Tags: Azure, Active Directory, Synchronisierung, Passwort
Die Anbindung eines lokalen Active Directory an das Azure AD ermöglicht nicht nur ein Single-Sign-on für die Nutzung von lokalen und Cloud-Ressourcen. Die Synchronisierung der beiden Verzeichnisdienste kann zudem geänderte Passwörter abgleichen und die Kennwortrichtlinien aus dem Azure AD lokal durchsetzen.
Bei der Synchronisierung von Objekten zwischen Azure AD und den lokalen Active Directory Domain Services (AD DS) überträgt bei Bedarf auch die Passwort-Hashes aller oder ausgewählter Konten in die Cloud. In die umgekehrte Richtung erfolgt standardmäßig jedoch kein Abgleich.
Zurückschreiben von Kennwortänderungen
Benutzer können mit der Self-Service-Kennwortzurücksetzung jederzeit im Web-Browser ihre Passwörter im Azure Active Directory (Azure AD) selbst aktualisieren oder ihre Konten bei vergessenen Passwärtern entsperren.
Führen Nutzer einen Self-Service Password Reset (SSPR) jedoch in einer hybriden Umgebung aus, in der das Azure AD mit lokalen AD DS verbunden ist, dann weichen die Passwörter zwischen in den beiden Verzeichnissen voneinander ab.
Um diesen unerwünschten Zustand zu beseitigen, enthält Azure AD Connect einen sicheren Mechanismus, um die Kennwortänderungen in das lokale AD zurückzusenden. Aktiviert wird die Funktion über die Konfiguration von Azure AD Connect.
Es liegt auf der Hand, dass man zuerst das Zurückschreiben der Passwörter in Azure AD Connect konfiguriert, bevor man dieses Feature in den SSPR-Einstellungen des Azure AD aktiviert.
Hybridintegration für den Kennwortschutz
Unsichere Passwörter ("Kennwort1", "P@ssWord“, "Tes0815", usw.) werden von Azure AD standardmäßig blockiert. Dafür nutzt es automatisch eine globale Ausschlussliste mit bekannt unsicheren Kennwörtern, die regelmäßig aktualisiert wird.
Versucht ein Azure AD-Nutzer ein unsicheres Passwort zu verwenden, dann wird er aufgefordert, eine Alternative zu finden, die den Vorgaben des Verzeichnisdienstes entsprechen.
Die Konfiguration dieses Features erfolgt im Azure-Portal im Bereich Authentifizierungsmethoden => Kennwortschutz. Hier haben Sie außerdem die Möglichkeit, den Kennwortschutz für Windows Server Active Directory zu aktivieren.
Um die Sicherheit noch weiter zu erhöhen, lassen sich benutzerdefinierte Richtlinien für den Kennwortschutz definieren. Hier können Sie selbst Filter formulieren, um sämtliche Varianten eines Passworts zu blockieren, die einen bestimmten Bestandteil enthalten wie z. B. "Pa55w.rd".
Darüber hinaus lässt sich der Azure AD-Kennwortschutz auch in einer lokalen AD DS-Umgebung bereitstellen. Wie die einzelnen Komponenten des Azure AD-Kennwortschutzes zusammenarbeiten, zeigt das folgende Architekturdiagramm von Microsoft.
Dabei enthält ein Proxy Service, den man in der lokalen AD-Umgebung installiert, von Azure AD sowohl die globale Ausschlussliste für Passwörter als auch die benutzerdefinierte Richtlinien zum Kennwortschutz.
Die Domänen-Controller verwenden diese Informationen, um bei Passwortänderungen die darin formulierten Anforderungen an Kennwörter durchzusetzen. Der Hybridansatz sorgt somit für sicher, egal auf welche Art und von wo die Nutzer seine Anmeldeinformationen ändern.
Fazit
Die Integration eines Active Directory mit Azure AD bringt eine Reihe von Vorteilen. Dazu zählen das SSO für lokale und Cloud-Ressourcen sowie der Zugang zu modernen Authentifizierungmethoden.
Ein lokales AD profitiert zudem von den wesentlich flexibleren Kennwortrichtlinien in Azure AD, die sich mit Hilfe des Kennwortschutzes auch on-prem durchsetzen lassen.
Eine hybride Umgebung bedarf aber eines stetigen Abgleichs zwischen beiden Verzeichnissen. Während die Kennwort-Hashes bei entsprechender Konfiguration von Azure AD Connect in die Cloud übertragen werden, muss man den umgekehrten Weg separat einrichten.
Täglich Know-how für IT-Pros mit unserem Newsletter
Thomas Drilling arbeitet ist seit fast 30 Jahren selbständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehemalige und aktuelle IT-Magazine sowie Blogs.
Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.
Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zertifizierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grundlagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.
Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Informationen und Anmeldung über sein Azure-Blog.
Verwandte Beiträge
- Azure AD Connect einrichten
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- Geräte über Hybrid Join in Azure AD registrieren
- Azure AD Connect 2.1.15.0: Automatische Updates, Aus für Admin Agent, Sync für zusätzliche Attribute
- Kennwörter in Azure AD zurücksetzen mit Self Service Passwort Reset (SSPR)
Weitere Links
1 Kommentar
Soweit ich informiert bin benötigt man für die Funktion "Passwort rückschreiben" mindesten eine Business Premium Lizenz. Für Kleine Kunden ist diese Lösung daher nicht umsetzbar. Das steht nicht im Text!