Organisationen verwenden Active Directory, um Windows-Computer und Benutzer zentral zu verwalten. Die Konfiguration eines Active Directory-Domänencontrollers (ADDC) auf Windows Server ist bequem, und Administratoren können diesen Server verwenden, um Benutzer zu authentifizieren, Berechtigungen zu konfigurieren und den Zugriff auf freigegebene Ressourcen zu verwalten.
Viele Unternehmen, die bereits Windows verwenden, sind auf eine Microsoft-Cloud-Plattform wie Microsoft 365 (früher Office 365) oder Azure umgestiegen. In diesem Fall muss ein Systemadministrator Konten für Benutzer in Microsoft 365 erstellen. Manchmal bevorzugen Organisationen die Verwendung derselben Anmeldeinformationen für lokale Benutzerkonten und Cloud-Benutzerkonten. Administratoren können die Benutzer einer lokalen Domäne vor Ort mit Office 365 und Azure Active Directory (Azure AD) synchronisieren, um dieselben Benutzerkonten sowohl für die lokale als auch für die Cloud-Authentifizierung zu verwenden. Dies wird als hybride Bereitstellung bezeichnet und ist bei Organisationen, die Microsoft-Softwareprodukte verwenden, beliebt.
In diesem Blogbeitrag wird die Office 365 AD-Synchronisierung behandelt und erläutert, wie Sie die Office 365 Active Directory-Synchronisierung durchführen können, um lokale und Cloud-Benutzerkonten für Microsoft-Produkte zu synchronisieren.
Office 365 und Azure AD
Office 365 ist ein Mandant in Azure Active Directory und verwendet das Portal, um Daten zur Authentifizierung zu speichern und Berechtigungen für den Zugriff auf die Microsoft-Cloud-Umgebung zu konfigurieren. Der Administrator für den Office 365-Mandanten kann über das Azure-Portal auf die Berechtigungen zugreifen und andere Einstellungen konfigurieren. Wenn Sie einen laufenden ADDC (Active Directory-Domänencontroller) lokal betreiben, können Sie Office 365 mit AD synchronisieren (Ihr lokales Active Directory und Azure Active Directory mit Office 365 synchronisieren) und dadurch eine Integration von Office 365 mit Active Directory erreichen.
Dieser Ansatz bietet Ihnen eine hybride Identität und ermöglicht es Benutzern, dieselben Anmeldeinformationen für den Zugriff auf Office 365-Dienste und lokale Ressourcen in Ihrem Büro/Rechenzentrum zu verwenden. In diesem Fall werden Active Directory-Daten wie Benutzer, Gruppen und Kontakte synchronisiert. Die Verzeichnissynchronisierung ist ein wichtiger Schritt bei der Umstellung auf die Cloud, wenn Sie eine hybride Umgebung haben möchten.
Was ist Azure AD Connect?
Azure AD Connect ist ein leichtes Tool, das auf einem lokalen Server installiert ist und als ADDC fungiert. Azure AD Connect synchronisiert Ihre lokalen Active Directory-Identitätsdaten mit Azure Active Directory, das von Office 365 in der Cloud verwendet wird. Dieses Tool kann auf einem Domänencontroller oder auf einem Windows Server installiert werden, der Mitglied der Domäne ist. Azure AD Connect hat das Directory Synchronization Tool (DirSync) abgelöst, das veraltet war.
Azure AD Connect unterstützt die folgenden Funktionen:
- Synchronisierung von Passworthashes
- Weiterleitungsauthentifizierung
- Föderierte Authentifizierung. Die Authentifizierung kann von einem Clientcomputer für einen anderen Identitätsanbieter angefordert werden.
Standardmäßig wird die Verzeichnissynchronisierung vom lokalen AD zum von Office 365 verwendeten Azure AD durchgeführt. Sie können jedoch die Active Directory-Synchronisierung in die umgekehrte Richtung konfigurieren und die Änderung vom Azure AD auf Ihr lokales AD synchronisieren. Standardmäßig ist die Synchronisierung so geplant, dass sie alle 30 Minuten ausgeführt wird. Sie können die Zeitplan-Konfiguration bearbeiten und die Office 365-Verzeichnissynchronisierung in PowerShell erzwingen. Sie können die Deltasynchronisierung konfigurieren, um nur die Daten zu synchronisieren, die sich seit der vorherigen Office 365-AD-Synchronisierung geändert haben. Es wird empfohlen, dass eine Deltasynchronisierung innerhalb von 7 Tagen nach der letzten Synchronisierung durchgeführt wird.
