Wählen der richtigen Authentifizierungsmethode für Ihre Azure Active Directory-HybrididentitätslösungChoose the right authentication method for your Azure Active Directory hybrid identity solution

Die Wahl der richtigen Authentifizierungsmethode ist die erste Hürde für Organisationen, die ihre Apps in die Cloud verschieben möchten.Choosing the correct authentication method is the first concern for organizations wanting to move their apps to the cloud. Nehmen Sie diese Entscheidung aus den folgenden Gründen nicht auf die leichte Schulter:Don't take this decision lightly, for the following reasons:

  1. Es ist die erste Entscheidung für eine Organisation, die die Umstellung auf die Cloud vollziehen möchte.It's the first decision for an organization that wants to move to the cloud.

  2. Die Authentifizierungsmethode ist eine wichtige Komponente der Präsenz einer Organisation in der Cloud.The authentication method is a critical component of an organization’s presence in the cloud. Hierüber wird der Zugriff auf alle Clouddaten und -ressourcen gesteuert.It controls access to all cloud data and resources.

  3. Sie ist die Grundlage aller anderen erweiterten Features in Bezug auf die Sicherheit und Benutzererfahrung in Azure AD.It's the foundation of all the other advanced security and user experience features in Azure AD.

  4. Es ist schwierig, die Authentifizierungsmethode zu ändern, nachdem sie implementiert wurde.The authentication method is difficult to change after it's implemented.

Die Identität ist die neue Steuerebene der IT-Sicherheit.Identity is the new control plane of IT security. Die Authentifizierung ist für eine Organisation daher der Zugriffsschutz für die neue Cloudwelt.So authentication is an organization’s access guard to the new cloud world. Organisationen benötigen eine Steuerebene für die Identität, mit der ihre Sicherheit gestärkt und die Cloud-Apps vor Eindringlingen geschützt werden.Organizations need an identity control plane that strengthens their security and keeps their cloud apps safe from intruders.

Nicht betreffende OrganisationenOut of scope

Organisationen, die über keine lokalen Verzeichnisse verfügen, stehen nicht im Mittelpunkt dieses Artikels.Organizations that don't have an existing on-premises directory footprint aren't the focus of this article. Normalerweise werden Identitäten von diesen Unternehmen nur in der Cloud erstellt, wofür keine Hybrididentitätslösung erforderlich ist.Typically, those businesses create identities only in the cloud, which doesn’t require a hybrid identity solution. Ausschließlich in der Cloud existierende Identitäten sind nicht mit entsprechenden lokalen Identitäten verknüpft.Cloud-only identities exist solely in the cloud and aren't associated with corresponding on-premises identities.

AuthentifizierungsmethodenAuthentication methods

Wenn die Azure AD-Hybrididentitätslösung Ihre neue Steuerungsebene bildet, ist die Authentifizierung die Grundlage für den Cloudzugriff.When the Azure AD hybrid identity solution is your new control plane, authentication is the foundation of cloud access. Die Wahl der richtigen Authentifizierungsmethode ist daher eine wichtige erste Entscheidung bei der Einrichtung einer Azure AD-Hybrididentitätslösung.Choosing the correct authentication method is a crucial first decision in setting up an Azure AD hybrid identity solution. Implementieren Sie die Authentifizierungsmethode, die mit Azure AD Connect konfiguriert wird. Hierüber werden auch Benutzer in der Cloud bereitgestellt.Implement the authentication method that is configured by using Azure AD Connect, which also provisions users in the cloud.

Bei der Auswahl einer Authentifizierungsmethode müssen Sie die Zeit, die vorhandene Infrastruktur, die Komplexität und die Implementierungskosten für die gewählte Lösung berücksichtigen.To choose an authentication method, you need to consider the time, existing infrastructure, complexity, and cost of implementing your choice. Diese Faktoren sind für jede Organisation unterschiedlich und können sich im Laufe der Zeit ändern.These factors are different for every organization and might change over time.

Azure AD unterstützt für Hybrididentitätslösungen die folgenden Authentifizierungsmethoden.Azure AD supports the following authentication methods for hybrid identity solutions.

CloudauthentifizierungCloud authentication

Wenn Sie diese Authentifizierungsmethode wählen, übernimmt Azure AD die Anmeldung für Benutzer.When you choose this authentication method, Azure AD handles users' sign-in process. In Verbindung mit dem nahtlosen einmaligen Anmelden (SSO) können sich Benutzer bei Cloud-Apps anmelden, ohne ihre Anmeldeinformationen erneut eingeben zu müssen.Coupled with seamless single sign-on (SSO), users can sign in to cloud apps without having to reenter their credentials. Bei der Cloudauthentifizierung können Sie zwischen zwei Optionen wählen:With cloud authentication, you can choose from two options:

Azure AD-Kennworthashsynchronisierung:Azure AD password hash synchronization. Dies ist der einfachste Weg, die Authentifizierung für lokale Verzeichnisobjekte in Azure AD zu ermöglichen.The simplest way to enable authentication for on-premises directory objects in Azure AD. Benutzer können den gleichen Benutzernamen und das gleiche Kennwort wie in der lokalen Umgebung verwenden, ohne eine zusätzliche Infrastruktur bereitstellen zu müssen.Users can use the same username and password that they use on-premises without having to deploy any additional infrastructure. Für einige Premium-Features von Azure AD, z.B. Identity Protection und Azure AD Domain Services, ist unabhängig davon, welche Authentifizierungsmethode Sie wählen, eine Kennworthashsynchronisierung erforderlich.Some premium features of Azure AD, like Identity Protection and Azure AD Domain Services, require password hash synchronization, no matter which authentication method you choose.

Hinweis

Kennwörter werden nie im Klartext gespeichert oder mit einem umkehrbaren Algorithmus in Azure AD verschlüsselt.Passwords are never stored in clear text or encrypted with a reversible algorithm in Azure AD. Weitere Informationen zum eigentlichen Prozess der Kennworthashsynchronisierung finden Sie unter Implementieren der Kennworthashsynchronisierung mit der Azure AD Connect-Synchronisierung.For more information on the actual process of password hash synchronization, see Implement password hash synchronization with Azure AD Connect sync.

