Microsoft Entra Connect stellt das zentrale Tool für die Hybrididentitätsverwaltung zwischen lokalen Active Directory-Umgebungen und Microsoft Entra ID dar. Diese Lösung ermöglicht es Organisationen, eine einheitliche Identitätsverwaltung zu implementieren, die sowohl lokale als auch cloudbasierte Ressourcen umfasst. Der folgende Leitfaden bietet eine detaillierte Anleitung zur Installation und Konfiguration von Microsoft Entra Connect, einschließlich der neuesten Funktionen wie Cloudsynchronisierung und Kennworthashsynchronisierung. Besonders hervorzuheben ist die Flexibilität der Lösung, die verschiedene Synchronisierungsoptionen und erweiterte Sicherheitsfeatures für moderne Unternehmensumgebungen bereitstellt.
Was ist Microsoft Entra Connect und warum ist es wichtig?
Microsoft Entra Connect fungiert als Brücke zwischen lokalen Active Directory-Strukturen und der Cloud-basierten Microsoft Entra ID-Umgebung. Die Integration lokaler Verzeichnisse mit Entra ID macht Benutzer produktiver, indem eine gemeinsame Identität für den Zugriff auf sowohl Cloud- als auch lokale Ressourcen bereitgestellt wird2. Diese Integration ermöglicht es Organisationen und Benutzern, verschiedene Vorteile zu nutzen, die weit über die einfache Synchronisierung hinausgehen.
Organisationen können ihren Benutzern eine gemeinsame Hybrididentität über lokale oder cloudbasierte Dienste bereitstellen, indem sie Windows Server Active Directory nutzen und dann eine Verbindung zu Entra ID herstellen2. Diese einheitliche Identitätsverwaltung bildet das Fundament für moderne Arbeitsplätze, in denen Mitarbeiter nahtlos zwischen verschiedenen Anwendungen und Diensten wechseln müssen. Administratoren profitieren von erweiterten Funktionen wie bedingtem Zugriff basierend auf Anwendungsressourcen, Gerät und Benutzeridentität, Netzwerkstandort und Multifaktor-Authentifizierung2.
Die Benutzerfreundlichkeit steht im Mittelpunkt der Lösung, da Benutzer ihre gemeinsame Identität über Konten in Entra ID für Office 365, Intune, SaaS-Apps und Drittanbieteranwendungen nutzen können2. Entwickler können ebenfalls von dieser einheitlichen Identität profitieren, indem sie Anwendungen erstellen, die das gemeinsame Identitätsmodell nutzen und Anwendungen sowohl in lokale Active Directory-Umgebungen als auch in Azure für cloudbasierte Anwendungen integrieren2.
Systemvoraussetzungen und Hardwareanforderungen
Grundlegende Systemanforderungen
Die erfolgreiche Implementierung von Microsoft Entra Connect erfordert die Erfüllung spezifischer Systemvoraussetzungen, die je nach Umgebungsgröße variieren. Microsoft Entra Connect muss auf einem in die Domäne eingebundenen Computer unter Windows Server 2016 oder höher installiert werden, wobei die Verwendung eines in eine Domäne eingebundenen Computers unter Windows Server 2022 empfohlen wird3. Die unterstützten Betriebssysteme umfassen Windows Server 2016, Windows Server 2019 und Windows Server 20222.
Ein wichtiger Aspekt bei der Systemauswahl ist die Unterstützungssituation für ältere Betriebssysteme. Microsoft Entra Connect kann zwar unter Windows Server 2016 bereitgestellt werden, jedoch wird erweiterte Unterstützung benötigt, was möglicherweise ein kostenpflichtiges Supportprogramm erfordert, wenn Unterstützung für diese Konfiguration benötigt wird3. Darüber hinaus kann Microsoft Entra Connect nicht unter Small Business Server oder Windows Server Essentials vor 2019 installiert werden, obwohl Windows Server Essentials 2019 unterstützt wird3.
Software- und Framework-Anforderungen
Die technischen Anforderungen gehen über das Betriebssystem hinaus und umfassen spezifische Software-Komponenten. Erforderlich ist mindestens .NET Framework Version 4.6.2, wobei neuere Versionen von .NET ebenfalls unterstützt werden3. Für die beste Barrierefreiheitscompliance bieten .NET Version 4.8 und höhere Versionen die optimale Grundlage3. Microsoft Entra Connect ist abhängig von Microsoft PowerShell 5.0 und .NET Framework 4.5.1, wobei auf dem Server diese Version oder eine neuere Version installiert sein muss3.
