:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Microsoft Pass-through-Authentication richtig nutzen SSO zwischen Active Directory und Azure AD / Microsoft 365
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Die Passthrough-Authentication (PtA) von Microsoft bringt Single Sign-on (SSO) ins Active Directory und die Cloud. Durch die Verknüpfung von Benutzerkonten im Active Directory und im Azure AD müssen sich Anwender nicht mehrfach anmelden, um auf Cloud-Dienste zuzugreifen.
Passthrough-Authentication (PtA) zwischen lokalen Active Directory-Gesamtstrukturen und Azure Active Directory ermöglichen es Anwender per SSO auf verschiedene Dienste in der Microsoft Cloud zugreifen zu können. Dazu gehören alle Dienste, bei denen eine Authentifizierung mit Azure AD hinterlegt ist, zum Beispiel in Microsoft Azure oder auch Microsoft 365. Zugriffe auf Exchange Online-Postfächer, SharePoint Online, Teams oder auch OneDrive for Business erleichtern sich dadurch deutlich.
:quality(80)/p7i.vogel.de/wcms/82/99/8299183def8f7dd7bca556d52960376f/0109385976.jpeg "SSO zwischen AD und Azure AD basiert zunächst auf der Verbindung der Umgebungen mit Azure AD Connect.")
:quality(80)/p7i.vogel.de/wcms/80/54/80544fadb4c37868daa4bed2263f8cf0/0109385972.jpeg "Erfolgreich eingerichtete Passthrough-Authentifizierung mit Azure AD.")
:quality(80)/p7i.vogel.de/wcms/90/6f/906f3177655b7118e8fcf428cf5f425c/0109385971.jpeg "Einrichten von Azure AD Connect auf einem lokalen Domänencontroller.")
:quality(80)/p7i.vogel.de/wcms/7d/c1/7dc1513db9613ba268e677b10d4977e4/0109385973.jpeg "Fehlerbehebung von Azure AD Connect in der PowerShell.")
Der Vorteil besteht darin, dass in hybriden Netzwerken die Authentifizierung sehr viel einfacher wird und sich Anwender nicht verschiedene Anmeldeinformationen merken müssen. Da in den meisten Fällen Dienste in Microsoft 365 und auch in Azure ohnehin eng mit der lokalen Infrastruktur verknüpft werden, erleichtert das die Arbeit der Anwender und auch von Administratoren deutlich.
Verknüpfung von Active Directory mit Azure AD Connect
Realisiert wird die Anmeldung per PtA mit Azure AD Connect. Dazu wird auf einem Server, meistens ein Domänencontroller in der lokalen Active Directory-Gesamtstruktur ein Agent installiert, der die Anmeldedaten zwischen lokalen Benutzerkonten und der Cloud synchronisiert. Die Kommunikation zwischen lokalen AD-Umgebungen und Azure AD erfolgt normalerweise über den Port 443. Die Einrichtung ist dadurch sehr einfach. Es sind keine speziellen Server oder Firewallregeln notwendig. Es reicht die Konfiguration von Azure AD Connect. Der Agent dafür steht im Azure-Portal zur Verfügung, die Konfiguration erfolgt im Azure-Portal über den Bereich „Azure Active Directory\Azure AD Connect“.
Die Steuerung der Authentifizierung erfolgt wiederum über die PtA-Agenten, die im Azure-Portal bei „Passthrough-Authentifizierung“ im Bereich Azure AD Connect heruntergeladen werden können. Idealerweise sollte die Installation des PtA-Agenten auf mehreren Servern erfolgen, damit eine Hochverfügbarkeit erreicht wird. Die Agenten kommunizieren nicht miteinander, sondern jeder Server kommuniziert direkt mit Azure AD. Aus diesem Grund sollten sowohl die Server mit dem Azure AD-Connect-Agenten, als auch die Server mit den PtA-Agenten gehärtet werden.