Azure AD-Passthrough-Authentifizierung:Azure AD Pass-through Authentication. Es wird eine einfache Kennwortüberprüfung für Azure AD-Authentifizierungsdienste bereitgestellt, indem ein Software-Agent verwendet wird, der auf einem oder mehreren lokalen Servern ausgeführt wird.Provides a simple password validation for Azure AD authentication services by using a software agent that runs on one or more on-premises servers. Die Server überprüfen die Benutzer direkt über Ihre lokale Active Directory-Instanz, um sicherzustellen, dass die Kennwortüberprüfung nicht in der Cloud erfolgt.The servers validate the users directly with your on-premises Active Directory, which ensures that the password validation doesn't happen in the cloud.

Unternehmen mit einer Sicherheitsanforderung zur sofortigen Durchsetzung von lokalen Benutzerkontozuständen, Kennwortrichtlinien und Anmeldezeiten würden ggf. diese Authentifizierungsmethode verwenden.Companies with a security requirement to immediately enforce on-premises user account states, password policies, and sign-in hours might use this authentication method. Weitere Informationen zum eigentlichen Passthrough-Authentifizierungsprozess finden Sie unter Benutzeranmeldung mit der Azure AD-Passthrough-Authentifizierung.For more information on the actual pass-through authentication process, see User sign-in with Azure AD pass-through authentication.

VerbundauthentifizierungFederated authentication

Wenn Sie diese Authentifizierungsmethode wählen, übergibt Azure AD den Authentifizierungsprozess zur Validierung des Benutzerkennworts an ein separates vertrauenswürdiges Authentifizierungssystem, z.B. an eine lokale Instanz von Active Directory-Verbunddienste (AD FS).When you choose this authentication method, Azure AD hands off the authentication process to a separate trusted authentication system, such as on-premises Active Directory Federation Services (AD FS), to validate the user’s password.

Das Authentifizierungssystem kann zusätzliche erweiterte Authentifizierungsanforderungen bereitstellen.The authentication system can provide additional advanced authentication requirements. Beispiele hierfür sind eine Smartcard-basierte Authentifizierung oder eine mehrstufige Authentifizierung durch Drittanbieter.Examples are smartcard-based authentication or third-party multifactor authentication. Weitere Informationen finden Sie im Windows Server 2016 und 2012 R2 AD FS-Bereitstellungshandbuch.For more information, see Deploying Active Directory Federation Services.

Der folgende Abschnitt hilft Ihnen, anhand einer Entscheidungsstruktur die für Sie richtige Authentifizierungsmethode zu ermitteln.The following section helps you decide which authentication method is right for you by using a decision tree. So können Sie entscheiden, ob Sie eine Cloud- oder Verbundauthentifizierung für Ihre Azure AD-Hybrididentitätslösung einsetzen möchten.It helps you determine whether to deploy cloud or federated authentication for your Azure AD hybrid identity solution.

EntscheidungsstrukturDecision tree

Entscheidungsstruktur zur Azure AD-Authentifizierung

Informationen zu Entscheidungsfragen:Details on decision questions:

  1. Azure AD kann die Anmeldung für Benutzer verarbeiten, ohne auf lokale Komponenten zur Überprüfung von Kennwörtern angewiesen zu sein.Azure AD can handle sign-in for users without relying on on-premises components to verify passwords.
  2. Azure AD kann die Benutzeranmeldung an einen vertrauenswürdigen Authentifizierungsanbieter übergeben, z.B. Microsoft AD FS.Azure AD can hand off user sign-in to a trusted authentication provider such as Microsoft’s AD FS.
  3. Azure AD benötigt einige lokale Komponenten, wenn Sie Active Directory-Sicherheitsrichtlinien auf Benutzerebene anwenden müssen, z. B. für abgelaufene Konten, deaktivierte Konten, abgelaufene Kennwörter, gesperrte Konten und Anmeldezeiten für Benutzeranmeldungen.If you need to apply, user-level Active Directory security policies such as account expired, disabled account, password expired, account locked out, and sign-in hours on each user sign-in, Azure AD requires some on-premises components.
  4. Anmeldefeatures, die nicht nativ durch Azure AD unterstützt werden:Sign-in features not natively supported by Azure AD:
    • Melden Sie sich mit Smartcards oder Zertifikaten an.Sign-in using smartcards or certificates.
    • Melden Sie sich mit einem lokalen MFA-Server an.Sign-in using on-premises MFA Server.
    • Melden Sie sich mit einer Authentifizierungslösung eines Drittanbieters an.Sign-in using third party authentication solution.
    • Lokale Authentifizierungslösung für mehrere Standorte.Multi-site on-premises authentication solution.
  5. Azure AD Identity Protection benötigt für die Bereitstellung des Berichts Benutzer mit kompromittierten Anmeldeinformationen die Kennworthashsynchronisierung, unabhängig davon, welche Anmeldemethode Sie auswählen.Azure AD Identity Protection requires Password Hash Sync regardless of which sign-in method you choose, to provide the Users with leaked credentials report. Organisationen können ein Failover zur Kennworthashsynchronisierung ausführen, wenn bei der primären Anmeldemethode ein Fehler auftritt und diese vor dem Fehlerereignis konfiguriert wurde.Organizations can fail over to Password Hash Sync if their primary sign-in method fails and it was configured before the failure event.

Hinweis

Azure AD Identity Protection erfordert Lizenzen von Azure AD Premium P2.Azure AD Identity Protection require Azure AD Premium P2 licenses.

Ausführliche ÜberlegungenDetailed considerations

Cloudauthentifizierung KennworthashsynchronisierungCloud authentication: Password hash synchronization

  • Aufwand:Effort. Die Kennworthashsynchronisierung ist mit dem geringsten Aufwand in Bezug auf Bereitstellung, Wartung und Infrastruktur verbunden.Password hash synchronization requires the least effort regarding deployment, maintenance, and infrastructure. Diese Art von Aufwand fällt normalerweise für Organisationen an, in denen sich Benutzer nur an Office 365, SaaS-Apps und anderen Azure AD-basierten Ressourcen anmelden müssen.This level of effort typically applies to organizations that only need their users to sign in to Office 365, SaaS apps, and other Azure AD-based resources. Im aktivierten Zustand ist die Kennworthashsynchronisierung Teil des Azure AD Connect-Synchronisierungsprozesses, der alle zwei Minuten ausgeführt wird.When turned on, password hash synchronization is part of the Azure AD Connect sync process and runs every two minutes.

