hallo@ops365.de
Ops365
  • Home
  • Blog
  • Patches
  • Autoren

Office 365 – Vergleich der Authentifizierungsoptionen

Donnerstag, 23. November 2017Malte Pabst

Immer wieder stellt sich bei der Nutzung von Office-365-Diensten die Frage: „Welche Kontenoptionen ist für mich die optimale Wahl?“
ADFS, Password Sync, Azure AD-Passthrough-Authentifizierung oder Cloud Only? Auch die Kombination verschiedener Optionen ist möglich.

Meine Kollegen haben zwar bereits Beiträge zum Thema AD FS und Cloud Authentifzierung veröffentlicht:
https://ops365.de/office-365-erweiterter-schutz-durch-conditional-access/
https://ops365.de/kennwortruecksetzung-adfs3/

Aber betrachten wir das Thema mal abseits der technischen Beschreibungen. Was gibt es aktuell alles?

Das „Cloud-only-Konto“

Das Cloud-only-Konto existiert nur in Office 365 und hat keinerlei Verbindung zu einem lokalen oder in einem Active Directory verwalteten Benutzerkonto. Die gesamte Authentifizierung erfolgt durch die Dienste innerhalb von Office 365. Es findet Verwendung bei Unternehmen, die kein eigenes lokales Active Directory betreiben oder dieses nach der Datenmigration nach Office 365 aufgelöst haben.
Das Cloud-only-Konto kann für die Nutzung von Office-365-Diensten sowie die Anmeldung am Desktop oder Laptop genutzt werden.

AzureADConnect – Password Synchronisation

Mit Hilfe von Microsoft Azure Active Directory Connect werden die Konten aus dem Active Directory nach Office 365 synchronisiert. Es existieren also zwei Konten, die über den Synchronisationsmechanismus verbunden sind. Mit Aktivieren der Option „Password Synchronization“ wird zusätzlich zu den Konteninformationen auch der Passworthash nach Office 365 übertragen. Dadurch können Anmeldungen am Active Directory und an Office-365-Diensten mit dem gleichen Benutzernamen und gleichem Kennwort erfolgen. Wir erhalten ein scheinbares Single Sign-On.
Ändert sich das Passwort im Active Directory, wird diese Änderung nach Office 365 synchronisiert. Eine Passwortänderung in Office 365 kann zurück in das Active Directory übertragen werden (optionale Funktion Password WriteBack).

Die Funktion Password Synchronization wird für den gesamten Synchronisationbereich aktiviert. Hier gilt „Alle oder Keiner“. Eine zusätzliche Infrastruktur für die Bereitstellung ist nicht notwendig.

AzureADConnect – Federation AD FS

Natürlich erfolgt auch bei dieser Variante die Synchronisation von Benutzerkonten und Gruppen aus dem lokalen Active Directory nach Office 365. Durch Einrichtung der AD-FS-Authentifizierung für eine in Office 365 registrierte Domäne erfolgt keine Authentifizierung der Benutzer durch Office-365-Dienste. Alle Authentifizierungsanforderungen werden umgeleitet zu den bereitgestellten AD-FS-Diensten, die innerhalb der eigenen Infrastruktur betrieben werden. Der Zugriff auf Office-365-Dienste erfolgt mit einem Zugriffstoken, das bei korrekter Anmeldung am AD-FS-Dienst durch die eigenen Server ausgestellt wird.

Befindet sich der Client (Desktop/Laptop) innerhalb des eigenen lokalen Netzwerks, kann die integrierte Authentifizierung genutzt werden (Anwender bekommen keine Anmeldeaufforderung, sie sind durch Anmeldung am Desktop ja bereits authentifiziert). Für Anmeldungen aus fremden Netzwerken wird meist eine formularbasierte Authentifizierung verwendet.

Sind die AD-FS-Server nicht verfügbar, dann können Anwender keine Office-365-Dienste nutzen.

Kontosperrungen können auf zwei Ebenen eingerichtet werden:
Eine Sperrung des Kontos innerhalb der AD-FS-Dienste führt zum Sperren des Zugriffs auf Office-365-Dienste. Die Arbeit im lokalen Active Directory ist weiter möglich.
Eine Sperrung des Kontos im Active Directory verhindert die Nutzung aller Dienste für das gesperrte Konto.

Die Federation wird für alle Konten einer registrierten Domäne eingerichtet. Andere Anmeldeverfahren sind für federierte Domänen aktuell nicht möglich. Es werden zusätzliche Dienste innerhalb der eigenen IT-Infrastruktur benötigt.