Anforderungen
Um Azure AD Connect zu installieren und auszuführen, stellen Sie sicher, dass Folgendes vorhanden ist:
- Ein Active Directory-Domänencontroller, der das Windows Server-Betriebssystem ausführt, muss im lokalen Netzwerk installiert und konfiguriert sein.
- Das Funktionsniveau des lokalen Active Directory muss Windows Server 2003 oder höher sein.
- Sie müssen über Domänenadministratorberechtigungen oder die Berechtigungen für einen lokalen Administrator auf einem Computer verfügen, der Mitglied der Domäne ist.
Unterstützte Betriebssysteme: Windows Server 2012, Windows Server 2016, Windows Server 2019 mit einer grafischen Benutzeroberfläche. Windows Server Core wird nicht unterstützt. Die Windows Server-Edition muss Standard oder höher sein. Essentials-Editionen werden nicht unterstützt.
.NET Framework 4.5.1 oder höher muss auf einem Windows Server installiert sein, auf dem Azure AD Connect ausgeführt wird.
PowerShell 3.0 oder höher. Die Skriptausführungsrichtlinie muss es Ihnen erlauben, Skripte auszuführen. Die empfohlene Richtlinie ist RemoteSigned.
Sie müssen eine externe Domäne mit Ihrem Office 365-Mandanten verknüpft haben.
Sie müssen Zugriff auf einen Azure-Mandanten haben (für Ihr Office 365-Mandanten-/Administratorkonto). Globale Administratorberechtigungen sind erforderlich.
A directory in Azure AD must be created. A domain controller in Azure AD must be configured as writable.
Netzwerkanforderungen:
- Eine ausgehende HTTPS-Verbindung zu Microsoft-Servern
- TCP 80. Das HTTP-Protokoll wird verwendet, um Zertifikatsperrlisten für die Überprüfung von TSL/SSL-Zertifikaten herunterzuladen
- TCP 443. HTTPS wird verwendet, um Daten mit dem Azure Active Directory zu synchronisieren
- TLS 1.2 muss auf einem Windows-Rechner aktiviert sein.
Umgebung vorbereiten
Überprüfen Sie die UPN (User Principal Name)-Suffixe für Ihre lokale Domäne, die von der lokalen Active Directory verwendet wird. Die lokale Domäne muss routbar sein, und das lokale Domänensuffix sollte nicht .local, .test usw. sein. Domänen mit dieser Art von Suffixen gelten als nicht routbar, und diese Domänen können nur mit einer .onmicrosoft.com-Domäne synchronisiert werden. Wenn Sie beispielsweise die .nakivo.test-Domäne in Ihrer lokalen Active Directory haben und nakivo.onmicrosoft.com in Azure Active Directory, sollte [email protected] mit [email protected] synchronisiert werden. Wenn Sie einen domain.net-Namen in Ihrer lokalen Active Directory haben und der Name der externen Domäne, die in Office 365 und Azure verwendet wird, ebenfalls domain.net ist, dann kann [email protected] aus der lokalen Active Directory mit [email protected] in Azure AD synchronisiert werden, das von Office 365 für die Authentifizierung und Konfiguration von Berechtigungen verwendet wird. Somit muss der Domänenname gültig sein und korrekte Suffixe wie .com, .net, .uk, .us, .edu usw. haben, um eine vollständige Synchronisierung und Übereinstimmung der Namen zu ermöglichen. UPNs lokaler Benutzer in Ihrer Active Directory können mit Azure AD und Office 365 synchronisiert werden.
Hinweis: In diesem Blog-Beitrag verwendete Domänennamen dienen als Beispiele. Verwenden Sie bitte die korrekten Domänennamen gemäß der Konfiguration Ihrer Umgebung.
Sie können Ihre Domänennamen für Office 365 im Microsoft 365 Admin Center überprüfen. Gehen Sie zu Einstellungen > Domänen, um verfügbare Domänen zu sehen, die mit Ihrem Office 365-Mandanten verknüpft werden können.
