{"id":537153,"date":"2025-10-13T10:37:59","date_gmt":"2025-10-13T10:37:59","guid":{"rendered":"https:\/\/www.ninjaone.com\/?p=537153"},"modified":"2025-10-13T10:37:59","modified_gmt":"2025-10-13T10:37:59","slug":"konfigurieren-von-sso-mit-azure-ad-fuer-line-of-business-anwendungen","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/de\/blog\/konfigurieren-von-sso-mit-azure-ad-fuer-line-of-business-anwendungen\/","title":{"rendered":"Konfigurieren von SSO mit Azure AD f\u00fcr Line-of-Business-Anwendungen"},"content":{"rendered":"<p>SSO \u00fcber Azure AD (jetzt Microsoft Entra ID) erm\u00f6glicht es Benutzern, sich einmal mit ihren Azure AD-Anmeldedaten anzumelden, um auf interne und unternehmensinterne Anwendungen zuzugreifen, so dass sich die Benutzer nicht mehrere Benutzernamen merken oder sich wiederholt anmelden m\u00fcssen. Dies verbessert die Benutzerfreundlichkeit, Sicherheit und Zugriffskontrolle in hybriden und Cloud-Umgebungen.<\/p>\n<p>Azure SSO unterst\u00fctzt eine breite Palette von Anwendungstypen, einschlie\u00dflich moderner und \u00e4lterer Systeme. G\u00e4ngige Szenarien f\u00fcr LOB-Anwendungen sind:<\/p>\n<ul>\n<li>Interne Webanwendungen (IIS-gehostet, .NET-basiert)<\/li>\n<li>Benutzerdefinierte SaaS-Anwendungen<\/li>\n<li>Vor-Ort-Anwendungen, die \u00fcber Azure AD Application Proxy zug\u00e4nglich sind<\/li>\n<li>\u00c4ltere Anwendungen, die Header- oder Formular-basiertes SSO erfordern<\/li>\n<\/ul>\n<p>Diese Anleitung f\u00fchrt Sie durch die Schritte zur Konfiguration von\u00a0<strong>Azure SSO<\/strong>\u00a0f\u00fcr diese Anwendungen.<\/p>\n<table>\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><strong>Klicken Sie auf einen Schritt, um vorw\u00e4rts zu springen<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: center;\"><a href=\"#step-1\"><strong>Schritt 1: Registrieren Sie die LOB-App in Azure AD<\/strong><\/a><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: center;\"><a href=\"#step-2\"><strong>Schritt 2: Konfigurieren Sie SSO-Optionen basierend auf dem Anwendungstyp<\/strong><\/a><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: center;\"><a href=\"#step-3\"><strong>Schritt 3: Azure AD-Anwendungsproxy einrichten (f\u00fcr On-Premise-Anwendungen)<\/strong><\/a><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: center;\"><a href=\"#step-4\"><strong>Schritt 4: Konfigurieren Sie das Verhalten von SSO-Token auf Client-Ger\u00e4ten<\/strong><\/a><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: center;\"><a href=\"#step-5\"><strong>Schritt 5: Richtlinien \u00fcber GPO durchsetzen<\/strong><\/a><\/td>\n<\/tr>\n<tr>\n<td style=\"text-align: center;\"><a href=\"#step-6\"><strong>Schritt 6: Automatisieren des Zugriffs und der Token-Validierung mit PowerShell<\/strong><\/a><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Schritte zur Verwaltung von SSO mit Azure AD f\u00fcr Line-of-Business (LOB) Anwendungen<\/h2>\n<p>Um Probleme bei der Einrichtung zu vermeiden und einen reibungslosen Ablauf zu gew\u00e4hrleisten, sollten Sie sich vergewissern, dass die folgenden Voraussetzungen erf\u00fcllt sind, bevor Sie beginnen:<\/p>\n<p>\ud83d\udccc\u00a0<strong>Allgemeine Voraussetzungen:<\/strong><\/p>\n<ul>\n<li>Azure AD-Tenant mit Premium P1-Lizenz (erforderlich f\u00fcr