AzureADConnect – Pass-through Authentication

Wie die Überschrift schon beschreibt, ist die Synchronisation von Benutzerkonten eine Voraussetzung für die Verwendung der „Pass-through Authentication“. Die Synchronisation von Passworthashs ist nicht erforderlich.
Auf einem oder mehreren Servern wird ein „Pass-through Authentication“ Agent installiert. Dieser stellt eine ausgehende Verbindung zu Office 365 her (eingehende Verbindungen wie bei AD-FS-Implementierungen sind nicht erforderlich).
Erfolgt eine Authentifizierungsanforderung gegen Office-365-Dienste, wird diese in eine „Authentifizierungswarteschlange“ eingereiht und vom lokalen „Pass-through Authentication“ Agent bestätigt oder abgewiesen.

Das besonders Interessante an diesem Verfahren ist die Funktion „Smart Lockout„. Office 365 erkennt an der Art des Zugriffs, ob es ein bereits bekannter Client ist oder eine völlig neue Verbindung. Dadurch wird das Risiko von Kontosperrungen durch „Brute-Force-Angriffe“ erheblich reduziert.

AzureADConnect – Seamless Single Sign-On

„Seamless Single Sign-On“ ist eine Funktion, die zusätzlich aktiviert werden kann. Mit Aktivierung dieser Funktion kann ein Single Sign-On innerhalb des eigenen lokalen Netzwerks für Active-Directory-Mitglieder umgesetzt werden. Im Gegensatz zu AD FS sind keine zusätzlichen Dienste erforderlich. Die Funktion kann mit „Pass-through Authentication“ und „Password Synchronisation“ kombiniert werden. Eine Integration in AD-FS-Authentifizierung ist nicht möglich.

Abschluss

Alle Verfahren sind hier gut beschrieben: https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-user-signin

Wer eine eigene Multi-Faktor-Authentifizierung betreibt, dem bleibt nur die Authentifizierung über „Federation AD FS“.
Das Thema „Smart Lockout“ hat nach meiner Auffassung Potential für mehr. Besonders vor dem Hintergrund der Harmonisierung von UPN, primärer E-Mail Adresse und Skype-Adresse.

Tags: Authentifizierung, Azure AD Connect, O365, Office 365, Office365
Malte Pabst
Malte Pabst
http://www.itacs.de
Der Mitgründer der itacs GmbH, bekannt als „Exchange Pabst“, löst auch knifflige Probleme in heterogenen Messaging-Umgebungen im Handumdrehen. Hinter dem freundlichen Lächeln verbirgt sich ein unschlagbares Wissen, das der Senior Consultant unter anderem durch seine Auszeichnung als Most Valuable Professional (MVP) Exchange (von 2002 bis 2004) sowie zahlreiche Zertifizierungen nachweist.
Vorheriger Beitrag Office 365 DE – Anzeigefehler bei Multifaktorauthentifizierung Nächster Beitrag Office 365 DE – Nutzung der iOS Outlook App

Ähnliche Beiträge

Feature Pack 1 für SharePoint 2016 angekündigt

Donnerstag, 29. September 2016René Dalkowski
Remove-CalendarEvents

Exchange Online von verwaisten Kalendereinträgen befreien

Donnerstag, 6. Juli 2017Thomas Drömer

Aktivieren S/MIME in Exchange Online für OWA

Montag, 10. Oktober 2016Malte Pabst

Neueste Beiträge

  • itacs Office 365 Backup und Archivierung
  • SharePoint Workflows starten nach Installation des .NET-Updates für CVE-2018-8421 nicht mehr
  • Office 365 DE – Nutzung der iOS Outlook App
  • Office 365 – Vergleich der Authentifizierungsoptionen
  • Office 365 DE – Anzeigefehler bei Multifaktorauthentifizierung

Themen

Active Directory AD AD FS Authentifizierung Azure Azure AD Connect Azure Stack Basic CDCGermany Compliance CU Cumulative Update DE-Cloud Digest DirSync Exchange Exchange Online Feature Pack GPO Gruppenrichtlinien Kennwortrücksetzung Lizenzierung Lizenzmodell Microsoft Monitoring NTLM OAuth Office Office 365 Office365 Office Blog OMS Operations Management Suite OutlookWebApp OWA Password Patches Reset S/Mime SAML SharePoint SharePoint 2016 System Center 2016 TMG Windows Server 2016

Ops365 – Ein Blog der itacs GmbH

Die itacs GmbH ist ein deutschlandweit tätiges IT-Beratungsunternehmen mit Hauptsitz in Berlin, das sich auf IT-Lösungen auf Basis von Microsoft Technologien spezialisiert hat.

Neueste Beiträge

  • itacs Office 365 Backup und Archivierung
  • SharePoint Workflows starten nach Installation des .NET-Updates für CVE-2018-8421 nicht mehr
  • Office 365 DE – Nutzung der iOS Outlook App

Durchsuche Ops365.de

HomeImpressumKontaktHaftungsausschlussDatenschutzLogin
itacs GmbH