1.
AD FS oder PTA
Tech Talk - 7

2.
Warum gibt es
AD FS und PTA?
Authentifizierung in Azure AD

3.
Microsoft 365 Identitäten
Cloud-Identität Hybrid-Identität
PTA
 Mit lokalem Active Directory
separate Benutzerkonten und
Kennworte
 AAD Connect synchronisiert Benutzer-
konten und Kennwort-Hashes
 Authentifizierung durch Azure AD
 AAD Connect synchronisiert Benutzer-
konten ohne Kennwort-Hashes
 Authentifizierung durch AD FS oder PTA
 Abhängigkeit zur lokalen Infrastruktur

4.
Was sind
AD FS und PTA?

5.
AD FS
 AD FS  Active Directory Federation Services
 AD FS ermöglicht die Authentifizierung eines Anwenders im Unternehmensnetzwerk zur
Nutzung einer Applikation im gleichen oder einem anderen Netzwerk
 Bereitstellung eines Secure Token Service (STS)
 Ausstellung von Authentifizierungs-Token erfolgt durch einen AD FS-Server im
Unternehmensnetzwerk
 Nutzung eines Authentifizierungs-Tokens zur Anmeldung an die Ziel-Applikation
 Externe Applikationen, z.B. Microsoft 365, Dynamics 365, Salesforce, SAP SuccessFactors
 Interne Applikationen, z.B. SharePoint Server, Exchange Server, Jira
 Anbindung der Applikationen als Relying Party Trust
 Jede Applikation wird als separate Relying Party konfiguriert
 Microsoft 365 über Azure AD als eine Einheit konfiguriert
 Windows Server Funktionsrolle, verfügbar seit Windows Server 2003R2

6.
AD FS
 Beispiel AD FS Relying Party Trusts

7.
PTA
 PTA  Pass-Through Authentifizierung
 PTA authentifiziert einen Anwender im Auftrag von Azure AD gegen lokale Domain
Controller
 Ausstellung des Authentifizierungs-Tokens durch Azure AD
 Nutzung eines Authentifizierungs-Tokens für die gewünschte Ziel-Applikation
 Externe Applikationen, z.B. Microsoft 365, Dynamics 365, Salesforce, SAP SuccessFactors
 Interne Applikationen
 Konfiguration vertrauter Unternehmensapplikationen erfolgt im Azure AD
 Seamless Single-Sign-On

8.
PTA
 Unterstütze Einsatzszenarien für Benutzeranmeldungen
 Webbrowser-basierte Anwendungen
 Outlook-Clients mit älteren Protokollen, z.B. ActiveSync, SMTP, POP und IMAP
 Ältere Office-Clientanwendungen
 Office-Anwendungen mit moderner Authentifizierung  Versionen Office 2013 und neuer
 Ältere Protokollanwendungen, z.B. PowerShell Version 1.0
 Azure AD-Joins für Windows 10-Geräte
 App-Kennwörter für Multi-Faktor Authentifizierung
 Limitierungen
 Erkennung von Anwendern mit kompromittierten Anmeldeinformationen (Azure AD Funktion)
 Azure AD Domain Services erfordern die Kennwort-Hash Synchronisation
 Keine Integration in Azure AD Connect Health

9.
AD FS und PTA
Technische Unterschiede

10.
ADFS-Farm
Internes
Netzwerk
AD FS vs. PTA
Erforderliche Komponenten
AD FS PTA
Internes
Netzwerk
Perimeter
Netzwerk
Perimeter
Netzwerk
PTAPTAPTA
Öffentliche IP-Adresse
Hostname, z.B. adfs.contoso.com
TLS-Zertifikat

11.
AD FS vs. PTA
Erforderliche Komponenten
 Azure AD Connect
 Optionaler Kennwort-Hash Sync (PHS)
 AD FS-Farm
 2 AD FS Server
 2 AD FS Proxy-Server
 Öffentliche IP-Adresse
 Hostname für STS-Endpunkt
 Split-DNS Konfiguration mit
identischem Namen in interner und
externer DNS-Zone
 Öffentliches TLS-Zertifikat für STS-
Endpunkt
 Azure AD Connect
 Aktivierte Pass-Through Authentifizierung
 Optionaler Kennwort-Hash Sync
 PTA-Agent 1 auf AAD Connect Server
 Weitere PTA-Agenten für bessere
Verfügbarkeit
 Nutzung von mindestens drei PTA-
Agenten
AD FS PTA

12.
AD FS oder PTA
Empfehlung
 Erste Wahl ist immer Pass-Through Authentifizierung
 Nutzen Sie AD FS, wenn Sie besondere Anforderungen für Federation-basierte
Authentifizierung haben
 Nutzen Sie den Entscheidungsbaum zur Auswahl
der passenden Authentifizierungsmethode
 Wenn Sie bereits AD FS einsetzen, prüfen Sie die
Möglichkeit, auf PTA zu wechseln

13.
Thomas Stensitzki
Enterprise Consultant | Geschäftsführer
Granikos GmbH & Co. KG
MVP | Office Apps & Services
Twitter: @Stensitzki
LinkedIn: https://linkedin.com/in/thomasstensitzki
Blog DE: http://Blog.Granikos.eu
Blog EN: http://JustCantGetEnough.Granikos.eu
MVP Blog: https://blogs.msmvps.com/thomastechtalk
Tech Talk Übersicht: http://TechTalk.Granikos.eu
Tech Talk Themenwünsche: https://go.granikos.eu/TTTUmfrage
Bücheranklicken–mehrerfahren
Thomas‘ Tech Talk wird aufgezeichnet mit Camtasia

14.
User sign-in with Azure Active Directory Pass-through Authentication
Azure Active Directory Pass-through Authentication: Current limitations
Migrate from AD FS to Pass-through Authentication (.docx Download)
Microsoft 365 identity models and Azure Active Directory
Choose the right authentication method for your Azure Active Directory hybrid identity
solution
Ressourcen
Links