Application Proxy oder Conditional Access)<\/li>\n<li>Eine LOB-Anwendung, die entweder vor Ort oder in Azure gehostet wird<\/li>\n<li>Dom\u00e4nenverbundene oder Azure AD-verbundene Endpunkte<\/li>\n<li>Admin-Zugang zu Azure Portal und dem Anwendungsserver<\/li>\n<\/ul>\n<h3 id=\"step-1\">Schritt 1: Registrieren Sie die LOB-App in Azure AD<\/h3>\n<p>In diesem Schritt wird eine Identit\u00e4t f\u00fcr Ihre Anwendung in Azure AD erstellt, damit sie sicher verwaltet werden kann. Nach der Registrierung erkennt Azure AD die Anwendung und kann ihr Token ausstellen.<\/p>\n<ol>\n<li>\u00d6ffnen Sie das\u00a0<a href=\"https:\/\/portal.azure.com\" target=\"_blank\" rel=\"noopener\"><strong>Azure-Portal<\/strong><\/a>.<\/li>\n<li>Navigieren Sie zu\u00a0<strong>Azure Active Directory &gt; App-Registrierungen &gt; Neue Registrierung<\/strong>.<\/li>\n<li>Geben Sie einen Namen f\u00fcr die App ein.<\/li>\n<li>Setzen Sie\u00a0<strong>Redirect URI\u00a0<\/strong>(z.B.\u00a0<a href=\"https:\/\/app.domain.com\/auth\/callback\" target=\"_blank\" rel=\"noopener\">https:\/\/app.domain.com\/auth\/callback)<\/a> (Lesen Sie #1 in\u00a0<strong>\u26a0\ufe0f\u00a0<\/strong><a href=\"#things-to-look-out-for\"><em>Dinge, auf die man achten sollte<\/em><\/a>. )<\/li>\n<li>Klicken Sie auf\u00a0<strong>Registrieren<\/strong>.<\/li>\n<li>Nach der Anmeldung:\n<ul style=\"list-style-type: disc;\">\n<li>Kopieren Sie die\u00a0<strong>Application (client) ID<\/strong>.<\/li>\n<li>W\u00e4hlen Sie unter\u00a0<strong>Authentication<\/strong> die Plattform aus und geben Sie Ihren Redirect URI ein.<\/li>\n<li>F\u00fcgen Sie unter\u00a0<strong>API-Berechtigungen<\/strong> Microsoft Graph-Berechtigungen hinzu:\u00a0<strong>openid<\/strong>,\u00a0<strong>profile<\/strong> und\u00a0<strong>email<\/strong>.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n<h4>\ud83d\udca1\u00a0<span style=\"font-size: 14pt;\">Was ist ein LOB in Azure?<\/span><\/h4>\n<p>Eine Line-of-Business-App (LOB) ist eine benutzerdefinierte oder interne App, die speziell f\u00fcr die Bed\u00fcrfnisse eines Unternehmens entwickelt wurde. Sie werden h\u00e4ufig intern erstellt und nicht ver\u00f6ffentlicht.<\/p>\n<h3 id=\"step-2\">Schritt 2: Konfigurieren Sie SSO-Optionen basierend auf dem Anwendungstyp<\/h3>\n<p>Jede Anwendung unterst\u00fctzt eine andere Authentifizierungsmethode<a href=\"https:\/\/www.ninjaone.com\/blog\/what-is-saml\/\">(SAML<\/a>, <a href=\"https:\/\/www.ninjaone.com\/blog\/what-is-oauth\/\">OAuth2<\/a> oder OIDC). In diesem Schritt wird Azure AD mitgeteilt, welcher verwendet werden soll, damit sich die Benutzer problemlos anmelden k\u00f6nnen.<\/p>\n<h4>F\u00fcr moderne Anwendungen (OIDC oder SAML)<\/h4>\n<ol>\n<li>Navigieren Sie zu\u00a0<strong>Azure Active Directory &gt; Unternehmensanwendungen &gt; [Ihre App] &gt; Single Sign-on<\/strong>.