Passwortänderungen und Kennwortschutz von Azure AD in das lokale Active Directory zurückschreiben

    , 02.08.2022
    Tags: , , ,

    AD DS und Azure AD synchronisieren mit AAD ConnectDie Anbindung eines lokalen Active Directory an das Azure AD ermöglicht nicht nur ein Single-Sign-on für die Nutzung von lokalen und Cloud-Ressourcen. Die Synchro­nisierung der beiden Verzeichnis­dienste kann zudem geänderte Pass­wörter abgleichen und die Kennwort­richtlinien aus dem Azure AD lokal durch­setzen.

    Bei der Synchronisierung von Objekten zwischen Azure AD und den lokalen Active Directory Domain Services (AD DS) überträgt bei Bedarf auch die Passwort-Hashes aller oder ausgewählter Konten in die Cloud. In die umge­kehrte Richtung erfolgt standard­mäßig jedoch kein Abgleich.

    Zurückschreiben von Kennwortänderungen

    Benutzer können mit der Self-Service-Kennwort­zurücksetzung jederzeit im Web-Browser ihre Passwörter im Azure Active Directory (Azure AD) selbst aktualisieren oder ihre Konten bei ver­gessenen Passwärtern entsperren.

    Führen Nutzer einen Self-Service Password Reset (SSPR) jedoch in einer hybriden Umgebung aus, in der das Azure AD mit lokalen AD DS verbunden ist, dann weichen die Passwörter zwischen in den beiden Verzeichnissen voneinander ab.

    Um diesen unerwünschten Zustand zu beseitigen, enthält Azure AD Connect einen sicheren Mechanismus, um die Kennwort­änderungen in das lokale AD zurückzusenden. Aktiviert wird die Funktion über die Konfiguration von Azure AD Connect.

    Kennwortzurückschreibens in Azure AD Connect einrichten

    Es liegt auf der Hand, dass man zuerst das Zurückschreiben der Passwörter in Azure AD Connect konfiguriert, bevor man dieses Feature in den SSPR-Einstellungen des Azure AD aktiviert.

    Das Zurückschreiben der Kennwörter für den Self-Service Password Reset aktivieren

    Hybridintegration für den Kennwortschutz

    Unsichere Passwörter ("Kennwort1", "P@ssWord“, "Tes0815", usw.) werden von Azure AD standard­mäßig blockiert. Dafür nutzt es automatisch eine globale Ausschlussliste mit bekannt unsicheren Kennwörtern, die regelmäßig aktualisiert wird.

    Versucht ein Azure AD-Nutzer ein unsicheres Passwort zu verwenden, dann wird er aufgefordert, eine Alternative zu finden, die den Vorgaben des Verzeichnis­dienstes entsprechen.

    Die Konfiguration dieses Features erfolgt im Azure-Portal im Bereich Authenti­fizierungs­methoden => Kennwort­schutz. Hier haben Sie außerdem die Möglichkeit, den Kennwortschutz für Windows Server Active Directory zu aktivieren.

    Der Kennwortschutz ist eine der wichtigsten Funktionen aus dem Identity Governance von Azure AD.

    Um die Sicherheit noch weiter zu erhöhen, lassen sich benutzer­definierte Richtlinien für den Kennwortschutz definieren. Hier können Sie selbst Filter formulieren, um sämtliche Varianten eines Passworts zu blockieren, die einen bestimmten Bestandteil enthalten wie z. B. "Pa55w.rd".

    Darüber hinaus lässt sich der Azure AD-Kennwortschutz auch in einer lokalen AD DS-Umgebung bereit­stellen. Wie die einzelnen Komponenten des Azure AD-Kennwortschutzes zusammen­arbeiten, zeigt das folgende Architektur­diagramm von Microsoft.

    Funktionsweise der Kennwortschutzrichtlinien in hybriden Szenarien

    Dabei enthält ein Proxy Service, den man in der lokalen AD-Umgebung installiert, von Azure AD sowohl die globale Ausschlussliste für Passwörter als auch die benutzer­definierte Richtlinien zum Kennwortschutz.

    Die Domänen-Controller verwenden diese Informationen, um bei Passwortänderungen die darin formulierten Anforderungen an Kennwörter durchzusetzen. Der Hybridansatz sorgt somit für sicher, egal auf welche Art und von wo die Nutzer seine Anmelde­informationen ändern.

    Fazit

    Die Integration eines Active Directory mit Azure AD bringt eine Reihe von Vorteilen. Dazu zählen das SSO für lokale und Cloud-Ressourcen sowie der Zugang zu modernen Authentifizierung­methoden.

    Ein lokales AD profitiert zudem von den wesentlich flexibleren Kennwort­richtlinien in Azure AD, die sich mit Hilfe des Kennwortschutzes auch on-prem durchsetzen lassen.

    Eine hybride Umgebung bedarf aber eines stetigen Abgleichs zwischen beiden Verzeichnissen. Während die Kennwort-Hashes bei entsprechender Konfiguration von Azure AD Connect in die Cloud übertragen werden, muss man den umgekehrten Weg separat einrichten.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Drilling

    Thomas Drilling arbeitet ist seit fast 30 Jahren selb­ständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehe­malige und aktuelle IT-Magazine sowie Blogs.

    Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.

    Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zerti­fi­zierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausge­zeichnet.

    Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grund­lagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.

    Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Infor­mationen und Anmel­dung über sein Azure-Blog.

    Verwandte Beiträge

    Weitere Links

    1 Kommentar

    Marcus Geist (Besucher) sagt:
    10. August 2022 - 16:34

    Soweit ich informiert bin benötigt man für die Funktion "Passwort rückschreiben" mindesten eine Business Premium Lizenz. Für Kleine Kunden ist diese Lösung daher nicht umsetzbar. Das steht nicht im Text!