NAKIVO > Bloggen > Microsoft 365

Eine Schritt-für-Schritt-Anleitung zum Einrichten der Office 365 AD-Synchronisierung

Veröffentlicht am: November 9, 2021

Written by: NAKIVO Team

Unternehmen nutzen Active Directory zum zentralen Management von Windows-Computern und -Benutzern. Die Konfiguration eines Active Directory Domain Controllers (ADDC) auf Windows Server ist komfortabel, und Administratoren können diesen Server zur Authentifizierung von Benutzern, zur Konfiguration von Berechtigungen und zum Verwalten des Zugriffs auf gemeinsam genutzte Ressourcen verwenden.Viele Unternehmen, die bereits Windows verwenden, sind auf eine Microsoft-Cloud-Plattform wie Microsoft 365 (früher Office 365) oder Azure umgestiegen. In diesem Fall muss ein Systemadministrator Konten für Benutzer in Microsoft 365 erstellen. Manchmal bevorzugen Unternehmen die Verwendung derselben Anmeldeinformationen für lokale Benutzerkonten und Cloud-Benutzerkonten. Administratoren können die Benutzer einer lokalen Domain vor Ort mit Office 365 und Azure Active Directory (Azure AD) synchronisieren, um dasselbe Benutzerkonto sowohl für die lokale als auch für die Cloud-Authentifizierung zu verwenden. Dies wird als hybride Bereitstellung bezeichnet und ist bei Unternehmen, die Microsoft-Softwareprodukte verwenden, sehr beliebt.Dieser Blogbeitrag behandelt die Office 365 AD-Synchronisierung und erklärt, wie Sie die Office 365 Active Directory-Synchronisierung durchführen können, um lokale und Cloud-Benutzerkonten für Microsoft-Produkte zu synchronisieren.

Backup for Microsoft 365 Data

Backup for Microsoft 365 Data

Use the NAKIVO solution to back up Microsoft 365 data in Exchange Online, Teams, OneDrive and SharePoint Online for uninterrupted workflows and zero downtime.

DISCOVER SOLUTION

Office 365 und Azure AD

Office 365 ist ein Mandant in Azure Active Directory und verwendet das Portal, um Daten für die Authentifizierung zu speichern und Berechtigungen für den Zugriff auf die Microsoft-Cloud-Umgebung zu konfigurieren. Der Administrator für den Office 365-Mandanten kann auf das Azure-Portal zugreifen, um Berechtigungen zu verwalten und andere Einstellungen zu konfigurieren. Wenn Sie einen laufenden ADDC (Active Directory Domain Controller) vor Ort haben, können Sie Office 365 mit AD synchronisieren (Ihr lokales Active Directory und Azure Active Directory mit Office 365 synchronisieren) und so die Integration von Office 365 Active Directory erreichen.Dieser Ansatz bietet Ihnen eine hybride Identität und ermöglicht es Benutzern, mit denselben Anmeldeinformationen auf Office 365-Dienste und lokale Ressourcen in Ihrem Büro/Rechenzentrum zuzugreifen. In diesem Fall werden Active Directory-Daten wie Benutzer, Gruppen und Kontakte synchronisiert. Die Verzeichnissynchronisierung ist ein wichtiger Schritt bei der Umstellung auf die Cloud, wenn Sie eine hybride Umgebung wünschen.

Was ist Azure AD Connect?

Azure AD Connect ist ein leichtgewichtiges Tool, das auf einem lokalen Server installiert wird, der als ADDC fungiert. Azure AD Connect synchronisiert Ihre lokalen Active Directory-Identitätsdaten mit Azure Active Directory, das von Office 365 in der Cloud verwendet wird. Dieses Tool kann auf einem Domänencontroller oder auf einem Windows Server installiert werden, der Mitglied der Domain ist. Azure AD Connect hat das Directory Synchronization Tool (DirSync) ersetzt, das nicht mehr unterstützt wird.Azure AD Connect unterstützt die folgenden Funktionalitäten:

  • Synchronisierung von Passwort-Hashes
  • Pass-Through-Authentifizierung
  • Verbundene Authentifizierung. Die Authentifizierung kann von einem Clientcomputer für einen anderen Identitätsanbieter angefordert werden.

