Immer wieder stellt sich bei der Nutzung von Office-365-Diensten die Frage: „Welche Kontenoptionen ist für mich die optimale Wahl?“
ADFS, Password Sync, Azure AD-Passthrough-Authentifizierung oder Cloud Only? Auch die Kombination verschiedener Optionen ist möglich.
Meine Kollegen haben zwar bereits Beiträge zum Thema AD FS und Cloud Authentifzierung veröffentlicht:
https://ops365.de/office-365-erweiterter-schutz-durch-conditional-access/
https://ops365.de/kennwortruecksetzung-adfs3/
Aber betrachten wir das Thema mal abseits der technischen Beschreibungen. Was gibt es aktuell alles?
Das „Cloud-only-Konto“
Das Cloud-only-Konto existiert nur in Office 365 und hat keinerlei Verbindung zu einem lokalen oder in einem Active Directory verwalteten Benutzerkonto. Die gesamte Authentifizierung erfolgt durch die Dienste innerhalb von Office 365. Es findet Verwendung bei Unternehmen, die kein eigenes lokales Active Directory betreiben oder dieses nach der Datenmigration nach Office 365 aufgelöst haben.
Das Cloud-only-Konto kann für die Nutzung von Office-365-Diensten sowie die Anmeldung am Desktop oder Laptop genutzt werden.
AzureADConnect – Password Synchronisation
Mit Hilfe von Microsoft Azure Active Directory Connect werden die Konten aus dem Active Directory nach Office 365 synchronisiert. Es existieren also zwei Konten, die über den Synchronisationsmechanismus verbunden sind. Mit Aktivieren der Option „Password Synchronization“ wird zusätzlich zu den Konteninformationen auch der Passworthash nach Office 365 übertragen. Dadurch können Anmeldungen am Active Directory und an Office-365-Diensten mit dem gleichen Benutzernamen und gleichem Kennwort erfolgen. Wir erhalten ein scheinbares Single Sign-On.
Ändert sich das Passwort im Active Directory, wird diese Änderung nach Office 365 synchronisiert. Eine Passwortänderung in Office 365 kann zurück in das Active Directory übertragen werden (optionale Funktion Password WriteBack).
Die Funktion Password Synchronization wird für den gesamten Synchronisationbereich aktiviert. Hier gilt „Alle oder Keiner“. Eine zusätzliche Infrastruktur für die Bereitstellung ist nicht notwendig.
AzureADConnect – Federation AD FS
Natürlich erfolgt auch bei dieser Variante die Synchronisation von Benutzerkonten und Gruppen aus dem lokalen Active Directory nach Office 365. Durch Einrichtung der AD-FS-Authentifizierung für eine in Office 365 registrierte Domäne erfolgt keine Authentifizierung der Benutzer durch Office-365-Dienste. Alle Authentifizierungsanforderungen werden umgeleitet zu den bereitgestellten AD-FS-Diensten, die innerhalb der eigenen Infrastruktur betrieben werden. Der Zugriff auf Office-365-Dienste erfolgt mit einem Zugriffstoken, das bei korrekter Anmeldung am AD-FS-Dienst durch die eigenen Server ausgestellt wird.
Befindet sich der Client (Desktop/Laptop) innerhalb des eigenen lokalen Netzwerks, kann die integrierte Authentifizierung genutzt werden (Anwender bekommen keine Anmeldeaufforderung, sie sind durch Anmeldung am Desktop ja bereits authentifiziert). Für Anmeldungen aus fremden Netzwerken wird meist eine formularbasierte Authentifizierung verwendet.
Sind die AD-FS-Server nicht verfügbar, dann können Anwender keine Office-365-Dienste nutzen.
Kontosperrungen können auf zwei Ebenen eingerichtet werden:
Eine Sperrung des Kontos innerhalb der AD-FS-Dienste führt zum Sperren des Zugriffs auf Office-365-Dienste. Die Arbeit im lokalen Active Directory ist weiter möglich.
Eine Sperrung des Kontos im Active Directory verhindert die Nutzung aller Dienste für das gesperrte Konto.
Die Federation wird für alle Konten einer registrierten Domäne eingerichtet. Andere Anmeldeverfahren sind für federierte Domänen aktuell nicht möglich. Es werden zusätzliche Dienste innerhalb der eigenen IT-Infrastruktur benötigt.
AzureADConnect – Pass-through Authentication
Wie die Überschrift schon beschreibt, ist die Synchronisation von Benutzerkonten eine Voraussetzung für die Verwendung der „Pass-through Authentication“. Die Synchronisation von Passworthashs ist nicht erforderlich.
Auf einem oder mehreren Servern wird ein „Pass-through Authentication“ Agent installiert. Dieser stellt eine ausgehende Verbindung zu Office 365 her (eingehende Verbindungen wie bei AD-FS-Implementierungen sind nicht erforderlich).
Erfolgt eine Authentifizierungsanforderung gegen Office-365-Dienste, wird diese in eine „Authentifizierungswarteschlange“ eingereiht und vom lokalen „Pass-through Authentication“ Agent bestätigt oder abgewiesen.
Das besonders Interessante an diesem Verfahren ist die Funktion „Smart Lockout„. Office 365 erkennt an der Art des Zugriffs, ob es ein bereits bekannter Client ist oder eine völlig neue Verbindung. Dadurch wird das Risiko von Kontosperrungen durch „Brute-Force-Angriffe“ erheblich reduziert.
AzureADConnect – Seamless Single Sign-On
„Seamless Single Sign-On“ ist eine Funktion, die zusätzlich aktiviert werden kann. Mit Aktivierung dieser Funktion kann ein Single Sign-On innerhalb des eigenen lokalen Netzwerks für Active-Directory-Mitglieder umgesetzt werden. Im Gegensatz zu AD FS sind keine zusätzlichen Dienste erforderlich. Die Funktion kann mit „Pass-through Authentication“ und „Password Synchronisation“ kombiniert werden. Eine Integration in AD-FS-Authentifizierung ist nicht möglich.
Abschluss
Alle Verfahren sind hier gut beschrieben: https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnect-user-signin
Wer eine eigene Multi-Faktor-Authentifizierung betreibt, dem bleibt nur die Authentifizierung über „Federation AD FS“.
Das Thema „Smart Lockout“ hat nach meiner Auffassung Potential für mehr. Besonders vor dem Hintergrund der Harmonisierung von UPN, primärer E-Mail Adresse und Skype-Adresse.
