Migrieren von einem Verbundserver zur zertifikatbasierten Microsoft Entra-Authentifizierung (Certificate-Based Authentication, CBA)
In diesem Artikel wird erläutert, wie Sie von lokalen Verbundservern wie Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) zur Cloudauthentifizierung mithilfe der zertifikatbasierten Microsoft Entra-Authentifizierung (Certificate-Based Authentification, CBA) migrieren.
Gestaffelter Rollout
Ein Mandantenadministrator könnte die Verbunddomäne vollständig auf Microsoft Entra CBA ohne Pilottests umstellen, indem die CBA-Authentifizierungsmethode in Microsoft Entra ID aktiviert und die gesamte Domäne in verwaltete Authentifizierung konvertiert wird. Wenn der Kunde jedoch eine kleine Gruppe von Benutzern testen möchte, die sich vor dem vollständigen verwalteten Domain Cutover bei Microsoft Entra CBA authentifizieren, kann die gestaffelte Rollout-Funktion genutzt werden.
Durch den gestaffelten Rollout für die zertifikatbasierte Authentifizierung (CBA) können Kunden von der Durchführung von CBA bei einem Verbund-IdP zu Microsoft Entra ID wechseln, indem sie selektiv kleine Benutzergruppen zur Verwendung von CBA bei Microsoft Entra ID (nicht mehr an den Verbund-IdP) mit ausgewählten Benutzergruppen umleiten, bevor die Domänenkonfiguration in Microsoft Entra ID von der Partnerverbund-ID in verwaltet konvertiert wird. Der gestaffelte Rollout ist nicht dafür gedacht, dass die Domäne über einen längeren Zeitraum oder für eine große Anzahl von Benutzern im Verbund bleibt.
Schauen Sie sich dieses kurze Video an, in dem die Migration von der zertifikatbasierten Authentifizierung von ADFS zu Microsoft Entra CBA veranschaulicht wird
Hinweis
Wenn der gestaffelte Rollout für einen Benutzer aktiviert ist, wird der Benutzer als verwalteter Benutzer betrachtet, und die gesamte Authentifizierung erfolgt in Microsoft Entra ID. Bei einem Verbundmandanten funktioniert die Kennwortauthentifizierung, wenn für den gestaffelten Rollout die CBA aktiviert ist, nur, wenn auch die Kennworthashsynchronisierung aktiviert ist. Andernfalls schlägt die Kennwortauthentifizierung fehl.
Aktivieren des gestaffelten Rollouts für die zertifikatbasierte Authentifizierung auf Ihrem Mandanten
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Führen Sie die folgenden Schritte aus, um den gestaffelten Rollout zu konfigurieren:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Benutzeradministrator an.
- Suchen Sie nach Microsoft Entra Connect, und wählen Sie diese Lösung aus.
- Klicken Sie auf der Seite „Microsoft Entra Connect“ unter „Gestaffelter Rollout der Cloudauthentifizierung“ auf Gestaffelten Rollout für verwaltete Benutzeranmeldung aktivieren.
- Wählen Sie auf der Featureseite Gestaffelten Rollout aktivieren für Zertifikatbasierte Authentifizierung die Option Ein aus.
- Klicken Sie auf Gruppen verwalten, und fügen Sie die Gruppen hinzu, für die die Cloudauthentifizierung gelten soll. Um ein Timeout zu vermeiden, stellen Sie sicher, dass die Sicherheitsgruppen anfangs nicht mehr als 200 Mitglieder enthalten.
Weitere Informationen finden Sie unter Gestaffelter Rollout.
Verwenden von Microsoft Entra Connect zum Aktualisieren des certificateUserIds-Attributs
AD FS-Administratoren können den Synchronisierungsregel-Editor verwenden, um Regeln für die Synchronisierung der Werte von AD FS-Attributen mit Microsoft Entra-Benutzerobjekten zu erstellen. Weitere Informationen finden Sie unter Synchronisierungsregeln für certificateUserIds.
In Microsoft Entra Connect ist eine spezielle Rolle namens Hybrididentitätsadministrator erforderlich, die die erforderlichen Berechtigungen erteilt. Sie benötigen diese Rolle, um Schreibberechtigungen für das neue Cloudattribut zu erhalten.
Hinweis
Wenn ein Benutzer synchronisierte Attribute verwendet, z. B. das Attribut „onPremisesUserPrincipalName“ im Benutzerobjekt für die Benutzernamensbindung, kann jeder Benutzer mit Administratorzugriff auf den Microsoft Entra Connect-Server die synchronisierte Attributzuordnung und den Wert des synchronisierten Attributs ändern. Der Benutzer muss kein Cloudadministrator sein. Ein AD FS-Administrator sollte sicherstellen, dass der Administratorzugriff auf den Microsoft Entra Connect-Server eingeschränkt ist. Darüber hinaus sollte es sich bei privilegierten Konten um reine Cloudkonten handeln.
Häufig gestellte Fragen zum Migrieren von AD FS zu Microsoft Entra ID
Ist es möglich, privilegierte Konten auf einem AD FS-Verbundserver einzurichten?
