Viele von Ihnen haben Azure Active Directory Connect verwendet, um Ihre hybriden Identitäten zu verwalten und Benutzer von Active Directory nach Azure Active Directory (vor kurzem umbenannt in Microsoft Entra ID) zu synchronisieren. Diese moderne Technologie wird als Azure AD Connect Cloud Sync bezeichnet. In diesem Artikel werde ich Sie durch die Installation und grundlegende Konfiguration von Azure AD Connect Cloud Sync führen und erklären, wie Sie es in Ihre Active Directory/Azure AD-Infrastruktur implementieren können.
Was ist Azure Active Directory Connect Cloud Sync?
Viele IT-Profis sind mit Azure AD Connect vertraut – der Synchronisierungssoftware, die Sie verwenden, um Ihre Identitäten von Ihrem lokalen Active Directory mit Azure Active Directory zu synchronisieren und eine nahtlose Single Sign-On anzubieten. Die nächste Entwicklung besteht darin, alles in die Cloud zu bringen.
Deshalb hat Microsoft von einer Softwareanwendung, die auf einem domänenverbundenen Server in Ihrer lokalen Umgebung installiert ist, zu einem einfachen Bereitstellungsagenten gewechselt. Ein viel geringerer Platzbedarf, da nun alles „schwere Heben“ in Azure erledigt wird. Kein Bedarf mehr an einer Datenbank vor Ort – das alles geschieht in der Cloud.
Leichte Agenten waren in letzter Zeit der Weg. Dies ist ein Segen, wenn Sie kürzlich eine Fusion oder Übernahme durchgemacht haben oder eine planen.
Azure AD Connect Cloud-Synchronisierung ist darauf ausgelegt, Ihre hybriden Identitätsziele zu erreichen und zu erfüllen, indem Ihre Benutzer, Kontakte, Gruppen, Geräte und mehr mit Azure AD synchronisiert werden. Eine wichtige Anmerkung – Sie können Azure AD Connect neben dem Cloud-Synchronisierungs-Bereitstellungsagenten verwenden!
Was sind die Unterschiede zwischen Azure AD Connect Sync und Azure AD Connect Cloud Sync?
Tolle Frage! Hier ist eine Tabelle von Microsoft, die die Funktionsunterschiede zwischen den beiden Produkten zeigt.
| Feature | Azure AD Connect sync | Azure AD Connect cloud sync |
|---|---|---|
| Connect to a single on-premises AD forest | ● | ● |
| Connect to multiple on-premises AD forests | ● | ● |
| Connect to multiple disconnected on-premises AD forests | ● | |
| Lightweight agent installation model | ● | |
| Multiple active agents for high availability | ● | |
| Connect to LDAP directories | ● | |
| Support for user objects | ● | ● |
| Support for group objects | ● | ● |
| Support for contact objects | ● | ● |
| Support for device objects | ● | |
| Allow basic customization for attribute flows | ● | ● |
| Synchronize Exchange online attributes | ● | ● |
| Synchronize extension attributes 1-15 | ● | ● |
| Synchronize customer-defined AD attributes (directory extensions) | ● | ● |
| Support for Password Hash Sync | ● | ● |
| Support for Pass-Through Authentication | ● | |
| Support for federation | ● | ● |
| Seamless Single Sign-on | ● | ● |
| Supports installation on a Domain Controller | ● | ● |
| Support for Windows Server 2016 | ● | ● |
| Filter on Domains/OUs/groups | ● | ● |
| Filter on objects’ attribute values | ● | |
| Allow a minimal set of attributes to be synchronized (MinSync) | ● | ● |
| Allow removing attributes from flowing from AD to Azure AD | ● | ● |
| Allow advanced customization for attribute flows | ● | |
| Support for password writeback | ● | ● |
| Support for device writeback | ● | Customers should use Cloud Kerberos trust for this moving forward |
| Support for group writeback | ● | |
| Support for merging user attributes from multiple domains | ● | |
| Azure AD Domain Services support | ● | |
| Exchange hybrid writeback | ● | |
| Unlimited number of objects per AD domain | ● | |
| Support for up to 150,000 objects per AD domain | ● | ● |
| Groups with up to 50,000 members | ● | ● |
| Large groups with up to 250,000 members | ● | |
| Cross-domain references | ● | ● |
| On-demand provisioning | ● | |
| Support for US Government | ● | ● |
Es gibt ein wichtiges und weit verbreitetes Szenario, das derzeit nicht mit der neueren Funktion Azure AD Connect Cloud Sync unterstützt wird, und das ist Exchange Hybrid. Hier ist die aktuelle Antwort aus der Dokumentation von Microsoft:
Die Exchange Hybrid-Bereitstellung ermöglicht die Koexistenz von Exchange-Postfächern sowohl lokal als auch in Microsoft 365. Azure AD Connect synchronisiert einen bestimmten Satz von Attributen von Azure AD zurück in Ihr lokales Verzeichnis. Der Cloud-Bereitstellungs-Agent synchronisiert diese Attribute derzeit nicht zurück in Ihr lokales Verzeichnis und wird daher nicht als Ersatz für Azure AD Connect unterstützt.