Lokale Authentifizierung und Zugriffskontrolle auf Azure AD nutzen
Bei PtA erfolgt die Authentifizierung lokal an den Domänencontrollern. Es findet dabei keinerlei Austausch von Passtwort-Hashes zu Azure AD statt. Dadurch sind auch Änderungen von Kennwörtern sofort aktiv, da auch diese im lokalen AD verbleiben. Die Kontrolle der Anmeldung erfolgt komplett im lokalen Active Directory. Das bedeutet auch, dass Sperren von lokalen Benutzerkonten eine direkte Auswirkung auf den Zugriff des Benutzers auf die angebundenen Clouddienste hat. Diese sperrt Azure AD dann ebenfalls. Kommen in der Cloud Sicherheitsfunktionen wie Multifaktor-Authentifizerung (MFA) oder Conditional Access zum Einsatz, arbeiten diese mit PtA zusammen. Mit etwas Konfiguration ist es möglich ein Self-Service-Portal aufzubauen, mit dem Anwender über Azure AD ihr lokales Kennwort in AD ändern können.
Will ein Anwender auf einen Dienst in Microsoft 365 oder Azure zugreifen, wird die Anfrage an Azure AD geroutet, da der Clouddienst über Azure AD abgesichert ist und nicht direkt mit dem lokalen AD kommuniziert. Bei der Authentifizierung wir das Kennwort verschlüsselt durch den PtA-Agenten im lokalen Netzwerk übertragen. Die Prüfung der Anmeldedaten erfolgt auf den lokalen Active Directory-Domänencontrollern. Erfolgreiche Anmeldungen überträgt der PtA-Agent an Azure AD.
So erfolgt die Einrichtung von SSO mit Passthrough-Authentication
Für die Verwendung von PtA wird eine vorhandene Azure AD Connect-Infrastruktur benötigt, mit der sich lokale AD-Gesamtstrukturen mit Azure AD verknüpfen. Ist Azure AD Connect noch nicht installiert, besteht der erste Schritt darin die Umgebung einzurichten und Azure AD Connect zu nutzen. Nach der Installation kann bei der Einrichtung des Dienstes auch die SSO-Option gewählt werden. Nach der Authentifizierung mit einem Adminkonto lässt sich die Passthrough-Authentifizierung aktivieren, wichtig ist auch, dass die Option zur Aktivierung von SSO generell aktiviert ist. Parallel zu PtA ist es auch möglich mit der Password-Hash-Synchronisierung zu arbeiten. In diesem Fall können sich Benutzer bei Problemen mit PtA zumindest mit dem gleichen Kennwort an ihrem Azure AD-Konto anmelden.
Bei der Verbindung zwischen AD und Azure AD kann über Azure AD Connect ausgewählt werden, welche Gesamtstruktur genutzt werden soll. Hier muss auch eine Authentifizierung an Active Directory erfolgen. Im Rahmen der Einrichtung lässt sich auch festlegen, welche Domänen oder Organisationseinheiten mit PtA an Azure AD angebunden werden sollen. Sobald Azure AD und AD über Azure AD Connect verbunden sind, lässt sich bei Passthrough-Authentication im Azure-Portal bei Azure Active Directory der Agent für die PtA-Verbindung herunterladen. Auf dem ersten Server ist der PtA-Agent automatisch aktiv, es ist aber sinnvoll mehrere Server zu verwenden, um die Verfügbarkeit zu erhöhen.
Nach der Einrichtung ist im Azure-Portal bei der Konfiguration der Passthrouh-Authentifizierung zu sehen, dass der erste Agent funktioniert. Hier sind später auch die weiteren Server zu sehen. Nach der Einrichtung dauert es aber einige Zeit, bis die Synchronisierung abgeschlossen ist. Die Verwaltung kann darüber hinaus auch im Azure Active Directory Admin Center über die URL https://aad.portal.azure.com erfolgen.
(ID:49034149)
:quality(80)/p7i.vogel.de/wcms/88/42/8842feeae5a9f6995d62de7cab7d72d5/0105546563.jpeg "Windows Hello for Business bietet mehr Sicherheit und einfachere Bedienung durch Verzicht auf Passwörter für Windows und Microsoft-Dienste. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/20/a420f91e29ad3dee85cc487e2f6d1038/0112775164.jpeg "Reichte beim On-Premises-Einsatz von Active Directory Enhanced Security Admin Environment zur Absicherung aus, muss es bei einer Kombination mit Azure AD jetzt Zero-Trust und eine Privileged-Access-Strategy sein. (Bild: © magele-picture - stock.adobe.com)")