Migrieren zur Cloudauthentifizierung mithilfe eines gestaffelten Rollouts

Gestaffelte Rollouts ermöglichen Ihnen das selektive Testen von Benutzergruppen mit Cloudauthentifizierungsfunktionen (wie Azure AD Multi-Factor Authentication (MFA), bedingter Zugriff, Identity Protection für kompromittierte Anmeldeinformationen, Identity Governance usw.) vor der Umstellung Ihrer Domänen. In diesem Artikel wird erläutert, wie Sie den Umstieg vornehmen. Bevor Sie mit dem gestaffelten Rollout beginnen, sollten Sie jedoch die Auswirkungen berücksichtigen, wenn mindestens eine der folgenden Bedingungen zutrifft:

  • Sie verwenden zurzeit einen lokalen Server für mehrstufige Authentifizierung.
  • Sie verwenden Smartcards für die Authentifizierung.
  • Ihr aktueller Server bietet bestimmte Features, die sich ausschließlich auf Verbundauthentifizierung beziehen.

Bevor Sie dieses Feature testen, empfehlen wir Ihnen, unseren Leitfaden zum Auswählen der richtigen Authentifizierungsmethode zu lesen. Weitere Informationen finden Sie in der Tabelle „Methodenvergleich“ unter Auswählen der richtigen Authentifizierungsmethode für Ihre Azure Active Directory-Hybrididentitätslösung.

Eine Übersicht über das Feature finden Sie in diesem Abschnitt "Azure Active Directory: Was ist ein inszenierter Rollout?" Video:

Voraussetzungen

  • Sie verfügen über einen Azure AD-Mandanten (Azure Active Directory) mit Verbunddomänen.

  • Sie haben beschlossen, eine der folgenden Optionen zu verwenden:

    Für beide Optionen wird empfohlen, einmaliges Anmelden (Single Sign-On, SSO) zu aktivieren, um eine automatische Anmeldung zu ermöglichen. Für in die Domäne eingebundene Windows 7- oder 8.1-Geräte wird die Verwendung von nahtlosem SSO empfohlen. Weitere Informationen finden Sie unter Was ist die nahtlose einmalige Anmeldung?. Für Windows 10, Windows Server 2016 und höhere Versionen wird die Verwendung von SSO über ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) mit in Azure AD eingebundenen Geräten, in Azure AD eingebundenen Hybridgeräten oder mit Geräten empfohlen, die per „Geschäfts-, Schul- oder Unikonto hinzufügen“ persönlich registriert sind.

  • Sie haben alle geeigneten Richtlinien für Mandantenbranding und für bedingten Zugriff konfiguriert, die Sie für Benutzer benötigen, die zur Cloudauthentifizierung migriert werden.

  • Wenn Sie Azure AD Multi-Factor Authentication verwenden möchten, wird empfohlen, die kombinierte Registrierung für die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) und Multi-Factor Authentication zu verwenden, damit Ihre Benutzer ihre Authentifizierungsmethoden einmalig registrieren können. Hinweis: Bei Verwendung von SSPR zum Zurücksetzen oder Ändern des Kennworts mithilfe der Seite MyProfile im gestaffeltem Rollout muss Azure AD Connect den neuen Kennworthash synchronisieren, was nach dem Zurücksetzen bis zu 2 Minuten dauern kann.

  • Um dieses Feature für gestaffelten Rollout verwenden zu können, müssen Sie globaler Administrator für Ihren Mandanten sein.

  • Um nahtloses einmaliges Anmelden für eine bestimmte Active Directory-Gesamtstruktur aktivieren zu können, müssen Sie Domänenadministrator sein.

  • Wenn Sie Azure AD Hybrid oder Azure AD Join bereitstellen, müssen Sie ein Upgrade auf das Update Windows 10 1903 durchführen.

Unterstützte Szenarios

Die folgenden Szenarien werden für gestaffelten Rollout unterstützt. Das Feature funktioniert nur für:

  • Benutzer, die für Azure AD mithilfe von Azure AD Connect bereitgestellt werden. Es gilt nicht für reine Cloudbenutzer.

