie das Tool Azure AD RPT Claim Rules, um korrekte Anspruchsregeln für die Azure AD-Vertrauensstellung der vertrauenden Seite zu generieren und festzulegen.

Nächste Schritte

Erfahren Sie mehr über Azure AD Connect-Optionen für die Benutzeranmeldung.