Genau wie ein Active Directory on-premise beherrscht nat\u00fcrlich auch Microsofts Azure AD die bekannten Kennwortrichtlinien, um eine gewissse Komplexit\u00e4t von neuen Kennw\u00f6rtern zu erzwingen und sie nach einer gewissen Anzahl von Tagen ablaufen zu lassen. Standardm\u00e4\u00dfig laufen Kennw\u00f6rter gem\u00e4\u00df der Azure-AD-Richtlinie nach 90 Tagen ab.<\/p>\n
Genauso selbstverst\u00e4ndlich wird das Azure AD mit dem bestehenden AD on-premise synchronisiert. So lassen sich dieselben Benutzerkonten auch f\u00fcr Online-Dienste verwenden: Die Anwender m\u00fcssen sich keine weiteren Anmeldeinformationen merken, und die Administration wird erleichtert. Man k\u00f6nnte erwarten, dass in diesem Fall auch alle Kennwortrichtlinien des AD on-premise respektiert werden. Tats\u00e4chlich wendet Azure AD seine eigenen Kennwortrichtlinien nicht an und \u00fcbernimmt auch die Komplexit\u00e4tsanforerungen des AD on-premise. Benutzer, deren Kennwort oder gar Konto abgelaufen ist, k\u00f6nnen sich allerdings weiterhin gegen das Azure AD bei allen Online-Diensten wie Office 365 oder Intune authentifizieren. (Keine Sorge, das trifft nicht auf deaktivierte<\/em> Benutzerkonten zu.)<\/p>\n Um das zu vermeiden, deaktiviert man im Azure-Portal in den Azure-AD-Einstellungen unter AAD Connect die Kennwort-Hash-Synchronisation: Benutzerkonten werden weiterhin synchronisiert, nicht aber die Hashs \u00fcber die Kennw\u00f6rter. Aktiviert man nun Passthrough-Authentifizierung, authentifizieren sich Benutzer nicht gegen das Azure AD, sondern gegen einen Domaincontroller on-premise: Sollte das Kennwort oder das Konto abgelaufen sein, w\u00e4re keine Anmeldung mehr m\u00f6glich.<\/p>\n AD Federation Services f\u00fcr die Benutzeranmeldung zu verwenden, w\u00e4re ebenfalls eine L\u00f6sung f\u00fcr das Problem, allerdings deutlich aufwendiger einzurichten und nicht unbedingt sinnvoll f\u00fcr kleine Unternehmen.<\/p>\n","protected":false},"excerpt":{"rendered":" Genau wie ein Active Directory on-premise beherrscht nat\u00fcrlich auch Microsofts Azure AD die bekannten Kennwortrichtlinien, um eine gewissse Komplexit\u00e4t von neuen Kennw\u00f6rtern zu erzwingen und sie nach einer gewissen Anzahl von Tagen ablaufen zu lassen. Standardm\u00e4\u00dfig laufen Kennw\u00f6rter gem\u00e4\u00df der Azure-AD-Richtlinie nach 90 Tagen ab. Genauso selbstverst\u00e4ndlich wird das Azure AD mit dem bestehenden AD… Azure AD und Kennwort-Ablauf<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":6,"featured_media":47,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7,5,3],"tags":[],"class_list":["post-45","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-active-directory","category-azure","category-windows","entry"],"_links":{"self":[{"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/posts\/45","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/comments?post=45"}],"version-history":[{"count":2,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/posts\/45\/revisions"}],"predecessor-version":[{"id":175,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/posts\/45\/revisions\/175"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/media\/47"}],"wp:attachment":[{"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/media?parent=45"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/categories?post=45"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/tags?post=45"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}