Besondere Aufmerksamkeit verdienen die Einschränkungen bezüglich der Serverumgebung. Auf dem Microsoft Entra Connect-Server muss eine vollständige GUI installiert sein, da die Installation von Microsoft Entra Connect unter Windows Server Core nicht unterstützt wird3. Ein weiterer wichtiger Konfigurationsaspekt betrifft die Gruppenrichtlinien: Auf dem Microsoft Entra Connect-Server darf die Gruppenrichtlinie für die PowerShell-Transkription nicht aktiviert sein, wenn die Konfiguration von Active Directory-Verbunddiensten (AD FS) mit dem Microsoft Entra Connect-Assistenten verwaltet wird3.
Hardwareanforderungen nach Umgebungsgröße
Die Hardwareanforderungen für Microsoft Entra Connect variieren erheblich je nach Anzahl der zu verwaltenden Objekte in Active Directory. Die folgende Übersicht zeigt die Mindestanforderungen für verschiedene Umgebungsgrößen:
Für kleinere Umgebungen mit weniger als 10.000 Objekten in Active Directory sind die Anforderungen relativ bescheiden: 1,6 GHz CPU, 6 GB Arbeitsspeicher und 70 GB Festplattenspeicher3. Diese Konfiguration eignet sich auch für mittelgroße Umgebungen mit 10.000 bis 50.000 Objekten, wobei die gleichen Spezifikationen ausreichend sind3.
Bei größeren Implementierungen steigen die Anforderungen deutlich an. Umgebungen mit 50.000 bis 100.000 Objekten benötigen weiterhin 1,6 GHz CPU, jedoch erhöht sich der Arbeitsspeicherbedarf auf 16 GB und der Festplattenspeicher auf 100 GB3. Für sehr große Umgebungen mit 100.000 oder mehr Objekten ist die Vollversion von SQL Server erforderlich, wobei aus Leistungsgründen eine lokale Installation bevorzugt wird3.
Enterprise-Umgebungen mit 100.000 bis 300.000 Objekten erfordern 32 GB Arbeitsspeicher und 300 GB Festplattenspeicher bei einer CPU-Leistung von mindestens 1,6 GHz3. Für sehr große Implementierungen mit 300.000 bis 600.000 Objekten steigt der Speicherbedarf auf 450 GB, während Umgebungen mit mehr als 600.000 Objekten mindestens 500 GB Festplattenspeicher benötigen3.
Installation von Microsoft Entra Connect
Download und Vorbereitung
Der erste Schritt zur Installation von Microsoft Entra Connect besteht im Download der aktuellen Version direkt von Microsoft. Die neueste Version 2.4.131.0 kann direkt vom offiziellen Microsoft Download Center heruntergeladen werden, wobei die Datei AzureADConnect.msi eine Größe von 145,7 MB aufweist2. Microsoft stellt klar, dass zukünftig neue Download-Dateien nicht mehr über das traditionelle Download Center veröffentlicht werden, sondern ausschließlich über das Microsoft Entra Admin Center unter dem Bereich „Verwalten“ verfügbar sein werden2.
Die Vorbereitung der Installation erfordert sorgfältige Planung der Systemarchitektur. Microsoft Entra Connect installiert automatisch verschiedene unterstützende Komponenten auf dem Server, einschließlich Microsoft Entra Connect Health, Befehlszeilen-Hilfsprogramme für Microsoft SQL Server 2022, Microsoft SQL Server 2022 Express LocalDB, nativer Microsoft SQL Server 2022-Client und Microsoft Visual C++ 14 Redistributable Package3. Diese automatische Installation vereinfacht den Prozess erheblich, erfordert jedoch ausreichend Speicherplatz und entsprechende Systemberechtigungen.
Installationsprozess für Cloudsynchronisierung
Die moderne Cloudsynchronisierung verwendet den Microsoft Entra-Bereitstellungsagent als zentrale Komponente. Der Installationsprozess beginnt mit der Anmeldung beim Microsoft Entra Admin Center mindestens als Hybrid-Identitätsadministrator1. Nach der erfolgreichen Anmeldung navigieren Administratoren zu „Entra ID“ > „Entra Connect“ > „Cloud-Synchronisierung“1.
