Microsoft 365-Identitätsmodelle und Azure Active DirectoryMicrosoft 365 identity models and Azure Active Directory

Dieser Artikel gilt sowohl für Microsoft 365 Enterprise als auch für Office 365 Enterprise.This article applies to both Microsoft 365 Enterprise and Office 365 Enterprise.

Microsoft 365 verwendet Azure Active Directory (Azure AD), einen cloudbasierten Benutzeridentitäts- und Authentifizierungsdienst, der in Ihrem Microsoft 365-Abonnement enthalten ist, um Identitäten und Authentifizierung für Microsoft 365 zu verwalten.Microsoft 365 uses Azure Active Directory (Azure AD), a cloud-based user identity and authentication service that is included with your Microsoft 365 subscription, to manage identities and authentication for Microsoft 365. Die korrekte Konfiguration Ihrer Identitätsinfrastruktur ist für die Verwaltung des Microsoft 365-Benutzerzugriffs und der Berechtigungen für Ihre Organisation unerlässlich.Getting your identity infrastructure configured correctly is vital to managing Microsoft 365 user access and permissions for your organization.

Bevor Sie beginnen, schauen Sie sich dieses Video an, um eine Übersicht über die Identitätsmodelle und Authentifizierung für Microsoft 365 zu erhalten.Before you begin, watch this video for an overview of identity models and authentication for Microsoft 365.

Ihre erste Planungsauswahl ist das Microsoft 365-Identitätsmodell.Your first planning choice is the Microsoft 365 identity model.

Microsoft 365-IdentitätsmodelleMicrosoft 365 identity models

Um Benutzerkonten zu planen, müssen Sie zunächst die beiden Identitätsmodelle in Microsoft 365 verstehen.To plan for user accounts, you first need to understand the two identity models in Microsoft 365. Sie können die Identitäten Ihrer Organisation nur in der Cloud verwalten, oder Sie können Ihre lokalen AD DS-Identitäten (Active Directory Domain Services) verwalten und diese zur Authentifizierung verwenden, wenn Benutzer auf Microsoft 365-Clouddienste zugreifen.You can maintain your organization's identities only in the cloud, or you can maintain your on-premises Active Directory Domain Services (AD DS) identities and use them for authentication when users access Microsoft 365 cloud services.

Nachfolgend finden Sie die beiden Identitätstypen sowie deren beste Anwendungsfälle und Vorteile.Here are the two types of identity and their best fit and benefits.

AttributAttribute Reine CloudidentitätCloud-only identity HybrididentitätHybrid identity
DefinitionDefinition Das Benutzerkonto ist nur im Azure AD-Mandanten für Ihr Microsoft 365-Abonnement vorhanden.User account only exists in the Azure AD tenant for your Microsoft 365 subscription. Ein Benutzerkonto ist in AD DS vorhanden, und eine Kopie befindet sich auch im Azure AD-Mandanten für Ihr Microsoft 365-Abonnement.User account exists in AD DS and a copy is also in the Azure AD tenant for your Microsoft 365 subscription. Das Benutzerkonto in Azure AD kann auch eine Hashversion des bereits mit einem Hash bezeichneten AD DS-Benutzerkontokennworts enthalten.The user account in Azure AD might also include a hashed version of the already hashed AD DS user account password.
Authentifizierung von Benutzeranmeldeinformationen durch Microsoft 365How Microsoft 365 authenticates user credentials Der Azure AD-Mandant für Ihr Microsoft 365-Abonnement führt die Authentifizierung mit dem Cloudidentitätskonto durch.The Azure AD tenant for your Microsoft 365 subscription performs the authentication with the cloud identity account. Der Azure AD-Mandant für Ihr Microsoft 365-Abonnement behandelt verarbeitet entweder den Authentifizierungsprozess oder leitet den Benutzer an einen anderen Identitätsanbieter weiter.The Azure AD tenant for your Microsoft 365 subscription either handles the authentication process or redirects the user to another identity provider.
Ideal fürBest for Organisationen, die keinen lokalen AD DS besitzen oder benötigen.Organizations that do not have or need an on-premises AD DS. Organisationen, die AD DS oder einen anderen Identitätsanbieter verwenden.Organizations using AD DS or another identity provider.
Größter VorteilGreatest benefit Einfach zu verwenden.Simple to use. Es sind keine zusätzlichen Verzeichnistools oder Server erforderlich.No extra directory tools or servers required. Benutzer können dieselben Anmeldeinformationen verwenden, wenn sie auf lokale oder cloudbasierte Ressourcen zugreifen.Users can use the same credentials when accessing on-premises or cloud-based resources.

Reine CloudidentitätCloud-only identity

Bei der reinen Cloudidentität werden Benutzerkonten verwendet, die nur in Azure AD vorhanden sind.A cloud-only identity uses user accounts that exist only in Azure AD. Nur cloudbasierte Identität wird in der Regel von kleinen Organisationen verwendet, die nicht über lokale Server verfügen oder AD DS nicht zum Verwalten lokaler Identitäten verwenden.Cloud-only identity is typically used by small organizations that do not have on-premises servers or do not use AD DS to manage local identities.

Hier sind die grundlegenden Komponenten der reinen Cloudidentität.Here are the basic components of cloud-only identity.