  • Benutzererfahrung:User experience. Stellen Sie das nahtlose einmalige Anmelden mit Kennworthashsynchronisierung bereit, um die Anmeldeerfahrung für Benutzer zu verbessern.To improve users' sign-in experience, deploy seamless SSO with password hash synchronization. Beim nahtlosen einmaligen Anmelden werden für Benutzer bei der Anmeldung keine unnötigen Aufforderungen angezeigt.Seamless SSO eliminates unnecessary prompts when users are signed in.

  • Erweiterte Szenarien:Advanced scenarios. Wenn Organisationen sich dafür entscheiden, können sie Erkenntnisse aus Identitäten gewinnen, indem Azure AD Identity Protection-Berichte mit Azure AD Premium P2 verwendet werden.If organizations choose to, it's possible to use insights from identities with Azure AD Identity Protection reports with Azure AD Premium P2. Ein Beispiel hierfür ist der Bericht zu kompromittierten Anmeldeinformationen.An example is the leaked credentials report. Windows Hello for Business verfügt über spezifische Anforderungen, wenn Sie die Kennworthashsynchronisierung verwenden.Windows Hello for Business has specific requirements when you use password hash synchronization. Azure AD Domain Services erfordern Kennworthashsynchronisierung, um Endbenutzern ihre Unternehmensanmeldeinformationen in der verwalteten Domäne bereitzustellen.Azure AD Domain Services requires password hash synchronization to provision users with their corporate credentials in the managed domain.

    Organisationen, die eine mehrstufige Authentifizierung mit Kennworthashsynchronisierung benötigen, müssen die Multi-Factor Authentication von Azure AD oder benutzerdefinierte Steuerelemente für den bedingten Zugriff verwenden.Organizations that require multifactor authentication with password hash synchronization must use Azure AD multifactor authentication or Conditional Access custom controls. Es ist für diese Organisationen nicht möglich, Verfahren zur mehrstufigen Authentifizierung basierend auf einem Verbund zu nutzen, die von Drittanbietern oder lokal angeboten werden.Those organizations can't use third-party or on-premises multifactor authentication methods that rely on federation.

Hinweis

Für den bedingten Azure AD-Zugriff werden Lizenzen vom Typ Azure AD Premium P1 benötigt.Azure AD Conditional Access require Azure AD Premium P1 licenses.

  • Geschäftskontinuität:Business continuity. Die Verwendung der Kennworthashsynchronisierung mit Cloudauthentifizierung ist als Clouddienst, der auf alle Microsoft-Datencenter skaliert wird, hoch verfügbar.Using password hash synchronization with cloud authentication is highly available as a cloud service that scales to all Microsoft datacenters. Stellen Sie einen zweiten Azure AD Connect-Server im Stagingmodus für eine Standbykonfiguration bereit, um sicherzustellen, dass die Kennworthashsynchronisierung nicht längere Zeit ausfällt.To make sure password hash synchronization does not go down for extended periods, deploy a second Azure AD Connect server in staging mode in a standby configuration.

  • Überlegungen:Considerations. Derzeit werden von der Kennworthashsynchronisierung nicht sofort Änderungen des Zustands lokaler Konten erzwungen.Currently, password hash synchronization doesn't immediately enforce changes in on-premises account states. In dieser Situation hat ein Benutzer Zugriff auf Cloud-Apps, bis der Status des Benutzerkontos mit Azure AD synchronisiert ist.In this situation, a user has access to cloud apps until the user account state is synchronized to Azure AD. Es kann für Organisationen ratsam sein, diese Einschränkung zu umgehen, indem ein neuer Synchronisierungszyklus ausgeführt wird, nachdem Administratoren Massenupdates für Zustände lokaler Benutzerkonten vorgenommen haben.Organizations might want to overcome this limitation by running a new synchronization cycle after administrators do bulk updates to on-premises user account states. Ein Beispiel hierfür ist die Deaktivierung von Konten.An example is disabling accounts.

Hinweis

Das Kennwort ist abgelaufen, und die Status von Kontosperren sind derzeit nicht über Azure AD Connect mit Azure AD synchronisiert.The password expired and account locked-out states aren't currently synced to Azure AD with Azure AD Connect. Wenn Sie das Kennwort eines Benutzers ändern und das Flag Benutzer muss Kennwort bei der nächsten Anmeldung ändern festlegen, wird der Kennworthash erst per Azure AD Connect mit Azure AD synchronisiert, nachdem der Benutzer sein Kennwort geändert hat.When you change a user's password and set the user must change password at next logon flag, the password hash will not be synced to Azure AD with Azure AD Connect, until the user change their password.

Informationen zu den Bereitstellungsschritten finden Sie unter Implementieren der Kennworthashsynchronisierung mit der Azure AD Connect-Synchronisierung.Refer to implementing password hash synchronization for deployment steps.

Cloudauthentifizierung Passthrough-AuthentifizierungCloud authentication: Pass-through Authentication

  • Aufwand:Effort. Für die Passthrough-Authentifizierung benötigen Sie mindestens einen einfachen Agent (Empfehlung: drei Agents), die auf vorhandenen Servern installiert sind.For pass-through authentication, you need one or more (we recommend three) lightweight agents installed on existing servers. Diese Agents müssen Zugriff auf Ihre lokale Instanz von Active Directory Domain Services haben, einschließlich Ihrer lokalen AD-Domänencontroller.These agents must have access to your on-premises Active Directory Domain Services, including your on-premises AD domain controllers. Sie benötigen Berechtigungen für den Zugriff auf das Internet und den Zugriff auf Ihre Domänencontroller.They need outbound access to the Internet and access to your domain controllers. Aus diesem Grund wird das Bereitstellen der Agents in einem Umkreisnetzwerk nicht unterstützt.For this reason, it's not supported to deploy the agents in a perimeter network.

