Integrieren von lokalen Active Directory-Domänen in Azure Active DirectoryIntegrate on-premises Active Directory domains with Azure Active Directory

Azure Active Directory (Azure AD) ist ein cloudbasierter mehrinstanzenfähiger Verzeichnis- und Identitätsdienst.Azure Active Directory (Azure AD) is a cloud-based multi-tenant directory and identity service. Die folgende Referenzarchitektur zeigt bewährte Methoden zum Integrieren von lokalen Active Directory-Domänen in Azure AD, um cloudbasierte Identitätsauthentifizierung bereitzustellen.This reference architecture shows best practices for integrating on-premises Active Directory domains with Azure AD to provide cloud-based identity authentication. Stellen Sie diese Lösung bereit.Deploy this solution.

Cloudidentitätsarchitektur mit Azure Active Directory

Laden Sie eine Visio-Datei dieser Architektur herunter.Download a Visio file of this architecture.

Hinweis

Der Einfachheit halber sind in diesem Diagramm nur die Verbindungen dargestellt, die sich direkt auf Azure AD beziehen. Protokollbezogener Datenverkehr, der im Rahmen des Authentifizierungs- und Identitätsverbunds auftreten kann, ist dagegen nicht dargestellt.For simplicity, this diagram only shows the connections directly related to Azure AD, and not protocol-related traffic that may occur as part of authentication and identity federation. So kann es beispielsweise sein, dass eine Webanwendung den Webbrowser umleitet, damit die Anforderung über Azure AD authentifiziert wird.For example, a web application may redirect the web browser to authenticate the request through Azure AD. Sobald die Anforderung authentifiziert ist, kann sie mit den entsprechenden Identitätsinformationen an die Webanwendung zurückgegeben werden.Once authenticated, the request can be passed back to the web application, with the appropriate identity information.

Typische Einsatzmöglichkeiten für diese Referenzarchitektur sind:Typical uses for this reference architecture include:

  • Webanwendungen, die in Azure bereitgestellt werden und Zugriff für Remotebenutzer bereitstellen, die zu Ihrer Organisation gehören.Web applications deployed in Azure that provide access to remote users who belong to your organization.
  • Implementieren von Self-Service-Funktionen für Endbenutzer, z.B. Zurücksetzen ihrer Kennwörter und Delegieren von Gruppenverwaltung.Implementing self-service capabilities for end-users, such as resetting their passwords, and delegating group management. Hierfür ist die Azure AD Premium-Edition erforderlich.This requires Azure AD Premium edition.
  • Architekturen, in denen das lokale Netzwerk und das Azure VNet der Anwendung nicht über eine VPN-Tunnel- oder ExpressRoute-Verbindung verbunden sind.Architectures in which the on-premises network and the application's Azure VNet are not connected using a VPN tunnel or ExpressRoute circuit.

Hinweis

Azure AD kann die Identität von Benutzern und Anwendungen authentifizieren, die im Verzeichnis einer Organisation enthalten sind.Azure AD can authenticate the identity of users and applications that exist in an organization’s directory. Einige Anwendungen und Dienste, z. B. SQL Server, erfordern möglicherweise Computerauthentifizierung. In diesem Fall ist diese Lösung nicht geeignet.Some applications and services, such as SQL Server, may require computer authentication, in which case this solution is not appropriate.

Weitere Überlegungen finden Sie unter Auswählen einer Lösung für die Integration einer lokalen Active Directory-Instanz in Azure.For additional considerations, see Choose a solution for integrating on-premises Active Directory with Azure.

ArchitectureArchitecture

Diese Architektur besteht aus den folgenden Komponenten.The architecture has the following components.

  • Azure AD-Mandant.Azure AD tenant. Eine Instanz von Azure AD, die von Ihrer Organisation erstellt wurde.An instance of Azure AD created by your organization. Sie fungiert als ein Verzeichnisdienst für Cloudanwendungen, indem sie Objekte speichert, die aus dem lokalen Active Directory kopiert wurden, und stellt Identitätsdienste bereit.It acts as a directory service for cloud applications by storing objects copied from the on-premises Active Directory and provides identity services.

  • Webschicht-Subnetz.Web tier subnet. Dieses Subnetz enthält virtuelle Computer, die eine Webanwendung ausführen.This subnet holds VMs that run a web application. Azure AD kann als Identitätsbroker für diese Anwendung fungieren.Azure AD can act as an identity broker for this application.

  • Lokaler AD DS-Server.On-premises AD DS server. Eine lokaler Verzeichnis- und Identitätsdienst.An on-premises directory and identity service. Das AD DS-Verzeichnis kann mit Azure AD synchronisiert werden, um die Authentifizierung lokaler Benutzer zu ermöglichen.The AD DS directory can be synchronized with Azure AD to enable it to authenticate on-premises users.

  • Azure AD Connect-Synchronisierungsserver.Azure AD Connect sync server. Ein lokaler Computer, auf dem der Azure AD Connect-Synchronisierungsdienst ausgeführt wird.An on-premises computer that runs the Azure AD Connect sync service. Dieser Dienst synchronisiert Informationen, die sich im lokalen Active Directory befinden, mit Azure AD.This service synchronizes information held in the on-premises Active Directory to Azure AD. Wenn Sie beispielsweise die Bereitstellung oder das Aufheben der Bereitstellung von Gruppen und Benutzern lokal ausführen, werden diese Änderungen an Azure AD weitergegeben.For example, if you provision or deprovision groups and users on-premises, these changes propagate to Azure AD.