Standardmäßig wird die Verzeichnissynchronisierung vom vor Ort liegenden AD zum von Office 365 verwendeten Azure AD durchgeführt. Sie können jedoch die Active Directory-Synchronisierung in umgekehrter Richtung konfigurieren und die Änderung von Azure AD zu Ihrem vor Ort liegenden AD synchronisieren. Standardmäßig ist die Synchronisierung so geplant, dass sie alle 30 Minuten ausgeführt wird. Sie können die Zeitplanungskonfiguration bearbeiten und die Office 365-Verzeichnissynchronisierung in PowerShell erzwingen. Sie können die Delta-Synchronisierung so konfigurieren, dass nur die Daten synchronisiert werden, die seit der letzten Office 365 AD-Synchronisierung geändert wurden. Es wird empfohlen, eine Delta-Synchronisierung innerhalb von 7 Tagen nach der letzten Synchronisierung durchzuführen.

Anforderungen

Um Azure AD Connect zu installieren und auszuführen, stellen Sie Folgendes sicher:

  • Ein Active Directory-Domänencontroller mit dem Windows Server-Betriebssystem muss vor Ort installiert sein.
  • Die vor Ort verfügbare Active Directory-Funktionalität muss Windows Server 2003 oder höher sein.
  • Sie müssen über Domänenadministratorrechte oder die Berechtigungen eines lokalen Administrators auf einem Computer verfügen, der Mitglied der Domäne ist.

Unterstützte Betriebssysteme: Windows Server 2012, Windows Server 2016, Windows Server 2019 mit einer GUI. Windows Server Core wird nicht unterstützt. Die Ausgabe von Windows Server muss Standard oder höher sein. Essentials-Ausgaben werden nicht unterstützt..NET Framework 4.5.1 oder höher muss auf einem Windows Server-Computer installiert sein, auf dem Azure AD Connect ausgeführt wird.PowerShell 3.0 oder höher. Die Skript-Ausführungsrichtlinie muss die Ausführung von Skripten zulassen. Die empfohlene Richtlinie lautet RemoteSigned.Sie müssen über eine externe Domain verfügen, die mit Ihrem Office 365-Mandanten verknüpft ist.Sie benötigen Zugriff auf einen Azure-Mandanten (für Ihr Office 365-Mandanten-/Administratorkonto). Globale Administratorrechte sind erforderlich.Es muss ein Verzeichnis in Azure AD erstellt werden. Ein Domänencontroller in Azure AD muss als beschreibbar konfiguriert sein.Netzwerkanforderungen:

  • Eine ausgehende HTTPS-Verbindung zu Microsoft-Servern
  • TCP 80. Das HTTP-Protokoll wird zum Herunterladen von Zertifikatssperrlisten für die Überprüfung von TSL/SSL-Zertifikaten verwendet
  • TCP 443. HTTPS wird verwendet, um Daten mit Azure Active Directory zu synchronisieren
  • TLS 1.2 muss auf einem Windows-Rechner aktiviert sein.

Vorbereiten der Umgebung

Überprüfen Sie die UPN-Suffixe (User Principal Name) für Ihre lokale Domäne, die vor Ort vom lokalen Active Directory verwendet wird. Die lokale Domain muss routbar sein, und das Suffix der lokalen Domain darf nicht .local, .test, usw. lauten. Domänen mit solchen Suffixen werden als nicht routbar klassifiziert und können nur mit einer Domain vom Typ .onmicrosoft.com synchronisiert werden. Wenn Sie beispielsweise die Domain .nakivo.test in Ihrem vor Ort befindlichen Active Directory und NAKIVO.onmicrosoft.com in Azure Active Directory, sollte user1@nakivo.test mit user1@nakivo.onmicrosoft.com synchronisiert werden. Wenn Sie einen Namen domain.net in Ihrem lokalen Active Directory haben und der Name der externen Domain, die in Office 365 und Azure verwendet wird, ebenfalls domain.net lautet, dann kann user1@domain.net aus dem vor Ort betriebenen Active Directory mit user1@domain.net in Azure AD synchronisiert werden, das von Office 365 für die Authentifizierung und die Konfiguration von Berechtigungen verwendet wird. Daher muss der Domain-Name gültig sein und korrekte Suffixe wie .com, .net, .uk, .us, .edu, usw. aufweisen, um eine vollständige Synchronisierung und Namensübereinstimmung zu gewährleisten. Die UPNs lokaler Benutzer in Ihrem Active Directory können mit Azure AD und Office 365 synchronisiert werden.Hinweis: Die in diesem Blogbeitrag verwendeten Domänennamen dienen als Beispiele. Bitte verwenden Sie die richtigen Domänennamen entsprechend der Konfiguration Ihrer Umgebung.Sie können Ihre Domänennamen für Office 365 im Microsoft 365 ADMIN Center überprüfen. Gehen Sie zu Einstellungen > Domänen , um die verfügbaren Domains anzuzeigen, die mit Ihrem Office 365-Mandanten verknüpft werden können.Checking domains for an Office 365 tenant before running Office 365 sync

