• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Single-Sign-On in Microsoft 365 nutzen

Jul 13, 2021 (Letztes Update) | Posted by Thomas Joos Active Directory, Azure AD, M365 |

 

Single-Sign-On in Microsoft 365 nutzen

In Netzwerken, die auf hybride Strukturen setzen, ist Single-Sign-On (SSO) ein wichtiger Bestandteil, um Benutzer zu entlasten und die Sicherheit im Netzwerk zu verbessern. Anstatt mit mehreren Konten arbeiten zu müssen, können Anwender nach der Anmeldung an Active Directory mit allen verknüpften Cloud-Diensten arbeiten, ohne sich erneut authentifizieren zu müssen. Das ist für Anwender bequemer und verhindert gleichzeitig Password-Fishing in der Cloud. Wir zeigen in diesem Beitrag, wie Single-Sign-On zwischen Active Directory und Azure Active Directory/Microsoft 365 funktioniert.

Inhaltsverzeichnis

  • 1 Single-Sign-On mit Azure AD-Connect
  • 2 SSO im Azure-Portal verwalten
  • 3 Seamless SSO versus Passthrough Authentication

Single-Sign-On mit Azure AD-Connect

Wenn in Microsoft-Netzwerken auf Cloud-Lösungen gesetzt wird, kommen häufig Microsoft Azure und Microsoft 365/Office 365 zum Einsatz. Hier wird bei der Authentifizierung auf Azure Active Directory gesetzt. Soll die Anmeldung der Benutzerkonten vereinfacht werden, ist die Anbindung von Active Directory an Azure Active Directory notwendig. Hier gibt es mehrere Wege. Wichtige Grundlage in diesem Fall ist Azure AD Connect. Wir haben die Einrichtung bereits in einem eigenen Beitrag beschrieben.

Microsoft bezeichnet die SSO-Anmeldung an Microsoft 365 oder Azure auch als Seamless SSO (nahtloses einmaliges Anmelden). Dabei melden sich die Benutzer an ihrem Gerät an Active Directory an. Da durch Azure AD Connect eine Verbindung zu Azure AD geschaffen wurde, können die Anmeldedaten auch in Azure und damit auch in Microsoft 365 genutzt werden. Die Anmeldung in Microsoft 365 basiert auf Azure AD. SSO muss bei der Einrichtung von Azure AD Connect allerdings konfiguriert werden.

Sobald eine Verbindung zwischen Active Directory und Azure Active Directory über Azure AD Connect zur Verfügung steht, können alle kompatiblen Anwendungen, die Azure AD nutzen, auch mit SSO angesprochen werden.

SSO im Azure-Portal verwalten

Um SSO zu nutzen, richten Sie daher zunächst Azure AD Connect ein. Sobald der Assistent abgeschlossen ist, werden die Benutzer im Microsoft 365 Admin Center angezeigt (https://admin.microsoft.com). Bei „Benutzer\Aktive Benutzer“ sollten die Benutzer aus dem lokalen Active Directory angezeigt werden.

Neben Azure AD Connect bietet Microsoft auch den Dienst Azure AD Connect Cloud Sync an. In deutschen Umgebungen trägt dieser Dienste die Bezeichnung Azure AD-Cloudsynchronisierung. Die Einrichtung ist ebenfalls über den Menüpunkt „Azure AD Connect“ im Azure-Portal oder im Azure AD Admin Center zu finden.

Steuern der Synchronisierung von Azure AD mit lokalen Active Directory-Umgebungen

Alle Möglichkeiten zur Verwendung von SSO unterstützt derzeit nur Azure AD Connect. Es ist aber zu erwarten, dass auch die Azure AD-Cloudsynchronisierung in Zukunft alle Funktionen unterstützen wird. Wollen Sie mit SSO arbeiten, sollten Sie daher zunächst auf Azure AD Connect setzen.