<\/li>\n<li>W\u00e4hlen Sie:\n<ul style=\"list-style-type: disc;\">\n<li><strong>SAML <\/strong>f\u00fcr Anwendungen, die SAML 2.0 unterst\u00fctzen<\/li>\n<li><strong>OIDC\u00a0<\/strong><a href=\"https:\/\/www.ninjaone.com\/it-hub\/endpoint-security\/what-is-openid-connect\/\">(OpenID Connect<\/a>) f\u00fcr Anwendungen, die mit modernen Identit\u00e4tsanbietern erstellt wurden<\/li>\n<\/ul>\n<\/li>\n<li>Konfigurieren Sie die erforderlichen Felder:\n<ul style=\"list-style-type: disc;\">\n<li><strong>Identifikator (Entit\u00e4ts-ID)<\/strong><\/li>\n<li><strong>Antwort-URL (Assertion Consumer Service)<\/strong><\/li>\n<li><strong>Anmelde-URL<\/strong><\/li>\n<\/ul>\n<\/li>\n<\/ol>\n<p>(Lesen Sie #2 in\u00a0<strong>\u26a0\ufe0f\u00a0<\/strong><a href=\"#things-to-look-out-for\"><em>Dinge, auf die man achten sollte<\/em><\/a>. )<\/p>\n<ol start=\"4\">\n<li>Ordnen Sie Benutzer oder Gruppen unter der Registerkarte\u00a0<strong>Benutzer und Gruppen\u00a0<\/strong>zu.<\/li>\n<\/ol>\n<h4>F\u00fcr Legacy- oder Header-basierte Anwendungen<\/h4>\n<p>Verwenden Sie\u00a0<strong>Azure AD Application Proxy\u00a0<\/strong>mit Vorauthentifizierung (siehe Schritt 3).<\/p>\n<h4>\ud83d\udca1\u00a0<span style=\"font-size: 14pt;\">Was ist SSO in Azure?<\/span><\/h4>\n<p><a href=\"https:\/\/learn.microsoft.com\/en-us\/entra\/identity\/hybrid\/connect\/how-to-connect-sso\" target=\"_blank\" rel=\"noopener\">Single Sign-On (SSO) in Azure<\/a>\u00a0ist eine Funktion, die es Benutzern erm\u00f6glicht, mit einer einzigen Anmeldung auf mehrere Anwendungen zuzugreifen. Es vereinfacht die Authentifizierung und st\u00e4rkt die Sicherheit durch die Zentralisierung der Identit\u00e4tsverwaltung.<\/p>\n<h3 id=\"step-3\">Schritt 3: Azure AD Application Proxy einrichten (f\u00fcr On-Premise-Anwendungen)<\/h3>\n<p>Wenn Ihre Anwendung vor Ort gehostet wird, kann Azure AD sie nicht direkt erreichen. Application Proxy fungiert als sicherer Tunnel zwischen Azure und Ihrem internen Netzwerk. (Lesen Sie #3 in\u00a0<strong>\u26a0\ufe0f\u00a0<\/strong><a href=\"#things-to-look-out-for\"><em>Dinge, auf die man achten sollte<\/em><\/a>. )<\/p>\n<p><strong>\ud83d\udccc Voraussetzungen:<\/strong><\/p>\n<ul>\n<li>Ein Windows Server 2016+ innerhalb des Netzwerks<\/li>\n<li>Der Application Proxy Connector ist auf diesem Server installiert<\/li>\n<\/ul>\n<p>Instructions:<\/p>\n<ol>\n<li>Downloaden oder installieren Sie den\u00a0<a href=\"https:\/\/learn.microsoft.com\/en-us\/entra\/identity\/app-proxy\/application-proxy-connectors\" target=\"_blank\" rel=\"noopener\"><strong>Anwendungsproxy-Connector von Azure<\/strong><\/a>.<\/li>\n<li>Melden Sie sich mit einem Azure AD Global Admin-Konto an.<\/li>\n<li>Navigieren Sie im Azure Portal zu\u00a0<strong>Azure AD &gt;<\/strong>\u00a0<strong>Enterprise Applications &gt; + Add &gt; On-premises application<\/strong>.<\/li>\n<li>Eintreten:\n<ul style=\"list-style-type: disc;\">\n<li><strong>Interne URL\u00a0&#8211;\u00a0<a href=\"http:\/\/internalapp.local\" target=\"_blank\" rel=\"noopener\">http:\/\/internalapp.local<\/a><\/strong><\/li>\n<li><strong>Externe URL<\/strong>\u00a0&#8211;\u00a0<a href=\"https:\/\/app-tenant.msappproxy.net\" target=\"_blank\" rel=\"noopener\">https:\/\/app-tenant.msappproxy.net<\/a><\/li>\n<li>Aktivieren Sie\u00a0<strong>Preauthentication\u00a0<\/strong>\u00fcber Azure AD<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n<h4>Verbindung validieren<\/h4>\n<ol>\n<li>Dr\u00fccken Sie\u00a0<strong>Win + R<\/strong>, geben Sie\u00a0<strong>cmd<\/strong> ein, und klicken Sie auf\u00a0<strong>Enter\u00a0<\/strong>, um die Eingabeaufforderung zu \u00f6ffnen.