Unterstützte Szenarien für die Verwendung von AD FS zum Einrichten des einmaligen Anmeldens in Microsoft 365, Azure oder Intune
Einführung
Dieser Artikel bietet eine Übersicht über verschiedene Szenarien mit Active Directory-Verbunddienste (AD FS) (AD FS) und deren Auswirkungen auf einmaliges Anmelden (Single Sign-On, SSO) in Microsoft 365, Microsoft Azure oder Microsoft Intune.
Weitere Informationen
Wie bei den meisten Diensten auf Unternehmensebene kann der AD FS-Verbunddienst (für einmaliges Anmelden genutzt) je nach Geschäftsanforderungen auf vielfältige Weise implementiert werden. Die folgenden AD FS-Szenarien konzentrieren sich auf die Veröffentlichung des lokalen AD FS-Verbunddiensts im Internet. Dies ist ein sehr spezifischer Aspekt der AD FS-Implementierung.
Szenario 1: Vollständig implementiertes AD FS
Beschreibung
Eine AD FS-Verbundserverfarm verarbeitet Active Directory-Clientanforderungen über die SSO-Authentifizierung. Ein AD FS-Verbundserverproxy (Lastenausgleich) macht diese Kernauthentifizierungsdienste für das Internet verfügbar, indem Anforderungen und Antworten zwischen Internetclients und der internen AD FS-Umgebung weitergeleitet werden.
Empfehlungen
Dies ist die empfohlene Implementierung von AD FS.
Supportannahmen
Für dieses Szenario gibt es keine Unterstützungsannahmen. Dieses Szenario wird von Microsoft-Support unterstützt.
Szenario 2: Von der Firewall veröffentlichtes AD FS
Beschreibung
Eine AD FS-Verbundserverfarm verarbeitet Active Directory-Clientanforderungen über die SSO-Authentifizierung. Ein Microsoft Internet Security and Acceleration (ISA)-/TMG-Server (Microsoft Forefront Threat Management Gateway) (oder eine Serverfarm) macht diese Kernauthentifizierungsdienste per Reverseproxy für das Internet verfügbar.
Begrenzungen
Der erweiterte Authentifizierungsschutz muss in der AD FS-Verbundserverfarm deaktiviert sein, damit dies funktioniert. Dadurch wird das Sicherheitsprofil des Systems geschwächt. Aus Sicherheitsgründen wird empfohlen, dies nicht zu tun.
Supportannahmen
Es wird davon ausgegangen, dass die ISA/TMG-Firewall und die Reverseproxyregel ordnungsgemäß implementiert sind und funktionsfähig sind. Damit Microsoft-Support dieses Szenario unterstützen kann, müssen die folgenden Bedingungen erfüllt sein:
- Der Reverseproxy des HTTPS-Datenverkehrs (Port 443) zwischen dem Internetclient und dem AD FS-Server muss transparent sein.
- Der AD FS-Server muss eine originalgetreue Kopie der SAML-Anforderungen vom Internetclient empfangen.
- Internetclients müssen originalgetreue Kopien von SAML-Antworten erhalten, als ob die Clients direkt an den lokalen AD FS-Server angefügt wären.
Informationen zu häufig auftretenden Problemen, die dazu führen können, dass diese Konfiguration fehlschlägt, finden Sie in der folgenden Ressource:
Der folgende Microsoft TechNet-Artikel:
Verwenden eines Drittanbieterproxys als Ersatz für einen AD FS 2.0-Verbundserverproxy
Szenario 3: Nicht veröffentlichtes AD FS
Beschreibung
Eine AD FS-Verbundserverfarm verarbeitet Active Directory-Clientanforderungen über die SSO-Authentifizierung, und die Serverfarm wird über keine Methode für das Internet verfügbar gemacht.
Begrenzungen
Internetclients (einschließlich mobiler Geräte) können keine Microsoft-Clouddienstressourcen verwenden. Aus Gründen des Servicelevels wird davon abgeraten.