    Hinweis

    Aus Sicherheitsgründen speichert Azure AD die Kennwörter eines Benutzers als Hash.For security reasons, Azure AD stores user's passwords as a hash. Ist für einen Benutzer eine Kennwortzurücksetzung erforderlich, muss diese lokal ausgeführt und der neue Hash an Azure AD gesendet werden.If a user requires a password reset, this must be performed on-premises and the new hash must be sent to Azure AD. Azure AD Premium-Editionen enthalten Funktionen, mit denen diese Aufgabe automatisiert werden kann, sodass Benutzern in die Lage versetzt werden, ihre eigenen Kennwörter zurückzusetzen.Azure AD Premium editions include features that can automate this task to enable users to reset their own passwords.

  • Virtuelle Computer (VMs) für eine n-schichtige Anwendung.VMs for N-tier application. Die Bereitstellung beinhaltet eine Infrastruktur für eine n-schichtige Anwendung.The deployment includes infrastructure for an N-tier application. Weitere Informationen zu diesen Ressourcen finden Sie unter Ausführen von Windows-VMs für eine n-schichtige Anwendung.For more information about these resources, see Run VMs for an N-tier architecture.

EmpfehlungenRecommendations

Die folgenden Empfehlungen gelten für die meisten Szenarios.The following recommendations apply for most scenarios. Sofern Sie keine besonderen Anforderungen haben, die Vorrang haben, sollten Sie diese Empfehlungen befolgen.Follow these recommendations unless you have a specific requirement that overrides them.

Azure AD Connect-SynchronisierungsdienstAzure AD Connect sync service

Der Azure AD Connect-Synchronisierungsdienst stellt sicher, dass Identitätsinformationen, die in der Cloud gespeichert sind, mit denjenigen konsistent sind, die lokal gespeichert sind.The Azure AD Connect sync service ensures that identity information stored in the cloud is consistent with that held on-premises. Sie installieren diesen Dienst mit der Azure AD Connect-Software.You install this service using the Azure AD Connect software.

Bevor Sie vor Azure AD Connect-Synchronisierung implementieren, müssen Sie die Synchronisierungsanforderungen Ihrer Organisation ermitteln.Before implementing Azure AD Connect sync, determine the synchronization requirements of your organization. Dies umfasst beispielsweise, was, von welchen Domänen und wie oft synchronisiert werden muss.For example, what to synchronize, from which domains, and how frequently. Weitere Informationen hierzu finden Sie unter Ermitteln der Anforderungen an die Verzeichnissynchronisierung.For more information, see Determine directory synchronization requirements.

Sie können den Azure AD Connect-Synchronisierungsdienst auf einem virtuellen Computer oder auf einem lokal gehosteten Computer ausführen.You can run the Azure AD Connect sync service on a VM or a computer hosted on-premises. Je nach Schwankung der Informationen in Ihrem Active Directory-Verzeichnis ist es unwahrscheinlich, dass die Last für den Azure AD Connect-Synchronisierungsdienst nach der Erstsynchronisierung mit Azure AD hoch ist.Depending on the volatility of the information in your Active Directory directory, the load on the Azure AD Connect sync service is unlikely to be high after the initial synchronization with Azure AD. Durch Ausführen des Diensts auf einem virtuellen Computer wird es einfacher, den Server bei Bedarf zu skalieren.Running the service on a VM makes it easier to scale the server if needed. Überwachen Sie die Aktivitäten auf dem virtuellen Computer, wie dies im Abschnitt „Überwachung“ beschrieben ist, um zu ermitteln, ob Skalierung erforderlich ist.Monitor the activity on the VM as described in the Monitoring considerations section to determine whether scaling is necessary.

Wenn Sie mehrere lokale Domänen in einer Gesamtstruktur haben, empfiehlt es sich, die Informationen für die vollständige Gesamtstruktur im einem einzigen Azure AD-Mandanten zu speichern und zu synchronisieren.If you have multiple on-premises domains in a forest, we recommend storing and synchronizing information for the entire forest to a single Azure AD tenant. Filtern Sie nach Informationen für Identitäten, die in mehreren Domänen vorkommen, sodass jede Identität nur einmal in Azure AD vorhanden ist, statt dupliziert zu werden.Filter information for identities that occur in more than one domain, so that each identity appears only once in Azure AD, rather than being duplicated. Duplizierung kann zu Inkonsistenzen führen, wenn Daten synchronisiert werden.Duplication can lead to inconsistencies when data is synchronized. Weitere Informationen finden Sie im Abschnitt „Topologieempfehlungen“ weiter unten.For more information, see the Topology section below.

Verwenden Sie Filterung, damit nur erforderliche Daten in Azure AD gespeichert werden.Use filtering so that only necessary data is stored in Azure AD. Beispielsweise könnte es sein, dass Ihre Organisation keine Informationen über inaktive Konten in Azure AD speichern möchte.For example, your organization might not want to store information about inactive accounts in Azure AD. Filterung kann nach Gruppen, Domänen, Organisationseinheiten oder Attributen erfolgen.Filtering can be group-based, domain-based, organization unit (OU)-based, or attribute-based. Sie können Filter kombinieren, um komplexere Regeln zu erzeugen.You can combine filters to generate more complex rules. Beispielsweise könnten Sie Objekte synchronisieren, die in einer Domäne gespeichert sind und einen bestimmten Wert in einem ausgewählten Attribut haben.For example, you could synchronize objects held in a domain that have a specific value in a selected attribute. Ausführliche Informationen hierzu finden Sie unter Azure AD Connect-Synchronisierung: Konfigurieren der Filterung.For detailed information, see Azure AD Connect sync: Configure Filtering.

