Hybrididentität und Verzeichnissynchronisierung für Microsoft 365

Dieser Artikel gilt sowohl für Microsoft 365 Enterprise als auch für Office 365 Enterprise.

Je nach Ihren geschäftlichen Anforderungen und technischen Anforderungen ist das Hybrididentitätsmodell und die Verzeichnissynchronisierung die häufigste Wahl für Unternehmenskunden, die Microsoft 365 übernehmen. Mit der Verzeichnissynchronisierung können Sie Identitäten in Ihren Active Directory Domain Services (AD DS) verwalten, und alle Aktualisierungen von Benutzerkonten, Gruppen und Kontakten werden mit dem Azure Active Directory (Azure AD)-Mandanten Ihres Microsoft 365-Abonnements synchronisiert.

Hinweis

Wenn AD DS-Benutzerkonten zum ersten Mal synchronisiert werden, wird ihnen nicht automatisch eine Microsoft 365-Lizenz zugewiesen, und sie können nicht auf Microsoft 365 Dienste wie E-Mail zugreifen. Sie müssen ihnen zuerst einen Verwendungsspeicherort zuweisen. Weisen Sie dann diesen Benutzerkonten eine Lizenz zu, entweder einzeln oder dynamisch über die Gruppenmitgliedschaft.

Authentifizierung für Hybrididentität

Bei Verwendung des Hybrididentitätsmodells gibt es zwei Arten von Authentifizierung:

  • Verwaltete Authentifizierung

    Azure AD verarbeitet den Authentifizierungsprozess mithilfe einer lokal gespeicherten Hashversion des Kennworts oder sendet die Anmeldeinformationen an einen lokalen Software-Agent, der vom lokalen AD DS authentifiziert werden soll.

  • Verbundauthentifizierung

    Azure AD leitet den Clientcomputer um, der die Authentifizierung an einen anderen Identitätsanbieter anfordert.

Verwaltete Authentifizierung

Es gibt zwei Arten von verwalteter Authentifizierung:

  • Kennworthashsynchronisierung (Password hash synchronization, PHS)

    Azure AD führt die Authentifizierung selbst durch.

  • Passthrough-Authentifizierung (PTA)

    Azure AD lässt AD DS die Authentifizierung durchführen.

Kennworthashsynchronisierung (Password hash synchronization, PHS)

Mit PHS synchronisieren Sie Ihre AD DS-Benutzerkonten mit Microsoft 365 und verwalten Ihre Benutzer lokal. Hashes von Benutzerkennwörtern werden von Ihrem AD DS mit Azure AD synchronisiert, sodass die Benutzer lokal und in der Cloud über dasselbe Kennwort verfügen. Dies ist die einfachste Möglichkeit, die Authentifizierung für AD DS-Identitäten in Azure AD zu aktivieren.

Kennworthashsynchronisierung (Password Hash Synchronization, PHS).

Wenn Kennwörter geändert oder lokal zurückgesetzt werden, werden die neuen Kennworthashes mit Azure AD synchronisiert, sodass Ihre Benutzer immer dasselbe Kennwort für Cloudressourcen und lokale Ressourcen verwenden können. Die Benutzerkennwörter werden niemals an Azure AD gesendet oder in Azure AD in Klartext gespeichert. Einige Premiumfeatures von Azure AD, z. B. Identity Protection, erfordern PHS, unabhängig davon, welche Authentifizierungsmethode ausgewählt ist.

Weitere Informationen finden Sie unter Auswahl der richtigen Authentifizierungsmethode.

Passthrough-Authentifizierung (PTA)

PTA bietet eine einfache Kennwortüberprüfung für Azure AD-Authentifizierungsdienste mithilfe eines Software-Agents, der auf einem oder mehreren lokalen Servern ausgeführt wird, um die Benutzer direkt mit Ihrem AD DS zu validieren. Mit PTA synchronisieren Sie AD DS-Benutzerkonten mit Microsoft 365 und verwalten Ihre Benutzer lokal.

Pass-Through-Authentifizierung (PTA).

Mit PTA können sich Ihre Benutzer sowohl bei lokalen ressourcen als auch bei Microsoft 365 Anwendungen mit ihrem lokalen Konto und Kennwort anmelden. Diese Konfiguration überprüft Benutzerkennwörter direkt mit Ihrem lokalen AD DS, ohne Kennworthashes in Azure AD zu speichern.

PTA ist auch für Organisationen mit einer Sicherheitsanforderung vorgesehen, um sofort lokale Benutzerkontostatus, Kennwortrichtlinien und Anmeldezeiten zu erzwingen.

Weitere Informationen finden Sie unter Auswahl der richtigen Authentifizierungsmethode.

Verbundauthentifizierung

Die Verbundauthentifizierung ist in erster Linie für große Unternehmen mit komplexeren Authentifizierungsanforderungen vorgesehen. AD DS-Identitäten werden mit Microsoft 365 synchronisiert, und Benutzerkonten werden lokal verwaltet. Bei der Verbundauthentifizierung verfügen Benutzer lokal und in der Cloud über dasselbe Kennwort, und sie müssen sich nicht erneut anmelden, um Microsoft 365 zu verwenden.

Die Verbundauthentifizierung kann zusätzliche Authentifizierungsanforderungen unterstützen, z. B. smartcardbasierte Authentifizierung oder mehrstufige Authentifizierung von Drittanbietern, und ist in der Regel erforderlich, wenn Organisationen über eine Authentifizierungsanforderung verfügen, die nicht systemintern von Azure AD unterstützt wird.