    Für die Passthrough-Authentifizierung ist der uneingeschränkte Netzwerkzugriff auf Domänencontroller erforderlich.Pass-through Authentication requires unconstrained network access to domain controllers. Der gesamte Netzwerkverkehr ist verschlüsselt und auf Authentifizierungsanfragen beschränkt.All network traffic is encrypted and limited to authentication requests. Weitere Informationen zu diesem Prozess finden Sie unter Azure Active Directory-Passthrough-Authentifizierung – ausführliche Informationen zur Sicherheit.For more information on this process, see the security deep dive on pass-through authentication.

  • Benutzererfahrung:User experience. Stellen Sie das nahtlose einmalige Anmelden mit Passthrough-Authentifizierung bereit, um die Anmeldeerfahrung für Benutzer zu verbessern.To improve users' sign-in experience, deploy seamless SSO with Pass-through Authentication. Beim nahtlosen einmaligen Anmelden werden nach der Anmeldung eines Benutzers keine unnötigen Aufforderungen angezeigt.Seamless SSO eliminates unnecessary prompts after users sign in.

  • Erweiterte Szenarien:Advanced scenarios. Bei der Passthrough-Authentifizierung wird die lokale Kontorichtlinie zum Zeitpunkt der Anmeldung erzwungen.Pass-through Authentication enforces the on-premises account policy at the time of sign-in. Beispielsweise wird der Zugriff verweigert, wenn ein Konto eines lokalen Benutzers den Status „Deaktiviert“, „Gesperrt“ oder Kennwort abgelaufen hat oder wenn der Zugriffsversuch außerhalb der für den Benutzer zulässigen Anmeldestunden liegt.For example, access is denied when an on-premises user’s account state is disabled, locked out, or password expired or falls outside the hours when the user is allowed to sign in.

    Organisationen, die eine mehrstufige Authentifizierung mit Passthrough-Authentifizierung benötigen, müssen die Multi-Factor Authentication (MFA) von Azure oder benutzerdefinierte Steuerelemente für den bedingten Zugriff verwenden.Organizations that require multifactor authentication with pass-through authentication must use Azure Multi-Factor Authentication (MFA) or Conditional Access custom controls. Es ist für diese Organisationen nicht möglich, ein Verfahren zur mehrstufigen Authentifizierung basierend auf einem Verbund zu nutzen, das von Drittanbietern oder lokal angeboten wird.Those organizations can't use a third-party or on-premises multifactor authentication method that relies on federation. Für die erweiterten Features muss die Kennworthashsynchronisierung unabhängig davon bereitgestellt werden, ob Sie die Passthrough-Authentifizierung wählen.Advanced features require that password hash synchronization is deployed whether or not you choose pass-through authentication. Ein Beispiel hierfür ist der Bericht zu kompromittierten Anmeldeinformationen von Identity Protection.An example is the leaked credentials report of Identity Protection.

  • Geschäftskontinuität:Business continuity. Wir empfehlen Ihnen, zwei zusätzliche Agents für die Passthrough-Authentifizierung bereitzustellen.We recommend that you deploy two extra pass-through authentication agents. Diese Bereitstellung gilt zusätzlich zum ersten Agent auf dem Azure AD Connect-Server.These extras are in addition to the first agent on the Azure AD Connect server. Mit dieser zusätzlichen Bereitstellung wird für Authentifizierungsanforderungen die Hochverfügbarkeit sichergestellt.This additional deployment ensures high availability of authentication requests. Wenn Sie drei Agents bereitgestellt haben, kann ein Agent immer noch ausfallen, wenn ein anderer Agent wegen Wartungsarbeiten ausfällt.When you have three agents deployed, one agent can still fail when another agent is down for maintenance.

    Die Bereitstellung der Kennworthashsynchronisierung zusätzlich zur Passthrough-Authentifizierung hat noch einen weiteren Vorteil.There's another benefit to deploying password hash synchronization in addition to pass-through authentication. Sie dient als sekundäre Authentifizierungsmethode, wenn die primäre Authentifizierungsmethode nicht mehr verfügbar ist.It acts as a backup authentication method when the primary authentication method is no longer available.

  • Überlegungen:Considerations. Sie können die Kennworthashsynchronisierung als sekundäre Authentifizierungsmethode für die Passthrough-Authentifizierung verwenden, wenn die Agents die Anmeldeinformationen eines Benutzers aufgrund eines signifikanten lokalen Ausfalls nicht überprüfen können.You can use password hash synchronization as a backup authentication method for pass-through authentication, when the agents can't validate a user's credentials due to a significant on-premises failure. Das Failover zur Kennworthashsynchronisierung erfolgt nicht automatisch, und Sie müssen Azure AD Connect verwenden, um die Anmeldemethode manuell zu wechseln.Fail over to password hash synchronization doesn't happen automatically and you must use Azure AD Connect to switch the sign-on method manually.

    Mehr zu weiteren Überlegungen zur Passthrough-Authentifizierung, z.B. der Unterstützung alternativer IDs, erfahren Sie in den häufig gestellten Fragen.For other considerations on Pass-through Authentication, including Alternate ID support, see frequently asked questions.

Weitere Informationen zu den Bereitstellungsschritten finden Sie unter Benutzeranmeldung mit der Azure Active Directory-Passthrough-Authentifizierung.Refer to implementing pass-through authentication for deployment steps.

VerbundauthentifizierungFederated authentication

  • Aufwand:Effort. Ein Verbundauthentifizierungssystem greift auf ein externes vertrauenswürdiges System zurück, um Benutzer zu authentifizieren.A federated authentication system relies on an external trusted system to authenticate users. Einige Unternehmen möchten ihre bestehenden Investitionen in Verbundsysteme in Verbindung mit ihrer Azure AD-Hybrididentitätslösung wiederverwenden.Some companies want to reuse their existing federated system investment with their Azure AD hybrid identity solution. Die Wartung und Verwaltung des Verbundsystems wird nicht über Azure AD gesteuert.The maintenance and management of the federated system falls outside the control of Azure AD. Die Organisation, die das Verbundsystem verwendet, muss selbst sicherstellen, dass es die erforderliche Sicherheit bietet und die Authentifizierungslast bewältigen kann.It's up to the organization by using the federated system to make sure it's deployed securely and can handle the authentication load.