Domäne routbar machen
Sie können die Einstellungen Ihrer lokalen Domäne bearbeiten, um die Domäne routbar zu machen und bessere Synchronisierungsmöglichkeiten zu ermöglichen, indem Sie die benötigten UPN-Suffixe hinzufügen. Fügen Sie UPN-Suffixe zu Ihrer vorhandenen lokalen Domäne hinzu, um die Namen der Benutzer vor Ort und in Microsoft 365 (Azure) anzupassen. Registrieren Sie zunächst ein neues Suffix und aktualisieren Sie dann die Active Directory-Benutzer vor Ort, um das aktualisierte Suffix zu verwenden.
Hinzufügen des neuen UPN-Suffixes
Gehen Sie zu Active Directory-Domänen und -Vertrauensstellungen auf Ihrem lokalen Domänencontroller. Öffnen Sie dazu Server-Manager, klicken Sie auf Tools und wählen Sie im geöffneten Menü Active Directory-Domänen und -Vertrauensstellungen aus. Alternativ können Sie auch domain.msc im Ausführen-Menü (drücken Sie Win+R, um das Ausführen-Menü zu öffnen) oder in der Eingabeaufforderung (CMD) ausführen.
Das Fenster „Active Directory-Domänen und -Vertrauensstellungen“ wird geöffnet. Klicken Sie mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen und wählen Sie im Kontextmenü Eigenschaften aus.
Geben Sie den korrekten standardisierten Domänennamen mit dem richtigen Suffix ein, zum Beispiel id.com oder nakivo.com. Klicken Sie auf Hinzufügen und dann auf OK, um die Einstellungen zu speichern und dieses Fenster zu schließen.
Bearbeiten der UPNs für vorhandene Benutzer
Jetzt sollten Sie UPN-Suffixe für bestehende Benutzer auf dem lokalen Active Directory-Domänencontroller bearbeiten.
Gehen Sie zu Active Directory-Benutzer und -Computer, indem Sie den Server-Manager öffnen und das Menü „Tools“ aufrufen (genau wie zuvor). Alternativ drücken Sie Win+R, um das Ausführen-Menü zu öffnen, geben Sie dsa.msc in das Ausführen-Dialogfeld ein und klicken Sie auf Enter.
In dem Fenster Active Directory-Benutzer und -Computer erweitern Sie Ihre Domäne und klicken Sie auf das Verzeichnis Benutzer. Wählen Sie einen Domänenbenutzer aus, klicken Sie mit der rechten Maustaste auf den Domänenbenutzer und wählen Sie im Kontextmenü Eigenschaften.
Wählen Sie den Tab Konto im Fenster der Benutzereigenschaften aus. Wählen Sie im Dropdown-Menü den korrekten Domänennamen mit dem richtigen Suffix aus. Klicken Sie auf OK, um die Einstellungen zu speichern und das Fenster zu schließen.
Wiederholen Sie diesen Vorgang für alle Benutzer, die Mitglieder Ihrer lokalen Domäne sind (Benutzer, für die Sie eine Office 365 AD-Synchronisierung durchführen möchten). Wenn Sie eine große Anzahl von Benutzern in Ihrem lokalen Active Directory haben, verwenden Sie PowerShell für die Massenbearbeitung anstelle der manuellen Bearbeitung der Eigenschaften jedes Benutzers. Verwenden Sie die oben genannten Befehle zu diesem Zweck:
$LocalUsers = Get-ADUser -Filter „UserPrincipalName -like ‚*domain.local'“ -Properties userPrincipalName -ResultSetSize $null
$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace(„@domain.local“,“@domain.com“); $_ | Set-ADUser -UserPrincipalName $newUpn}
Ersetzen Sie die korrekten Domänennamen anstelle von domain.local und domain.com basierend auf der Konfiguration in Ihrer Umgebung.
Sie können eine UPN und die Adresse in PowerShell mit dem MSOnline-PowerShell-Modul (Azure AD PowerShell-Modul) ändern.
Set-MsolUserPrincipalName -UserPrincipalName [email protected] -NewUserPrincipalName [email protected]
Nachdem Sie die UPNs aktualisiert haben, sind Sie bereit, die Active Directory-Domänendienste vor Ort mit Microsoft 365 und Azure Active Directory zu synchronisieren.