Voraussetzungen für die Installation von Azure Active Directory Connect Cloud Sync
Microsoft nennt einige Voraussetzungen, die vor der Installation beachtet werden müssen. Lassen Sie uns diese hier durchgehen.
- Im Azure-Portal:
- Sie müssen Zugriff auf ein nur im Cloud-betrieb nutzbares Globaladministrator-Konto haben.
- Sie müssen in Azure einen benutzerdefinierten Domänennamen eingerichtet haben, der dem UPN-Domänennamen in Ihrer Active Directory entspricht. Wenn Sie von Azure AD Connect migrieren, sollte dies bereits vorhanden sein, aber es ist sinnvoll zu prüfen.
- In Ihrem lokalen Umfeld
- Sie müssen einen mit dem Domänennamen verbundenen Rechner mit Windows Server 2016 oder neuer haben. Mindestens 4 GB RAM und .NET Framework 4.7.1 oder neuer sind erforderlich. Der Server muss lediglich Netzwerkzugang zu mindestens einem Domänencontroller in Ihrem lokalen AD-Wäldchen haben.
- Ihre Edge-Firewall muss ausgehenden Verkehr auf Ports 80 und 443 zulassen, der von Ihrem Server hier nach Azure AD abgesendet wird.
Der einzige weitere Schritt (als Option) besteht darin, Azure AD Connect zu deinstallieren, falls Sie es installiert haben. Dies ist nicht erforderlich, aber zum Zweck dieses Artikels gehe ich in den nächsten Schritten durch die einfachen Schritte.
Oh, und die hohe Verfügbarkeit wird mit dieser Setup sehr einfach genutzt. Installieren Sie einfach den Bereitstellungs-Agenten auf mehr als einem Server Ihres Netzwerks. Sie sehen die Schritte weiter unten.
Deinstallieren von Azure AD Connect (als Option)
- Loggen Sie sich auf Ihrem Azure AD Connect-Server ein und öffnen Sie das Kontrollzentrum.
- Öffnen Sie das Menü ‘Programme deinstallieren‚.
- Klicken Sie auf den Eintrag Microsoft Azure AD Connect und klicken Sie auf die Schaltfläche Deinstallieren im Toolbar.
Ich empfehle dabei, sicherzustellen, dass die Checkbox aktiviert ist, um alles zu entfernen. Ich bevorzuge es, Software uninstalliert zu lassen, um so sauber wie möglich zu arbeiten und keine Abhängigkeiten zurückzulassen.
- Klicken Sie auf Entfernen und lassen Sie es beenden.
Da ist es verschwunden. Jetzt können wir zu den Schritten der neuen Installation gehen.
Wie Azure AD Connect Cloud Sync in Ihre AD / AAD-Infrastruktur integrieren
Wie ich bereits erwähnt habe, können Sie einen Azure AD Connect Cloud Sync-Agent installieren oder ohne vorhandene Azure AD Connect-Installation in Ihrer Umgebung. In diesem Fall habe ich nur meine bestehende Azure AD Connect-Software entfernt, sodass wir mit einem leeren Tabellenblatt beginnen können. Lass uns loslegen!
Installation
Wir beginnen auf meinem Windows Server 2022-Domänen-angegliederten Server, WS22-FS02.
- Zuerst melden Sie sich beim Azure Portal an und navigieren Sie zu der Webseite von Azure Active Directory (Azure AD).
- Auf der linken Navigationsleiste klicken Sie unten auf Azure AD Connect und anschließend wieder links auf Cloud sync.
- Es ist kein Wunder, dass wir einen sauberen Tabellenblatt haben. Klicken Sie links im Menü auf Agenten, dann auf On-Premises-Agent herunterladen.
- Nachdem Sie den Agenten heruntergeladen haben, klicken Sie doppelt auf die MSI-Datei, um die Installation zu starten.