Im Bereich der Cloudsynchronisierung wählen Administratoren auf der linken Seite „Agent“ aus und klicken anschließend auf „Lokalen Agent herunterladen“ und dann „Bedingungen akzeptieren und herunterladen“1. Nach dem Download des Pakets für den Microsoft Entra-Bereitstellungsagent führen Administratoren die Installationsdatei AADConnectProvisioningAgentSetup.exe aus dem Downloads-Ordner aus1. Für spezielle Umgebungen wie die US Government Cloud muss der Installationsbefehl mit dem Parameter ENVIRONMENTNAME=AzureUSGovernment erweitert werden1.
Der Installationsassistent führt durch verschiedene Konfigurationsschritte. Im Begrüßungsbildschirm müssen Administratoren den Lizenzbedingungen zustimmen und „Installieren“ auswählen1. Nach Abschluss des Installationsvorgangs startet automatisch der Konfigurations-Assistent, der mit „Weiter“ fortgesetzt wird1. Im Bildschirm „Erweiterung auswählen“ wählen Administratoren die Option „HR-gesteuerte Bereitstellung (Workday und SuccessFactors)/Microsoft Entra Connect-Cloudsynchronisierung“ aus1.
Authentifizierung und Dienstkonto-Konfiguration
Die Konfiguration erfordert eine Authentifizierung mit dem Microsoft Entra Hybrididentitätsadministrator-Konto1. Dieser Schritt stellt sicher, dass nur autorisierte Administratoren die Synchronisierungskonfiguration vornehmen können. Ein kritischer Aspekt der Installation ist die Konfiguration des Dienstkontos im Bildschirm „Dienstkonto konfigurieren“, wo ein gruppenverwaltetes Dienstkonto (gMSA) ausgewählt wird1. Dieses Konto wird zum Ausführen des Agent-Diensts verwendet und sollte sorgfältig nach den Sicherheitsrichtlinien der Organisation konfiguriert werden1.
Die Domänenverbindung stellt den finalen Schritt der grundlegenden Installation dar. Wenn der Domänenname im Bildschirm „Active Directory verbinden“ unter „Konfigurierte Domänen“ angezeigt wird, kann die Konfiguration fortgesetzt werden1. Diese automatische Erkennung vereinfacht die Einrichtung erheblich und reduziert die Wahrscheinlichkeit von Konfigurationsfehlern.
Konfiguration und erweiterte Einstellungen
Kennworthashsynchronisierung konfigurieren
Die Kennworthashsynchronisierung stellt eine der wichtigsten Funktionen von Microsoft Entra Connect dar und ermöglicht es Benutzern, dieselben Kennwörter für lokale und Cloud-Ressourcen zu verwenden. Der Active Directory-Domänendienst speichert Kennwörter in Form einer Hashwertdarstellung des tatsächlichen Benutzerkennworts, wobei ein Hashwert das Ergebnis einer unidirektionalen mathematischen Funktion ist4. Es ist wichtig zu verstehen, dass es nicht möglich ist, das Ergebnis einer unidirektionalen Funktion in die Klartext-Version eines Kennworts umzukehren4.
Um Kennwörter zu synchronisieren, extrahiert Microsoft Entra Connect Sync den Kennworthash aus der lokalen Active Directory-Instanz4. Vor der Synchronisierung mit dem Microsoft Entra-Authentifizierungsdienst wird der Kennworthash einer zusätzlichen Sicherheitsverarbeitung unterzogen4. Kennwörter werden pro Benutzer und in chronologischer Reihenfolge synchronisiert, wobei der tatsächliche Datenfluss des Kennworthashsynchronisierungs-Vorgangs der Synchronisierung von Benutzerdaten ähnelt4.
Die Kennwort-Hash-Synchronisierung wird alle zwei Minuten ausgeführt, wobei diese Häufigkeit nicht geändert werden kann4. Wenn ein Kennwort synchronisiert wird, wird das vorhandene Cloudkennwort überschrieben4. Bei der ersten Aktivierung der Kennwort-Hashsynchronisierung wird eine Erstsynchronisierung der Kennwörter aller im Bereich befindlichen Benutzer durchgeführt4.
Detaillierte Synchronisierungsmechanismen
Der technische Hintergrund der Kennworthashsynchronisierung zeigt die Komplexität und Sicherheit des Prozesses. Alle zwei Minuten fordert der Kennwort-Hash-Synchronisierungsagent auf dem AD Connect-Server gespeicherte Kennwort-Hashes (das unicodePwd-Attribut) von einem Domänencontroller an4. Diese Anforderung erfolgt über das MS-DRSR-Standardreplikationsprotokoll, das zum Synchronisieren von Daten zwischen Domänencontrollern verwendet wird4.