  • Datenverkehr bei der Benutzeranmeldung in Browsern und auf Clients mit moderner Authentifizierung. Für Anwendungen oder Clouddienste mit Legacyauthentifizierung werden wieder Verbundauthentifizierungsflows verwendet. Ein Beispiel ist Exchange Online mit deaktivierter moderner Authentifizierung oder Outlook 2010, das keine moderne Authentifizierung unterstützt.

  • Die Gruppengröße ist derzeit auf 50.000 Benutzer beschränkt. Wenn Sie über Gruppen verfügen, die größer als 50.000 Benutzer sind, empfiehlt es sich, diese Gruppe für ein gestaffeltes Rollout in mehrere Gruppen aufzuteilen.

  • Windows 10 Hybrid Join oder Azure AD Join – Abrufen eines primären Aktualisierungstokens ohne Sichtverbindung mit dem Verbundserver für Windows 10 (Version 1903 und neuer), wenn der UPN des Benutzers routingfähig ist und das Domänensuffix in Azure AD überprüft wird.

  • Die Autopilot-Registrierung wird im inszenierten Rollout mit Windows 10, Version 1909 oder höher, unterstützt.

Nicht unterstützte Szenarien

Die folgenden Szenarien werden für gestaffelten Rollout nicht unterstützt:

  • Die Legacyauthentifizierung wie POP3 und SMTP wird nicht unterstützt.

  • Bestimmte Anwendungen senden bei der Authentifizierung den Abfrageparameter „domain_hint“ an Azure AD. Diese Flows werden fortgesetzt, und für den gestaffelten Rollout aktivierte Benutzer verwenden weiterhin den Verbund für die Authentifizierung.

  • Administratoren können den Rollout der Cloudauthentifizierung mithilfe von Sicherheitsgruppen ausführen. Um Synchronisierungslatenzen zu vermeiden, wenn Sie lokale Active Directory-Sicherheitsgruppen verwenden, empfehlen wir Ihnen, Cloudsicherheitsgruppen zu verwenden. Die folgenden Bedingungen gelten:

    • Pro Feature können maximal 10 Gruppen verwendet werden. Das heißt, Sie können jeweils 10 Gruppen für Kennworthashsynchronisierung, Passthrough-Authentifizierung und nahtloses SSO verwenden.
    • Geschachtelte Gruppen werden nicht unterstützt.
    • Dynamische Gruppen werden für den gestaffelten Rollout nicht unterstützt.
    • Kontaktobjekte innerhalb der Gruppe blockieren das Hinzufügen der Gruppe.
  • Wenn Sie zum ersten Mal eine Sicherheitsgruppe für den gestaffelten Rollout hinzufügen, besteht eine Einschränkung auf 200 Benutzer, um ein UX-Timeout zu vermeiden. Nachdem Sie die Gruppe hinzugefügt haben, können Sie ihr nach Bedarf weitere Benutzer hinzufügen.

  • Solange sich Benutzer im gestaffelten Rollout mit Kennwort-Hashsynchronisierung (Password Hash Synchronization, PHS) befinden, läuft das Kennwort standardmäßig nicht ab. Der Ablauf von Kennwörtern kann durch die Aktivierung von EnforceCloudPasswordPolicyForPasswordSyncedUsers erreicht werden. Wenn EnforceCloudPasswordPolicyForPasswordSyncedUsers aktiviert ist, wird die Richtlinie zum Ablauf von Kennwörtern auf 90 Tage ab dem Zeitpunkt festgelegt, zu dem das Kennwort lokal festgelegt wurde, ohne Möglichkeit, sie anzupassen. Informationen zum Festlegen von EnforceCloudPasswordPolicyForPasswordSyncedUsers finden Sie unter Kennwortablaufrichtlinie.