<\/li>\n<li>Ausf\u00fchren: <strong>netstat -ano\u00a0<\/strong> | <strong>findstr :443<\/strong><\/li>\n<\/ol>\n<h3 id=\"step-4\">Schritt 4: Konfigurieren Sie das Verhalten von SSO-Token auf Client-Ger\u00e4ten<\/h3>\n<p>Client-Ger\u00e4te m\u00fcssen wissen, wie SSO-Tokens zu handhaben sind (wie man sie anfordert, speichert und aktualisiert), wenn sie ben\u00f6tigt werden. In diesem Schritt konfigurieren Sie das Verhalten von SSO-Token auf Clientger\u00e4ten.<\/p>\n<h4>Nahtlose SSO- und Pass-Through-Authentifizierung erm\u00f6glichen<\/h4>\n<ol>\n<li>Richten Sie\u00a0<strong>Azure AD Connect<\/strong> ein, aktivieren Sie\u00a0<strong>Seamless SSO<\/strong>, und optional\u00a0<strong>Pass-through Authentication (PTA)<\/strong>.<\/li>\n<li>Best\u00e4tigen Sie die Einrichtung in PowerShell: <strong>Get-AzureADSSOStatus<\/strong><\/li>\n<\/ol>\n<h4>Registrierungsvalidierung (clientseitiges SSO-Token-Caching)<\/h4>\n<ol>\n<li>Pr\u00fcfen Sie die Token-Einstellungen in:<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\16.0\\Gemeinsame\\Identit\u00e4t<\/strong><\/p>\n<p>Schl\u00fcssel wie\u00a0<strong>EnableADAL<\/strong>\u00a0oder\u00a0<strong>Version<\/strong>\u00a0k\u00f6nnen das moderne Authentifizierungsverhalten in Office-integrierten Anwendungen beeinflussen.<\/p>\n<h4>CMD-Pr\u00fcfung (Anwesenheit des Tokens)<\/h4>\n<ol>\n<li>Um Kerberos-Tickets zu pr\u00fcfen oder zur\u00fcckzusetzen, f\u00fchren Sie aus: <strong>klist<\/strong><\/li>\n<\/ol>\n<p>Verwenden Sie\u00a0<strong>klist purge<\/strong>\u00a0, um alte Kerberos-Tickets zu l\u00f6schen, wenn Probleme auftreten.<\/p>\n<h3 id=\"step-5\">Schritt 5: Richtlinien \u00fcber GPO durchsetzen<\/h3>\n<p>Um die Konsistenz zwischen Ihren Ger\u00e4ten zu gew\u00e4hrleisten, verwenden Sie Gruppenrichtlinien zur Steuerung des Kerberos-Verhaltens, der Token-Lebensdauer und der Browser-Kompatibilit\u00e4t. (Lesen Sie #4 in\u00a0<strong>\u26a0\ufe0f\u00a0<\/strong><a href=\"#things-to-look-out-for\"><em>Dinge, auf die man achten sollte<\/em><\/a>. )<\/p>\n<h4>Konfigurieren Sie Kerberos-Richtlinien<\/h4>\n<ol>\n<li>Dr\u00fccken Sie\u00a0<strong>Win + R<\/strong>, geben Sie\u00a0gpedit.msc ein, und klicken Sie auf\u00a0<strong>Enter\u00a0<\/strong>, um den\u00a0<strong>Editor f\u00fcr lokale Gruppenrichtlinien<\/strong>zu starten.<\/li>\n<li>Navigieren Sie zu:<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>Computerkonfiguration &gt; Verwaltungsvorlagen &gt;\u00a0System\u00a0&gt; Kerberos<\/strong><\/p>\n<p>stellen Sie sicher, dass die Zeitsynchronisierungs- und Kerberos-Einstellungen mit Ihren Authentifizierungsrichtlinien \u00fcbereinstimmen.<\/p>\n<h4>F\u00fcr browserbasierte Anwendungen (SSO \u00fcber den Browser)<\/h4>\n<ol>\n<li>Navigieren Sie zu:<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>Benutzerkonfiguration &gt; Administrative Vorlagen &gt; Windows-Komponenten &gt; Internet Explorer &gt; Internet-Systemsteuerung &gt; Sicherheit\u00a0Seite\u00a0&gt; Lokale Intranetzone<\/strong><\/p>\n<ol start=\"2\">\n<li>F\u00fcgen Sie die URL der Anwendung mithilfe von PowerShell zu vertrauensw\u00fcrdigen Sites hinzu:<\/li>\n<\/ol>\n<p style=\"padding-left: 40px;\"><strong>Set-ItemProperty -Path &#8222;HKCU:\\Software\\Microsoft\\Windows\\<br \/>\nAktuelleVersion\\Interneteinstellungen\\ZoneMap\\Domains\\app.domain.com&#8220; -Name https -Wert 1<\/strong><\/p>\n<ol start=\"3\">\n<li>Verwenden Sie Browserrichtlinienvorlagen, um SSO in Edge oder Chrome zu erzwingen.