Das AD DS-Connector-Konto muss spezifische Active Directory-Berechtigungen besitzen, nämlich „Verzeichnisänderungen replizieren“ und „Verzeichnisänderungen replizieren: Alle“, die bei der Installation standardmäßig erteilt werden, um die Kennworthashes abzurufen4. Vor dem Senden verschlüsselt der Domänencontroller den MD4-Kennworthash mithilfe eines Schlüssels, bei dem es sich um einen MD5-Hash des RPC-Sitzungsschlüssels und einen Salt-Wert handelt4.
Der verschlüsselte Hash wird anschließend über RPC an den Agenten zur Kennwort-Hash-Synchronisierung gesendet4. Der Domänencontroller übergibt auch mithilfe des Replikationsprotokolls des Domänencontrollers den Salt-Wert an den Synchronisierungs-Agent, damit der Agent den Umschlag entschlüsseln kann4. Diese mehrschichtige Verschlüsselung gewährleistet, dass Kennwort-Hashes während der Übertragung maximal geschützt sind.
Gestaffelte Rollouts und selektive Synchronisierung
Gestaffelte Rollouts ermöglichen das selektive Testen von Benutzergruppen mit Cloudauthentifizierungsfunktionen wie Microsoft Entra-Multi-Faktor-Authentifizierung, bedingtem Zugriff, Microsoft Entra ID Protection für kompromittierte Anmeldeinformationen und Identity Governance vor der Umstellung der Domänen4. Diese Funktionalität ist besonders wertvoll für große Organisationen, die eine schrittweise Migration durchführen möchten.
Es ist wichtig zu beachten, dass es nicht möglich ist, explizit eine Teilmenge der Benutzerkennwörter zu definieren, die synchronisiert werden sollen4. Wenn jedoch mehrere Connectors vorhanden sind, ist es möglich, die Kennworthashsynchronisierung für einige Connectors selektiv mit dem Cmdlet Set-ADSyncAADPasswordSyncConfiguration zu deaktivieren4. Diese Flexibilität ermöglicht es Administratoren, komplexe Synchronisierungsszenarien zu implementieren, die den spezifischen Anforderungen ihrer Organisation entsprechen.
Nahtlose Einzelanmeldung und erweiterte Features
Seamless Single Sign-On Implementierung
Microsoft Entra Connect bietet die Möglichkeit zur Implementierung von Seamless Single Sign-On (SSO), das die Benutzererfahrung erheblich verbessert5. Diese Funktionalität ermöglicht es Benutzern, automatisch sowohl bei lokalen als auch bei cloudbasierten Anwendungen angemeldet zu werden5. Benutzer müssen ihre Kennwörter nicht eingeben, wenn sie bereits bei ihren Unternehmensgeräten angemeldet sind5.
Die Konfiguration von Seamless SSO erfordert sorgfältige Planung der Netzwerkarchitektur und Sicherheitsrichtlinien. Die Implementierung umfasst die Konfiguration von Kerberos-Tickets und die Einrichtung entsprechender Service Principal Names (SPNs) in der Active Directory-Umgebung. Diese technische Komplexität wird durch die Assistenten von Microsoft Entra Connect erheblich vereinfacht, erfordert jedoch dennoch ein tiefes Verständnis der zugrundeliegenden Authentifizierungsmechanismen.
Optimierung der Benutzererfahrung
Die Verbesserung der Benutzererfahrung geht über die reine Funktionalität hinaus und umfasst strategische Überlegungen zur Minimierung von Authentifizierungsunterbrechungen. Wenn eine synchronisierte Kennwortänderung durchgeführt wird, während ein Benutzer bei einem Clouddienst angemeldet ist, wirkt sich dies nicht direkt auf die aktuelle Clouddienstsitzung aus4. Wenn jedoch für den Clouddienst eine erneute Authentifizierung erforderlich ist, muss der Benutzer sein neues Kennwort angeben4.