  • Windows 10 Hybrid Join oder Azure AD Join – Abrufen eines primären Aktualisierungstokens für Windows 10-Versionen vor 1903. Dieses Szenario greift auf den WS-Trust-Endpunkt des Verbundservers zurück, auch wenn sich der anmeldende Benutzer im Bereich des gestaffelten Rollouts befindet.

  • Windows 10 Hybrid Join oder Azure AD Join – Abrufen eines primären Aktualisierungstokens für alle Versionen, wenn der lokale UPN des Benutzers nicht routingfähig ist. Im Modus „Gestaffelter Rollout“ greift dieses Szenario auf den WS-Trust-Endpunkt zurück. Dies funktioniert jedoch nicht mehr, wenn die gestaffelte Migration abgeschlossen ist und die Benutzeranmeldung nicht mehr auf den Verbundserver angewiesen ist.

  • Wenn Sie ein nicht persistentes VDI-Setup mit Windows 10 Version 1903 oder höher verwenden, müssen Sie in einer Verbunddomäne verbleiben. Das Verschieben in eine verwaltete Domäne wird für nicht persistente VDI nicht unterstützt. Weitere Informationen finden Sie unter Geräteidentität und Desktopvirtualisierung.

  • Wenn Sie über eine Windows Hello for Business-Hybridzertifikat-Vertrauensstellung mit Zertifikaten verfügen, die entweder über Ihren Verbundserver, der als Registrierungszertifizierungsstelle agiert oder über Smartcardbenutzer ausgestellt werden, wird kein gestaffelter Rollout unterstützt.

    Hinweis

    Die endgültige Umstellung von Verbundauthentifizierung auf Cloudauthentifizierung muss weiterhin mithilfe von Azure AD Connect oder PowerShell erfolgen. Ein gestaffelter Rollout stellt Domänen nicht von Verbunddomänen auf verwaltete Domänen um. Weitere Informationen zur Domänenumstellung finden Sie unter Migrieren vom Verbund zur Kennworthashsynchronisierung für Azure Active Directory und Migrieren vom Verbund zur Passthrough-Authentifizierung für Azure Active Directory.

Erste Schritte mit gestaffeltem Rollout

Zum Testen der Kennworthashsynchronisierung melden Sie sich mithilfe des gestaffelten Rollouts an und befolgen die Anweisungen für die Vorbereitung im nächsten Abschnitt.

Weitere Informationen dazu, welche PowerShell-Cmdlets verwendet werden sollten, finden Sie unter Azure AD 2.0 Vorschau.

Vorbereitende Schritte für die Kennworthashsynchronisierung

  1. Aktivieren Sie die Kennworthashsynchronisierung über die Seite Optionale Features in Azure AD Connect. 

    Screenshot of the

  2. Stellen Sie sicher, dass ein vollständiger Zyklus der Kennworthashsynchronisierung ausgeführt wurde, damit alle Kennworthashes der Benutzer mit Azure AD synchronisiert wurden. Zum Überprüfen des Status der Kennworthashsynchronisierung können Sie die PowerShell-Diagnose unter Problembehandlung der Kennworthashsynchronisierung mit der Azure AD Connect-Synchronisierung verwenden.

    Screenshot of the AADConnect Troubleshooting log

Wenn Sie Passthrough-Authentifizierung testen möchten, melden Sie sich mithilfe des gestaffelten Rollouts an, und aktivieren Sie diese dann, indem Sie die Anweisungen zu den vorbereitenden Schritten im nächsten Abschnitt befolgen.

Vorbereitende Schritte für Passthrough-Authentifizierung

  1. Identifizieren Sie einen Server unter Windows Server 2012 R2 (oder höher), auf dem der Passthrough-Authentifizierungs-Agent ausgeführt werden soll.

    Wählen Sie nicht den Azure AD Connect-Server aus.  Stellen Sie sicher, dass der Server in die Domäne eingebunden ist, die ausgewählten Benutzer bei Active Directory authentifizieren und mit Azure AD über ausgehende Ports/URLs kommunizieren kann. Weitere Informationen finden Sie im Abschnitt „Schritt 1: Überprüfen der Voraussetzungen“ in Schnellstart: Nahtloses einmaliges Anmelden mit Azure AD.