Eine Domain routingfähig machen

Sie können die Einstellungen Ihrer vor Ort liegenden Domain bearbeiten, um die Domain routingfähig zu machen und so die Synchronisierungsfunktionen zu verbessern, indem Sie die erforderlichen UPN-Suffixe hinzufügen. Fügen Sie UPN-Suffixe zu Ihrer bestehenden vor Ort liegenden Domain hinzu, damit die Namen der Benutzer vor Ort und in Microsoft 365 übereinstimmen (Azure) abzustimmen. Registrieren Sie zunächst ein neues Suffix und aktualisieren Sie dann die Active Directory-Benutzer vor Ort, damit sie das aktualisierte Suffix verwenden.

Hinzufügen des neuen UPN-Suffixes

Gehen Sie zu Active Directory-Domänen und -Vertrauensstellungen auf Ihrem vor Ort befindlichen Domänencontroller. Öffnen Sie dazu Server-Manager, klicken Sie auf Tools, und klicken Sie im sich öffnenden Menü auf Active Directory-Domänen und -Vertrauensstellungen. Alternativ können Sie domain.msc im Menü „Ausführen“ (drücken Sie Win+R , um das Menü „Ausführen“ zu öffnen) oder in der Eingabeaufforderung (CMD) ausführen.Configuring Active Directory Domains and TrustsDas Fenster „Active Directory-Domänen und -Vertrauensstellungen” wird geöffnet. Klicken Sie mit der rechten Maustaste auf „Active Directory-Domänen und -Vertrauensstellungen“ und klicken Sie im Kontextmenü auf „Eigenschaften-=x=113=“.Opening properties of on-premises Active Directory domainsGeben Sie den korrekten standardisierten Domain-Name mit dem richtigen Suffix ein, zum Beispiel id.com, oder NAKIVO.com. Klicken Sie auf Hinzufügen, dann auf OK , um die Einstellungen zu speichern und dieses Fenster zu schließen.Editing UPN suffixes for a domain

Bearbeiten von UPNs für vorhandene Benutzer

Jetzt sollten Sie die UPN-Suffixe für vorhandene Benutzer auf dem vor Ort befindlichen Active Directory-Domänencontroller bearbeiten.Gehen Sie zu Active Directory-Benutzer und -Computer , von dem Server-Manager aus und über das Menü „Extras” (genau wie zuvor). Alternativ können Sie Win+R drücken, um das Menü „Ausführen“ zu öffnen, dsa.msc in das Dialogfeld „Ausführen“ eingeben und auf Enter klicken.Erweitern Sie im Fenster Active Directory-Benutzer und -Computer Ihre Domain und klicken Sie auf das Verzeichnis Benutzer. Wählen Sie einen Domänenbenutzer aus, klicken Sie mit der rechten Maustaste auf den Domänenbenutzer und klicken Sie im Kontextmenü auf Eigenschaften.Editing UPN suffixes for a domainWählen Sie im Fenster „Benutzereigenschaften“ die Registerkarte „Konto“. Wählen Sie im Dropdown-Menü den richtigen Domain-Name mit dem richtigen Suffix aus. Klicken Sie auf „OK“, um die Einstellungen zu speichern und das Fenster zu schließen.Configuring UPN suffixes for domain users to sync Office 365 with ADWiederholen Sie diesen Vorgang für alle Benutzer, die Mitglieder Ihrer vor Ort liegenden Domain sind (Benutzer, für die Sie die Office 365 AD-Synchronisierung durchführen möchten). Wenn Sie eine große Anzahl von Benutzern in Ihrem vor Ort befindlichen Active Directory haben, verwenden Sie PowerShell für die Massenbearbeitung, anstatt die Eigenschaften jedes Benutzers manuell zu bearbeiten. Verwenden Sie zu diesem Zweck die folgenden Befehle:$LocalUsers = Get-ADUser -Filter "UserPrincipalName -like '*domain.local'" -Properties userPrincipalName -ResultSetSize $null$LocalUsers | foreach {$newUpn = $_.UserPrincipalName.Replace("@domain.local","@domain.com"); $_ | Set-ADUser -UserPrincipalName $newUpn}Geben Sie Ihre korrekten Domänennamen anstelle von domain.local und domain.com basierend auf der Konfiguration in Ihrer Umgebung.Sie können einen UPN und die Adresse in PowerShell mit dem PowerShell-Modul MSOnline (Azure AD PowerShell-Modul) ändern.Set-MsolUserPrincipalName -UserPrincipalName user@olddomain.com -NewUserPrincipalName user@newdomain.comNach der Aktualisierung der UPNs können Sie die vor Ort betriebenen Active Directory-Domänendienste mit Microsoft 365 und Azure Active Directory synchronisieren.