<\/li>\n<\/ol>\n<h3 id=\"step-6\">Schritt 6: Automatisieren des Zugriffs und der Token-Validierung mit PowerShell<\/h3>\n<p>PowerShell ist Ihr Toolkit f\u00fcr die Validierung von Token, die Automatisierung des Zugriffs und die \u00dcberpr\u00fcfung, ob Ihre Einrichtung wie vorgesehen funktioniert.<\/p>\n<p><strong>\ud83d\udccc Voraussetzungen:<\/strong><\/p>\n<ul>\n<li>PowerShell installiert<\/li>\n<li>Microsoft Graph API-Zugang (optional f\u00fcr Automatisierung)<\/li>\n<\/ul>\n<p>Instructions:<\/p>\n<ol>\n<li>Dr\u00fccken Sie\u00a0<strong>Win + S<\/strong>, suchen Sie nach\u00a0<strong>PowerShell<\/strong>, und w\u00e4hlen Sie\u00a0<strong>Windows PowerShell\u00a0<\/strong>aus den Ergebnissen.<\/li>\n<li>F\u00fchren Sie dieses Skript aus, um ein Token manuell anzufordern: (Lesen Sie #5 in\u00a0<strong>\u26a0\ufe0f\u00a0<\/strong><a href=\"#things-to-look-out-for\"><em>Dinge, auf die man achten sollte<\/em><\/a>. )<\/li>\n<\/ol>\n<table>\n<tbody>\n<tr>\n<td><strong>$mieterId = &#8222;ihre-mieter-id&#8220;<br \/>\n<\/strong><strong>$clientId = &#8222;app-client-id&#8220;<br \/>\n<\/strong><strong>$clientSecret = &#8222;Ihr Kundengeheimnis&#8220;<br \/>\n<\/strong><strong>$scope = &#8222;https:\/\/graph.microsoft.com\/.default&#8220;<\/strong><strong>$body = @{<\/strong><\/p>\n<p style=\"padding-left: 80px;\"><strong>client_id = $clientId<br \/>\n<\/strong><strong>bereich = $scope<br \/>\n<\/strong><strong>client_secret = $clientSecret<br \/>\n<\/strong><strong>grant_type = &#8222;client_credentials&#8220;<\/strong><\/p>\n<p><strong>}<\/strong><\/p>\n<p><strong>$tokenResponse = Invoke-RestMethod -Uri &#8222;https:\/\/login.microsoftonline.com\/$tenantId\/oauth2\/v2.0\/token&#8220; -Method POST -Body $body<\/strong><\/p>\n<p><strong>$token = $tokenResponse.access_token<\/strong><\/p>\n<p><strong>$Token<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Damit wird best\u00e4tigt, dass die Kommunikation zwischen den Anwendungen und der Zugriff auf das Dienstkonto korrekt funktionieren.<\/p>\n<h2 id=\"things-to-look-out-for\"><strong>\u26a0\ufe0f Dinge, auf die man achten sollte<\/strong><\/h2>\n<table>\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><strong>Risiken<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>M\u00f6gliche Konsequenzen<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Korrekturen<\/strong><\/td>\n<\/tr>\n<tr>\n<td>1. Registrierung der Anwendung mit einem falschen Redirect-URI oder Plattformtyp<\/td>\n<td>Die Benutzer k\u00f6nnen sich nicht authentifizieren; Token-Anfragen schlagen fehl.<\/td>\n<td>Bearbeiten Sie die App-Registrierung:\u00a0<strong>Azure AD &gt; App-Registrierungen &gt; [App] &gt; Authentifizierung<\/strong><\/td>\n<\/tr>\n<tr>\n<td>2. Zuweisung von falschen oder fehlenden SAML\/OIDC-Metadaten<\/td>\n<td>Der SSO-Handshake wird unterbrochen, was zu fehlgeschlagenen Anmeldungen f\u00fchrt.<\/td>\n<td>Aktualisieren oder laden Sie die korrekten Metadaten unter\u00a0<strong>Enterprise Applications &gt; Single Sign-on<\/strong> neu hoch.<\/td>\n<\/tr>\n<tr>\n<td>3. \u00dcberspringen der Anwendungsproxy-Einrichtung f\u00fcr On-Premise-Anwendungen<\/td>\n<td>Azure AD kann die App nicht erreichen; SSO funktioniert extern nicht.