Tags: Azure, Active Directory, Synchronisierung, Passwort
Die Anbindung eines lokalen Active Directory an das Azure AD ermöglicht nicht nur ein Single-Sign-on für die Nutzung von lokalen und Cloud-Ressourcen. Die Synchronisierung der beiden Verzeichnisdienste kann zudem geänderte Passwörter abgleichen und die Kennwortrichtlinien aus dem Azure AD lokal durchsetzen.
Bei der Synchronisierung von Objekten zwischen Azure AD und den lokalen Active Directory Domain Services (AD DS) überträgt bei Bedarf auch die Passwort-Hashes aller oder ausgewählter Konten in die Cloud. In die umgekehrte Richtung erfolgt standardmäßig jedoch kein Abgleich.
Zurückschreiben von Kennwortänderungen
Benutzer können mit der Self-Service-Kennwortzurücksetzung jederzeit im Web-Browser ihre Passwörter im Azure Active Directory (Azure AD) selbst aktualisieren oder ihre Konten bei vergessenen Passwärtern entsperren.
Führen Nutzer einen Self-Service Password Reset (SSPR) jedoch in einer hybriden Umgebung aus, in der das Azure AD mit lokalen AD DS verbunden ist, dann weichen die Passwörter zwischen in den beiden Verzeichnissen voneinander ab.
Um diesen unerwünschten Zustand zu beseitigen, enthält Azure AD Connect einen sicheren Mechanismus, um die Kennwortänderungen in das lokale AD zurückzusenden. Aktiviert wird die Funktion über die Konfiguration von Azure AD Connect.
Es liegt auf der Hand, dass man zuerst das Zurückschreiben der Passwörter in Azure AD Connect konfiguriert, bevor man dieses Feature in den SSPR-Einstellungen des Azure AD aktiviert.
Hybridintegration für den Kennwortschutz
Unsichere Passwörter ("Kennwort1", "P@ssWord“, "Tes0815", usw.) werden von Azure AD standardmäßig blockiert. Dafür nutzt es automatisch eine globale Ausschlussliste mit bekannt unsicheren Kennwörtern, die regelmäßig aktualisiert wird.
Versucht ein Azure AD-Nutzer ein unsicheres Passwort zu verwenden, dann wird er aufgefordert, eine Alternative zu finden, die den Vorgaben des Verzeichnisdienstes entsprechen.
Die Konfiguration dieses Features erfolgt im Azure-Portal im Bereich Authentifizierungsmethoden => Kennwortschutz. Hier haben Sie außerdem die Möglichkeit, den Kennwortschutz für Windows Server Active Directory zu aktivieren.
Um die Sicherheit noch weiter zu erhöhen, lassen sich benutzerdefinierte Richtlinien für den Kennwortschutz definieren. Hier können Sie selbst Filter formulieren, um sämtliche Varianten eines Passworts zu blockieren, die einen bestimmten Bestandteil enthalten wie z. B. "Pa55w.rd".
Darüber hinaus lässt sich der Azure AD-Kennwortschutz auch in einer lokalen AD DS-Umgebung bereitstellen. Wie die einzelnen Komponenten des Azure AD-Kennwortschutzes zusammenarbeiten, zeigt das folgende Architekturdiagramm von Microsoft.
Dabei enthält ein Proxy Service, den man in der lokalen AD-Umgebung installiert, von Azure AD sowohl die globale Ausschlussliste für Passwörter als auch die benutzerdefinierte Richtlinien zum Kennwortschutz.
Die Domänen-Controller verwenden diese Informationen, um bei Passwortänderungen die darin formulierten Anforderungen an Kennwörter durchzusetzen. Der Hybridansatz sorgt somit für sicher, egal auf welche Art und von wo die Nutzer seine Anmeldeinformationen ändern.
Fazit
Die Integration eines Active Directory mit Azure AD bringt eine Reihe von Vorteilen. Dazu zählen das SSO für lokale und Cloud-Ressourcen sowie der Zugang zu modernen Authentifizierungmethoden.
Ein lokales AD profitiert zudem von den wesentlich flexibleren Kennwortrichtlinien in Azure AD, die sich mit Hilfe des Kennwortschutzes auch on-prem durchsetzen lassen.
Eine hybride Umgebung bedarf aber eines stetigen Abgleichs zwischen beiden Verzeichnissen. Während die Kennwort-Hashes bei entsprechender Konfiguration von Azure AD Connect in die Cloud übertragen werden, muss man den umgekehrten Weg separat einrichten.
Täglich Know-how für IT-Pros mit unserem Newsletter
Seine Themenschwerpunkte sind Virtualisierung und Cloud Computing, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zertifizierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas ist außerdem zertifizierter AWS Solutions Architect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Administrator.
Thomas führt aktuell jeden zweiten Montag einen 4-tägigen Grundlagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Informationen und Anmeldung über sein AWS-Blog.
Ähnliche Beiträge
- Azure AD Connect einrichten
- Geräte über Hybrid Join in Azure AD registrieren
- Azure AD Connect 2.1.15.0: Automatische Updates, Aus für Admin Agent, Sync für zusätzliche Attribute
- Kennwörter in Azure AD zurücksetzen mit Self Service Passwort Reset (SSPR)
- SSO zwischen Active Directory und der Microsoft-Cloud mit Pass-through-Authentifizierung (PTA) einrichten
Weitere Links
1 Kommentar
Soweit ich informiert bin benötigt man für die Funktion "Passwort rückschreiben" mindesten eine Business Premium Lizenz. Für Kleine Kunden ist diese Lösung daher nicht umsetzbar. Das steht nicht im Text!