  • Benutzererfahrung:User experience. Die Benutzererfahrung der Verbundauthentifizierung hängt von der Implementierung der Funktionen, der Topologie und der Konfiguration der Verbundfarm ab.The user experience of federated authentication depends on the implementation of the features, topology, and configuration of the federation farm. Einige Organisationen benötigen diese Flexibilität, um den Zugriff auf die Verbundfarm an ihre Sicherheitsanforderungen anzupassen und zu konfigurieren.Some organizations need this flexibility to adapt and configure the access to the federation farm to suit their security requirements. Beispielsweise ist es möglich, intern verbundene Benutzer und Geräte so zu konfigurieren, dass sie automatisch angemeldet werden, ohne dass die Anmeldeinformationen abgefragt werden.For example, it's possible to configure internally connected users and devices to sign in users automatically, without prompting them for credentials. Diese Konfiguration funktioniert, weil die Anmeldung an den Geräten bereits erfolgt ist.This configuration works because they already signed in to their devices. Falls erforderlich, kann der Anmeldeprozess für Benutzer durch einige erweiterte Sicherheitsfeatures schwieriger gestaltet werden.If necessary, some advanced security features make users' sign-in process more difficult.

  • Erweiterte Szenarien:Advanced scenarios. Eine Lösung für die Verbundauthentifizierung ist normalerweise erforderlich, wenn für Kunden eine Authentifizierungsanforderung besteht, die von Azure AD nicht nativ unterstützt wird.A federated authentication solution is usually required when customers have an authentication requirement that Azure AD doesn't support natively. Sehen Sie sich die ausführlichen Informationen hierzu an, damit Sie die richtige Anmeldeoption auswählen können.See detailed information to help you choose the right sign-in option. Beachten Sie die folgenden häufigen Anforderungen:Consider the following common requirements:

    • Authentifizierung mit Smartcards oder ZertifikatenAuthentication that requires smartcards or certificates.
    • Lokale MFA-Server oder MFA-Drittanbieter, für die ein Verbundidentitätsanbieter benötigt wirdOn-premises MFA servers or third-party multifactor providers requiring a federated identity provider.
    • Authentifizierung mit Drittanbieter-Authentifizierungslösungen.Authentication by using third-party authentication solutions. Siehe die Azure AD-Verbund – Kompatibilitätsliste.See the Azure AD federation compatibility list.
    • Anmeldungen, für die ein sAMAccountName erforderlich ist, z.B. „DOMÄNE\Benutzername“, anstatt eines Benutzerprinzipalnamens (UPN), z.B. user@domain.comSign in that requires an sAMAccountName, for example, DOMAIN\username, instead of a User Principal Name (UPN), for example, user@domain.com.
  • Geschäftskontinuität:Business continuity. Für Verbundsysteme ist normalerweise ein Serverarray mit Lastenausgleich erforderlich, das als Farm bezeichnet wird.Federated systems typically require a load-balanced array of servers, known as a farm. Diese Farm wird in einer Topologie mit einem internen Netzwerk und einem Umkreisnetzwerk konfiguriert, um die Hochverfügbarkeit für Authentifizierungsanforderungen sicherzustellen.This farm is configured in an internal network and perimeter network topology to ensure high availability for authentication requests.

    Stellen Sie die Kennworthashsynchronisierung zusammen mit der Verbundauthentifizierung als sekundäre Authentifizierungsmethode bereit, wenn die primäre Authentifizierungsmethode nicht mehr verfügbar ist.Deploy password hash synchronization along with federated authentication as a backup authentication method when the primary authentication method is no longer available. Ein Beispiel hierfür ist der Fall, in dem die lokalen Server nicht mehr verfügbar sind.An example is when the on-premises servers aren't available. Einige Großunternehmen benötigen eine Verbundlösung, um mehrere per Geo-DNS konfigurierte Internetzugangspunkte für Authentifizierungsanforderungen mit geringer Latenz zu unterstützen.Some large enterprise organizations require a federation solution to support multiple Internet ingress points configured with geo-DNS for low-latency authentication requests.

  • Überlegungen:Considerations. Für Verbundsysteme müssen in der Regel größere Investitionen in die lokale Infrastruktur getätigt werden.Federated systems typically require a more significant investment in on-premises infrastructure. Die meisten Organisationen wählen diese Option, wenn sie bereits in ein lokales Verbundsystem investiert haben.Most organizations choose this option if they already have an on-premises federation investment. Sie wird auch gewählt, wenn es eine wichtige geschäftliche Anforderung ist, einen Anbieter für Einzelidentitäten zu verwenden.And if it's a strong business requirement to use a single-identity provider. Die Bereitstellung und Fehlerbehebung bei einer Verbundlösung ist im Vergleich zu Cloudauthentifizierungslösungen komplexer.Federation is more complex to operate and troubleshoot compared to cloud authentication solutions.

Für eine nicht routingfähige Domäne, die in Azure AD nicht verifiziert werden kann, benötigen Sie eine zusätzliche Konfiguration, unter der Sie die Benutzer-ID implementieren können.For a nonroutable domain that can't be verified in Azure AD, you need extra configuration to implement user ID sign in. Diese Anforderung wird als Unterstützung für alternative Anmelde-IDs bezeichnet.This requirement is known as Alternate login ID support. Weitere Informationen zu Einschränkungen und Anforderungen finden Sie unter Konfigurieren von alternativen Anmelde-ID.See Configuring Alternate Login ID for limitations and requirements. Wenn Sie sich entschließen, einen externen Anbieter für mehrstufige Authentifizierung mit Verbund zu nutzen, sollten Sie sich vergewissern, dass der Anbieter WS-Trust unterstützt, damit Geräte in Azure AD eingebunden werden können.If you choose to use a third-party multi-factor authentication provider with federation, ensure the provider supports WS-Trust to allow devices to join Azure AD.

Informationen zu den Bereitstellungsschritten finden Sie unter Bereitstellen von Verbundservern.Refer to Deploying Federation Servers for deployment steps.

