Bereitstellen von Active Directory für Microsoft Entra ID – Konfiguration
Das folgende Dokument führt Sie durch die Konfiguration von Microsoft Entra Cloud Sync für die Bereitstellung von Active Directory zu Microsoft Entra ID. Wenn Sie nach Informationen zur Bereitstellung von Microsoft Entra ID in AD suchen, lesen Sie Konfigurieren – Bereitstellen von Active Directory für Microsoft Entra ID mithilfe von Microsoft Entra Cloud Sync
In der folgenden Dokumentation wird die neue Anleitungsoberfläche für die Microsoft Entra-Cloudsynchronisierung veranschaulicht.
Weitere Informationen und ein Beispiel für die Konfiguration der Cloudsynchronisierung finden Sie im nachfolgenden Video.
Konfigurieren der Bereitstellung
Gehen Sie zum Konfigurieren der Bereitstellung wie folgt vor.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.
- Navigieren Sie zu Identität>Hybridverwaltung>Microsoft Entra Connect>Cloudsynchronisierung.
- Wählen Sie Neue Konfiguration aus.
- Wählen Sie AD zu Microsoft Entra ID-Synchronisierung aus.
- Wählen Sie im Konfigurationsbildschirm Ihre Domäne aus, und geben Sie an, ob die Kennworthashsynchronisierung aktiviert werden soll. Klicken Sie auf Erstellen.
- Der Bildschirm Erste Schritte wird geöffnet. Von hier aus können Sie die Konfiguration der Cloudsynchronisierung fortsetzen.
- Die Konfiguration ist in die folgenden fünf Abschnitte unterteilt.
`Section` | BESCHREIBUNG |
---|---|
1. Bereichsfilter hinzufügen | Verwenden Sie diesen Abschnitt, um zu definieren, welche Objekte in Microsoft Entra ID angezeigt werden. |
2. Attribute zuordnen | Verwenden Sie diesen Abschnitt, um Attribute zwischen Ihren lokalen Benutzer*innen/Gruppen mit Microsoft Entra-Objekten zuzuordnen. |
3. Testen | Testen Sie Ihre Konfiguration, bevor Sie sie bereitstellen. |
4. Standardeigenschaften anzeigen | Zeigen Sie die Standardeinstellung vor der Aktivierung an, und nehmen Sie ggf. Änderungen vor. |
5. Ihre Konfiguration aktivieren | Sobald Sie bereit sind, aktivieren Sie die Konfiguration, und Benutzer/Gruppen beginnen mit der Synchronisierung. |
Hinweis
Während des Konfigurationsprozesses wird das Dienstkonto für die Synchronisierung im Format ADToAADSyncServiceAccount@[TenantID].onmicrosoft.com erstellt. Sie erhalten möglicherweise eine Fehlermeldung, wenn die Multi-Faktor-Authentifizierung für das Dienstkonto für die Synchronisierung aktiviert ist oder andere interaktive Authentifizierungsrichtlinien versehentlich für das Synchronisierungskonto aktiviert sind. Der Fehler sollte durch Entfernen der Multi-Faktor-Authentifizierung oder von interaktiven Authentifizierungsrichtlinien für das Synchronisierungsdienstkonto behoben werden, und Sie können die Konfiguration reibungslos abschließen.
Beschränken der Bereitstellung auf bestimmte Benutzer und Gruppen
Standardmäßig synchronisiert der Bereitstellungs-Agent eine Teilmenge der Benutzer und Gruppen aus Ihrem Active Directory. Durch Verwenden lokaler Active Directory-Gruppen oder Organisationseinheiten können Sie den Agent so beschränken, dass nur bestimmte Benutzer und Gruppen synchronisiert werden.
Gruppen und Organisationseinheiten können im Rahmen einer Konfiguration konfiguriert werden.