  2. Laden Sie den Microsoft Azure AD Connect-Authentifizierungs-Agent herunter, und installieren Sie ihn auf dem Server. 

  3. Installieren Sie zusätzliche Authentifizierungs-Agents auf anderen Servern, um Hochverfügbarkeit zu ermöglichen.

  4. Stellen Sie sicher, dass Sie die Einstellungen für die intelligente Sperre (Smart Lockout) entsprechend konfiguriert haben. Dadurch wird sichergestellt, dass die lokalen Active Directory-Konten Ihrer Benutzer nicht von böswilligen Akteuren gesperrt werden.

Es wird empfohlen, nahtloses einmaliges Anmelden unabhängig von der für den gestaffelten Rollout ausgewählten Anmeldemethode (Kennworthashsynchronisierung oder Passthrough-Authentifizierung) zu aktivieren. Um nahtlose einmaliges Anmelden zu aktivieren, befolgen Sie die Anweisungen zu den vorbereitenden Schritten im nächsten Abschnitt.

Vorbereitende Schritte für nahtloses einmaliges Anmelden

Aktivieren Sie nahtloses einmaliges Anmelden für die Active Directory-Gesamtstrukturen mithilfe von PowerShell. Wenn Sie über mehrere Active Directory-Gesamtstrukturen verfügen, aktivieren Sie das gleiche Feature für jede Gesamtstruktur einzeln. Nahtloses einmaliges Anmelden wird nur für Benutzer ausgelöst, die für das gestaffelte Rollout ausgewählt wurden. Dies wirkt sich nicht auf Ihre vorhandene Verbundeinrichtung aus.

Aktivieren Sie nahtloses einmaliges Anmelden, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich beim Azure AD Connect-Server an.

  2. Wechseln Sie zum Ordner %programfiles%\Microsoft Azure Active Directory Connect.

  3. Importieren Sie das PowerShell-Modul für nahtloses SSO, indem Sie den folgenden Befehl ausführen:

    Import-Module .\AzureADSSO.psd1

  4. Führen Sie PowerShell als Administrator aus. Rufen Sie in PowerShell New-AzureADSSOAuthenticationContext auf. Mit diesem wird ein Bereich geöffnet, in dem Sie die Anmeldeinformationen des globalen Administrators Ihres Mandanten eingeben können.

  5. Rufen Sie Get-AzureADSSOStatus | ConvertFrom-Json auf. Dieser Befehl zeigt eine Liste der Active Directory-Gesamtstrukturen (siehe Liste „Domänen“) an, für die diese Funktion aktiviert wurde. Standardmäßig ist die Option auf der Mandantenebene auf „false“ festgelegt.

    Example of the Windows PowerShell output

  6. Rufen Sie $creds = Get-Credential auf. Geben Sie an der Eingabeaufforderung die Anmeldeinformationen des Domänenadministrators für die vorgesehene Active Directory-Gesamtstruktur ein.

  7. Rufen Sie Enable-AzureADSSOForest -OnPremCredentials $creds auf. Mit diesem Befehl wird das Computerkonto „AZUREADSSOACC“ vom lokalen Domänencontroller für die Active Directory-Gesamtstruktur erstellt, das für nahtloses SSO erforderlich ist.

  8. Nahtloses SSO erfordert, dass sich URLs in der Intranetzone befinden. Informationen zum Bereitstellen dieser URLs mithilfe von Gruppenrichtlinien finden Sie unter Schnellstart: Nahtloses einmaliges Anmelden mit Azure AD.

  9. Sie können auch unsere Bereitstellungspläne für nahtloses SSO herunterladen.

Aktivieren von gestaffeltem Rollout

Um den Rollout eines bestimmten Features (Passthrough-Authentifizierung, Kennworthashsynchronisierung oder nahtloses SSO) für ausgewählte Benutzer in einer Gruppe auszuführen, befolgen Sie die Anweisungen in den nächsten Abschnitten.