Hinweis

Bei der Bereitstellung Ihrer Azure AD-Hybrididentitätslösung müssen Sie eine der von Azure AD Connect unterstützten Topologien implementieren.When you deploy your Azure AD hybrid identity solution, you must implement one of the supported topologies of Azure AD Connect. Erfahren Sie mehr über unterstützte und nicht unterstützte Konfigurationen unter Topologien für Azure AD Connect.Learn more about supported and unsupported configurations at Topologies for Azure AD Connect.

ArchitekturdiagrammeArchitecture diagrams

Im folgenden Diagramm sind die allgemeinen Architekturkomponenten dargestellt, die für die einzelnen Authentifizierungsmethoden erforderlich sind und die Sie mit Ihrer Azure AD-Hybrididentitätslösung verwenden können.The following diagrams outline the high-level architecture components required for each authentication method you can use with your Azure AD hybrid identity solution. Sie erhalten einen Überblick über die Unterschiede zwischen den Lösungen.They provide an overview to help you compare the differences between the solutions.

  • Einfachheit einer Lösung für die Kennworthashsynchronisierung:Simplicity of a password hash synchronization solution:

    Azure AD-Hybrididentität mit Kennworthashsynchronisierung

  • Agent-Anforderungen der Passthrough-Authentifizierung mit zwei Agents für Redundanz:Agent requirements of pass-through authentication, using two agents for redundancy:

    Azure AD-Hybrididentität mit Passthrough-Authentifizierung

  • Komponenten, die für den Verbund im Umkreisnetzwerk und internen Netzwerk Ihrer Organisation erforderlich sind:Components required for federation in your perimeter and internal network of your organization:

    Azure AD-Hybrididentität mit Verbundauthentifizierung

Vergleichen von MethodenComparing methods

AspektConsideration Kennworthashsynchronisierung + nahtloses einmaliges AnmeldenPassword hash synchronization + Seamless SSO Passthrough-Authentifizierung + nahtloses einmaliges AnmeldenPass-through Authentication + Seamless SSO Verbund mit AD FSFederation with AD FS
Wo findet Authentifizierung statt?Where does authentication happen? In der CloudIn the cloud In der Cloud nach einem sicheren Kennwortüberprüfungsaustausch mit dem lokalen Authentifizierungs-AgentIn the cloud after a secure password verification exchange with the on-premises authentication agent LokalOn-premises
Welche lokalen Serveranforderungen gibt es über das Bereitstellungssystem hinaus: Azure AD Connect?What are the on-premises server requirements beyond the provisioning system: Azure AD Connect? KeineNone Ein Server für jeden zusätzlichen Authentifizierungs-AgentOne server for each additional authentication agent Mindestens zwei AD FS-ServerTwo or more AD FS servers

Mindestens zwei WAP-Server im Umkreis-/DMZ-NetzwerkTwo or more WAP servers in the perimeter/DMZ network
Welche lokalen Anforderungen hinsichtlich Internet und Netzwerk gibt es über das Bereitstellungssystem hinaus?What are the requirements for on-premises Internet and networking beyond the provisioning system? KeineNone Ausgehender Internetzugriff von den Servern, auf denen Authentifizierung-Agents ausgeführt werdenOutbound Internet access from the servers running authentication agents Eingehender Internetzugriff auf WAP-Server im UmkreisnetzwerkInbound Internet access to WAP servers in the perimeter

Eingehender Netzwerkzugriff auf AD FS-Server von WAP-Servern im UmkreisnetzwerkInbound network access to AD FS servers from WAP servers in the perimeter

NetzwerklastenausgleichNetwork load balancing
Ist ein SSL-Zertifikat erforderlich?Is there an SSL certificate requirement? NeinNo NeinNo JaYes
Gibt es eine Systemüberwachungslösung?Is there a health monitoring solution? Nicht erforderlichNot required Agent-Status, bereitgestellt von Azure Active Directory Admin CenterAgent status provided by Azure Active Directory admin center Azure AD Connect HealthAzure AD Connect Health
Erhalten Benutzer einmaliges Anmelden für Cloudressourcen über Geräte, die in die Domäne eingebunden sind und zum Unternehmensnetzwerk gehören?Do users get single sign-on to cloud resources from domain-joined devices within the company network? Ja, mit nahtlosem einmaligen AnmeldenYes with Seamless SSO Ja, mit nahtlosem einmaligen AnmeldenYes with Seamless SSO JaYes
Welche Anmeldetypen werden unterstützt?What sign-in types are supported? Benutzerprinzipalname + KennwortUserPrincipalName + password

Integrierte Windows-Authentifizierung mit nahtlosem einmaligen AnmeldenWindows-Integrated Authentication by using Seamless SSO

Alternative Anmelde-IDAlternate login ID
Benutzerprinzipalname + KennwortUserPrincipalName + password

Integrierte Windows-Authentifizierung mit nahtlosem einmaligen AnmeldenWindows-Integrated Authentication by using Seamless SSO

Alternative Anmelde-IDAlternate login ID
Benutzerprinzipalname + KennwortUserPrincipalName + password

sAMAccountName + KennwortsAMAccountName + password

Integrierte Windows-AuthentifizierungWindows-Integrated Authentication

Zertifikat- und Smartcard-AuthentifizierungCertificate and smart card authentication

Alternative Anmelde-IDAlternate login ID
Wird Windows Hello for Business unterstützt?Is Windows Hello for Business supported? Modell der schlüsselbasierten VertrauensstellungKey trust model Modell der schlüsselbasierten VertrauensstellungKey trust model
Erfordert eine Windows Server 2016-DomänenfunktionsebeneRequires Windows Server 2016 Domain functional level
Modell der schlüsselbasierten VertrauensstellungKey trust model

Modell der ZertifikatvertrauensstellungCertificate trust model
Welche Optionen gibt es für die mehrstufige Authentifizierung?What are the multifactor authentication options? Azure MFAAzure MFA

Benutzerdefinierte Steuerelemente mit bedingtem Zugriff*Custom Controls with Conditional Access*
Azure MFAAzure MFA

Benutzerdefinierte Steuerelemente mit bedingtem Zugriff*Custom Controls with Conditional Access*
Azure MFAAzure MFA