Die weitere Verwaltung und Einrichtung von SSO in Zusammenhang mit Azure AD oder Microsoft 365 erfolgt im Azure-Portal oder im Azure AD Admin Center. Die Einrichtung von SSO erfolgt wiederum über Azure AD Connect auf dem Computer im lokalen Netzwerk, der den Synchronisierungsagenten für Azure AD Connect bereitstellt. Das Azure AD Admin Center erreichen Sie über die URL https://aad.portal.azure.com. Die Einstellungen von Azure AD Connect und von Azure AD-Cloudsynchronisierung sind über den Menüpunkt „Azure Active Directory\Azure AD Connect“ zu finden. Hier sind im Bereich „Benutzeranmeldung“ auch die Möglichkeiten für das Anmelden an Azure-Ressourcen mit SSO zu finden. An dieser Stelle ist auch zu sehen, ob Single-Sign-On bereits funktioniert.

Aktionsbasiertes Single-Sign-On

Hybrides SSO

Erreichen Sie Ihre Active Directory und Azure AD Anwendungen in einem Klick mit Single-Sign-On. Mit FirstWare IDM-Portal für hybrides IAM sind Sie sofort beim Computer-Start in dem Portal angemeldet. Von dort können Sie Aufgaben aus Ihrer On-Prem- und Cloud-Umgebung erledigen.

Seamless SSO versus Passthrough Authentication

Für SSO in Zusammenarbeit von Active Directory und Azure AD stehen grundsätzlich zwei verschiedene Möglichkeiten zur Verfügung. Neben Seamless SSO kann in solchen Infrastrukturen bei „Benutzeranmeldung“ über „Pass-Through-Authentifizierung“ auch die eine weitere Option aktiviert werden, die das Anmelden von Benutzern in hybriden Infrastrukturen erleichtert und gleichzeitig die Anmeldungen absichert.

Pass-Through-Authentifizierung und Azure AD Password Hash Synchronization

Pass-Through-Authentifizierung erfordert den Einsatz von Azure AD Connect, Azure AD Connect Cloud Sync ist (noch) nicht in der Lage dazu. Das kann sich aber schnell ändern. Bei Aktivierung dieser Funktion können Anwender sich lokal und in der Cloud mit dem gleichen Kennwort anmelden. Es sind keine zwei Kennwörter und verschiedene Kennwörter notwendig. Wenn sich Benutzer an Azure AD mit ihrem Kennwort aus Active Directory anmelden, validiert Azure AD die Anmeldung im lokalen Active Directory.

Dabei handelt es sich um eine Alternative zu Azure AD Password Hash Synchronization. Bei Azure AD Password Hash Synchronization synchronisiert Azure AD Connect alle zwei Minuten (kann nicht geändert werden) einen Hashwert des lokalen Kennwortes (nicht das eigentliche Kennwort) mit Azure AD. Ändert ein Benutzer sein lokales Kennwort, synchronisiert Azure AD Connect den neuen Hashwert mit Azure AD.

Aus dem Hashwert kann das Kennwort nicht ausgelesen werden, aber Azure AD kann den Hashwert für die Anmeldung nutzen. In Azure AD stehen dann den Anwendern die gleichen Kennwörter zur Verfügung, wie im lokalen Active Directory. Dabei handelt es sich im Grunde genommen aber um kein echtes SSO, da sich die Benutzer noch einmal anmelden müssen, auch wenn dazu das gleiche Kennwort zur Verfügung steht.

Die Validierung des Kennwortes findet in diesem Fall aber mit Azure AD statt, da hier der Hash zur Verfügung steht. Bei Pass-Through-Authentifizierung erfolgt die Validierung gegen das lokale Active Directory.

Seamless Single-Sign-On und Primary Refresh Token im Vergleich zu Pass-Through-Authentifizierung

Im Gegensatz zur Pass-Through-Authentifizierung müssen sich bei Aktivierung von Seamless SSO die Benutzer in Azure oder Microsoft 365 nicht erneut mit ihrem Konto authentifizieren, sondern durch die Anmeldung am lokalen Active Directory erhalten die Benutzer auch Zugriff auf die Ressourcen in der Cloud, für die synchronisierte Konten konfiguriert wurden.