Bearbeiten von E-Mail-Proxy-Attributen

Bearbeiten Sie das E-Mail-Attribut für jeden Benutzer und legen Sie eine SMTP-Proxy-E-Mail-Adresse fest.Um die Registerkarte Attribute Editor Registerkarte anzuzeigen, auf der Sie den SMTP-Proxy festlegen können (im Fenster „Benutzereigenschaften“), klicken Sie im Fenster Active Directory-Benutzer und -Computer auf Ansehen > Erweiterte Funktionen.Enabling the view with advanced features for Active Directory Users and ComputersWählen Sie nun einen Benutzer aus, öffnen Sie die Benutzereigenschaften und klicken Sie auf die Registerkarte Attribute Editor Registerkarte und doppelklicken Sie dann auf das Attribut proxyAddresses.Editing proxy addresses in user properties to configure Office 365 AD syncOffice 365-E-Mail-Adressen sollten als SMTP-Proxyadressen für Active Directory-Benutzer vor Ort auf dem Domänencontroller definiert werden, zum Beispiel:SMTP:user2@NAKIVO.comDie primäre E-Mail-Adresse muss SMTP in Großbuchstaben enthalten. Andere Proxy-Adressen für E-Mails können mit smtp in Kleinbuchstaben beginnen.Klicken Sie auf Add , um den Wert hinzuzufügen, und dann auf OK , um die Einstellungen zu speichern.Editing the proxyAddresses attribute in domain user propertiesWiederholen Sie diesen Vorgang für jeden Benutzer, der für die Office 365-Synchronisierung benötigt wird.

Überprüfen der Benutzernamen im Office 365 Admin Center

Öffnen Sie das Microsoft 365 Admin Center, gehen Sie zu Benutzer > Aktive Benutzer und überprüfen Sie die Benutzernamen und Domänenzusätze, die in ihren Namen verwendet werden. Wenn Sie eine benutzerdefinierte Domäne wie nakivo.com, verwenden Sie diese Benutzernamen anstelle der Namen mit der Domain nakivo.onmicrosoft.com.Configuring domain suffixes for Office 365 users before running Active Directory syncKlicken Sie auf die drei Punkte neben dem entsprechenden Benutzer und wählen Sie im sich öffnenden Menü Benutzername und E-Mail verwalten aus, um die erforderliche Domain für einen Benutzername auszuwählen. Ideal ist es, wenn die Domänennamen und Benutzernamen in Office 365 mit den Benutzernamen vor Ort im Active Directory übereinstimmen.Öffnen Sie Gruppen im Microsoft 365 Admin Center und bearbeiten Sie die Adressen der Gruppen genauso wie Sie die E-Mail-Adressen der Benutzer bearbeitet haben.

Installation von Azure AD Connect

Herunterladen von Azure AD Connect über den folgenden Link von der Microsoft-Website:https://www.microsoft.com/en-us/download/details.aspx?id=47594Sie können den Azure Connect-Status überprüfen und einen Link zum Herunterladen von der Seite Azure AD Connect im Microsoft Azure-Portal abrufen. Gehen Sie dazu zu Azure Active Directory > Azure AD Verbinden im Azure-Portal.AD sync Office 365 – checking Azure AD Connect sync statusSpeichern Sie die Azure AD Connect-Installationsdatei auf dem Server, auf dem Sie dieses Tool installieren möchten, z. B. auf einem Domänencontroller.Führen Sie die Azure AD Connect-Installationsdatei (AzureADConnect.msi ) aus. Der Azure AD Connect-Assistent wird geöffnet.Willkommen. Wählen Sie in der Willkommensphase „Ich stimme den Lizenzbedingungen und Datenschutzhinweisen zu” und klicken Sie auf Weiter.Installing Azure AD Connect to sync Office 365 with AD Express-Einstellungen. Wählen Sie eine der beiden verfügbaren Optionen aus: Anpassen oder Express-Einstellungen verwenden. Die Option Anpassen bietet Ihnen mehr Kontrolle bei der Konfiguration der Office 365 Active Directory-Synchronisierung.AD sync Office 365 – selecting custom settingsErforderliche Komponenten. Wählen Sie die zu installierenden Komponenten aus und legen Sie die Einstellungen für die ausgewählten Optionen fest.