Azure MFA-ServerAzure MFA server

MFA über DrittanbieterThird-party MFA

Benutzerdefinierte Steuerelemente mit bedingtem Zugriff*Custom Controls with Conditional Access*
Welche Benutzerkontenstatus werden unterstützt?What user account states are supported? Deaktivierte KontenDisabled accounts
(bis zu 30 Minuten Verzögerung)(up to 30-minute delay)
Deaktivierte KontenDisabled accounts

Konto gesperrtAccount locked out

Konto abgelaufenAccount expired

Kennwort abgelaufenPassword expired

AnmeldestundenSign-in hours
Deaktivierte KontenDisabled accounts

Konto gesperrtAccount locked out

Konto abgelaufenAccount expired

Kennwort abgelaufenPassword expired

AnmeldestundenSign-in hours
Welche Optionen für bedingten Zugriff gibt es?What are the Conditional Access options? Bedingter Zugriff in Azure AD mit Azure AD PremiumAzure AD Conditional Access, with Azure AD Premium Bedingter Zugriff in Azure AD mit Azure AD PremiumAzure AD Conditional Access, with Azure AD Premium Bedingter Zugriff in Azure AD mit Azure AD PremiumAzure AD Conditional Access, with Azure AD Premium

AD FS-AnspruchsregelnAD FS claim rules
Wird Blockieren älterer Protokolle unterstützt?Is blocking legacy protocols supported? JaYes JaYes JaYes
Können das Logo, das Bild und die Beschreibung auf den Anmeldeseiten angepasst werden?Can you customize the logo, image, and description on the sign-in pages? Ja, mit Azure AD PremiumYes, with Azure AD Premium Ja, mit Azure AD PremiumYes, with Azure AD Premium JaYes
Welche erweiterten Szenarien werden unterstützt?What advanced scenarios are supported? Intelligente KennwortsperrungSmart password lockout

Berichte über kompromittierte Anmeldeinformationen mit Azure AD Premium P2Leaked credentials reports, with Azure AD Premium P2
Intelligente KennwortsperrungSmart password lockout Authentifizierungssystem mit geringer Wartezeit für mehrere StandorteMultisite low-latency authentication system

AD FS-ExtranetsperreAD FS extranet lockout

Integration in Identitätssysteme von DrittanbieternIntegration with third-party identity systems

Hinweis

Für den bedingten Zugriff in Azure AD über benutzerdefinierte Steuerelemente wird zurzeit keine Geräteregistrierung unterstützt.Custom controls in Azure AD Conditional Access does not currently support device registration.

EmpfehlungenRecommendations

Mit Ihrem Identitätssystem wird sichergestellt, dass Ihre Benutzer Zugriff auf Cloud-Apps und die branchenspezifischen Apps haben, die Sie migrieren und in der Cloud zur Verfügung stellen.Your identity system ensures your users' access to cloud apps and the line-of-business apps that you migrate and make available in the cloud. Die Authentifizierung steuert den Zugriff auf Apps, um für autorisierte Benutzer das produktive Arbeiten zu ermöglichen und unautorisierte Akteure von den vertraulichen Daten Ihrer Organisation fernzuhalten.To keep authorized users productive and bad actors out of your organization’s sensitive data, authentication controls access to apps.

Verwenden oder aktivieren Sie die Kennworthashsynchronisierung aus folgenden Gründen, unabhängig von der gewählten Authentifizierungsmethode:Use or enable password hash synchronization for whichever authentication method you choose, for the following reasons:

  1. Hochverfügbarkeit und Notfallwiederherstellung:High availability and disaster recovery. Die Passthrough-Authentifizierung und der Verbund richten sich nach der lokalen Infrastruktur.Pass-through Authentication and federation rely on on-premises infrastructure. Für die Passthrough-Authentifizierung umfasst der lokale Aufwand die erforderliche Serverhardware und das Netzwerk für die Passthrough-Authentifizierungs-Agents.For pass-through authentication, the on-premises footprint includes the server hardware and networking the Pass-through Authentication agents require. Für den Verbund ist der lokale Aufwand noch höher.For federation, the on-premises footprint is even larger. In Ihrem Umkreisnetzwerk müssen Server vorhanden sein, die als Proxy für Authentifizierungsanforderungen und die internen Verbundserver dienen.It requires servers in your perimeter network to proxy authentication requests and the internal federation servers.

    Stellen Sie redundante Server bereit, um Single Points of Failure zu vermeiden.To avoid single points of failures, deploy redundant servers. Authentifizierungsanforderungen werden dann, auch wenn Komponenten ausfallen, immer verarbeitet.Then authentication requests will always be serviced if any component fails. Sowohl die Passthrough-Authentifizierung als auch der Verbund sind ebenfalls darauf angewiesen, dass Domänencontroller auf Authentifizierungsanforderungen antworten, und auch diese Controller können ausfallen.Both pass-through authentication and federation also rely on domain controllers to respond to authentication requests, which can also fail. Für viele dieser Komponenten ist eine Wartung erforderlich, damit sie fehlerfrei bleiben.Many of these components need maintenance to stay healthy. Die Wahrscheinlichkeit von Ausfällen ist höher, wenn die Wartung nicht richtig geplant und implementiert wird.Outages are more likely when maintenance isn't planned and implemented correctly. Vermeiden Sie Ausfälle mithilfe der Kennworthashsynchronisierung. Der Dienst für die Microsoft Azure AD-Cloudauthentifizierung kann weltweit skaliert werden und ist immer verfügbar.Avoid outages by using password hash synchronization because the Microsoft Azure AD cloud authentication service scales globally and is always available.