<\/td>\n<td>Installieren Sie den Application Proxy Connector und konfigurieren Sie die Ver\u00f6ffentlichung von Anwendungen.<\/td>\n<\/tr>\n<tr>\n<td>4. \u00dcberschreiben vorhandener GPO-Einstellungen bei der Durchsetzung von Richtlinien<\/td>\n<td>Bricht bestehendes Browser- oder Authentifizierungsverhalten auf Endpunkten<\/td>\n<td>Vorhandene GPO vor \u00c4nderungen exportieren; Rollback \u00fcber Backup oder GPO-Versionskontrolle.<\/td>\n<\/tr>\n<tr>\n<td>5. Verwendung einer falschen PowerShell-Syntax oder falscher Anmeldeinformationen f\u00fcr das Testen von Token<\/td>\n<td>Der Token-Test schl\u00e4gt fehl oder liefert irref\u00fchrende Fehler.<\/td>\n<td>\u00dcberpr\u00fcfen Sie Parameter und Geheimnisse, bevor Sie das Skript ausf\u00fchren; testen Sie es zun\u00e4chst in der Entwicklungsumgebung.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Zus\u00e4tzliche \u00dcberlegungen<\/h2>\n<p>Sie k\u00f6nnen diese Empfehlungen ber\u00fccksichtigen, um Ihre SSO-Konfiguration mit Azure AD f\u00fcr LOB-Anwendungen zu st\u00e4rken, zu sichern und zu pflegen:<\/p>\n<h3>Durchsetzung von MFA und Ger\u00e4tevertrauen (Conditional Access)<\/h3>\n<p>Verwenden Sie Conditional Access, um\u00a0<a href=\"https:\/\/www.ninjaone.com\/it-hub\/endpoint-security\/what-is-multifactor-authentication-mfa\/\">Multi-Faktor-Authentifizierung (MFA)<\/a>\u00a0zu verlangen und den Zugriff nur von vertrauensw\u00fcrdigen oder konformen Ger\u00e4ten zu erlauben. Dadurch wird eine weitere Sicherheitsebene hinzugef\u00fcgt und ein unbefugter Zugriff verhindert, selbst wenn Anmeldedaten oder Token gestohlen werden.<\/p>\n<p>\ud83d\udca1\u00a0<strong>Tipp<\/strong>: Lesen Sie\u00a0<a href=\"https:\/\/www.ninjaone.com\/blog\/configure-conditional-access-policies-ad\/\"><em>Wie man bedingte Zugriffsrichtlinien in Azure AD konfiguriert<\/em><\/a>.<\/p>\n<h3>Berechtigungen mit App-Rollen steuern<\/h3>\n<p>Anstatt allen Benutzern die gleichen Zugriffsrechte zu gew\u00e4hren, sollten Sie mithilfe von App-Rollen festlegen, was die Benutzer innerhalb der LOB-App tun k\u00f6nnen. Weisen Sie Rollen wie Admin, Editor oder Viewer zu, um den Zugriff mit den geringsten Rechten durchzusetzen und Sicherheitsrisiken zu verringern.<\/p>\n<h3>SSO-Zustand \u00fcberwachen<\/h3>\n<p>Verwenden Sie Azure AD-Anmeldeprotokolle, um zu \u00fcberwachen, wer wann auf welche Anwendung zugegriffen hat, die Erfolgs- und Fehlerraten f\u00fcr Anmeldungen und MFA sowie potenzielle Sicherheitsbedenken. Dies hilft bei der Pr\u00fcfung, Fehlersuche und Einhaltung von Vorschriften.<\/p>\n<h3>SSO-Kompatibilit\u00e4t \u00fcber Intune erzwingen<\/h3>\n<p>Wenn Sie Microsoft Intune zur Verwaltung von Ger\u00e4ten verwenden, stellen Sie Konfigurationsprofile bereit, um Browsereinstellungen, anwendungsspezifische Richtlinien und Regeln zur Ger\u00e4tekonformit\u00e4t anzuwenden. Dies tr\u00e4gt zu einem reibungslosen und konsistenten SSO-Erlebnis auf allen registrierten Ger\u00e4ten bei.