Bearbeitung von E-Mail-Proxyattributen
Bearbeiten Sie das E-Mail-Attribut für jeden Benutzer und setzen Sie eine SMTP-Proxy-E-Mail-Adresse.
Um den Tab Attribute Editor anzuzeigen, in dem Sie den SMTP-Proxy (im Eigenschaftenfenster des Benutzers) festlegen können, klicken Sie im Fenster Active Directory-Benutzer und -Computer auf Ansicht > Erweiterte Funktionen.
Wählen Sie nun einen Benutzer aus, öffnen Sie die Benutzereigenschaften, klicken Sie auf den Tab Attribute Editor und doppelklicken Sie dann auf das Attribut proxyAddresses.
Office 365-E-Mail-Adressen sollten als SMTP-Proxy-Adressen für Active Directory-Benutzer auf dem lokalen Domänencontroller definiert werden, zum Beispiel:
SMTP:[email protected]
Die primäre E-Mail-Adresse muss SMTP in Großbuchstaben enthalten. Andere Proxy-Adressen für E-Mails können mit smtp in Kleinbuchstaben beginnen.
Klicken Sie auf Hinzufügen, um den Wert hinzuzufügen, und klicken Sie dann auf OK, um die Einstellungen zu speichern.
Wiederholen Sie diese Aktion für jeden benötigten Benutzer für die Office 365-Synchronisierung.
Überprüfen von Benutzernamen im Office 365 Admin Center
Öffne das Microsoft 365-Administratorkenter, gehe zu Nutzer > Aktiv und überprüfe die Benutzernamen und die Domänensuffixe, die in ihren Namen verwendet werden. Wenn du eine benutzerdefinierte Domäne wie z.B. nakivo.com hast, wähle dafür die Benutzernamenstellungen statt den Namen mit dem nakivo.onmicrosoft.com-Domänen.
Klicke drei Pfeile neben dem entsprechenden Benutzer und wähle in der sich öffnenden Liste Benutzernamen und E-Mail-Adresse verwalten, um die benötigte Domäne für den Benutzernamen auszuwählen. Der optimale Fall ist, wenn die Domänennamen und die Benutzernamen in Office 365 mit den Benutzernamen in der lokalen Active Directory übereinstimmen.
Öffne Gruppen im Microsoft 365-Administratorkenter und bearbeite die Adressen der Gruppen, wie du die Benutzeremailadressen bearbeitet hast.
Azure AD Connect installieren
Lade Azure AD Connect von der Microsoft-Webseite mit dem Link herunter:
https://www.microsoft.com/en-us/download/details.aspx?id=47594
Du kannst den Status von Azure AD Connect und den Download-Link von der Azure AD Connect-Seite im Azure-Portal abrufen. Um das zu tun, gehe zu Azure Active Directory > Azure AD Connect im Azure-Portal.
Speichere das Azure AD Connect-Installationsprogramm auf dem Server, auf dem du dieses Tool installieren willst, z.B. auf einem Domänencontroller.
Führe das Azure AD Connect-Installationsprogramm (AzureADConnect.msi) aus. Der Azure AD Connect-Assistent öffnet.
Willkommen. Wählen Sie auf der Willkommensseite „Ich stimme den Lizenzbedingungen und Datenschutzrichtlinien zu“ und klicken Sie auf Weiter.
Express-Einstellungen. Wählen Sie eine der beiden verfügbaren Optionen aus – Anpassen oder Express-Einstellungen verwenden. Die Option Anpassen bietet mehr Kontrolle bei der Konfiguration der Office 365 Active Directory-Synchronisierung.
Erforderliche Komponenten. Wählen Sie die erforderlichen Komponenten aus, die installiert werden sollen, und definieren Sie Konfigurationseinstellungen für ausgewählte Optionen.
- Geben Sie einen benutzerdefinierten Installationsort an
- Verwenden Sie einen vorhandenen SQL Server
- Verwenden Sie ein vorhandenes Dienstkonto
- Legen Sie benutzerdefinierte Synchronisierungsgruppen fest
- Synchronisierungseinstellungen importieren
Klicken Sie auf Installieren, um fortzufahren.
