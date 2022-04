Inhaltsverzeichnis Anleitung: Migration von Active Directory zum Azure AD

Vergleich von PHS, PTA und AD FS Active Directory vorbereiten Wechsel zum Azure AD Exkurs: Was ist ein PRT und was hat dieser mit TPM zu tun? Artikel in iX 5/2022 lesen

Richtet ein Unternehmen Microsoft 365 ein, erstellt Azure automatisch ein Verzeichnis im Hintergrund. Es heißt Azure Active Directory (Azure AD) und ist an das bekannte und erfolgreiche Active Directory angelehnt – jedoch ist die Cloud-Version kein Klon der On-Premises-Software. Administratoren können dennoch Objekte zwischen beiden Standorten synchronisieren oder sie verknüpfen. Bestehende Nutzer können sich so mit einem Zugang, einem Passwort und einer einmaligen Anmeldung sowohl für lokale Dienste als auch für solche in Azure authentifizieren. Schnittstellen wie OAuth2 und OpenID-Connect dienen darüber hinaus der Authentifizierung bei beliebigen weiteren registrierten Diensten von Drittanbietern.

Dieser Artikel legt den Fokus auf die Erweiterung bereits im Verzeichnis vorhandener Nutzer auf Azure Active Directory und somit auf Microsoft 365. Nach erfolgreicher Konfiguration können diese, nachdem sie sich an ihrem Windows-PC angemeldet haben, alle Dienste von Microsoft 365 ohne weitere Authentifizierung verwenden.

Grundsätzlich zu klären ist, welche Instanz bei der Authentifizierung den Hut aufgesetzt bekommt: Die Verfahren Password Hash Synchronisation (PHS) und Pass Through Authentication (PTA) haben die Identitätsprüfung durch die Azure Cloud gemein. Hingegen wird bei der Methode mit den Active Directory Federation Services (AD FS) die Authentifizierungsanfrage an die on Premises installierte AD-FS-Instanz weitergegeben und die lokale Infrastruktur ist hierfür verantwortlich. Notwendig wird diese Architektur immer dann, wenn Drittanbietersoftware mit Multi-Faktor-Authentifikationssystemen im Spiel ist oder man nicht auf den User Principal Name (UPN) zurückgreifen kann. Auch bei Authentifizierungshardware wie Smartcards sind die AD FS notwendig.