Um hohe Verfügbarkeit für den AD Connect-Synchronisierungsdienst sicherzustellen, führen Sie einen sekundären Stagingserver aus.To implement high availability for the AD Connect sync service, run a secondary staging server. Weitere Informationen finden Sie in Abschnitt „Topologieempfehlungen“.For more information, see the Topology recommendations section.

SicherheitsempfehlungenSecurity recommendations

Verwaltung von Benutzerkennwörtern:User password management. Die Azure AD Premium-Editionen unterstützen das Rückschreiben von Kennwörtern, sodass Ihre lokalen Benutzer die Möglichkeit haben, Self-Service-Kennwortzurücksetzungen über das Azure-Portal auszuführen.The Azure AD Premium editions support password writeback, enabling your on-premises users to perform self-service password resets from within the Azure portal. Diese Funktion sollte erst aktiviert werden, nachdem die Kennwortsicherheitsrichtlinien Ihrer Organisation überprüft wurden.This feature should be enabled only after reviewing your organization's password security policy. Beispielsweise können Sie einschränken, welche Benutzer ihre Kennwörter ändern können, und Sie können die Oberfläche für die Kennwortverwaltung anpassen.For example, you can restrict which users can change their passwords, and you can tailor the password management experience. Weitere Informationen hierzu finden Sie unter Anpassen der Kennwortverwaltung an die Anforderungen Ihrer Organisation.For more information, see Customizing Password Management to fit your organization's needs.

Schützen von lokalen Anwendungen, auf die extern zugegriffen werden kann.Protect on-premises applications that can be accessed externally. Verwenden Sie den Azure AD-Anwendungsproxy, um für externe Benutzer über Azure AD kontrollierten Zugriff auf lokale Webanwendungen bereitzustellen.Use the Azure AD Application Proxy to provide controlled access to on-premises web applications for external users through Azure AD. Nur Benutzer, die gültige Anmeldeinformationen in Ihrem Azure-Verzeichnis haben, sind berechtigt, die Anwendung zu verwenden.Only users that have valid credentials in your Azure directory have permission to use the application. Weitere Informationen hierzu finden Sie im Artikel Aktivieren des Anwendungsproxys über das Azure-Portal.For more information, see the article Enable Application Proxy in the Azure portal.

Aktive Überwachung von Azure AD auf Anzeichen für verdächtige Aktivitäten.Actively monitor Azure AD for signs of suspicious activity. Sie sollten erwägen, die Azure AD Premium P2-Edition zu verwenden, die Azure AD Identity Protection umfasst.Consider using Azure AD Premium P2 edition, which includes Azure AD Identity Protection. Identity Protection nutzt adaptive Machine Learning-Algorithmen und heuristische Verfahren, um Anomalien und Risikoereignisse zu erkennen, die auf die Kompromittierung einer Identität hindeuten können.Identity Protection uses adaptive machine learning algorithms and heuristics to detect anomalies and risk events that may indicate that an identity has been compromised. Beispielsweise kann Identity Protection potenziell ungewöhnliche Aktivitäten erkennen, etwa auffällige Anmeldeaktivitäten, Anmeldungen von unbekannten Quellen oder über IP-Adressen mit verdächtigen Aktivitäten oder Anmeldungen von Geräten, die möglicherweise infiziert sind.For example, it can detect potentially unusual activity such as irregular sign-in activities, sign-ins from unknown sources or from IP addresses with suspicious activity, or sign-ins from devices that may be infected. Mit diesen Daten generiert Identity Protection Berichte und Warnungen, damit Sie diese Risikoereignisse untersuchen und geeignete Aktionen durchführen können.Using this data, Identity Protection generates reports and alerts that enables you to investigate these risk events and take appropriate action. Weitere Informationen finden Sie unter Azure Active Directory Identity Protection.For more information, see Azure Active Directory Identity Protection.

Sie können die Berichtsfunktion von Azure AD im Azure-Portal verwenden, um sicherheitsbezogene Aktivitäten zu überwachen, die in Ihrem System auftreten.You can use the reporting feature of Azure AD in the Azure portal to monitor security-related activities occurring in your system. Weitere Informationen zum Verwenden dieser Berichte finden Sie unter Anleitung für Azure Active Directory-Berichte.For more information about using these reports, see Azure Active Directory Reporting Guide.

TopologieempfehlungenTopology recommendations

Konfigurieren Sie Azure AD Connect so, dass eine Topologie implementiert wird, die den Anforderungen Ihrer Organisation am ehesten entspricht.Configure Azure AD Connect to implement a topology that most closely matches the requirements of your organization. Folgende Topologien werden u. a. von Azure AD Connect unterstützt:Topologies that Azure AD Connect supports include:

  • Einzelne Gesamtstruktur, einzelnes Azure AD-Verzeichnis.Single forest, single Azure AD directory. In dieser Topologie synchronisiert Azure AD Connect Objekte und Identitätsinformationen aus einer oder mehreren Domänen in einer einzelnen lokalen Gesamtstruktur in einem einzelnen Azure AD-Mandanten.In this topology, Azure AD Connect synchronizes objects and identity information from one or more domains in a single on-premises forest into a single Azure AD tenant. Dies ist die Standardtopologie, die durch die Expressinstallation von Azure AD Connect implementiert wird.This is the default topology implemented by the express installation of Azure AD Connect.

    Hinweis

    Sofern Sie keinen Server im Stagingmodus ausführen (weiter unten beschrieben), sollten Sie nicht mehrere Azure AD Connect-Synchronisierungsserver verwenden, um verschiedene Domänen in derselben lokalen Gesamtstruktur mit demselben Azure AD-Mandanten zu verbinden.Don't use multiple Azure AD Connect sync servers to connect different domains in the same on-premises forest to the same Azure AD tenant, unless you are running a server in staging mode, described below.