Ein Benutzer muss seine Unternehmensanmeldeinformationen ein zweites Mal eingeben, um sich bei Microsoft Entra ID zu authentifizieren, unabhängig davon, ob er bei seinem Unternehmensnetzwerk angemeldet ist4. Dieses Verhalten kann jedoch auf ein Mindestmaß beschränkt werden, indem der Benutzer bei der Anmeldung das Kontrollkästchen „Angemeldet bleiben“ aktiviert4. Dadurch wird ein Sitzungscookie festgelegt, das die Authentifizierung 180 Tage lang umgeht4.
Die KMSI-Funktion (Keep Me Signed In) kann vom Microsoft Entra-Administrator aktiviert oder deaktiviert werden4. Darüber hinaus können Kennworteingabeaufforderungen reduziert werden, indem Microsoft Entra-Einbindung oder Microsoft Entra-Hybrideinbindung konfiguriert wird, wobei Benutzer automatisch angemeldet werden, wenn sie mit ihren Unternehmensgeräten mit dem Unternehmensnetzwerk verbunden sind4.
Best Practices und Fehlerbehebung
Monitoring und Wartung
Die erfolgreiche Implementierung von Microsoft Entra Connect erfordert kontinuierliches Monitoring und regelmäßige Wartung. Das Feature für die Kennwort-Hashsynchronisierung wiederholt fehlerhafte Synchronisierungsversuche automatisch4. Wenn beim Versuch, ein Kennwort zu synchronisieren, ein Fehler auftritt, wird der Fehler in der Ereignisanzeige protokolliert4. Diese automatische Protokollierung ermöglicht es Administratoren, Probleme schnell zu identifizieren und zu beheben.
Die regelmäßige Überprüfung der Synchronisierungsstatistiken und Fehlerprotokolle sollte Teil der routinemäßigen Systemwartung sein. Microsoft Entra Connect Health bietet erweiterte Monitoring-Funktionen, die automatisch als Teil der Installation bereitgestellt werden3. Diese Überwachungstools liefern wertvolle Einblicke in die Leistung und Gesundheit der Synchronisierungsinfrastruktur.
Performance-Optimierung
Die Performance-Optimierung von Microsoft Entra Connect hängt stark von der korrekten Dimensionierung der Hardware und der effizienten Konfiguration der Synchronisierungsoptionen ab. Wenn ein lokales Kennwort geändert wird, wird das aktualisierte Kennwort synchronisiert, was meist nur wenige Minuten dauert4. Diese schnelle Synchronisierung ist entscheidend für die Benutzerzufriedenheit und die Produktivität.
Für große Umgebungen mit mehr als 100.000 Objekten ist die Vollversion von SQL Server erforderlich, wobei aus Leistungsgründen eine lokale Installation bevorzugt wird3. Wenn SQL Server auf demselben Server installiert ist, sind weiterer Arbeitsspeicher, Laufwerk und CPU erforderlich3. Diese zusätzlichen Ressourcenanforderungen müssen bei der Systemplanung berücksichtigt werden, um optimale Performance zu gewährleisten.
Fazit
Microsoft Entra Connect stellt eine umfassende Lösung für die Hybrididentitätsverwaltung dar, die es Organisationen ermöglicht, nahtlos zwischen lokalen und cloudbasierten Ressourcen zu navigieren. Die Installation und Konfiguration erfordern sorgfältige Planung, insbesondere in Bezug auf Systemvoraussetzungen und Hardware-Dimensionierung je nach Umgebungsgröße. Die verschiedenen Synchronisierungsoptionen, von der grundlegenden Kennworthashsynchronisierung bis hin zu erweiterten Features wie Seamless Single Sign-On, bieten Flexibilität für unterschiedliche Organisationsanforderungen.
Die technische Komplexität der Lösung wird durch benutzerfreundliche Assistenten und automatisierte Installationsprozesse erheblich vereinfacht, ohne dabei Kompromisse bei Sicherheit oder Funktionalität einzugehen. Besonders hervorzuheben ist die robuste Sicherheitsarchitektur der Kennworthashsynchronisierung, die mehrschichtige Verschlüsselung und automatische Wiederholungsmechanismen implementiert. Die kontinuierliche Weiterentwicklung von Microsoft Entra Connect, wie die Verlagerung der Download-Distribution zum Admin Center zeigt, unterstreicht Microsofts Engagement für diese zentrale Infrastrukturkomponente. Für Organisationen, die eine moderne, sichere und effiziente Identitätsverwaltung implementieren möchten, stellt Microsoft Entra Connect eine bewährte und zukunftssichere Lösung dar.