  • Benutzerdefinierten Installationsort angeben
  • Vorhandenen SQL Server verwenden
  • Vorhandenes Dienstkonto verwenden
  • Benutzerdefinierte Synchronisierungsgruppen angeben
  • Einstellungen importieren

Klicken Sie auf Installieren , um fortzufahren.Office 365 Active Directory sync existing usersBenutzeranmeldung. Wählen Sie eine der verfügbaren Anmeldemethoden aus. Einige Optionen erfordern zusätzliche Konfigurationsschritte.

  • Passwort-Hash-Synchronisierung. Ein Hash des Passworts eines Benutzers aus dem vor Ort liegenden Active Directory wird mit Azure Active Directory synchronisiert.
  • Pass-Through-Authentifizierung. Benutzer können dasselbe Passwort im vor Ort liegenden AD und in der Cloud (Office 365, Azure) verwenden, es sind jedoch keine zusätzliche Infrastruktur und keine Verbundumgebung erforderlich.
  • Verbund mit AD FS. Eine Hybridumgebung sollte mithilfe von Active Directory und Active Directory Federation Services vor Ort bereitgestellt werden. Die Erneuerung der Zertifikate und zusätzliche AD FS-Serverbereitstellungen werden unterstützt.
  • Verbund mit PingFederate. Diese Option kann verwendet werden, wenn ein Unternehmens-PingFederate-Server in Ihrer Infrastruktur bereitgestellt ist, um eine einmalige Anmeldung für die Benutzerauthentifizierung bereitzustellen.
  • Nicht konfigurieren. Sie können eine Lösung verwenden, die nicht von diesem Assistenten verwaltet wird, für die föderierte Anmeldung. Benutzer, die bei einem Unternehmensnetzwerk angemeldet sind, können nach der Synchronisierung von Office 365 mit AD auf Cloud-Ressourcen zugreifen, ohne erneut Passwörter eingeben zu müssen.