- Auswählen Sie die Checkbox und klicken Sie auf Installieren!
Weiter geht’s zur Konfiguration.
Konfiguration der Active Directory
Nach der Installation des initialen Agents startet der Assistent zur Konfiguration des Microsoft Azure Active Directory Connect Provisioning Agents. Sage das fünfmal schnell. Yikes, Microsoft. Immer mit Produktnamen auf Home Runs getroffen!
- Klicken Sie auf der Willkommensseite auf Weiter.
- Auf der Seite “Erweiterung auswählen” wählen Sie HR-gesteuerte Bereitstellung (Workday und SuccessFactors) / Azure AD Connect Cloud Sync. Dies ist der am häufigsten gefundene Fall. Nur wenn Sie vorhaben, On-Premises-Anwendungen für Azure bereitzustellen, würden Sie die zweite Option wählen.
- Klicken Sie auf Weiter.
- Danach erscheint die Seite Azure AD verbinden, die um die Zugangsdaten Ihres Azure AD-Globaladministrators fragt. Geben Sie diese an und bereiten Sie sich auf MFA vor!
- Dann folgt die Seite Servicekonto konfigurieren. Hier nehmen wir die Voreinstellung, gMSA erstellen. Da wir es bitten, ein gMSA-Konto zu verwalten, das die Synchronisierung von AD nach Azure AD durchführt, müssen wir ein Konto mit Domain-Administratorberechtigungen angeben. Geben Sie dies an und klicken Sie auf Weiter.
- Weiter geht’s zu der Seite “Active Directory verbinden“. Ja, Sie haben recht. Dies ist recht ähnlich dem Installationsassistenten für Azure AD Connect.
- Überprüfen Sie auf jeden Fall, ob die richtige Active Directory-Domäne festgelegt ist. Wenn Sie Fehler sehen, haben Sie möglicherweise Ihre Anmeldeinformationen falsch eingegeben. Korrigieren Sie diese gegebenenfalls und klicken Sie auf Weiter.
- Wir sind jetzt auf dem abschließenden Bestätigungsbildschirm angekommen. Überprüfen Sie alles und klicken Sie auf die Schaltfläche Bestätigen.
Azure AD-Konfiguration
Wir wechseln jetzt zu Azure Active Directory. Um die Azure AD-Cloud-Synchronisierung zu verwalten, gehen Sie erneut zum Azure-Portal.
- Klicken Sie auf Azure AD Connect und dann auf Cloud-Synchronisierung.
- Klicken Sie oben auf die Schaltfläche „Neue Konfiguration„, um den Konfigurationsprozess in der Cloud zu starten.
- Hier haben wir die Neue Cloud-Synchronisierungskonfiguration. Die Standardeinstellungen sollten in Ordnung sein, vorausgesetzt Sie synchronisieren nur eine AD-Domäne – in meinem Fall „reinders.local“. Wir behalten „Aktivieren Sie die Synchronisierung von Passworthashes“ angekreuzt, um die automatische Passwortverwaltung zu ermöglichen.
- Klicken Sie unten auf Erstellen.
Schauen Sie mal! Wir sind fertig. Ich weiß nicht, wie es Ihnen geht, aber ich bevorzuge fast immer cloud-basierte Konfigurationen gegenüber traditioneller „dicker“ Client-Software. Es ist sauberer. Außerdem können sie das Benutzerinterface schneller verbessern und Funktionen hinzufügen. Und weil es cloud-basiert ist, müssen Sie sich keine Sorgen um Upgrades der Software oder Ausfallzeiten der Server machen. Es funktioniert einfach. Die Cloud, 100% der Zeit, nicht wahr?
Testen – Überprüfung
Lass uns gehen und die Konfiguration einfach aktivieren. Wir können die scoping-Filter, die Attributzuordnung etc. später behandeln.
- Klicken Sie oben auf den Knopf Überprüfen und Konfiguration aktivieren, anschließend auf Konfiguration aktivieren.
- Nachdem dies erledigt ist, warten Sie etwa 2 Minuten, dann aktualisieren Sie Ihren Browser und klicken Sie oben auf den Tab Übersicht.
- Zunächst möchten Sie eine Benachrichtigungs-E-Mail-Adresse eingeben. Klicken Sie auf den Registerkarte Eigenschaften und klicken Sie auf das Symbol Buntes Füllen (Bearbeiten) neben den Grundeinstellungen.