Aktivieren eines gestaffelten Rollouts eines bestimmten Features für Ihren Mandanten

Sie können Rollouts für eine dieser Optionen ausführen:

  • Kennworthashsynchronisierung + Nahtloses SSO
  • Passthrough-Authentifizierung + Nahtloses SSO
  • Nicht unterstützt - Kennworthashsynchronisierung + Passthrough-Authentifizierung + Nahtloses SSO
  • Zertifikatbasierte Authentifizierungseinstellungen

Gehen Sie folgendermaßen vor:

  1. Um auf die UX zuzugreifen, melden Sie sich am Azure AD Portal an.

  2. Wählen Sie den Link Stufenweises Rollout für verwaltete Benutzeranmeldung aktivieren.

    Wenn Sie z. B. Kennworthashsynchronisierung und Nahtloses SSO aktivieren möchten, schieben Sie beide Steuerelemente in die Position Ein.

  3. Fügen Sie dem Feature die Gruppen hinzu, um Passthrough-Authentifizierung und nahtloses SSO zu aktivieren. Um ein UX-Timeout zu vermeiden, stellen Sie sicher, dass die Sicherheitsgruppen anfangs nicht mehr als 200 Mitglieder enthalten.

    Hinweis

    Die Mitglieder einer Gruppe werden automatisch für den gestaffelten Rollout aktiviert. Geschachtelte und dynamische Gruppen werden für gestaffelte Rollouts nicht unterstützt. Wenn Sie eine neue Gruppe hinzufügen, werden die Benutzer in der Gruppe (bis zu 200 Benutzer für eine neue Gruppe) aktualisiert, damit die verwaltete Authentifizierung sofort verwendet werden kann. Wenn Sie eine Gruppe bearbeiten (Benutzer hinzufügen oder entfernen), kann es bis zu 24 Stunden dauern, bis die Änderungen wirksam werden. Das nahtlose einmalige Anmelden gilt nur, wenn sich Benutzer in der Gruppe „Nahtloses einmaliges Anmelden“ und auch in einer PTA- oder Kennworthashsynchronisierungs-Gruppe befinden.

Überwachung

Wir haben Überwachungsereignisse für die verschiedenen Aktionen aktiviert, die wir für gestaffelte Rollouts ausführen:

  • Überwachungsereignis: Sie aktivieren den gestaffelten Rollout für Kennworthashsynchronisierung, Passthrough-Authentifizierung oder nahtloses SSO.

    Hinweis

    Es wird ein Überwachungsereignis protokolliert, wenn nahtloses SSO mithilfe des gestaffelten Rollouts aktiviert wird.

    The

    The

  • Überwachungsereignis: Eine Gruppe wird dem Feature Kennworthashsynchronisierung, Passthrough-Authentifizierung oder nahtloses SSO hinzugefügt.

    Hinweis

    Es wird ein Überwachungsereignis protokolliert, wenn eine Gruppe der Kennworthashsynchronisierung für den gestaffelten Rollout hinzugefügt wird.

    The

    The

  • Überwachungsereignis: Ein der Gruppe hinzugefügter Benutzer wird für den gestaffelten Rollout aktiviert.

    The

    The

Überprüfen

Gehen Sie wie folgt vor, um die Anmeldung mit Kennworthashsynchronisierung oder Passthrough-Authentifizierung (Anmeldung mit Benutzername/Kennwort) zu testen:

  1. Navigieren Sie im Extranet in einer privaten Browsersitzung zur Seite Apps, und geben Sie dann den UserPrincipalName (UPN) des Benutzerkontos ein, das für den gestaffelten Rollout ausgewählt wurde.

    Benutzer, die für einen gestaffelten Rollout vorgesehen sind, werden nicht auf Ihre Verbundanmeldeseite umgeleitet. Stattdessen werden sie aufgefordert, sich auf der Azure AD-Anmeldeseite mit Mandantenbranding anzumelden.