  • Mehrere Gesamtstrukturen, einzelnes Azure AD-Verzeichnis.Multiple forests, single Azure AD directory. In dieser Topologie synchronisiert Azure AD Connect Objekte und Identitätsinformationen aus mehrere Gesamtstrukturen in einem einzelnen Azure AD-Mandanten.In this topology, Azure AD Connect synchronizes objects and identity information from multiple forests into a single Azure AD tenant. Verwenden Sie diese Topologie, wenn Ihre Organisation mehrere lokale Gesamtstrukturen hat.Use this topology if your organization has more than one on-premises forest. Sie können Identitätsinformationen konsolidieren, sodass jeder eindeutige Benutzer im Azure AD-Verzeichnis einmal dargestellt ist, selbst wenn er in mehreren Gesamtstrukturen vorhanden ist.You can consolidate identity information so that each unique user is represented once in the Azure AD directory, even if the same user exists in more than one forest. Für alle Gesamtstrukturen wird derselbe Azure AD Connect-Synchronisierungsserver verwendet.All forests use the same Azure AD Connect sync server. Der Azure AD Connect-Synchronisierungsserver muss nicht zu einer der Domänen gehören, muss aber aus allen Gesamtstrukturen erreichbar sein.The Azure AD Connect sync server does not have to be part of any domain, but it must be reachable from all forests.

    Hinweis

    In dieser Topologie dürfen Sie keine separaten Azure AD Connect-Synchronisierungsserver verwenden, um jede lokale Gesamtstruktur mit einem einzelnen Azure AD-Mandanten zu verbinden.In this topology, don't use separate Azure AD Connect sync servers to connect each on-premises forest to a single Azure AD tenant. Dies kann zu doppelten Identitätsinformationen in Azure AD führen, wenn Benutzer in mehreren Gesamtstrukturen vorhanden sind.This can result in duplicated identity information in Azure AD if users are present in more than one forest.

  • Mehrere Gesamtstrukturen, separate Topologien.Multiple forests, separate topologies. In dieser Topologie werden Identitätsinformationen aus separaten Gesamtstrukturen in einem einzelnen Azure AD-Mandanten zusammengeführt, wobei alle Gesamtstrukturen als separate Entitäten behandelt werden.This topology merges identity information from separate forests into a single Azure AD tenant, treating all forests as separate entities. Diese Topologie ist nützlich, wenn Sie Gesamtstrukturen aus verschiedenen Organisationen kombinieren und die Identitätsinformationen für jeden Benutzer nur in einer Gesamtstruktur gespeichert werden.This topology is useful if you are combining forests from different organizations and the identity information for each user is held in only one forest.

    Hinweis

    Wenn die globalen Adresslisten (GAL) in jeder Gesamtstruktur synchronisiert werden, kann ein Benutzer aus einer Gesamtstruktur in einer anderen als Kontakt vorhanden sein.If the global address lists (GAL) in each forest are synchronized, a user in one forest may be present in another as a contact. Dies kann passieren, wenn Ihre Organisation GALSync mit Forefront Identity Manager 2010 oder Microsoft Identity Manager 2016 implementiert hat.This can occur if your organization has implemented GALSync with Forefront Identity manager 2010 or Microsoft Identity Manager 2016. In diesem Szenario können Sie angeben, dass Benutzer über ihr Mail-Attribut identifiziert werden sollen.In this scenario, you can specify that users should be identified by their Mail attribute. Außerdem können Sie Identitäten mithilfe der Attribute ObjectSID und MsExchMasterAccountSID abgleichen.You can also match identities using the ObjectSID and msExchMasterAccountSID attributes. Dies ist nützlich, wenn Sie mindestens eine Ressourcengesamtstruktur mit deaktivierten Konten haben.This is useful if you have one or more resource forests with disabled accounts.

  • Stagingserver.Staging server. In dieser Konfiguration wird eine zweite Instanz des Azure AD Connect-Synchronisierungsservers parallel zur ersten ausgeführt.In this configuration, you run a second instance of the Azure AD Connect sync server in parallel with the first. Diese Struktur unterstützt Szenarien wie die folgenden:This structure supports scenarios such as:

    • Hochverfügbarkeit.High availability.

    • Testen und Bereitstellen einer neuen Konfigurations des Azure AD Connect-Synchronisierungsservers.Testing and deploying a new configuration of the Azure AD Connect sync server.

    • Einführen eines neuen Servers und Außerbetriebnahme einer alten Konfiguration.Introducing a new server and decommissioning an old configuration.

      In diesen Szenarien wird die zweite Instanz im Stagingmodus ausgeführt.In these scenarios, the second instance runs in staging mode. Der Server speichert importierte Objekte und Synchronisierungsdaten in seiner Datenbank, übergibt die Daten aber nicht an Azure AD.The server records imported objects and synchronization data in its database, but does not pass the data to Azure AD. Wenn Sie den Stagingmodus deaktivieren, beginnt der Server damit, Daten in Azure AD zu schreiben sowie ggf. Kennwörter in die lokalen Verzeichnisse zurückzuschreiben.If you disable staging mode, the server starts writing data to Azure AD, and also starts performing password write-backs into the on-premises directories where appropriate. Weitere Informationen hierzu finden Sie unter Azure AD Connect-Synchronisierung: Operative Aufgaben und Überlegungen.For more information, see Azure AD Connect sync: Operational tasks and considerations.