Benutzeranmeldung. Wählen Sie eine der verfügbaren Anmeldeoptionen aus. Einige Optionen erfordern zusätzliche Schritte zur Konfiguration.
- Passwort-Hash-Synchronisierung. Ein Hash des Benutzerpassworts aus dem lokalen Active Directory wird mit Azure Active Directory synchronisiert.
- Weiterleitung der Anmeldung. Benutzer können dasselbe Passwort im lokalen AD und in der Cloud (Office 365, Azure) verwenden, es sind jedoch keine zusätzliche Infrastruktur und keine föderierte Umgebung erforderlich.
- Föderation mit AD FS. Eine Hybridumgebung sollte mit Hilfe von Active Directory und Active Directory Federation Services vor Ort konfiguriert werden. Zertifikatverlängerung und zusätzliche AD FS-Serverbereitstellungen werden unterstützt.
- Föderation mit PingFederate. Diese Option kann verwendet werden, wenn ein unternehmensweiter PingFederate-Server in Ihrer Infrastruktur bereitgestellt ist, um eine Single Sign-On für die Benutzerauthentifizierung bereitzustellen.
- Nicht konfigurieren. Sie können eine Lösung verwenden, die nicht von diesem Assistenten verwaltet wird, um eine federierte Anmeldung durchzuführen. Benutzer, die sich in ein Unternehmensnetzwerk eingeloggt haben, können nach der Synchronisierung von Office 365 mit AD auf Cloud-Ressourcen zugreifen, ohne sich erneut anmelden zu müssen.
Lesen Sie den Blogbeitrag über Active Directory Federation Services.
Wählen Sie Passwort-Hash-Synchronisierung oder Nicht konfigurieren als empfohlene Option aus, wenn Sie unsicher sind, was zu tun ist.
Verbinden Sie sich mit Azure AD. Geben Sie einen Benutzernamen und ein Passwort Ihres Microsoft 365-Benutzerkontos ein, das über globale Administratorberechtigungen in Microsoft Azure/Office 365 verfügt (Office 365-Administratoranmeldeinformationen). Dieses Administratorkonto ist erforderlich, um Azure AD Connect zu konfigurieren, um die Anwendung zur Durchführung der Office 365-AD-Synchronisierung zu ermöglichen. Klicken Sie bei jedem Schritt auf Weiter, um fortzufahren.
Verzeichnisse verbinden. Geben Sie Informationen zu Ihrem aktuellen Active Directory ein, das in der lokalen Domänenumgebung verwendet wird. Wählen Sie den Verzeichnistyp (Active Directory) aus, geben Sie die Domänenstruktur an, klicken Sie auf Verzeichnis hinzufügen und geben Sie die Anmeldeinformationen des Domänenadministrators ein. Wenn Sie eine Domänenstruktur synchronisieren müssen, verwenden Sie die Anmeldeinformationen des Unternehmensadministrators.
Azure AD-Anmeldung. Überprüfen Sie Ihre Domänen und UPN-Suffixe im Active Directory. Wählen Sie das Attribute vor Ort aus, das als Benutzername in Azure AD und Office 365 verwendet werden soll. Wir wählen userPrincipalName. Aktivieren Sie das Kontrollkästchen Fortfahren ohne überprüfte Domänen, wenn Ihre Domäne nicht überprüft ist. Sie können den Verifizierungsprozess später abschließen, um Benutzern die Anmeldung bei Azure AD und Office 365 zu ermöglichen.
Domänen- und OU-Filterung. Lassen Sie die Standardeinstellungen auf diesem Bildschirm, um eine Active Directory-Synchronisierung der gesamten AD-Daten durchzuführen. Wählen Sie benutzerdefinierte Domänen und Organisationseinheiten aus, wenn Sie die Einstellungen anpassen müssen. Sie können Domänen oder Organisationseinheiten abwählen, die Sie nicht synchronisieren möchten.
Benutzeridentifizierung. Es wird empfohlen, die Standardeinstellungen in diesem Schritt für eine grundlegende Einrichtung der Active Directory-Synchronisierung mit Office 365 (für ein Azure AD, eine Domäne und einen AD-Forest) beizubehalten. Wenn Sie eine kompliziertere Einrichtung durchführen müssen, wählen Sie benutzerdefinierte Optionen für Benutzeridentitäten in verschiedenen Verzeichnissen aus. Wählen Sie bei den Optionen zur Benutzeridentifizierung des QUELLANKERS die Standardeinstellung objectGUID, um IDs zu generieren und Benutzer zuzuordnen.