Grundlegende Komponenten der cloudbasierten Identität

Lokale und Remotebenutzer (Online)-Benutzer verwenden ihre Azure AD-Benutzerkonten und Kennwörter, um auf Microsoft 365-Clouddienste zu zugreifen.Both on-premises and remote (online) users use their Azure AD user accounts and passwords to access Microsoft 365 cloud services. Azure AD authentifiziert Benutzeranmeldeinformationen basierend auf den gespeicherten Benutzerkonten und Kennwörtern.Azure AD authenticates user credentials based on its stored user accounts and passwords.

VerwaltungAdministration

Da Benutzerkonten nur in Azure AD gespeichert werden, verwalten Sie Cloudidentitäten mit Tools wie dem Microsoft 365 Admin Center und Windows PowerShell.Because user accounts are only stored in Azure AD, you manage cloud identities with tools such as the Microsoft 365 admin center and Windows PowerShell.

HybrididentitätHybrid identity

Die Hybrididentität verwendet Konten, die von einem lokalen AD DS stammen und eine Kopie im Azure AD-Mandanten eines Microsoft 365-Abonnements aufweisen.Hybrid identity uses accounts that originate in an on-premises AD DS and have a copy in the Azure AD tenant of a Microsoft 365 subscription. Die meisten Änderungen fließen jedoch nur in eine Richtung.However, most changes only flow one way. Änderungen, die Sie an AD DS-Benutzerkonten vornehmen, werden mit Ihrer Kopie in Azure AD synchronisiert.Changes that you make to AD DS user accounts are synchronized to their copy in Azure AD. Änderungen, die in cloudbasierten Konten in Azure AD vorgenommen wurden, wie z. B. neue Benutzerkonten, werden jedoch nicht mit AD DS synchronisiert.But changes made to cloud-based accounts in Azure AD, such as new user accounts, are not synchronized with AD DS.

Azure AD Connect bietet die laufende Kontosynchronisierung.Azure AD Connect provides the ongoing account synchronization. Es wird auf einem lokalen Server ausgeführt, überprüft auf Änderungen in AD DS und leitet diese Änderungen an Azure AD weiter.It runs on an on-premises server, checks for changes in the AD DS, and forwards those changes to Azure AD. Azure AD Connect bietet die Möglichkeit zu filtern, welche Konten synchronisiert werden, und ob eine Hashversion der Benutzerkennwörter synchronisiert werden soll; dies wird als „Kennworthashsynchronisierung“ (Password hash synchronization, PHS) bezeichnet.Azure AD Connect provides the ability to filter which accounts are synchronized and whether to synchronize a hashed version of user passwords, known as password hash synchronization (PHS).

Wenn Sie die Hybrididentität implementieren, ist Ihr lokales AD DS die autorisierende Quelle für Kontoinformationen.When you implement hybrid identity, your on-premises AD DS is the authoritative source for account information. Dies bedeutet, dass Sie Verwaltungsaufgaben hauptsächlich lokal durchführen, die dann mit Azure AD synchronisiert werden.This means that you perform administration tasks mostly on-premises, which are then synchronized to Azure AD.

Nachfolgend finden Sie die Komponenten der Hybrididentität.Here are the components of hybrid identity.

Komponenten der Hybrididentität

Der Azure AD-Mandant hat eine Kopie der AD DS-Konten.The Azure AD tenant has a copy of the AD DS accounts. In dieser Konfiguration authentifizieren sich sowohl lokale als auch Remotebenutzer beim Zugriff auf Microsoft 365-Clouddienste bei Azure AD.In this configuration, both on-premises and remote users accessing Microsoft 365 cloud services authenticate against Azure AD.

Hinweis

Sie müssen immer Azure AD Connect verwenden, um Benutzerkonten für die Hybrididentität zu synchronisieren.You always need to use Azure AD Connect to synchronize user accounts for hybrid identity. Sie benötigen die synchronisierten Benutzerkonten in Azure AD, um die Lizenzzuweisung und Gruppenverwaltung durchzuführen, um Berechtigungen zu konfigurieren und um andere Verwaltungsaufgaben auszuführen, die Benutzerkonten umfassen.You need the synchronized user accounts in Azure AD to perform license assignment and group management, configure permissions, and other administrative tasks that involve user accounts.

VerwaltungAdministration

Da die ursprünglichen und autorisierenden Benutzerkonten im lokalen AD DS gespeichert werden, verwalten Sie Ihre Identitäten mit denselben Tools wie Ad DS.Because the original and authoritative user accounts are stored in the on-premises AD DS, you manage your identities with the same tools as you manage your AD DS.

Sie verwenden nicht das Microsoft 365 Admin Center oder PowerShell für Microsoft 365, um synchronisierte Benutzerkonten in Azure AD zu verwalten.You don't use the Microsoft 365 admin center or PowerShell for Microsoft 365 to manage synchronized user accounts in Azure AD.

Nächster SchrittNext step

Wenn Sie das Nur-Cloud-Identitätsmodell benötigen, finden Sie weitere Informationen unter Cloud-only identity.If you need the cloud-only identity model, see Cloud-only identity.

Wenn Sie das Hybrididentitätsmodell benötigen, lesen Sie Hybrid identity.If you need the hybrid identity model, see Hybrid identity.

Siehe auchSee also

Übersicht zu Microsoft 365 EnterpriseMicrosoft 365 Enterprise overview