Obwohl es möglich ist, empfiehlt Microsoft, reine Cloudkonten als privilegierte Konten zu verwenden. Durch die Verwendung reiner Cloudkonten für den privilegierten Zugriff wird das Risiko verringert, dass Microsoft Entra ID einer kompromittierten lokalen Umgebung ausgesetzt ist. Weitere Informationen hierzu, finden Sie unter Schützen von Microsoft 365 vor Angriffen auf die lokale Umgebung.
Wenn eine Organisation sowohl AD FS als auch die Azure-CBA verwendet, besteht dann trotzdem die Gefahr einer AD FS-Kompromittierung?
Microsoft empfiehlt, reine Cloudkonten als privilegierte Konten zu verwenden. Durch diese Vorgehensweise wird das Risiko verringert, dass Microsoft Entra ID einer kompromittierten lokalen Umgebung ausgesetzt ist. Die ausschließliche Nutzung von reinen Cloudkonten als privilegierte Konten ist von grundlegender Bedeutung für dieses Ziel.
Für synchronisierte Konten:
- Wenn sie sich in einer verwalteten Domäne befinden (keine Verbunddomäne), besteht kein Risiko durch den Verbund-IdP.
- Wenn sie sich in einer Verbunddomäne befinden, aber ein Teil der Konten im Zuge eines gestaffelten Rollouts zur Azure Microsoft Entra-CBA migriert wird, unterliegen sie Risiken im Zusammenhang mit dem Verbund-IdP, bis die Verbunddomäne vollständig auf die Cloudauthentifizierung umgestellt wurde.
Sollten Organisationen Verbundserver wie AD FS abschaffen, um das Pivotieren von AD FS zu Azure zu verhindern?
Über den Verbund können Angreifer*innen jede Identität vorgeben, zum Beispiel die des CIO, auch wenn sie keine reine Cloudrolle wie z. B. ein hoch privilegiertes Administratorkonto einnehmen können.
Wenn eine Domäne in Microsoft Entra ID als Verbunddomäne erfasst ist, wird dem Verbund-IdP eine hohe Vertrauensstellung eingeräumt. AD FS ist nur ein Beispiel, dieses Prinzip gilt für alle Verbund-IdPs. Viele Organisationen stellen einen Verbund-IdP wie AD FS ausschließlich für die zertifikatbasierte Authentifizierung bereit. Durch die Microsoft Entra-CBA entfällt in diesem Fall die Abhängigkeit von AD FS vollständig. Mit der Microsoft Entra-CBA können Kunden ihren Anwendungsbestand in Microsoft Entra ID verschieben, um ihre IAM-Infrastruktur zu modernisieren, die Kosten zu senken und dabei die Sicherheit zu erhöhen.
Aus Sicherheitsperspektive gibt es keine Änderung an den Anmeldeinformationen. Das gilt auch für das X.509-Zertifikat, die CACs, die PIVs, die verwendete PKI und so weiter. Die PKI-Besitzer*innen behalten die vollständige Kontrolle über den Zertifikatausstellungs- und Sperrlebenszyklus und die Richtlinie. Die Sperrüberprüfung und die Authentifizierung erfolgen über Microsoft Entra ID statt über den Verbund-IdP. Diese Prüfungen ermöglichen allen Benutzern die kennwortlose, phishingresistente Authentifizierung direkt bei Microsoft Entra ID.
Wie funktioniert die Authentifizierung mit dem AD FS-Verbund und der Microsoft Entra-Cloudauthentifizierung unter Windows?
Für die Microsoft Entra-CBA muss der Benutzer oder die Anwendung den Microsoft Entra-UPN des Benutzers angeben, der sich anmeldet.
Im Browser geben Benutzer meistens den Microsoft Entra-UPN ein. Der Microsoft Entra-UPN wird für die Bereichs- und Benutzerermittlung verwendet. Das verwendete Zertifikat wird dann mithilfe einer der konfigurierten Benutzernamensbindungen in der Richtlinie mit dem oder der Benutzer*in abgeglichen.
Bei der Windows-Anmeldung hängt der Abgleich davon ab, ob es sich um ein Hybrid- oder um ein in Microsoft Entra eingebundenes Gerät handelt. Wenn ein Hinweis auf den Benutzernamen aktiviert ist, gibt Windows diesen jedoch in beiden Fällen in Form des Microsoft Entra-UPN an. Das verwendete Zertifikat wird dann mithilfe einer der konfigurierten Benutzernamensbindungen in der Richtlinie mit dem oder der Benutzer*in abgeglichen.
Nächste Schritte
- Übersicht über Microsoft Entra-CBA
- Ausführliche technische Informationen zur zertifikatbasierten Authentifizierung mit Azure AD
- Informationen zum Konfigurieren von Microsoft Entra-CBA
- Microsoft Entra-CBA auf iOS-Geräten
- Microsoft Entra-CBA auf Android-Geräten
- Windows-Smartcardanmeldung mithilfe der zertifikatbasierten Microsoft Entra-Authentifizierung
- Zertifikatbenutzer-IDs
- Häufig gestellte Fragen