trahko - stock.adobe.com

Single Sign-On mit Azure AD Connect einrichten und verwalten

Wenn im Netzwerk Active Directory eingesetzt wird, können die Benutzerkonten mit Azure AD synchronisiert werden. Azure AD Connect ermöglicht zudem Single Sign-On.

Unternehmen, die mit Active Directory arbeiten und gleichzeitig Dienste in Microsoft 365/Office 365 sowie Microsoft Azure einsetzen, können die Anmeldedaten aus Active Directory mit dem kostenlosen Tool Azure AD Connect mit Microsoft Azure synchronisieren. Die Anmeldedaten sind in diesem Fall in Azure AD verfügbar und lassen sich für die Anmeldung in Microsoft 365 beziehungsweise Office 365 einsetzen.

Der Vorteil im Rahmen der Synchronisierung besteht darin, dass die Kennwort-Hashes sicher synchronisiert werden. Bei diesem Vorgang verbleiben die Kennwörter im lokalen Active Directory. Nur die Hashes und das Kerberos-Ticket werden zwischen dem lokalen Active Directory und Azure AD synchronisiert.

Wie funktioniert Single Sign-On?

Mit Single Sign-On können sich Anwender an ihrem PC mit ihren Anmeldedaten aus Active Directory anmelden und gleichzeitig die verbundenen Dienste in Azure und Microsoft 365/Office 365 für die Anmeldung verwenden. Hier stellt Microsoft zwei verschiedene Wege zur Verfügung.

Mit Azure Active Directory Pass-Through Authentication können Benutzer lokal und in Azure AD das gleiche Kennwort verwenden. Dadurch können Anmeldungen an Active Directory in Azure AD weiterverwendet werden. Hierfür wird im lokalen Rechenzentrum ein Agent benötigt.

Bei der zweiten Technologie handelt es sich um Password Hash Synchronization zwischen AD und Azure AD. Bei diesem Vorgang synchronisiert Azure AD Connect die Kennwort-Hashes, nicht die kompletten Kennwörter, zwischen AD und Azure AD. Auch hier müssen sich die Benutzer lokal anmelden, benötigen gleichzeitig aber nur ein Kennwort, das sicher in Active Directory abgelegt wird.

Single Sign-On vorbereiten

Wenn im Netzwerk Single Sign-On eingesetzt werden soll, ist der einfachste und effektivste Weg der Einsatz von Azure AD Connect. Die Einrichtung besteht darin, dass Azure AD Connect zunächst auf einem Server in Active Directory installiert und eingerichtet wird. Dabei sollte es sich nicht um einen Domänencontroller handeln.

Azure AD Connect lässt sich im Download Center bei Microsoft herunterladen. Im Rahmen der Installation erfolgt die Anbindung an Microsoft Azure. Anschließend ist bei Azure AD Connect im Azure-Portal zu sehen, ob die Synchronisierung funktioniert.

Abbildung 1: Nach der Einrichtung von Azure AD Connect wird der Verbindungsstatus im Azure-Portal angezeigt.
Abbildung 1: Nach der Einrichtung von Azure AD Connect wird der Verbindungsstatus im Azure-Portal angezeigt.

Auf Anforderung lässt sich die Synchronisierung auch zeitweise deaktivieren. Dazu nutzt man die PowerShell für Azure AD und verbindet sich mit Connect-MsolService. Azure AD Connect deaktiviert man mit:

Set-MsolDirSyncEnabled -EnableDirSync $false

Folgender Befehl zeigt den Status an:

(Get-MSOLCompanyInformation).DirectorySynchronizationEnabled

Um die Synchronisierung wieder zu aktivieren, verwendet man:

Set-MsolDirSyncEnabled -EnableDirSync $true

Single Sign-On einrichten

Wenn die Synchronisierung eingerichtet ist, lassen sich die Einstellungen über Azure Active Directory\Azure AD Connect konfigurieren. Hier werden auch die Benutzeranmeldungen und Single Sign-On (SSO) gesteuert. Unter Benutzer\Aktive Benutzer sollten die Benutzer aus dem lokalen Active Directory im Microsoft 365 Admin Center angezeigt werden.

Möchte man die Pass-Through-Authentifizierung verwenden, klickt man bei Benutzeranmeldung auf Pass-Through-Authentifizierung. Hier wird der Microsoft Azure AD Connect Authentication Agent heruntergeladen und installiert. Anschließend wird der Computer bei Pass-Through-Authentifizierung angezeigt. An dieser Stelle kann man ebenfalls Nahtloses einmaliges Anmelden konfigurieren.

Abbildung 2: Den Agenten für die Verbindung der Kennwörter zwischen AD und Azure AD anzeigen.
Abbildung 2: Den Agenten für die Verbindung der Kennwörter zwischen AD und Azure AD anzeigen.

Fehlerbehebung der Synchronisierung und nachträgliche Konfigurationsänderungen

Wenn die Synchronisierung oder Kennwörter nicht funktionieren, stehen in Azure AD Connect mehrere Werkzeuge zur Verfügung, mit denen sich Fehler identifizieren und beheben lassen. Dazu wird Azure AD Connect auf dem Server gestartet, auf dem der Agent installiert ist. Hier können verschiedene Optionen von Azure AD Connect konfiguriert werden.

Wenn die Konfiguration nicht ordnungsgemäß funktioniert, steht der Menüpunkt Problembehandlung zur Verfügung. Hier kann man das Azure AD Connect-Problembehandlungs-Tool starten.

Das Tool besteht vor allem aus Cmdlets und Skripten für die PowerShell. Nach dem Start des Tools öffnet sich eine PowerShell-Sitzung mit verschiedenen Menüpunkten zur Eingrenzung von Fehlern.

Abbildung 3: Nach der Einrichtung lässt sich Azure AD Connect weiter anpassen.
Abbildung 3: Nach der Einrichtung lässt sich Azure AD Connect weiter anpassen.

Hier kann man genau auswählen, welche Bereiche nicht funktionieren, zum Beispiel Troubleshoot Password Hash Synchronization oder Troubleshoot Object Synchronization.

Außerdem sind verschiedene Verbindungstests verfügbar. Damit kann man zum Beispiel erkennen, ob einzelne Ports zwischen dem lokalen Netzwerk und Azure AD blockiert werden.

Nach der Auswahl eines Fehlers kann man noch weitere Eingrenzungen vornehmen, zum Beispiel Password Hash Synchronization does NOT work at all oder Password Hash Synchronization does NOT work for a specific user account.

Abbildung 4: Wenn Probleme bei der Einrichtung von Single Sign-On auftauchen, bietet Azure AD Connect verschiedene Lösungsmöglichkeiten.
Abbildung 4: Wenn Probleme bei der Einrichtung von Single Sign-On auftauchen, bietet Azure AD Connect verschiedene Lösungsmöglichkeiten.

Erfahren Sie mehr über Office-Software