Outlook-Rich-Clients können keine Verbindung mit Exchange Online Ressourcen herstellen. Weitere Informationen finden Sie im folgenden Microsoft Knowledge Base-Artikel:
2466333 Verbundbenutzer können keine Verbindung mit einem Exchange Online-Postfach herstellen
Supportannahmen
Es wird davon ausgegangen, dass der Kunde durch die Implementierung bestätigt, dass dieses Setup nicht die vollständig angekündigte Suite von Diensten bereitstellt, die von Microsoft Entra ID unterstützt werden. Unter diesen Umständen wird dieses Szenario von Microsoft-Support unterstützt.
Szenario 4: VPN-veröffentlichtes AD FS
Beschreibung
Ein AD FS-Verbundserver (oder eine Verbundserverfarm) verarbeitet Active Directory-Clientanforderungen über die SSO-Authentifizierung, und der Server oder die Serverfarm wird über keine Methode für das Internet verfügbar gemacht. Internetclients stellen eine Verbindung mit AD FS-Diensten nur über eine VPN-Verbindung (Virtual Private Network) mit der lokalen Netzwerkumgebung her und verwenden diese.
Begrenzungen
Sofern Internetclients (einschließlich mobiler Geräte) nicht VPN-fähig sind, können sie keine Microsoft-Clouddienste verwenden. Aus Gründen des Servicelevels wird davon abgeraten.
Outlook-Rich-Clients (einschließlich ActiveSync-Clients) können keine Verbindung mit Exchange Online Ressourcen herstellen. Weitere Informationen finden Sie im folgenden Microsoft Knowledge Base-Artikel:
2466333 Verbundbenutzer können keine Verbindung mit einem Exchange Online Postfach herstellenUnterstützte Annahmen
Es wird davon ausgegangen, dass der Kunde durch die Implementierung bestätigt, dass dieses Setup nicht die vollständig angekündigte Suite von Diensten bereitstellt, die vom Identitätsverbund in Microsoft Entra ID unterstützt werden.
Es wird davon ausgegangen, dass das VPN ordnungsgemäß implementiert ist und funktionsfähig ist. Damit dieses Szenario von Microsoft-Support unterstützt wird, müssen die folgenden Bedingungen erfüllt sein:
- Der Client kann über HTTPS (Port 443) über den DNS-Namen eine Verbindung mit dem AD FS-System herstellen.
- Der Client kann über den DNS-Namen eine Verbindung mit dem Microsoft Entra-Verbundendpunkt herstellen, indem geeignete Ports/Protokolle verwendet werden.
Hochverfügbarkeit von AD FS und Microsoft Entra Identitätsverbund
Jedes Szenario kann durch Die Verwendung eines eigenständigen AD FS-Verbundservers anstelle einer Serverfarm variiert werden. Es ist jedoch immer eine Empfehlung von Microsoft, dass alle wichtigen Infrastrukturdienste mithilfe von Hochverfügbarkeitstechnologie implementiert werden, um Zugriffsverluste zu vermeiden.
Die lokale AD FS-Verfügbarkeit wirkt sich direkt auf die Verfügbarkeit des Microsoft-Clouddiensts für Verbundbenutzer aus, und die Dienstebene liegt in der Verantwortung des Kunden. Die Microsoft TechNet-Bibliothek enthält umfassende Anleitungen zum Planen und Bereitstellen von AD FS in der lokalen Umgebung. Dieser Leitfaden kann Kunden dabei helfen, ihre Zieldienstebene für dieses kritische Subsystem zu erreichen. Weitere Informationen finden Sie auf der folgenden TechNet-Website:
Active Directory-Verbunddienste (AD FS) 2.0
References
Benötigen Sie weitere Hilfe? Wechseln Sie zur Microsoft Community oder zur Website Microsoft Entra Foren.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für