Filterung. Wählen Sie aus, ob alle Benutzer und Geräte synchronisiert werden sollen, oder wählen Sie benutzerdefinierte Objekte aus, die synchronisiert werden sollen. Sie können eine Filterung auf Gruppenebene verwenden.
Optionale Funktionen. Wählen Sie zusätzliche Funktionen aus, wenn Sie diese benötigen. Bewegen Sie den Mauszeiger über das ‚?‘-Symbol neben dem Namen jeder Funktion, um Tipps zu erhalten, die Ihnen bei der richtigen Entscheidung helfen.
Bereit zur Konfiguration. Wählen Sie das Kontrollkästchen Starten Sie den Synchronisierungsprozess, wenn die Konfiguration abgeschlossen ist aus, wenn Sie die Synchronisierung sofort nach Abschluss dieses Assistenten starten möchten. Sie können dieses Kontrollkästchen deaktivieren und die Synchronisierung manuell starten, wenn Sie sie benötigen. Klicken Sie auf Installieren, um die Konfiguration abzuschließen.
Warten Sie, bis Installation und Konfiguration abgeschlossen sind. Wenn Sie die Meldung Konfiguration abgeschlossen sehen, können Sie auf Beenden klicken, um die Anwendung zu schließen. Kurzinformationen zum abgeschlossenen Office 365 AD-Synchronisierungsprozess werden auf dem Konfiguration abgeschlossen-Bildschirm angezeigt. Öffnen Sie dann das Microsoft 365-Admincenter und überprüfen Sie, ob die Active Directory-Synchronisierung mit Office 365 erfolgreich abgeschlossen wurde. Öffnen Sie den Abschnitt Synchronisierungsfehler auf der Seite Azure AD Connect Health im Azure-Portal, um detaillierte Informationen zu Fehlern anzuzeigen. Wenn Fehler auftreten, lesen Sie die bereitgestellten Empfehlungen, die Ihnen bei der Fehlerbehebung helfen können.
Wenn die Office 365 AD-Synchronisierung erfolgreich abgeschlossen wurde, können Sie Lizenzen für neue Office 365-Benutzer zuweisen, die nach der Synchronisierung von Office 365 mit dem lokalen Active Directory hinzugefügt wurden.
Exportieren der Azure AD Connect-Konfiguration
Sie können Azure AD Connect mithilfe des Expressmodus oder des benutzerdefinierten Modus bereitstellen. Bei mehreren Bereitstellungen mit derselben Azure AD Connect-Konfiguration zur Synchronisierung des lokalen Active Directory und von Office 365/Azure sowie zur Synchronisierung mehrerer AD-Forests sollten Sie in Betracht ziehen, die Azure AD Connect-Konfiguration zu exportieren/importieren.
Nachdem Sie Azure AD Connect im GUI mithilfe eines Assistenten konfiguriert haben, wird die Konfiguration in einer JSON-Datei im Ordner %ProgramData%\AADConnect gespeichert. Der Name der JSON-Datei sieht wie folgt aus: Applied-SynchronizationPolicy-*.JSON, wobei * für den Datum-/Zeitstempel steht, der dabei hilft, zu erkennen, wann die Konfiguration gespeichert wurde. Änderungen, die im GUI vorgenommen wurden, werden automatisch exportiert. Änderungen, die mit PowerShell vorgenommen wurden, sollten jedoch bei Bedarf manuell exportiert werden.
Um Einstellungen zu importieren, führen Sie Azure AD Connect aus, wählen Sie die Anpassen-Option aus, wählen Sie auf dem Bildschirm Erforderliche Komponenten installieren die Option Synchronisierungseinstellungen importieren aus, klicken Sie auf Durchsuchen und wählen Sie die JSON-Konfigurationsdatei aus.
Der Import der Konfiguration ermöglicht es Benutzern, in kurzer Zeit eine minimale Menge manueller Dateneingabe durchzuführen, um Azure AD Connect zu konfigurieren und die identische Konfiguration auf mehreren Servern zu reproduzieren.