Weitere Informationen finden Sie unter Auswahl der richtigen Authentifizierungsmethode.

Authentifizierungs- und Identitätsanbieter von Drittanbietern

Lokale Verzeichnisobjekte können mit Microsoft 365 synchronisiert werden, und der Zugriff auf Cloudressourcen wird in erster Linie von einem Identitätsanbieter eines Drittanbieters (IdP) verwaltet. Wenn Ihre Organisation eine Verbundlösung eines Drittanbieters verwendet, können Sie die Anmeldung mit dieser Lösung für Microsoft 365 konfigurieren, sofern die Verbundlösung eines Drittanbieters mit Azure AD kompatibel ist.

Weitere Informationen finden Sie in der Azure AD-Verbundkompatibilitätsliste.

AD DS-Vorbereitung

Um einen nahtlosen Übergang zu Microsoft 365 mithilfe der Synchronisierung sicherzustellen, müssen Sie die AD DS-Gesamtstruktur vorbereiten, bevor Sie mit der Bereitstellung der Microsoft 365 Verzeichnissynchronisierung beginnen.

Ihre Verzeichnisvorbereitung sollte sich auf die folgenden Aufgaben konzentrieren:

  • Entfernen Sie doppelte proxyAddress- und userPrincipalName-Attribute.

  • Aktualisieren Sie leere und ungültige userPrincipalName-Attribute mit gültigen userPrincipalName-Attributen.

  • Entfernen Sie ungültige und fragebare Zeichen in den Attributen givenName, surname ( sn ), sAMAccountName, displayName, mail, proxyAddresses, mailNickname und userPrincipalName. Ausführliche Informationen zum Vorbereiten von Attributen finden Sie unter Liste der Attribute, die vom Azure Active Directory-Synchronisierungstool synchronisiert werden.

    Hinweis

    Dies sind dieselben Attribute, die Azure AD Verbinden synchronisiert.

Überlegungen zur Bereitstellung mit mehreren Gesamtstrukturen

Verwenden Sie für mehrere Gesamtstrukturen und SSO-Optionen eine benutzerdefinierte Installation von Azure AD Verbinden.

Wenn Ihre Organisation über mehrere Gesamtstrukturen für die Authentifizierung (Anmeldegesamtstrukturen) verfügt, wird Folgendes dringend empfohlen:

  • Erwägen Sie die Konsolidierung Ihrer Gesamtstrukturen. Im Allgemeinen ist mehr Aufwand erforderlich, um mehrere Gesamtstrukturen zu verwalten. Es sei denn, Ihre Organisation verfügt über Sicherheitseinschränkungen, die die Notwendigkeit separater Gesamtstrukturen erfordern, sollten Sie die Vereinfachung Ihrer lokalen Umgebung in Betracht ziehen.
  • Wird nur in der primären Anmeldegesamtstruktur verwendet. Erwägen Sie die Bereitstellung Microsoft 365 nur in der primären Anmeldegesamtstruktur für das erstmalige Rollout von Microsoft 365.

Wenn Sie Ihre AD DS-Bereitstellung mit mehreren Gesamtstrukturen nicht konsolidieren können oder andere Verzeichnisdienste zum Verwalten von Identitäten verwenden, können Sie diese möglicherweise mithilfe von Microsoft oder einem Partner synchronisieren.

Weitere Informationen finden Sie unter Topologien für Azure AD Verbinden.

Features, die von der Verzeichnissynchronisierung abhängig sind

Die Verzeichnissynchronisierung ist für die folgenden Features und Funktionen erforderlich:

  • Nahtlose single Sign-On (SSO) in Azure AD
  • Skype Koexistenz
  • Exchange Hybridbereitstellung, einschließlich:
    • Vollständig freigegebene globale Adressliste (GAL) zwischen Ihrer lokalen Exchange umgebung und Microsoft 365.
    • Synchronisierung von GAL-Informationen aus unterschiedlichen E-Mail-Systemen.
    • Die Möglichkeit, Benutzer zu Microsoft 365 Serviceangeboten hinzuzufügen und benutzer daraus zu entfernen. Dies erfordert Folgendes:
    • Die bidirektionale Synchronisierung muss während der Einrichtung der Verzeichnissynchronisierung konfiguriert werden. Standardmäßig schreiben Die Verzeichnissynchronisierungstools Verzeichnisinformationen nur in die Cloud. Wenn Sie die bidirektionale Synchronisierung konfigurieren, aktivieren Sie die Zurückschreibfunktion, sodass eine begrenzte Anzahl von Objektattributen aus der Cloud kopiert und dann in Ihren lokalen AD DS zurückgeschrieben wird. Das Zurückschreiben wird auch als Exchange Hybridmodus bezeichnet.
    • Eine lokale Exchange Hybridbereitstellung
    • Die Möglichkeit, einige Benutzerpostfächer in Microsoft 365 zu verschieben, während andere Benutzerpostfächer lokal bleiben.
    • Tresor Absender und blockierte Absender lokal werden in Microsoft 365 repliziert.
    • Grundlegende Delegierung und Funktion zum Senden von E-Mails im Auftrag.
    • Sie verfügen über eine integrierte lokale Smartcard- oder Multi-Factor Authentication-Lösung.
  • Synchronisierung von Fotos, Miniaturansichten, Konferenzräumen und Sicherheitsgruppen

Nächster Schritt

Wenn Sie bereit sind, die Hybrididentität bereitzustellen, lesen Sie die Informationen zur Vorbereitung der Verzeichnissynchronisierung.