<\/p>\n<h2>Fehlersuche<\/h2>\n<p>Im Folgenden finden Sie h\u00e4ufige Probleme, auf die Sie bei der Konfiguration von SSO mit Azure AD f\u00fcr LOB-Anwendungen sto\u00dfen k\u00f6nnen, sowie deren Ursachen und wie Sie diese beheben k\u00f6nnen:<\/p>\n<table>\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><strong>Ausgabe<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Ursache<\/strong><\/td>\n<td style=\"text-align: center;\"><strong>Aufl\u00f6sung<\/strong><\/td>\n<\/tr>\n<tr>\n<td>SSO schl\u00e4gt auf dem Client fehl<\/td>\n<td>Die Uhr des Ger\u00e4ts ist nicht mehr synchron, oder die Kerberos-Tickets sind abgelaufen oder besch\u00e4digt.<\/td>\n<td>Synchronisieren Sie die Systemzeit und verwenden Sie\u00a0<strong>klist purge<\/strong>\u00a0zum L\u00f6schen und Aktualisieren von Kerberos-Tickets.<\/td>\n<\/tr>\n<tr>\n<td>App gibt 403 zur\u00fcck<\/td>\n<td>Der Benutzer wurde der App in Azure AD nicht zugewiesen.<\/td>\n<td>Gehen Sie zu<strong>\u00a0Unternehmensanwendungen &gt; [Ihre App] &gt; Benutzer und Gruppen<\/strong>, und weisen Sie den Benutzer oder die Gruppe zu.<\/td>\n<\/tr>\n<tr>\n<td>Token nicht ausgegeben<\/td>\n<td>Falsche Redirect-URI oder Client-Geheimnis in der App-Registrierung.<\/td>\n<td>Best\u00e4tigen Sie den Redirect URI und das Client-Geheimnis unter\u00a0<strong>App-Registrierungen &gt; Authentifizierung\/Zertifikate &amp; Geheimnisse<\/strong>.<\/td>\n<\/tr>\n<tr>\n<td>Die App unterst\u00fctzt weder SAML noch OIDC<\/td>\n<td>Die Anwendung ist veraltet und bietet keine Unterst\u00fctzung f\u00fcr moderne Authentifizierungsprotokolle.<\/td>\n<td>Verwenden Sie Azure AD Application Proxy mit Header-basiertem SSO, um einen sicheren Zugriff durch Azure AD-Vorauthentifizierung zu erm\u00f6glichen.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>NinjaOne Dienstleistungen<\/h2>\n<p>NinjaOne unterst\u00fctzt SSO-Implementierungen und die \u00dcberwachung von Client-Umgebungen durch:<\/p>\n<h3>Fernvalidierung<\/h3>\n<p>Remote-Ausf\u00fchrung von PowerShell-Skripten zur \u00dcberpr\u00fcfung des Vorhandenseins von Token-Cache, Registrierungsschl\u00fcsseln und Netzwerkzugriff.<\/p>\n<h3>Einsatz der Politik<\/h3>\n<p>Pushing von GPO-\u00e4quivalenten Konfigurationen zur Durchsetzung von Browser-Kompatibilit\u00e4t und Kerberos-Authentifizierungseinstellungen.<\/p>\n<h3>SSO-Warnungen<\/h3>\n<p>Alarmierung bei \u00c4nderungen des Ger\u00e4te- oder Anwendungsstatus im Zusammenhang mit SSO oder dem Ablauf von Token.<\/p>\n<h3>SSO-Kennzeichnung<\/h3>\n<p>Markierung von Ger\u00e4ten und Benutzern basierend auf dem SSO-Konfigurationsstatus zur Unterst\u00fctzung von Audits, Compliance-Tracking und Transparenz des Umgebungszustands.<\/p>\n<h3>Auto-Sanierung<\/h3>\n<p>Automatisieren der Richtlinienanpassung auf Endger\u00e4ten, die SSO-Vorpr\u00fcfungen nicht bestehen.<\/p>\n<p>Mit diesen Tools k\u00f6nnen <a href=\"https:\/\/www.ninjaone.com\/what-is-an-msp\/\">MSPs<\/a> sichere, konsistente SSO-Erfahrungen f\u00fcr die gesamte Kundenflotte bereitstellen und gleichzeitig den betrieblichen Aufwand reduzieren.<\/p>\n<p>\ud83d\udca1\u00a0<strong>Tipp<\/strong>: Lesen Sie auch\u00a0<a href=\"https:\/\/www.ninjaone.com\/docs\/user-management\/enable-sso\/\"><em>SSO aktivieren<\/em><\/a><em>.<\/em><\/p>\n<h2>Konfigurieren Sie SSO mit Azure AD f\u00fcr LOB-Anwendungen, um den Zugriff zu optimieren und die Sicherheit zu erh\u00f6hen<\/h2>\n<p>SSO mit Azure AD hilft Unternehmen bei der Modernisierung der Zugriffskontrolle und vereinfacht gleichzeitig die Benutzererfahrung f\u00fcr interne und LOB-Anwendungen. Azure AD unterst\u00fctzt sowohl moderne Cloud-Anwendungen als auch \u00e4ltere On-Premise-Webdienste und bietet Ihnen die Flexibilit\u00e4t, die f\u00fcr Ihre Umgebung erforderliche Sicherheit zu gew\u00e4hrleisten.