Lesen Sie den Blogbeitrag über Active Directory Federation Services.Wählen Sie Passwort-Hash-Synchronisierung oder Nicht konfigurieren als empfohlene Option, wenn Sie sich nicht sicher sind, was Sie tun sollen.AD sync Office 365 – user sign-in optionsMit Azure AD verbinden. Geben Sie einen Benutzernamen und ein Passwort Ihres Microsoft 365-Benutzerkontos ein, das über globale Administratorrechte in Microsoft Azure/Office 365 verfügt (Anmeldeinformationen des Office 365-Administrators). Dieses Administratorkonto wird benötigt, um Azure AD Connect so zu konfigurieren, dass die Anwendung die Office 365 AD-Synchronisierung durchführen kann. Klicken Sie bei jedem Schritt auf „Weiter“, um fortzufahren.Entering credentials of the Azure AD global administrator accountVerzeichnisse verbinden. Geben Sie Informationen zu Ihrem aktuellen Active Directory ein, das vor Ort verwendet wird. Wählen Sie den Verzeichnistyp (Active Directory) aus, geben Sie die Domain-Struktur an, klicken Sie auf Verzeichnis hinzufügen, und geben Sie die Anmeldeinformationen des Domänenadministrators ein. Wenn Sie eine Domain-Struktur synchronisieren müssen, verwenden Sie die Anmeldeinformationen des Administrators für die Domain-Verwaltung.Entering required information about on-premises Active Directory to sync Office 365 with ADAzure AD-Anmeldung. Überprüfen Sie Ihre Domänen und Active Directory-UPN-Suffixe. Wählen Sie das Attribut vor Ort aus, das als Benutzername in Azure AD und Office 365 verwendet werden soll. Wir wählen userPrincipalName. Aktivieren Sie das Kontrollkästchen Continue without any verified Domains (Ohne verifizierte Domains fortfahren), wenn Ihre Domain nicht überprüft wurde. Sie können den Verifizierungsprozess später abschließen, damit sich Benutzer bei Azure AD und Office 365 anmelden können.Office 365 Active Directory sync existing users – sing-in configurationDomain und OU filtering. Behalten Sie die Standardeinstellungen auf diesem Bildschirm bei, um die Active Directory-Synchronisierung der gesamten AD-Daten durchzuführen. Wählen Sie benutzerdefinierte Domänen und Organisationseinheiten aus, wenn Sie die Einstellungen anpassen müssen. Sie können Domänen oder Organisationseinheiten, die Sie nicht synchronisieren möchten, abwählen.How to sync Office 365 with AD – configuring domain and OU filtering optionsIdentifizieren von Benutzern. Es wird empfohlen, in diesem Schritt die Standardeinstellungen für eine grundlegende Einrichtung der Active Directory-Synchronisierung mit Office 365 (für ein Azure AD, eine Domain und eine AD-Gesamtstruktur) beizubehalten. Wenn Sie eine komplexere Einrichtung durchführen müssen, wählen Sie benutzerdefinierte Optionen für Benutzeridentitäten über Verzeichnisse hinweg. Wählen Sie in den Optionen zur Benutzeridentifizierung SOURCE ANCHOR die Standardoption objectGUID aus, um IDs zu generieren und Benutzer zuzuordnen.Office 365 Active Directory sync existing users – identification optionsFiltering. Wählen Sie, ob Sie alle Benutzer und Geräte synchronisieren möchten, oder wählen Sie benutzerdefinierte Objekte für die Synchronisierung aus. Sie können gruppenbasierte Filterung verwenden.Filtering users and devicesOptionale Funktionen. Wählen Sie zusätzliche Funktionen aus, wenn Sie diese benötigen. Bewegen Sie den Mauszeiger über das Symbol „?“ neben dem Namen der einzelnen Funktionen, um Hilfe zu erhalten, die Ihnen bei der richtigen Entscheidung hilft.Configuring optional features to sync Office 365 with ADBereit zur Konfiguration. Aktivieren Sie das Kontrollkästchen Start the synchronization process when configuration completes, wenn Sie die Synchronisierung sofort nach dem Fertigstellen dieses Assistenten starten möchten. Sie können dieses Kontrollkästchen deaktivieren und die Synchronisierung bei Bedarf manuell starten. Klicken Sie auf Installieren , um die Konfiguration fertigzustellen.Office 365 AD sync – Azure AD Connect is ready to configureWarten Sie, bis die Installation und Konfiguration fertiggestellt sind. Wenn die Meldung Configuration Complete angezeigt wird, können Sie auf Exit klicken, um die Anwendung zu schließen. Auf dem Bildschirm Configuration Complete werden kurze Informationen zum fertiggestellten Office 365 AD-Synchronisierungsprozess angezeigt. Öffnen Sie anschließend das Microsoft 365 Admin Center und überprüfen Sie, ob die Active Directory-Synchronisierung mit Office 365 erfolgreich abgeschlossen wurde. Öffnen Sie den Abschnitt Synchronisierungsfehler auf der Seite Azure AD Connect Health im Azure-Portal, um Details zu den Fehlern anzuzeigen. Wenn Fehler auftreten, lesen Sie die bereitgestellten Empfehlungen, die Ihnen bei der Behebung der Fehler helfen können.Checking Azure Active Directory Connect healthWenn die Office 365-AD-Synchronisierung erfolgreich abgeschlossen wurde, können Sie Lizenzen für neue Office 365-Benutzer zuweisen, die nach der Office 365-Synchronisierung mit dem vor Ort befindlichen Active Directory hinzugefügt wurden.

Exportieren der Azure AD Connect-Konfiguration

Sie können Azure AD Connect im Expressmodus oder im benutzerdefinierten Modus bereitstellen. Bei mehreren Bereitstellungen, die dieselbe Azure AD Connect-Konfiguration zur Synchronisierung von Active Directory vor Ort und Office 365/Azure sowie zur Synchronisierung mehrerer AD-Forests verwenden, sollten Sie den Export/Import der Azure AD Connect-Konfiguration in Betracht ziehen.Nachdem Sie Azure AD Connect in der GUI mithilfe eines Assistenten konfiguriert haben, wird die Konfiguration in einer JSON-Datei gespeichert, die im Ordner %ProgramData%AADConnect abgelegt wird. Ein JSON-Dateiname sieht wie folgt aus: Applied-SynchronizationPolicy-*.JSON wobei * für den Datums-/Zeitstempel steht, anhand dessen sich feststellen lässt, wann die Konfiguration gespeichert wurde. In der GUI vorgenommene Änderungen werden automatisch exportiert. Mit PowerShell vorgenommene Änderungen sollten jedoch bei Bedarf manuell exportiert werden.Um Einstellungen zu importieren, führen Sie Azure AD Connect aus, wählen Sie die Option Anpassen aus, wählen Sie auf dem Bildschirm Erforderliche Komponenten installieren die Option Synchronisierungseinstellungen importieren, klicken Sie auf Durchsuchen, und wählen Sie die JSON-Konfigurationsdatei aus.AD sync Office 365 – importing synchronization settings to Azure AD ConnectDurch den Import der Konfiguration müssen Benutzer nur ein Minimum an Daten manuell eingeben, um Azure AD Connect in kurzer Zeit zu konfigurieren und die identische Konfiguration auf mehreren Servern zu reproduzieren.

