Benutzerinnen und Benutzer können mit Seamless Single Sign-On (Seamless SSO) dieselben Anmeldedaten für lokale und cloudbasierte Dienste verwenden. Wiederholte Eingabeaufforderungen zwischen diesen Diensten entfallen, da die Authentifizierungsinformationen automatisch zwischen Active Directory und Microsoft Entra ausgetauscht werden.
Im Rahmen der Konfiguration von Seamless SSO wird im lokalen Active Directory das Computerkonto AZUREADSSOACC erstellt. Aus Sicherheitsgründen empfiehlt Microsoft, den zugehörigen Kerberos-Entschlüsselungsschlüssel (Kerberos decryption key) alle 30 Tage zu erneuern.
In dieser Anleitung wird Schritt für Schritt erläutert, wie der Kerberos-Entschlüsselungsschlüssel für Seamless SSO manuell rotiert wird.
Die automatische Erneuerung des Kerberos Entschlüsselungsschlüssels wird im folgenden Beitrag detailliert beschrieben: Microsoft Entra ID: Kerberos- Entschlüsselungsschlüssel automatisch erneuern – cloudkaffee.ch
Voraussetzungen und Lizenzierung
Lizenzen
Für das Feature Nahtloses Anmelden (Seamless SSO) ist keine kostenpflichtige Lizenz erforderlich. Eine Lizenz ab Microsoft Entra ID Free reicht aus. Diese Lizenz ist Bestandteil jedes Microsoft Tenants.
Windows PowerShell
Für die Ausführung des Powershell Moduls AzureADSSO wird Windows PowerShell 5.x benötigt.
Rollen nach dem Prinzip der geringsten Rechte
Der Rollover des Kerberos-Entschlüsselungsschlüssels kann gemäss dem Prinzip der geringsten Rechte mit den folgenden Rollen durchgeführt werden.
Microsoft Entra
| Rolle | Berechtigung |
| Hybrididentitätsadministrator | Verwalten von Microsoft Entra Connect, Seamless SSO und hybriden Identitätsfeatures |
Lokales Active Directory
Im lokalen Active Directory ist Schreibzugriff auf das Computerkonto AZUREADSSOACC erforderlich. Eine dafür vordefinierte ACL-basierte Sicherheitsgruppe mit exakt diesem Berechtigungssatz existiert nicht.
Aus Sicht des Prinzips der geringsten Rechte empfiehlt sich daher eine gezielte Delegierung von Berechtigungen auf das betreffende Computerkonto. Die erforderlichen Zugriffsrechte sind:
- Write account restrictions
- Write msDS-KeyVersionNumber
Alternativ kann ein Benutzer mit Mitgliedschaft in der Gruppe Domänenadministratoren eingesetzt werden. Diese Option gewährt jedoch umfassendere Rechte als für diesen Anwendungsfall erforderlich.
Ausgangslage
Aus Sicherheitsgründen empfiehlt Microsoft, die Kerberosschlüssel des Computerkontos AZUREADSSOACC alle 30 Tage zu ändern. Das Microsoft Entra Admin Center (https://entra.microsoft.com) zeigt unter Identity > Hybrid management > Microsoft Entra Connect > Connect Sync > Seamless single sign-on eine Warnung an, wenn der Wechsel des Kerberos Entschlüsselungsschlüssel wieder durchgeführt werden soll.
Bei der Konfiguration von nahtloser Anmeldung (Seamless SSO) mit Microsoft Entra Connect wird im lokalen Active Directory das Computerkonto AZUREADSSOACC angelegt.
Kerberos Key Rollover mit PowerShell durchführen
Bevor der Kerberos Key Rollover durchgeführt wird, kann mit PowerShell der aktuelle Status der Konfiguration geprüft werden. Insbesondere sollen keine aktiven Fehlermeldungen vorhanden sein.
Im Windows PowerShell kann dafür das folgende Script als Administrator gestartet werden. Bei der Abfrage der Credentials muss ein globaler Administrator aus Microsoft Entra verwendet werden.
1 2 3 4 5 | cd "$env:programfiles\Microsoft Azure Active Directory Connect" Import-Module .\AzureADSSO.psd1 New-AzureADSSOAuthenticationContext Get-AzureADSSOStatus | ConvertFrom-Json |
Wenn der Status in Ordnung ist, kann der Kerberos Entschlüsselungsschlüssel (Kerberos decryption key rollover) mit dem folgenden PowerShell Script als Administrator durchgeführt werden.
Bei der Abfrage der Credentials wird ein Enterprise Administrator aus dem lokalen Active Directory benötigt. Die Eingabe muss im SamAccountName (Domain\Username) Format erfolgen.
1 2 | $creds = Get-Credential Update-AzureADSSOForest -OnPremCredentials $creds |
Änderungen prüfen
Die Prüfung der erfolgreichen Erneuerung des Kerberos Entschlüsselungsschlüssel wird wie folgt durchgeführt:
Kontrolle PasswordLastSet
Der Zeitstempel für das Attribut PasswordLastSet des Computerkontos AZUREADSSOACC muss mit dem Zeitpunkt übereinstimmen, in dem die Erneuerung stattgefunden hat.
1 | Get-ADComputer AZUREADSSOACC -Properties * | FL Name,PasswordLastSet |
Ereignisanzeige
In der Ereignisanzeige des Domaincontrollers werden unter Windows Logs > Security die beiden folgenden Einträge anzeigt:
EventID 4724 an Attempt was made to reset an account’s password
EventID 4742 a computer account was changed
Microsoft Entra Admin Center
Das Microsoft Entra Admin Center (https://entra.microsoft.com) zeigt unter Identity > Hybrid management > Microsoft Entra Connect > Connect Sync > Seamless single sign-on keine Warnung an.
Status und Zeitstempel der Schlüsselerstellung ist im Microsoft Entra Admin Center sind aktualisiert.
Folge mir auf LinkedIn und Bluesky, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.
War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!