- Geben Sie eine Administrator-E-Mail-Adresse an, um Benachrichtigungen zu den Inhalten des Synchronisierungs-Infrastrukturs zu erhalten. Klicken Sie unten auf Anwenden.
Nun, was es zu Validierung und fortgeschrittener Anpassung gibt, klicken Sie zurück auf die Ansicht Benutzer im Azure AD-Portal, um alle Ihre Benutzer anzuzeigen. Ich habe bemerkt, dass die Anzahl der Benutzer von 31 auf 32 gestiegen ist. also weiß ich, dass etwas passiert ist. Und wenn Sie wirklich aufmerksam genug waren, dann haben Sie vielleicht erinnert, dass ich einen Benutzer in einer bestimmten OU ausgefiltert habe, wenn ich Azure AD Connect konfiguriert habe. also weiß ich, dass etwas passiert ist. Und wenn Sie wirklich aufmerksam genug waren, dann haben Sie vielleicht erinnert, dass ich einen Benutzer in einer bestimmten OU ausgefiltert habe, wenn ich Azure AD Connect konfiguriert habe. Also, da ich bisher keine Filterung durchgeführt habe, wurde ein neuer Benutzer synchronisiert – John Reinders.
Lassen Sie mich durch die drei Kernkonfigurationsbildschirme führen, die Sie verwenden, um Ihre Synchronisations-Einstellungen zu pflegen und anzupassen. Der erste ist Scoping filters.
Die Voreinstellung ist die Synchronisierung aller Benutzer in Ihrem Active Directory. Sie können auswählen, nur ausgewählte Sicherheitsgruppen oder nur ausgewählte Organisationseinheiten (OUs) zu synchronisieren. Und ja, dies ist ein Beispiel dafür, dass Cloud-Software im Moment weniger konfigurierbar ist als On-Premise-Software. Dies geht jedoch ständig veränderung. Schließlich werden sie sämtliche Features und Optionen in Azure AD Connect Cloud Sync integrieren.
Nun lassen Sie uns auf Attributzuordnung achten. Hier können Sie die Standardliste der Attribute und ihre Synchronisierung von Active Directory nach Azure AD bearbeiten und sogar zusätzliche Elemente hinzufügen, indem Sie ‚+ Attributzuordnung hinzufügen‘ klicken.
Selbstverständlich gibt es hier viele Optionen. Wie ich bereits gesagt habe, fügt Microsoft ständig mehr Funktionen zu dieser Funktionalität hinzu. Deshalb sollten Sie sich nicht wundern, wenn Sie einige dieser Bildschirme ändern oder Elemente hinzufügen / entfernen bemerken. Dies ist die Cloud, meine Damen und Herren!
Schließlich lassen Sie uns den Ausdruck-Builder anschauen. Hier können Sie wirklich eine Anpassung hinzufügen, wie bestimmte Attribute synchronisiert werden und wie Ausdrücke verwendet werden, um spezifische Benutzerattribute aus einem Active Directory-Domänen und andere Attribute aus einer anderen AD-Domäne zusammenzuführen, um das beste einzige Objekt in Azure AD zu erstellen. Auch hier ist die Kraft groß, und Sie werden mit der allgemeinen Einrichtung vertraut sein, wenn Sie z.B. Synchronisierungsregeln in dem Azure AD Connect Software verwendet haben.
Schluss
Na, das ist eine Menge Information. Und ich möchte einmal hervorheben, dass Azure AD Connect Cloud Sync der größte Nachteil hat – es hat weniger Features und kann weniger Szenarien unterstützen als Azure AD Connect.
Dies ist normal und beabsichtigt. Azure AD Connect gibt es schon seit Jahren und Azure AD Connect Cloud Sync wurde vor etwa einem Jahr veröffentlicht. Natürlich gibt es daher mehr Funktionalität in der älteren Software.
Mein Rat: Sobald die unterstützten Szenarien mit Azure AD Connect Cloud Sync zu Ihrer Umgebung passen, ergreifen Sie die Maßnahmen, um darauf zu migrieren. Nachdem ich Azure AD Connect in meinen „Tagesjobs“ schon einige Jahre lang genutzt habe, sieht die Cloud-Funktionalität sehr schön aus – und ist VIEL einfacher zu verwalten und im Blick zu behalten.
Bitte hinterlassen Sie gerne einen Kommentar oder eine Frage unten und vielen Dank fürs Lesen!
Source:
https://petri.com/install-azure-ad-connect-cloud-sync/