  • Mehrere Azure AD-Verzeichnisse.Multiple Azure AD directories. Es wird empfohlen, dass Sie ein einzelnes Azure AD-Verzeichnis für eine Organisation erstellen, es kann aber Situationen geben, in denen Sie Informationen über getrennte Azure AD-Verzeichnisse verteilen müssen.It is recommended that you create a single Azure AD directory for an organization, but there may be situations where you need to partition information across separate Azure AD directories. In diesem Fall können Sie Synchronisierungs- und Kennwortrückschreibungsprobleme vermeiden, indem Sie sicherstellen, dass jedes Objekt aus der lokalen Gesamtstruktur nur einmal im Azure AD-Verzeichnis vorhanden ist.In this case, avoid synchronization and password write-back issues by ensuring that each object from the on-premises forest appears in only one Azure AD directory. Um dieses Szenario zu implementieren, konfigurieren Sie separate Azure AD Connect-Synchronisierungsserver für jedes Azure AD-Verzeichnis, und verwenden Sie Filterung, sodass jeder Azure AD Connect-Synchronisierungsserver einen wechselseitig exklusiven Satz von Objekten verwaltet.To implement this scenario, configure separate Azure AD Connect sync servers for each Azure AD directory, and use filtering so that each Azure AD Connect sync server operates on a mutually exclusive set of objects.

Weitere Informationen zu diesen Topologien finden Sie unter Topologien für Azure AD Connect.For more information about these topologies, see Topologies for Azure AD Connect.

BenutzerauthentifizierungUser authentication

Standardmäßig konfiguriert der Azure AD Connect-Synchronisierungsserver Kennworthashsynchronisierung zwischen der lokalen Domäne und Azure AD, und für den Azure AD-Dienst wird davon ausgegangen, dass Benutzer sich authentifizieren, indem sie das Kennwort bereitstellen, dass sie lokal verwenden.By default, the Azure AD Connect sync server configures password hash synchronization between the on-premises domain and Azure AD, and the Azure AD service assumes that users authenticate by providing the same password that they use on-premises. Für viele Organisationen ist dies geeignet, Sie sollten aber die vorhandenen Richtlinien und die vorhandene Infrastruktur Ihres Unternehmens berücksichtigen.For many organizations, this is appropriate, but you should consider your organization's existing policies and infrastructure. Beispiel:For example:

  • Die Sicherheitsrichtlinie Ihrer Organisation könnte verhindern, dass Kennworthashes in der Cloud synchronisiert werden.The security policy of your organization may prohibit synchronizing password hashes to the cloud. In diesem Fall sollte Ihre Organisation die Pass-Through-Authentifizierung in Erwägung ziehen.In this case, your organization should consider pass-through authentication.
  • Sie könnten fordern, dass für Benutzer nahtloses einmaligen Anmelden verwendet wird, wenn sie im Unternehmensnetzwerk von Computern, die zur Domäne gehören, auf Cloudressourcen zugreifen.You might require that users experience seamless single sign-on (SSO) when accessing cloud resources from domain-joined machines on the corporate network.
  • Ihre Organisation hat möglicherweise bereits Active Directory-Verbunddienste (AD FS) oder einen Drittanbieter-Verbundanbieter bereitgestellt.Your organization might already have Active Directory Federation Services (AD FS) or a third-party federation provider deployed. Sie können Azure AD so konfigurieren, dass statt der in der Cloud gespeicherten Kennwortinformationen diese Infrastruktur zum Implementieren von Authentifizierung und SSO verwendet wird.You can configure Azure AD to use this infrastructure to implement authentication and SSO rather than by using password information held in the cloud.

Weitere Informationen finden Sie unter Azure AD Connect-Optionen für die Benutzeranmeldung.For more information, see Azure AD Connect User Sign-on options.

Azure AD-AnwendungsproxyAzure AD application proxy

Verwenden Sie Azure AD, um Zugriff auf lokale Anwendungen bereitzustellen.Use Azure AD to provide access to on-premises applications.

Machen Sie Ihre lokalen Webanwendungen über Anwendungsproxy-Connectors verfügbar, die von der Azure AD-Komponente für Anwendungsproxys verwaltet werden.Expose your on-premises web applications using application proxy connectors managed by the Azure AD application proxy component. Der Anwendungsproxy-Connector öffnet eine ausgehende Netzwerkverbindung zum Azure AD-Anwendungsproxy, und Anforderungen von Remotebenutzern werden von Azure AD über diese Verbindung zurück an die Web-Apps weitergeleitet.The application proxy connector opens an outbound network connection to the Azure AD application proxy, and remote users' requests are routed back from Azure AD through this connection to the web apps. Dadurch entfällt die Notwendigkeit, eingehende Ports in der lokalen Firewall zu öffnen, wodurch die Angriffsfläche verkleinert wird, die sich für Ihre Organisation ergibt.This removes the need to open inbound ports in the on-premises firewall and reduces the attack surface exposed by your organization.

Weitere Informationen hierzu finden Sie unter Veröffentlichen von Anwendungen mit Azure AD-Anwendungsproxy.For more information, see Publish applications using Azure AD Application proxy.