  2. Stellen Sie sicher, dass die Anmeldung im Azure AD-Bericht zu Anmeldeaktivitäten erfolgreich angezeigt wird, indem Sie nach dem Benutzerprinzipalnamen (UserPrincipalName) filtern.

Gehen Sie wie folgt vor, um die Anmeldung mit nahtlosem SSO zu testen:

  1. Navigieren Sie im Intranet in einer privaten Browsersitzung zur Seite Apps, und geben Sie dann den UserPrincipalName (UPN) des Benutzerkontos ein, das für den gestaffelten Rollout ausgewählt wurde.

    Benutzern, die für gestaffelten Rollout von nahtlosem SSO vorgesehen ist, wird die Meldung „Anmeldung wird versucht“ angezeigt, bevor sie automatisch angemeldet werden.

  2. Stellen Sie sicher, dass die Anmeldung im Azure AD-Bericht zu Anmeldeaktivitäten erfolgreich angezeigt wird, indem Sie nach dem Benutzerprinzipalnamen (UserPrincipalName) filtern.

    Um Benutzeranmeldungen nachzuverfolgen, die weiterhin für Active Directory-Verbunddienste (AD FS) für ausgewählte Benutzer mit gestaffeltem Rollout auftreten, befolgen Sie die Anweisungen unter Problembehandlung von AD FS: Ereignisse und Protokollierung. Lesen Sie in der Dokumentation des Herstellers nach, wie dies für Drittanbieter von Verbunddiensten überprüft wird.

    Hinweis

    Solange sich Benutzer im gestaffelten Rollout mit Kennworthashsynchronisierung (Password Hash Synchronization, PHS) befinden, kann es aufgrund der Synchronisierungszeit bis zu zwei Minuten dauern, bis die Kennwortänderung wirksam wird. Achten Sie darauf, dass Sie dies den Benutzern entsprechend klar machen, um Helpdeskanrufe zu vermeiden, nachdem sie ihr Kennwort geändert haben.

Überwachung

Mithilfe der neuen Hybrid Auth-Arbeitsmappen im Azure-Portal können Sie die Benutzer und Gruppen, die während des gestaffelten Rollouts hinzugefügt oder daraus entfernt wurden, und die Benutzeranmeldungen während des gestaffelten Rollouts überwachen.

Hybrid Auth workbooks

Entfernen eines Benutzers aus dem gestaffelten Rollout

Durch Entfernen eines Benutzers aus der Gruppe wird der gestaffelte Rollout für diesen Benutzer deaktiviert. Um das Feature für gestaffelten Rollout zu deaktivieren, stellen Sie den Schieberegler für das Steuerelement zurück in die Position Aus.

Häufig gestellte Fragen

F: Kann ich dieses Feature in der Produktionsumgebung verwenden?

A: Ja, Sie können dieses Feature in Ihrem Produktionsmandanten verwendet werden. Wir empfehlen Ihnen jedoch, es zunächst in Ihrem Testmandanten auszuprobieren.

F: Kann dieses Feature verwendet werden, um eine permanente „Koexistenz“ aufrechtzuerhalten, bei der einige Benutzer Verbundauthentifizierung und andere Cloudauthentifizierung verwenden?

A: Nein, dieses Feature ist für das Testen der Cloudauthentifizierung konzipiert. Nachdem Sie einige Gruppen von Benutzern erfolgreich getestet haben, sollten Sie zur Cloudauthentifizierung wechseln. Von der Verwendung eines dauerhaften gemischten Zustands wird abgeraten, weil dieser Ansatz zu unerwarteten Authentifizierungsflows führen könnte.

F: Kann PowerShell verwendet werden, um einen gestaffelten Rollout auszuführen?

A: Ja. Informationen zum Verwenden von PowerShell zum Ausführen eines gestaffelten Rollouts finden Sie unter Azure AD Vorschau.

Nächste Schritte