Seamless SSO kann mit Pass-Through-Authentifizierung und Azure AD Password Hash Synchronization kombiniert werden. Bei Verwendung von Seamless SSO führt Azure AD eine Kerberos-Authentifizierung gegen das lokale Active Directory durch. Damit die Technik funktioniert, muss der Client-PC Mitglied in Active Directory sein. Dadurch haben die Clients Zugriff auf das Kerberos Distribution Center (KDC), das für die Authentifizierung über Seamless SSO benötigt wird.

Um SSO zu aktivieren, kann bei der Einrichtung oder der nachträglichen Konfiguration von Azure AD Connect die Option „Einmaliges Anmelden aktivieren“ über den Menüpunkt „Benutzeranmeldung“ konfiguriert werden.

Bei der Einrichtung von Azure AD Connect wird ausgewählt, welche Benutzeranmeldungen und SSO-Funktionen zur Verfügung stehen sollen

Für die Verwendung von Seamless SSO erstellt Azure AD Connect ein Computerkonto mit der Bezeichnung „AZUREADSSOACC“ im lokalen Active Directory. Das Konto sollte vor unberechtigten Zugriffen geschützt werden. Damit Seamless SSO funktioniert sollte die URL https://autologon.microsoftazuread-sso.com auf den Benutzercomputern zur internen Intranetzone konfiguriert werden. Das kann über Gruppenrichtlichtlinien erledigt werden. Die Werte zeigt Microsoft auf der Seite „Nahtloses einmaliges Anmelden mit Azure Active Directory: Schnellstart“ (https://docs.microsoft.com/de-de/azure/active-directory/hybrid/how-to-connect-sso-quick-start#step-3-roll-out-the-feature).

Anzeigen der installierten Agents für Pass-Through-Authentication im lokalen Active Directory.

Wenn SSO in Azure AD Connect aktiviert wurde, kann die Option im Azure AD Admin Center bei „Azure AD Connect“ im Bereich „Benutzeranmeldung“ überprüft werden. Hier sollte bei „Nahtloses einmaliges Anmelden“ die Option „Deaktiviert“ hinterlegt sein. Außerdem sollte hier mindestens eine Domäne angezeigt werden, die sich mit Azure AD synchronisiert. Durch einen Klick auf den Link „Nahtloses einmaliges Anmelden“ ist die Domäne zu sehen und ob SSO funktioniert.

Aktiviertes SSO in Microsoft Azure AD überprüfen

Parallel dazu steht in der Programmgruppe „Azure AD Connect“ auch ein Tool für das Festlegen von Synchronisierungsregeln zur Verfügung. Der „Synchronization Rules Editor“ ist dann sinnvoll, wenn gesteuert werden soll, welche Benutzer und Kennwörter mit Azure AD synchronisiert werden sollen.

Steuern der Synchronisierungsregeln für Azure AD Connect

Parallel dazu sollte in der Programmgruppe auch regelmäßig mit dem Tool „Synchronization Service Manager“ überprüft werden, ob die Synchronisierungen erfolgreich verlaufen.

Überprüfen der Synchronisierung der Benutzerkonten mit Azure AD

Haben Sie noch Fragen oder Anmerkungen zum Thema Single-Sign-On in einer AD und Azure AD/ M365 Umgebung, so können Sie uns gerne kontaktieren.

Unterstützung benötigt?

Gerne stellen wir Ihnen unsere Leistungen und Lösungen in einem persönlichen Gespräch vor und würden uns über Ihre Kontaktaufnahme sehr freuen!

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 08.06.2021
Tags: Hybrides Single-Sign-OnMicrosoft365Single-Sign-On
0

3 Comments

Leave your reply.

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next