<\/p>\n<p>Dieser Leitfaden deckt alles ab, was Sie f\u00fcr die ersten Schritte ben\u00f6tigen, von der Registrierung Ihrer Anwendung in Azure AD \u00fcber die Einrichtung von SAML, OIDC oder proxy-basierter Authentifizierung bis hin zur Anpassung der Client-Einstellungen durch Gruppenrichtlinien, PowerShell und Registrierungs\u00e4nderungen. Es wurde auch gezeigt, wie NinjaOne SSO-Umgebungen f\u00fcr MSPs verst\u00e4rkt und \u00fcberwacht.<\/p>\n<p><strong>Verwandte Themen:<\/strong><\/p>\n<ul>\n<li><a href=\"https:\/\/www.ninjaone.com\/de\/blog\/unterschiede-zwischen-saml-und-sso\/\">SAML vs. SSO: Was ist der Unterschied?<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/blog\/azure-ad-connect-what-it-is-and-how-to-configure-it\/\">Azure AD Connect: Was es ist und wie man es konfiguriert<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/videos\/data-management\/integrating-on-premises-and-cloud-with-microsoft-entra-hybrid-join\/\">Integration von On-Premises und Cloud mit Microsoft Entra Hybrid Join<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/de\/blog\/hybrid-azure-ad-join\/\">Integration von On-Premises und Cloud mit Hybrid Azure AD Join<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/blog\/active-directory-authentication\/\">Active Directory-Authentifizierung: Eine vollst\u00e4ndige \u00dcbersicht<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/docs\/user-management\/sso-and-scim\/\">SSO und SCIM Integration in NinjaOne<\/a><\/li>\n<li><a href=\"https:\/\/www.ninjaone.com\/de\/blog\/sso-software-preisgestaltung-kosten\/\">Wie hoch sind die Kosten f\u00fcr SSO-Software? SSO-Preise<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>SSO \u00fcber Azure AD (jetzt Microsoft Entra ID) erm\u00f6glicht es Benutzern, sich einmal mit ihren Azure AD-Anmeldedaten anzumelden, um auf interne und unternehmensinterne Anwendungen zuzugreifen, so dass sich die Benutzer nicht mehrere Benutzernamen merken oder sich wiederholt anmelden m\u00fcssen. Dies verbessert die Benutzerfreundlichkeit, Sicherheit und Zugriffskontrolle in hybriden und Cloud-Umgebungen. Azure SSO unterst\u00fctzt eine breite [&hellip;]<\/p>\n","protected":false},"author":221,"featured_media":532560,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":"","footnotes":""},"categories":[4356],"tags":[],"class_list":["post-537153","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-betrieb"],"acf":[],"modified_by":"Sila Willsch","_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/posts\/537153","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/users\/221"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/comments?post=537153"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/posts\/537153\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/media\/532560"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/media?parent=537153"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/categories?post=537153"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/de\/wp-json\/wp\/v2\/tags?post=537153"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}