Der wichtigste Vorteil richtig umgesetzter hybrider Identitäten ist, dass Benutzer kein separates Passwort eingeben müssen. Die Anmeldung erfolgt laut Microsoft wahlweise mit drei Authentifizierungsmethoden: Passwort-Hash-Synchronisierung (PHS), Pass-Through-Authentifizierung (PTA) oder Federation (AD-FS oder andere Federation-Services).
Bei der ersten Methode, der Passwort-Hash-Synchronisierung, wird das Passwort des Nutzers aus dem lokalen AD mittels einer weiteren Verschlüsselung, dem Hash des Hashs, an Azure AD übermittelt. Bei der Anmeldung an Teams gibt der Nutzer in der Regel als Kennung seine E-Mail-Adresse an und kann sich dann mit dem gleichen Passwort wie dem seiner lokalen AD-Kennung bei Azure AD zur Nutzung von Teams anmelden. Bei einer Änderung des lokalen AD-Passworts verändert sich auch das Passwort in AAD. Durch eine zusätzliche MFA-Prüfung lässt sich die Sicherheit noch erhöhen.
Die Synchronisierung der Passwörter ist aus mehreren Gründen sinnvoll. Sie ermöglicht die Überprüfung der Passwortsicherheit und die Erkennung kompromittierten Nutzerkennungen. Ebenso können Unternehmen auf diese Methode zurückgreifen, wenn Probleme mit den anderen zwei Methoden auftreten. Diese Probleme können die erforderliche Infrastruktur betreffen, also den Server mit dem PTA-Agenten, die Federation-Server oder die AD-Verfügbarkeit infolge eines Ransomware-Angriffs, bei dem alle Domaincontroller außer Gefecht gesetzt wurden.
Die zweite Methode, die Passthrough-Authentifizierung, erfordert ein oder mehrere Hilfssysteme in der lokalen Umgebung, um die Anmeldung der AAD-Nutzer an das lokale AD zur Passwortprüfung weiterreichen zu können. Nutzer melden sich somit mit ihrer AAD-Kennung bei Teams an. Die Validierung des eingegebenen Passworts erfolgt aber durch lokale AD Domain Controllern. Die AAD-Anmeldung lässt sich zusätzlich mit einer MFA-Prüfung koppeln, was aus Sicherheitsperspektive einen Pluspunkt darstellt.
Für Federation – als dritte Methode – ist eine noch umfangreichere Infrastruktur erforderlich. Der komplette Anmeldevorgang wird hierbei von den lokalen Federation-Servern gesteuert, die im Hintergrund die Authentifizierung der Nutzer am lokalen AD vornehmen. Nach der Anmeldung erfolgt eine Rückmeldung an AAD. Bei einer Anmeldung an Microsoft Teams sehen die Nutzer auf ihrem Bildschirm somit die unternehmensinterne Federation-Webseite. Zu den Federation-Services zählt auch die Abwicklung der MFA-Prüfung zur Anmeldung an AAD.
Die Gemeinsamkeit der drei beschriebenen Methoden liegt in einer direkten Verknüpfung zwischen den lokalen AD-Nutzern und deren synchronisierten Pendants in Azure AD, was als hybride Identitäten bezeichnet wird.