  2. Sicherung bei lokalem Ausfall:On-premises outage survival. Die Folgen eines lokalen Ausfalls aufgrund eines Cyberangriffs oder einer Katastrophe können beträchtlich sein. Sie reichen von einem Markenschaden bis hin zu einer handlungsunfähigen Organisation, die den Angriff nicht bewältigen kann.The consequences of an on-premises outage due to a cyber-attack or disaster can be substantial, ranging from reputational brand damage to a paralyzed organization unable to deal with the attack. In letzter Zeit sind viele Organisationen Opfer von Angriffen mit Schadsoftware geworden, z.B. gezielter Ransomware, die zu einem Ausfall der lokalen Server geführt hat.Recently, many organizations were victims of malware attacks, including targeted ransomware, that caused their on-premises servers to go down. Microsoft hat seine Kunden bei der Bewältigung dieser Art von Angriffen unterstützt und zwei Kategorien von Organisationen erkannt:When Microsoft helps customers deal with these kinds of attacks, it sees two categories of organizations:

    • Organisationen, die die Kennworthashsynchronisierung bereits aktiviert hatten, haben ihre Authentifizierungsmethode geändert und die Kennworthashsynchronisierung verwendet.Organizations that previously turned on password hash synchronization changed their authentication method to use password hash synchronization. Der Onlinezustand konnte innerhalb weniger Stunden wiederhergestellt werden.They were back online in a matter of hours. Durch den Zugriff auf E-Mails über Office 365 konnten Probleme gelöst werden, und der Zugriff auf andere cloudbasierte Workloads wurde ermöglicht.By using access to email via Office 365, they worked to resolve issues and access other cloud-based workloads.

    • Organisationen, die die Kennworthashsynchronisierung zuvor nicht aktiviert hatten, mussten für die Kommunikation und Problembehebung auf nicht vertrauenswürdige externe E-Mail-Systeme zurückgreifen.Organizations that didn’t previously enable password hash synchronization had to resort to untrusted external consumer email systems for communications to resolve issues. In diesen Fällen dauerte es Wochen, bis die lokale Identitätsinfrastruktur wiederhergestellt war, sodass sich die Benutzer wieder bei cloudbasierten Anwendungen anmelden konnten.In those cases, it took them weeks to restore their on-premises identity infrastructure, before users were able to sign in to cloud-based apps again.

  3. Identitätsschutz:Identity protection. Eine der besten Möglichkeiten, Benutzer in der Cloud zu schützen, ist Azure AD Identity Protection mit Azure AD Premium P2.One of the best ways to protect users in the cloud is Azure AD Identity Protection with Azure AD Premium P2. Microsoft überprüft das Internet ständig auf Benutzer- und Kennwortlisten, die unautorisierte Akteure verkaufen möchten und im Darknet anbieten.Microsoft continually scans the Internet for user and password lists that bad actors sell and make available on the dark web. Azure AD kann diese Informationen verwenden, um zu überprüfen, ob einer der Benutzernamen mit Kennwort in Ihrer Organisation kompromittiert ist.Azure AD can use this information to verify if any of the usernames and passwords in your organization are compromised. Daher ist es wichtig, die Kennworthashsynchronisierung unabhängig von der verwendeten Authentifizierungsmethode (Verbund- oder Passthrough-Authentifizierung) zu aktivieren.So it's critical to enable password hash synchronization no matter what authentication method you use, whether that's federated or pass-through authentication. Kompromittierte Anmeldeinformationen werden in Berichtform angezeigt.Leaked credentials are presented as a report. Verwenden Sie diese Informationen, um Benutzer zu blockieren oder zum Ändern ihrer Kennwörter zu zwingen, wenn diese versuchen, sich mit kompromittierten Kennwörtern anzumelden.Use this information to block or force users to change their passwords when they try to sign in with leaked passwords.

ZusammenfassungConclusion

Dieser Artikel beschreibt verschiedene Authentifizierungsoptionen, die Organisationen konfigurieren und bereitstellen können, um den Zugriff auf Cloud-Apps zu unterstützen.This article outlines various authentication options that organizations can configure and deploy to support access to cloud apps. Um verschiedene geschäftliche, sicherheitsbezogene und technische Anforderungen zu erfüllen, können Organisationen zwischen Kennworthashsynchronisierung, Passthrough-Authentifizierung und der Verbundmethode wählen.To meet various business, security, and technical requirements, organizations can choose between password hash synchronization, Pass-through Authentication, and federation.

Sehen Sie sich die einzelnen Authentifizierungsmethoden an.Consider each authentication method. Werden Ihre Geschäftsanforderungen durch den Aufwand für die Bereitstellung der Lösung und mit der Benutzeroberfläche für den Anmeldevorgang erfüllt?Does the effort to deploy the solution, and the user's experience of the sign-in process, address your business requirements? Prüfen Sie auch, ob Ihre Organisation die Funktionen für erweiterte Szenarien und Geschäftskontinuität der einzelnen Authentifizierungsmethoden benötigt.Evaluate whether your organization needs the advanced scenarios and business continuity features of each authentication method. Evaluieren Sie außerdem die Aspekte der einzelnen Authentifizierungsmethoden.Finally, evaluate the considerations of each authentication method. Werden Sie durch bestimmte Aspekte daran gehindert, die Methode Ihrer Wahl zu implementieren?Do any of them prevent you from implementing your choice?

Nächste SchritteNext steps

In der heutigen Welt sind Bedrohungen 24 Stunden am Tag präsent und kommen von überall her.In today’s world, threats are present 24 hours a day and come from everywhere. Implementieren Sie die passende Authentifizierungsmethode, um Ihre Sicherheitsrisiken zu minimieren und Ihre Identitäten zu schützen.Implement the correct authentication method, and it will mitigate your security risks and protect your identities.

Beginnen Sie mit Azure AD, und setzen Sie die richtige Authentifizierungslösung für Ihre Organisation ein.Get started with Azure AD and deploy the right authentication solution for your organization.

Wenn Sie eine Migration von der Verbund- zur Cloudauthentifizierung erwägen, helfen Ihnen die Informationen unter Ändern der Benutzeranmeldungsmethode weiter.If you're thinking about migrating from federated to cloud authentication, learn more about changing the sign-in method. Um Ihnen bei der Planung und Implementierung der Migration zu helfen, verwenden Sie diese Projektbereitstellungspläne oder das neue Feature Gestaffelter Rollout, um Verbundbenutzer in einem gestaffelten Ansatz zur Verwendung der Cloudauthentifizierung zu migrieren.To help you plan and implement the migration, use these project deployment plans or consider using the new Staged Rollout feature to migrate federated users to using cloud authentication in a staged approach.