Passwortänderungen und Kennwortschutz von Azure AD in das lokale Active Directory zurückschreiben

    , 02.08.2022
    Tags: , , ,

    AD DS und Azure AD synchronisieren mit AAD ConnectDie Anbindung eines lokalen Active Directory an das Azure AD ermöglicht nicht nur ein Single-Sign-on für die Nutzung von lokalen und Cloud-Ressourcen. Die Synchro­nisierung der beiden Verzeichnis­dienste kann zudem geänderte Pass­wörter abgleichen und die Kennwort­richtlinien aus dem Azure AD lokal durch­setzen.

    Bei der Synchronisierung von Objekten zwischen Azure AD und den lokalen Active Directory Domain Services (AD DS) überträgt bei Bedarf auch die Passwort-Hashes aller oder ausgewählter Konten in die Cloud. In die umge­kehrte Richtung erfolgt standard­mäßig jedoch kein Abgleich.

    Zurückschreiben von Kennwortänderungen

    Benutzer können mit der Self-Service-Kennwort­zurücksetzung jederzeit im Web-Browser ihre Passwörter im Azure Active Directory (Azure AD) selbst aktualisieren oder ihre Konten bei ver­gessenen Passwärtern entsperren.

    Führen Nutzer einen Self-Service Password Reset (SSPR) jedoch in einer hybriden Umgebung aus, in der das Azure AD mit lokalen AD DS verbunden ist, dann weichen die Passwörter zwischen in den beiden Verzeichnissen voneinander ab.

    Um diesen unerwünschten Zustand zu beseitigen, enthält Azure AD Connect einen sicheren Mechanismus, um die Kennwort­änderungen in das lokale AD zurückzusenden. Aktiviert wird die Funktion über die Konfiguration von Azure AD Connect.

    Kennwortzurückschreibens in Azure AD Connect einrichten

    Es liegt auf der Hand, dass man zuerst das Zurückschreiben der Passwörter in Azure AD Connect konfiguriert, bevor man dieses Feature in den SSPR-Einstellungen des Azure AD aktiviert.

    Das Zurückschreiben der Kennwörter für den Self-Service Password Reset aktivieren

    Hybridintegration für den Kennwortschutz

    Unsichere Passwörter ("Kennwort1", "P@ssWord“, "Tes0815", usw.) werden von Azure AD standard­mäßig blockiert. Dafür nutzt es automatisch eine globale Ausschlussliste mit bekannt unsicheren Kennwörtern, die regelmäßig aktualisiert wird.

    Versucht ein Azure AD-Nutzer ein unsicheres Passwort zu verwenden, dann wird er aufgefordert, eine Alternative zu finden, die den Vorgaben des Verzeichnis­dienstes entsprechen.

    Die Konfiguration dieses Features erfolgt im Azure-Portal im Bereich Authenti­fizierungs­methoden => Kennwort­schutz. Hier haben Sie außerdem die Möglichkeit, den Kennwortschutz für Windows Server Active Directory zu aktivieren.

    Der Kennwortschutz ist eine der wichtigsten Funktionen aus dem Identity Governance von Azure AD.

    Um die Sicherheit noch weiter zu erhöhen, lassen sich benutzer­definierte Richtlinien für den Kennwortschutz definieren. Hier können Sie selbst Filter formulieren, um sämtliche Varianten eines Passworts zu blockieren, die einen bestimmten Bestandteil enthalten wie z. B. "Pa55w.rd".

    Darüber hinaus lässt sich der Azure AD-Kennwortschutz auch in einer lokalen AD DS-Umgebung bereit­stellen. Wie die einzelnen Komponenten des Azure AD-Kennwortschutzes zusammen­arbeiten, zeigt das folgende Architektur­diagramm von Microsoft.

    Funktionsweise der Kennwortschutzrichtlinien in hybriden Szenarien

    Dabei enthält ein Proxy Service, den man in der lokalen AD-Umgebung installiert, von Azure AD sowohl die globale Ausschlussliste für Passwörter als auch die benutzer­definierte Richtlinien zum Kennwortschutz.

    Die Domänen-Controller verwenden diese Informationen, um bei Passwortänderungen die darin formulierten Anforderungen an Kennwörter durchzusetzen. Der Hybridansatz sorgt somit für sicher, egal auf welche Art und von wo die Nutzer seine Anmelde­informationen ändern.

    Fazit

    Die Integration eines Active Directory mit Azure AD bringt eine Reihe von Vorteilen. Dazu zählen das SSO für lokale und Cloud-Ressourcen sowie der Zugang zu modernen Authentifizierung­methoden.

    Ein lokales AD profitiert zudem von den wesentlich flexibleren Kennwort­richtlinien in Azure AD, die sich mit Hilfe des Kennwortschutzes auch on-prem durchsetzen lassen.

    Eine hybride Umgebung bedarf aber eines stetigen Abgleichs zwischen beiden Verzeichnissen. Während die Kennwort-Hashes bei entsprechender Konfiguration von Azure AD Connect in die Cloud übertragen werden, muss man den umgekehrten Weg separat einrichten.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling
    Thomas Drilling arbeitet seit mehr als 20 Jahren selb­ständig als Redakteur und Autor für viele ehe­malige und aktuelle IT-Magazine sowie Blogs. Thomas ist zudem Buch­autor und IT-Consultant. Seit 5 Jahren ist Thomas neben seiner journa­listischen Tätig­keit haupt­beruflicher, selb­ständiger IT-Trainer für VMware und Microsoft.

    Seine Themen­schwer­punkte sind Virtua­lisierung und Cloud Com­puting, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zerti­fi­zierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas ist außerdem zertifi­zierter AWS Solu­tions Archi­tect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Admini­strator.

    Thomas führt aktuell jeden zwei­ten Mon­tag einen 4-tägigen Grund­lagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Infor­mationen und Anmel­dung über sein AWS-Blog.

    Ähnliche Beiträge

    Weitere Links

    1 Kommentar

    Marcus Geist (Besucher) sagt:
    10. August 2022 - 16:34

    Soweit ich informiert bin benötigt man für die Funktion "Passwort rückschreiben" mindesten eine Business Premium Lizenz. Für Kleine Kunden ist diese Lösung daher nicht umsetzbar. Das steht nicht im Text!