Konfigurieren von Microsoft Entra Domain Services für die Unterstützung der Benutzerprofilsynchronisierung für SharePoint Server

SharePoint Server umfasst einen Dienst zum Synchronisieren von Benutzerprofilen. Mit diesem Feature können Benutzerprofile an einem zentralen Ort gespeichert werden, und es kann über mehrere SharePoint-Websites und -Farmen darauf zugegriffen werden. Zum Konfigurieren des SharePoint Server-Benutzerprofildiensts müssen die entsprechenden Berechtigungen in einer durch Microsoft Entra Domain Services verwalteten Domäne erteilt werden. Weitere Informationen finden Sie unter der Benutzerprofilsynchronisierung in SharePoint Server.

In diesem Artikel wird gezeigt, wie Sie Domain Services so konfigurieren, dass der SharePoint Server-Synchronisierungsdienst für Benutzerprofile zulässig ist.

Voraussetzungen

Für diesen Artikel benötigen Sie die folgenden Ressourcen und Berechtigungen:

• Ein aktives Azure-Abonnement.
  • Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein Konto.
• Einen mit Ihrem Abonnement verknüpften Microsoft Entra-Mandanten, der entweder mit einem lokalen Verzeichnis synchronisiert oder ein reines Cloudverzeichnis ist.
  • Erstellen Sie einen Microsoft Entra-Mandanten, oder verknüpfen Sie ein Azure-Abonnement mit Ihrem Konto, sofern erforderlich.
• Eine von Microsoft Entra Domain Services verwaltete Domäne, die in Ihrem Microsoft Entra-Mandanten aktiviert und konfiguriert ist.
  • Bearbeiten Sie bei Bedarf das Tutorial Erstellen und Konfigurieren einer verwalteten Microsoft Entra Domain Services-Domäne.
• Eine Windows Server-Verwaltungs-VM, die in die verwaltete Domain Services-Domäne eingebunden ist.
  • Führen Sie bei Bedarf das Tutorial zum Erstellen eines virtuellen Verwaltungscomputers aus.
• Ein Benutzerkonto, das Mitglied der Gruppe Microsoft Entra DC-Administratoren in Ihrem Microsoft Entra-Mandanten ist.
• Der Name des SharePoint-Dienstkontos für den Benutzerprofil-Synchronisierungsdienst. Weitere Informationen zum Profilsynchronisierungskonto finden Sie unter Planen von Administrator- und Dienstkonten in SharePoint Server. Um den Namen des Profilsynchronisierungskontos von der Website der SharePoint-Zentraladministration abzurufen, klicken Sie auf Anwendungsverwaltung>Dienstanwendungen verwalten>Benutzerprofildienstanwendung. Weitere Informationen finden Sie unter Konfigurieren der Profilsynchronisierung mit SharePoint Active Directory-Import in SharePoint Server.

Übersicht über Dienstkonten

In einer verwalteten Domäne ist eine Sicherheitsgruppe namens Microsoft Entra DC-Dienstkonten als Teil der Organisationseinheit Benutzer vorhanden. An Mitglieder dieser Sicherheitsgruppe werden die folgenden Berechtigungen delegiert:

• Berechtigung Verzeichnisänderungen replizieren für den Stamm-DSE
• Berechtigung Verzeichnisänderungen replizieren im Namenskontext der Konfiguration (cn=configuration-Container)

Die Sicherheitsgruppe Microsoft Entra DC-Dienstkonten ist außerdem Mitglied der integrierten Gruppe Prä-Windows 2000 kompatibler Zugriff.

Beim Hinzufügen zu dieser Sicherheitsgruppe werden dem Dienstkonto für den SharePoint Server-Synchronisierungsdienst für Benutzerprofile die erforderlichen Berechtigungen erteilt, um ordnungsgemäß zu funktionieren.

Aktivieren der Unterstützung für die SharePoint Server-Benutzerprofilsynchronisierung

Das Dienstkonto für SharePoint Server benötigt geeignete Berechtigungen zum Replizieren von Änderungen am Verzeichnis und ordnungsgemäßem Funktionieren der SharePoint Server-Benutzerprofilsynchronisierung. Zum Bereitstellen dieser Berechtigungen fügen Sie der Gruppe Microsoft Entra DC-Dienstkonten das Dienstkonto, das für die SharePoint-Benutzerprofilsynchronisierung verwendet wird, hinzu.

Führen Sie auf der VM für die Domain Services-Verwaltung folgende Schritte aus:

Hinweis

Zum Bearbeiten der Gruppenmitgliedschaft in einer verwalteten Domäne müssen Sie bei einem Benutzerkonto angemeldet sein, das Mitglied der Gruppe AAD DC-Administratoren ist.

1. Klicken Sie auf dem Startbildschirm auf Verwaltung. Es wird eine Liste der verfügbaren Verwaltungstools angezeigt, die im Tutorial zum Erstellen eines virtuellen Verwaltungscomputers installiert wurden.

2. Zum Verwalten der Gruppenmitgliedschaft wählen Sie Active Directory-Verwaltungscenter aus der Liste der Verwaltungstools aus.

3. Wählen Sie im linken Bereich Ihre verwaltete Domäne (z. B. aaddscontoso.com) aus. Eine Liste der vorhandenen Organisationseinheiten und Ressourcen wird angezeigt.

4. Wählen Sie die Organisationseinheit Benutzer und anschließend die Sicherheitsgruppe Microsoft Entra DC-Dienstkonten aus.

5. Wählen Sie Mitglieder und dann Hinzufügen... aus.

6. Geben Sie den Namen des SharePoint-Dienstkontos ein, und klicken Sie dann auf OK. Im folgenden Beispiel hat das SharePoint-Dienstkonto den Namen spadmin: