Wer Microsoft 365 verwendet, setzt automatisch auch das Azure Active Directory ein. Da liegt der vollständige Umstieg von der On-Premise-Version nahe. Bei der Migration sind jedoch einige Punkte zu beachten.
Richtet ein Unternehmen Microsoft 365 ein, erstellt Azure automatisch ein Verzeichnis im Hintergrund. Es heißt Azure Active Directory (Azure AD) und ist an das bekannte und erfolgreiche Active Directory angelehnt – jedoch ist die Cloud-Version kein Klon der On-Premise-Software. Administratoren können dennoch Objekte zwischen beiden Standorten synchronisieren oder sie verknüpfen. Bestehende Nutzer können sich also mit einem Zugang, einem Passwort und einer einmaligen Anmeldung sowohl für lokale Dienste als auch für solche in Azure authentifizieren. Schnittstellen wie OAuth2 und OpenID-Connect dienen darüber hinaus der Authentifizierung bei beliebigen weiteren registrierten Diensten von Drittanbietern.
Grundsätzlich zu klären ist, welche Instanz bei der Authentifizierung den Hut aufgesetzt bekommt: Die Verfahren Password Hash Synchronisation (PHS) und Pass Through Authentication (PTA) haben die Identitätsprüfung durch die Azure Cloud gemein. Hingegen wird bei der Methode mit den Active Directory Federation Services (AD FS) die Authentifizierungsanfrage an die On-Premise installierte AD-FS-Instanz weitergegeben und die lokale Infrastruktur ist hierfür verantwortlich. Notwendig wird diese Architektur immer dann, wenn Drittanbietersoftware mit Multi-Faktor-Authentifikationssystemen im Spiel ist oder man nicht auf den User Principle Name (UPN) zurückgreifen kann. Auch bei Authentifizierungshardware wie Smartcards sind die AD FS notwendig.
Ist man von solchen Abhängigkeiten befreit, kann man sich entweder für PTA oder für PHS entscheiden. Die Tabelle zeigt, was zu welchen Umgebungen passt und welche Kombinationen sinnvoll sind.
Kleine Firmen wählen daher vorzugsweise die PHS. Wünschen Compliance-Abteilungen das sofortige Durchsetzen von Richtlinienänderungen, sollten Unternehmen auf PTA zurückgreifen. Dabei empfiehlt Microsoft, dass man aus Gründen der Ausfallsicherheit mindestens drei Azure-AD-Connect-Server einsetzt. Sicherheitsbewusste Administratoren aktivieren bei PTA oder AD FS zusätzlich die PHS. Azure AD nutzt die synchronisierten Hashes anschließend zum Abgleich mit geklauten Daten, um Konten vor einem Missbrauch zu schützen. Dafür müssen Kunden allerdings die Lizenz Azure AD P2 zusätzlich buchen.
Willkommen bei unserem exklusiven Support für Bestandskunden. Hier finden Sie alle nötigen Informationen, um schnell und unkompliziert Hilfe bei technischen Anfragen zu erhalten.
Senden Sie uns Ihr Anliegen mit allen relevanten Details an:
Für eine direkte Unterstützung per Fernwartung, laden Sie bitte unser TeamViewer-Modul herunter:
Bitte beachten Sie: Dieser Kanal ist speziell für technische Anfragen unserer Bestandskunden vorgesehen. Für allgemeine Anfragen, Informationen zu unseren Dienstleistungen oder eine Erstberatung nutzen Sie bitte unser Kontaktformular oder schreiben Sie eine E-Mail an info@rewion.com.