Tools für die Konfigurationsmigration
Es gibt Tools zum Exportieren und Importieren der Konfiguration von Azure AD Connect von einem Server auf einen anderen, um eine identische Konfiguration zu erhalten, wenn Sie die Office 365-Active Directory-Synchronisierung durchführen.
Kopiere das MigrateSettings.ps1-Datei von C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ oder einem benutzerdefinierten Verzeichnis, in dem Azure AD Connect auf dem ersten Server installiert ist, in eine benutzerdefinierte Position, z.B. C:\Programs\.
Führe das Skript MigrateSettings.ps1 auf dem ersten (vorhandenen) Server aus. Wenn du die Meldung siehst, dass ein Parameter, der den Wert „True“ akzeptiert, nicht gefunden wird, bearbeite das Skript und entferne $true aus dem Skript.
Führe das Skript aus und prüfe das Verzeichnis in der Ausgabe. Die Azure AD-Synchronisierungsconfiguration wird in dieses Verzeichnis exportiert. Kopiere diesen Exported-ServerConfiguration-*-Ordner und seinen Inhalt auf den zweiten (neuen) Server.
Führe Azure AD Connect auf dem zweiten Server und auf dem Bildschirm „Install required components“ auswählen, um Synchronisierungseinstellungen einzufügen, und wähle die im oben beschriebenen Verfahren gefundene MigratedPolicy.json-Konfigurationsdatei aus dem kopierten Exported-ServerConfiguration-*-Ordner.
Andere Office 365 AD-Synchronisierungsoptionen
Wenn du nicht 30 Minuten warten kannst, die Standardintervall zwischen Synchronisierungsoperationen ist, kannst du die Office 365 AD-Synchronisierung mit PowerShell-Befehlen erzwingen. Das Azure Active Directory PowerShell-Modul wird normalerweise mit dem Azure AD Connect-Tool installiert.
Importiere das ADSync PowerShell-Modul:
Import-Module ADSync
Prüfe deine aktuellen Office 365 AD-Synchronisierungs-Einstellungen:
Get-ADSyncScheduler
Erzwinge einen Deltasynchronisierung, um nur Änderungen synchronisieren, die seit der letzten erfolgreichen Synchronisierung gemacht wurden:
Start-ADSyncSyncCycle -PolicyType Delta
Erzwinge eine volle Synchronisierung, um alle Daten zu synchronisieren:
Start-ADSyncSyncCycle -PolicyType Initial
Ändern Sie den Office 365 AD-Synchronisierungsintervall auf 10 Minuten:
Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:10:00
Beachten Sie, dass eine manuelle Office 365 AD-Synchronisierung keine Benutzerpasswörter synchronisiert. In diesem Fall versuchen Sie, den AD-Sync-Office 365-Dienst auf dem lokalen Server mit Azure AD Connect neu zu starten und dann zu überprüfen, ob die Zugangsdaten korrekt sind.
Konfigurationsempfehlungen
Schützen Sie einen Server, auf dem Azure AD Connect installiert ist. Beschränken Sie den Zugriff für Benutzer, die keine Administratoren sind, auf den Server, der Azure AD Connect ausführt. Verwenden Sie starke Passwörter, um die Dienstebenutzerkonten zu schützen, die von diesem Active Directory-Synchronisierungstool verwendet werden. Angesichts der Stärke dieser Tools ist es wichtig, starke Passwörter zu verwenden, falls jemand Zugriff auf den Server mit der AD-Synchronisierung erhält. Sie können vertrauenswürdige Benutzer dem ADSyncAdmins-Gruppe hinzufügen, um das Management des Zugriffs zu vereinfachen.
Prüfen Sie die Gruppen, die Sie von lokalen AD in Azure AD und Office 365 synchronisieren möchten. Nicht alle Gruppen sollten synchronisiert werden. Es könnten Gruppen existieren, die im Cloudumfeld unbrauchbar sind oder keinen Grund haben, synchronisiert zu werden, aus Sicherheits- oder Produktivitätsgründen. Filtern Sie Sicherheitsgruppen und Verteilungsgruppen aus, die für Microsoft 365 und die Azure-Cloudumgebung irrelevant sind. Entfernen Sie alle Administratorengruppen aus der Office 365 Active Directory-Synchronisierung.