ObjektsynchronisierungObject synchronization

In der Standardkonfiguration synchronisiert Azure AD Connect Objekte aus Ihrem lokalen Active Directory-Verzeichnis anhand der Regeln, die im Artikel Azure AD Connect-Synchronisierung: Grundlegendes zur Standardkonfiguration.Azure AD Connect's default configuration synchronizes objects from your local Active Directory directory based on the rules specified in the article Azure AD Connect sync: Understanding the default configuration. Objekte, die diese Regeln erfüllen, werden synchronisiert, während alle anderen Objekte ignoriert werden.Objects that satisfy these rules are synchronized while all other objects are ignored. Einige Beispielregeln:Some example rules:

  • Benutzerobjekte benötigen ein eindeutiges sourceAnchor-Attribut, und das accountEnabled-Attribut muss einen Wert haben.User objects must have a unique sourceAnchor attribute and the accountEnabled attribute must be populated.
  • Jedes Benutzerobjekt muss ein sAMAccountName-Attribut haben und darf weder mit dem Text Azure AD_ noch mit dem Text MSOL_ beginnen.User objects must have a sAMAccountName attribute and cannot start with the text Azure AD_ or MSOL_.

Azure AD Connect wendet verschiedene Regeln auf User-, Contact-, Group-, ForeignSecurityPrincipal- und Computer-Objekte an.Azure AD Connect applies several rules to User, Contact, Group, ForeignSecurityPrincipal, and Computer objects. Verwenden Sie den Synchronisierungsregel-Editor, der mit Azure AD Connect installiert wurde, wenn Sie den Standardsatz der Regeln ändern müssen.Use the Synchronization Rules Editor installed with Azure AD Connect if you need to modify the default set of rules. Weitere Informationen hierzu finden Sie unter Azure AD Connect-Synchronisierung: Grundlegendes zur Standardkonfiguration.For more information, see Azure AD Connect sync: Understanding the default configuration).

Sie können auch Ihre eigenen Filter definieren, um die zu synchronisierenden Objekte nach Domäne oder Organisationseinheit zu begrenzen.You can also define your own filters to limit the objects to be synchronized by domain or OU. Alternativ können Sie komplexere benutzerdefinierte Filter implementieren, wie unter Azure AD Connect-Synchronisierung: Konfigurieren der Filterung.Alternatively, you can implement more complex custom filtering such as that described in Azure AD Connect sync: Configure Filtering.

ÜberwachungMonitoring

Systemüberwachung wird von den folgenden lokal installierten Agents ausgeführt:Health monitoring is performed by the following agents installed on-premises:

  • Azure AD Connect installiert einen Agent, der Informationen zu Synchronisierungsvorgängen erfasst.Azure AD Connect installs an agent that captures information about synchronization operations. Verwenden Sie das Blatt „Azure AD Connect Health“ im Azure-Portal, um dessen Integrität und Leistung überwachen.Use the Azure AD Connect Health blade in the Azure portal to monitor its health and performance. Weitere Informationen hierzu finden Sie unter Verwenden von Azure AD Connect Health für die Synchronisierung.For more information, see Using Azure AD Connect Health for sync.
  • Wenn Sie die Integrität der AD DS-Domänen und -Verzeichnisse von Azure überwachen möchten, installieren Sie den Azure AD Connect Health für AD DS-Agent auf einem Computer in der lokalen Domäne.To monitor the health of the AD DS domains and directories from Azure, install the Azure AD Connect Health for AD DS agent on a machine within the on-premises domain. Verwenden Sie das Blatt „Azure Active Directory Connect Health“ im Azure-Portal für die Systemüberwachung.Use the Azure Active Directory Connect Health blade in the Azure portal for health monitoring. Weitere Informationen hierzu finden Sie unter Verwenden von Azure AD Connect Health mit AD DS.For more information, see Using Azure AD Connect Health with AD DS
  • Installieren Sie den Azure AD Connect Health für AD FS-Agent, um die Integrität von Diensten zu überwachen, die lokal ausgeführt werden, und verwenden Sie das Blatt „Azure Active Directory Connect Health“ im Azure-Portal, um AD FS zu überwachen.Install the Azure AD Connect Health for AD FS agent to monitor the health of services running on on-premises, and use the Azure Active Directory Connect Health blade in the Azure portal to monitor AD FS. Weitere Informationen hierzu finden Sie unter Verwenden von Azure AD Connect Health mit AD FS.For more information, see Using Azure AD Connect Health with AD FS

Weitere Informationen zum Installieren von AD Connect Health-Agents und zu deren Anforderungen finden Sie unter Installieren des Azure AD Connect Health-Agents.For more information on installing the AD Connect Health agents and their requirements, see Azure AD Connect Health Agent Installation.

Überlegungen zur SkalierbarkeitScalability considerations

Azure AD-Dienst unterstützt Skalierbarkeit auf Basis von Replikaten, mit einem einzelnen primären Replikat, das Schreibvorgänge verwaltet, und mehreren schreibgeschützten sekundären Replikaten.The Azure AD service supports scalability based on replicas, with a single primary replica that handles write operations plus multiple read-only secondary replicas. Azure AD leitet versuchte Schreibvorgänge, die für sekundäre Replikate erfolgt sind, transparent an das primäre Replikat weiter und bietet so Konsistenz.Azure AD transparently redirects attempted writes made against secondary replicas to the primary replica and provides eventual consistency. Alle Änderungen, die am primären Replikat vorgenommen wurden, werden an die sekundären Replikate weitergegeben.All changes made to the primary replica are propagated to the secondary replicas. Diese Architektur bietet eine gute Skalierung, denn die meisten Vorgänge für Azure AD sind keine Schreib-, sondern Lesevorgänge.This architecture scales well because most operations against Azure AD are reads rather than writes. Weitere Informationen finden Sie unter Azure AD: Hintergrundinformationen zu unserem georedundanten, hochverfügbaren, verteilten Cloudverzeichnis.For more information, see Azure AD: Under the hood of our geo-redundant, highly available, distributed cloud directory.