Tools für die Konfigurationsmigration

Es gibt Tools zum Exportieren und Importieren der Konfiguration von Azure AD Connect von einem Server auf einen anderen, um bei der Synchronisierung von Office 365 Active Directory eine identische Konfiguration zu erhalten.Kopieren Sie die Datei MigrateSettings.ps1 aus dem Ordner C:Program FilesMicrosoft Azure Active Directory ConnectTools oder einem benutzerdefinierten Ordner, in dem Azure AD Connect auf dem ersten Server installiert ist, an einen benutzerdefinierten Standort, z. B. C:Programs.Führen Sie das Skript MigrateSettings.ps1 auf dem ersten (vorhandenen) Server aus. Wenn die Ausgabemeldung angezeigt wird, dass ein Parameter, der das Argument „True” akzeptiert, nicht gefunden wurde, bearbeiten Sie das Skript und entfernen Sie $true aus dem Skript.Running a PowerShell script to export Office 365 AD sync settings from Azure AD ConnectFühren Sie das Skript aus und überprüfen Sie das Verzeichnis in der Ausgabe. Die Azure AD-Synchronisierungskonfiguration wird in diesen Ordner exportiert. Kopieren Sie diesen Ordner Exported-ServerConfiguration-* und seinen Inhalt auf den zweiten (neuen) Server.Führen Sie Azure AD Connect auf dem zweiten Server aus und wählen Sie auf dem Bildschirm Installieren Sie die erforderlichen Komponenten die Option Synchronisierungseinstellungen importieren und wählen Sie die Konfigurationsdatei MigratedPolicy.json (wie oben erläutert) aus, die sich im kopierten Ordner Exported-ServerConfiguration-* befindet.

Weitere Office 365 AD-Synchronisierungsoptionen

Wenn Sie nicht 30 Minuten warten können, was dem Standardintervall zwischen Synchronisierungsvorgängen entspricht, erzwingen Sie die Office 365 AD-Synchronisierung von PowerShell-Befehlen. Das Azure Active Directory PowerShell-Modul wird normalerweise mit dem Azure AD Connect-Tool installiert.Importieren Sie das ADSync-PowerShell-Modul:Import-Module ADSyncÜberprüfen Sie Ihre aktuellen Office 365 AD-Synchronisierungseinstellungen:Get-ADSyncSchedulerErzwingen Sie eine Delta-Synchronisierung, um nur die seit der letzten erfolgreichen Synchronisierung vorgenommenen Änderungen zu synchronisieren:Start-ADSyncSyncCycle -PolicyType DeltaErzwingen Sie eine vollständige Synchronisierung, um alle Daten zu synchronisieren:Start-ADSyncSyncCycle -PolicyType InitialÄndern Sie das Office 365 AD-Synchronisierungsintervall auf 10 Minuten:Set-ADSyncScheduler -CustomizedSyncCycleInterval 00:10:00Beachten Sie, dass bei der manuellen Office 365 AD-Synchronisierung keine Passwörter synchronisiert werden. Versuchen Sie in diesem Fall, den AD-Synchronisierungsdienst von Office 365 auf einem lokalen Server, auf dem Azure AD Connect ausgeführt wird, neu zu starten, und überprüfen Sie dann, ob die Anmeldeinformationen korrekt sind.

Konfigurationsempfehlungen

Schützen Sie einen Server, auf dem Azure AD Connect installiert ist. Beschränken Sie den Zugriff für Benutzer, die keine Administratoren sind, auf den Server, auf dem Azure AD Connect ausgeführt wird. Verwenden Sie sichere Passwörter, um die von diesem Active Directory-Synchronisierungstool verwendeten Dienstkonten zu schützen. Angesichts der Leistungsfähigkeit dieses Tools sind sichere Passwörter von entscheidender Bedeutung, wenn jemand Zugriff auf den Server erhält, auf dem AD Sync ausgeführt wird. Sie können vertrauenswürdige Benutzer zur Gruppe „ADSyncAdmins“ hinzufügen, um das Zugriffsmanagement zu vereinfachen.Überprüfen Sie die Gruppen, die Sie von der vor Ort installierten AD mit Azure AD und Office 365 synchronisieren möchten. Nicht alle Gruppen sollten synchronisiert werden. Es kann Gruppen geben, die in der Cloud nutzlos sind oder aufgrund von Sicherheits- oder Produktivitätsgründen nicht synchronisiert werden sollten. Filtern Sie Sicherheitsgruppen und Verteilergruppen, die für Microsoft 365- und Azure-Cloudumgebungen nicht relevant sind. Schließen Sie alle Administratorgruppen von der Office 365 Active Directory-Synchronisierung aus.Betrachten Sie die Office 365 Active Directory-Synchronisierung mit Azure AD-Synchronisierung nicht als Lösung zum Backup. Einige Attribute von Objekten in der Cloud sind einzigartig, z. B. Lizenzinformationen zu Office 365-Benutzer. Wenn diese spezifischen Informationen in der Cloud gelöscht werden, können Sie sie nicht wiederherstellen, indem Sie die Office 365 Active Directory-Synchronisierung vor Ort aus dem lokalen Active Directory ausführen. Die Synchronisierung des lokalen Active Directory mit Azure ist nicht dasselbe wie das Backup von Active Directory und Domänencontrollern. Verwenden Sie spezielle Tools und Backup-Lösungen, um Ihre vor Ort ausgeführten Active Directory-Domänencontroller und Office 365-Daten in der Cloud zu schützen.