Betrachten Sie die Synchronisierung von Office 365 Active Directory mit Azure AD-Synchronisierung nicht als Backup-Lösung. Einige Attribute von Objekten in der Cloud sind einzigartig, z. B. Lizenzinformationen über Office 365-Benutzer. Wenn diese spezifischen Informationen in der Cloud gelöscht werden, können Sie diese Informationen nicht wiederherstellen, indem Sie die Office 365-Active Directory-Synchronisierung von lokalen Active Directory ausführen. Die Synchronisierung des lokalen Active Directory mit Azure ist nicht dasselbe wie das Backup von Active Directory und Domänencontrollern. Verwenden Sie spezielle Tools und Backup-Lösungen, um Ihre Active Directory-Domänencontroller vor Ort und Office 365-Daten in der Cloud zu schützen.
Office 365-Backup und Active Directory-Backup
Sie sollten regelmäßig Office 365-Backups durchführen und diese Backups an einem sicheren Ort speichern. Das Office 365-Backup sollte die benötigten Daten aus Office-Anwendungen wie Exchange Online-E-Mail, OneDrive und SharePoint enthalten. Office 365-Daten werden in der Cloud gespeichert, aber wenn einige dieser Daten mit Ransomware beschädigt werden oder versehentlich gelöscht werden, kann ein Backup der einzige Weg sein, um diese Daten wiederherzustellen, insbesondere wenn Sie den Datenverlust bemerken, wenn es zu spät ist.
Active Directory ist ein zentrales Verwaltungssystem in einem Windows-Netzwerk. Die Nichtverfügbarkeit eines Active Directory-Domänencontrollers kann die Operationen in einem Unternehmen zum Stillstand bringen. Sichern Sie Active Directory-Domänencontroller vor Ort, um Daten im Falle eines Desasters wiederherstellen zu können. Verwenden Sie bevorzugt dedizierte Backup-Lösungen von Drittanbietern, die eine anwendungsbezogene Sicherung unterstützen, wenn Sie laufende Server mit laufenden Anwendungen sichern.
NAKIVO Backup & Replication ist eine Lösung für den Datenschutz von kleinen und mittleren Unternehmen sowie für Unternehmen, die Office 365-Cloud-Backups unterstützt, einschließlich Anwendungen wie Exchange Online, SharePoint Online, Microsoft Teams und OneDrive for Business. Sie können Backups von mehreren Office 365-Mandanten erstellen, alle Benutzer oder benutzerdefinierte Benutzer auswählen und die benötigten Elemente auf granularer Ebene wiederherstellen.
NAKIVO Backup & Replication unterstützt auch das Backup physischer Server, einschließlich Windows-Servern, die als Active Directory-Domänencontroller fungieren, und kann Active Directory-Backups durchführen. Die Unterstützung von anwendungsbezogenen Backups ermöglicht es Ihnen, Domänencontroller zu sichern und konsistente Daten in einem Backup zu erhalten. Auch für das Backup physischer Server wird eine granulare Wiederherstellung unterstützt.
Fazit
Organisationen, die in die Cloud migrieren, tun dies nur teilweise. Sie setzen weiterhin Active Directory-Dienste lokal in Kombination mit Cloud-Diensten ein. Dies wird als hybride Umgebung bezeichnet. Eine Option zum Synchronisieren von Office 365 mit AD ermöglicht es Organisationen, hybride Umgebungen zu konfigurieren und Benutzerkonten sowie Authentifizierungsoptionen zwischen lokalem AD und Azure AD zu synchronisieren.
Office 365 Active Directory-Synchronisierung kann mit Azure AD Connect durchgeführt werden, was ein von Microsoft entwickeltes natives Tool ist. Sie müssen Ihr lokales Active Directory vorbereiten, die Domäneneinstellungen für die lokale Domäne und die externen Domänen konfigurieren, die mit Ihrem Office 365-Mandanten verknüpft sind, und die Office 365-Verzeichnis-Synchronisierungsoptionen in AD Connect konfigurieren. Die Integration von Active Directory in Office 365 ermöglicht es Benutzern, die gleichen Anmeldeinformationen für lokale Windows-Umgebungen und in Office 365 zu verwenden.
Source:
https://www.nakivo.com/blog/a-step-by-step-guide-to-setting-up-office-365-ad-sync/