Ermitteln Sie für den Azure AD Connect-Synchronisierungsserver, wie viele Objekte aus Ihrem lokalen Verzeichnis wahrscheinlich zu synchronisieren sind.For the Azure AD Connect sync server, determine how many objects you are likely to synchronize from your local directory. Sind dies weniger als 100.000 Objekte, können Sie die standardmäßige SQL Server Express LocalDB-Software verwenden, die mit Azure AD Connect bereitgestellt wird.If you have less than 100,000 objects, you can use the default SQL Server Express LocalDB software provided with Azure AD Connect. Haben Sie eine größere Anzahl von Objekten, sollten Sie eine Produktionsversion von SQL Server installieren und eine benutzerdefinierte Installation von Azure AD Connect ausführen, wobei Sie angeben, dass eine vorhandene Instanz von SQL Server verwendet werden soll.If you have a larger number of objects, you should install a production version of SQL Server and perform a custom installation of Azure AD Connect, specifying that it should use an existing instance of SQL Server.

Überlegungen zur VerfügbarkeitAvailability considerations

Der Azure AD-Dienst ist geografisch verteilt und wird in mehreren Rechenzentren ausgeführt, die auf der ganzen Welt verteilt sind und automatisches Failover bieten.The Azure AD service is geo-distributed and runs in multiple datacenters spread around the world with automated failover. Fällt ein Rechenzentrum aus, stellt Azure AD sicher, dass Ihre Verzeichnisdaten in mindestens zwei weiteren regional verteilten Rechenzentren für Zugriff durch die Instanz verfügbar sind.If a datacenter becomes unavailable, Azure AD ensures that your directory data is available for instance access in at least two more regionally dispersed datacenters.

Hinweis

Die Vereinbarung zum Servicelevel (SLA) für Azure AD Basic- und Premium-Dienste garantiert eine Verfügbarkeit von mindestens 99,9 %.The service level agreement (SLA) for Azure AD Basic and Premium services guarantees at least 99.9% availability. Für den Free-Tarif von Azure AD gibt es keine SLA.There is no SLA for the Free tier of Azure AD. Weitere Informationen hierzu finden Sie unter SLA für Azure Active Directory.For more information, see SLA for Azure Active Directory.

Sie sollten sich überlegen, eine zweite Instanz des Azure AD Connect-Synchronisierungsservers im Stagingmodus bereitzustellen, um die Verfügbarkeit zu erhöhen, wie dies im Abschnitt „Topologieempfehlungen“ erläutert ist.Consider provisioning a second instance of Azure AD Connect sync server in staging mode to increase availability, as discussed in the topology recommendations section.

Wenn Sie nicht die SQL Server Express LocalDB-Instanz verwenden, die zu Azure AD Connect gehört, sollten Sie SQL-Clustering verwenden, um hohe Verfügbarkeit zu erreichen.If you are not using the SQL Server Express LocalDB instance that comes with Azure AD Connect, consider using SQL clustering to achieve high availability. Lösungen wie Datenbankspiegelung und Always On werden von Azure AD Connect nicht unterstützt.Solutions such as mirroring and Always On are not supported by Azure AD Connect.

Weitere Informationen zur Einrichtung eines hochverfügbaren Azure AD Connect-Synchronisierungsservers sowie zur Wiederherstellung nach einem Ausfall finden Sie unter Azure AD Connect Sync: Operative Aufgaben und Überlegungen – Notfallwiederherstellung.For additional considerations about achieving high availability of the Azure AD Connect sync server and also how to recover after a failure, see Azure AD Connect sync: Operational tasks and considerations - Disaster Recovery.

Überlegungen zur VerwaltbarkeitManageability considerations

Es gibt zwei Aspekte für das Verwalten von Azure AD:There are two aspects to managing Azure AD:

  • Verwalten von Azure AD in der CloudAdministering Azure AD in the cloud.
  • Verwalten der Azure AD Connect-SynchronisierungsserverMaintaining the Azure AD Connect sync servers.

Azure AD bietet die folgenden Optionen zum Verwalten von Domänen und Verzeichnissen in der Cloud:Azure AD provides the following options for managing domains and directories in the cloud:

  • Azure Active Directory-PowerShell-Modul.Azure Active Directory PowerShell Module. Verwenden Sie dieses Modul, wenn Sie allgemeine Azure AD-Verwaltungsaufgaben wie Benutzerverwaltung, Domänenverwaltung und Konfigurieren von einmaligem Anmelden mit Skripts ausführen müssen.Use this module if you need to script common Azure AD administrative tasks such as user management, domain management, and configuring single sign-on.
  • Blatt für Azure AD-Verwaltung im Azure-Portal.Azure AD management blade in the Azure portal. Dieses Blatt enthält eine interaktive Verwaltungsansicht des Verzeichnisses und ermöglicht es Ihnen, die meisten Aspekte von Azure AD zu steuern und zu konfigurieren.This blade provides an interactive management view of the directory, and enables you to control and configure most aspects of Azure AD.