Office 365-Backup und Active Directory-Backup

Sie sollten regelmäßig ein Office 365-Backup durchführen und diese Backups an einem sicheren Ort speichern. Das Office 365-Backup sollte die erforderlichen Daten aus Office-Anwendungen wie Exchange Online-E-Mails, OneDrive und SharePoint enthalten. Office 365-Daten werden in der Cloud gespeichert, aber wenn einige dieser Daten durch Ransomware beschädigt oder versehentlich gelöscht werden, kann ein Backup die einzige Möglichkeit sein, diese Daten wiederherzustellen, insbesondere wenn Sie den Datenverlust erst bemerken, wenn es bereits zu spät ist.Active Directory ist ein zentralisiertes Verwaltungssystem in einem Windows-Netzwerk. Die Nichtverfügbarkeit eines Active Directory-Domänencontrollers kann den Betrieb eines gesamten Unternehmens zum Erliegen bringen. Sichern Sie vor Ort ausgeführte Active Directory-Domänencontroller, um die Wiederherstellung von Daten im Katastrophenfall zu ermöglichen. Verwenden Sie vorzugsweise dedizierte Backup-Lösungen von Drittanbietern, die Application-Aware-Backups unterstützen, wenn Sie laufende Server mit laufenden Anwendungen sichern.NAKIVO Backup & Replication ist eine Lösung für die Datensicherheit in KMUs und Unternehmen, die Cloud-Backups für Office 365 unterstützt, darunter Anwendungen wie Exchange Online, SharePoint Online, Microsoft Teams und OneDrive for Business. Sie können mehrere Office 365-Mandanten sichern, alle Benutzer oder benutzerdefinierte Benutzer auswählen und die benötigten Elemente auf granularer Ebene wiederherstellen.NAKIVO Backup & Replication unterstützt die Sicherung physischer Server, einschließlich Windows-Servern, die als Active Directory-Domänencontroller fungieren, und kann Active Directory-Backups durchführen. Durch den Support für Application-Aware-Backups können Sie Domänencontroller sichern und anwendungskonsistente Daten in einem Backup speichern. Die granulare Wiederherstellung wird auch für Physische Server-Backups unterstützt.

Fazit

Unternehmen, die in die Cloud migrieren, tun dies nur teilweise. Sie nutzen weiterhin Active Directory-Dienste vor Ort in Kombination mit Cloud-Diensten. Dies wird als hybride Umgebung bezeichnet. Eine Option zur Synchronisierung von Office 365 mit AD ermöglicht es Unternehmen, hybride Umgebungen zu konfigurieren und Benutzerkonten und Authentifizierungsoptionen zwischen lokalem AD und Azure AD zu synchronisieren.Die Synchronisierung von Office 365 Active Directory kann mit Azure AD Connect durchgeführt werden, einem von Microsoft entwickelten nativen Tool. Sie müssen Ihr vor Ort betriebenes Active Directory vorbereiten, die Domäneneinstellungen für die vor Ort betriebene Domäne und die mit Ihrem Office 365-Mandanten verknüpfte externe Domäne konfigurieren und die Optionen für die Office 365-Verzeichnissynchronisierung in AD Connect konfigurieren. Durch die Integration von Office 365 Active Directory können Benutzer dieselben Anmeldeinformationen für lokale Windows-Umgebungen und in Office 365 verwenden.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Empfohlene Artikel

Picture
So erstellen Sie PowerShell-Tools zum Einrichten von SFTP
Picture
Detaillierte Übersicht über Office 365-Business-Pläne
Picture
So stellen Sie Dateien mit Microsoft OneDrive wieder her