Mit Azure AD Connect werden die folgenden Tools installiert, um Azure AD Connect-Synchronisierungsdienste über Ihre lokalen Computer verwalten zu können:Azure AD Connect installs the following tools to maintain Azure AD Connect sync services from your on-premises machines:

  • Microsoft Azure Active Directory Connect-KonsoleMicrosoft Azure Active Directory Connect console. Mit diesem Tool können Sie die Konfiguration des Azure AD Sync-Servers ändern, anpassen, wie die Synchronisierung erfolgt, den Stagingmodus aktivieren oder deaktivieren und den Benutzeranmeldemodus wechseln.This tool enables you to modify the configuration of the Azure AD Sync server, customize how synchronization occurs, enable or disable staging mode, and switch the user sign-in mode. Sie können die Active Directory FS-Anmeldung mit Ihrer lokalen Infrastruktur aktivieren.You can enable Active Directory FS sign-in using your on-premises infrastructure.
  • Synchronization Service Manager.Synchronization Service Manager. Verwenden Sie die Registerkarte Vorgänge in diesem Tool, um den Synchronisierungsprozess zu verwalten und zu erkennen, ob irgendwelche Teile des Prozesses fehlgeschlagen sind.Use the Operations tab in this tool to manage the synchronization process and detect whether any parts of the process have failed. Mit diesem Tool können Sie Synchronisierungen manuell auslösen.You can trigger synchronizations manually using this tool. Auf der Registerkarte Connectors können Sie die Verbindungen für die Domänen steuern, denen das Synchronisierungsmodul zugewiesen ist.The Connectors tab enables you to control the connections for the domains that the synchronization engine is attached to.
  • Synchronisierungsregel-Editor.Synchronization Rules Editor. Mit diesem Tool können Sie die Art und Weise anpassen, wie Objekte transformiert werden, wenn sie zwischen einem lokalen Verzeichnis und Azure AD kopiert werden.Use this tool to customize the way objects are transformed when they are copied between an on-premises directory and Azure AD. Das Tool ermöglicht es Ihnen, weitere Attribute und Objekte für die Synchronisierung anzugeben und dann Filter auszuführen, mit denen bestimmt wird, welche Objekte synchronisiert oder nicht synchronisiert werden sollen.This tool enables you to specify additional attributes and objects for synchronization, then executes filters to determine which objects should or should not be synchronized. Weitere Informationen hierzu finden Sie im Abschnitt „Synchronisierungsregel-Editor“ des Dokuments Azure AD Connect-Synchronisierung: Grundlegendes zur Standardkonfiguration.For more information, see the Synchronization Rule Editor section in the document Azure AD Connect sync: Understanding the default configuration.

Weitere Informationen und Tipps zur Verwaltung von Azure AD Connect finden Sie unter Azure AD Connect-Synchronisierung: Bewährte Methoden zum Ändern der Standardkonfiguration.For more information and tips for managing Azure AD Connect, see Azure AD Connect sync: Best practices for changing the default configuration.

SicherheitshinweiseSecurity considerations

Verwenden Sie bedingte Zugriffssteuerung, um Authentifizierungsanforderungen von unerwarteten Quellen abzulehnen:Use conditional access control to deny authentication requests from unexpected sources:

  • Lösen Sie Azure Multi-Factor Authentication (MFA) aus, wenn ein Benutzer versucht, eine Verbindung von einem nicht vertrauenswürdigen Standort herzustellen, etwa über das Internet anstelle eines vertrauenswürdigen Netzwerks.Trigger Azure Multi-Factor Authentication (MFA) if a user attempts to connect from a nontrusted location such as across the Internet instead of a trusted network.

  • Verwenden Sie den Geräteplattformtyp des Benutzers (iOS, Android, Windows Mobile, Windows), um die Richtlinie für Zugriff auf Anwendungen und Funktionen zu bestimmen.Use the device platform type of the user (iOS, Android, Windows Mobile, Windows) to determine access policy to applications and features.

  • Speichern Sie für die Geräte der Benutzer den Status „Aktiviert/Deaktiviert“, und integrieren Sie diese Informationen in die Zugriffsrichtlinienüberprüfungen.Record the enabled/disabled state of users' devices, and incorporate this information into the access policy checks. Hat ein Benutzer z.B. sein Smartphone verloren, oder wurde es ihm gestohlen, sollte es als „Deaktiviert“ gespeichert werden, um zu verhindern, dass mit ihm Zugriff erlangt werden kann.For example, if a user's phone is lost or stolen it should be recorded as disabled to prevent it from being used to gain access.

  • Steuern Sie Benutzerzugriff auf Ressourcen anhand von Gruppenmitgliedschaften.Control user access to resources based on group membership. Verwenden Sie Azure AD-Regeln für dynamische Mitgliedschaft, um eine Gruppenverwaltung zu vereinfachen.Use Azure AD dynamic membership rules to simplify group administration. Eine kurze Übersicht, wie dies funktioniert, finden Sie unter Azure AD: Introduction to Dynamic Memberships for Groups (Azure AD: Einführung in dynamische Mitgliedschaften für Gruppen).For a brief overview of how this works, see Introduction to Dynamic Memberships for Groups.

  • Verwenden Sie Risikorichtlinien zum bedingten Zugriff mit Azure AD Identity Protection,um erweiterten Schutz basierend auf ungewöhnlichen Anmeldeaktivitäten oder anderen Ereignissen zu bieten.Use conditional access risk policies with Azure AD Identity Protection to provide advanced protection based on unusual sign-in activities or other events.

Weitere Informationen hierzu finden Sie unter Bedingter Zugriff mit Azure Active Directory.For more information, see Azure Active Directory conditional access.

Bereitstellen der LösungDeploy the solution

Eine Bereitstellung für eine Referenzarchitektur, die diese Empfehlungen und Überlegungen implementiert, steht auf GitHub zur Verfügung.A deployment for a reference architecture that implements these recommendations and considerations is available on GitHub. In dieser Referenzarchitektur wird ein simuliertes lokales Netzwerk in Azure bereitgestellt, das Sie zum Testen und Experimentieren verwenden können.This reference architecture deploys a simulated on-premises network in Azure that you can use to test and experiment. Informationen zum Bereitstellen der Lösung finden Sie in der Infodatei auf GitHub.To deploy the solution, see the readme on GitHub.