Hinweis
Geschachtelte Gruppen können nicht mit der Gruppenbereichsdefinition verwendet werden. Geschachtelte Objekte jenseits der ersten Ebene werden bei der Bereichsdefinition mithilfe von Sicherheitsgruppen nicht einbezogen. Verwenden Sie die Gruppenbereichsfilterung nur für Pilotszenarien, da für die Synchronisierung großer Gruppen Einschränkungen bestehen.
- Auf dem Konfigurationsbildschirm Erste Schritte. Klicken Sie entweder auf Bereichsfilter hinzufügen neben dem Symbol Bereichsfilter hinzufügen oder auf die Schaltfläche Bereichsfilter links unter Verwalten.
- Wählen Sie den Bereichsfilter aus. Der Filter kann eine der folgenden Optionen darstellen:
- Alle Benutzer: Definiert die Konfiguration, die auf alle Benutzer angewendet wird, die synchronisiert werden.
- Ausgewählte Sicherheitsgruppen: Definiert die Konfiguration, die auf bestimmte Sicherheitsgruppen angewendet werden soll.
- Ausgewählte Organisationseinheiten: Definiert die Konfiguration, die auf bestimmte Organisationseinheiten angewendet werden soll.
- Geben Sie für Sicherheitsgruppen und Organisationseinheiten den entsprechenden Distinguished Name an, und klicken Sie auf Hinzufügen.
- Nachdem Ihre Bereichsfilter konfiguriert sind, klicken Sie auf Speichern.
- Nach dem Speichern sollte eine Meldung angezeigt werden, die Sie darüber informiert, was Sie zum Konfigurieren der Cloudsynchronisierung noch durchführen müssen. Sie können auf den Link klicken, um fortzufahren.
- Nachdem Sie den Bereich geändert haben, sollten Sie die Bereitstellung erneut starten, um eine sofortige Synchronisierung der Änderungen einzuleiten.
Attributzuordnung
Die Microsoft Entra-Cloudsynchronisierung ermöglicht das einfache Zuordnen von Attributen zwischen lokalen Benutzer-/Gruppenobjekten und den Objekten in Microsoft Entra ID.
Sie können die Standardattributzuordnungen den Anforderungen Ihres Unternehmens entsprechend anpassen. Dies bedeutet, dass Sie vorhandene Attributzuordnungen ändern oder löschen und neue Attributzuordnungen erstellen können.
Nach dem Speichern sollte eine Meldung angezeigt werden, die Sie darüber informiert, was Sie zum Konfigurieren der Cloudsynchronisierung noch durchführen müssen. Sie können auf den Link klicken, um fortzufahren.
Weitere Informationen finden Sie unter Attributzuordnung bei der Azure AD Connect-Cloudsynchronisierung.
Verzeichniserweiterungen und benutzerdefinierte Attributzuordnungen
Mit der Microsoft Entra-Cloudsynchronisierung können Sie das Verzeichnis mit Erweiterungen erweitern und eine benutzerdefinierte Attributzuordnung ermöglichen. Weitere Informationen finden Sie unter Verzeichniserweiterungen und benutzerdefinierte Attributzuordnungen.
Bedarfsorientierte Bereitstellung
Die Microsoft Entra-Cloudsynchronisierung ermöglicht Ihnen das Testen von Konfigurationsänderungen, indem diese Änderungen auf einen einzelnen Benutzer oder eine einzelne Gruppe angewandt werden.
So können Sie überprüfen, ob die an der Konfiguration vorgenommenen Änderungen richtig angewendet wurden und ordnungsgemäß mit Microsoft Entra ID synchronisiert werden.
Nach dem Testen sollte eine Meldung angezeigt werden, die Sie darüber informiert, was Sie zum Konfigurieren der Cloudsynchronisierung noch durchführen müssen. Sie können auf den Link klicken, um fortzufahren.
Weitere Informationen finden Sie unter Bedarfsorientierte Bereitstellung mit Azure AD Connect-Cloudbereitstellung.
Versehentliche Löschungen und E-Mail-Benachrichtigungen
Der Abschnitt „Standardeigenschaften“ enthält Informationen zu versehentlichen Löschungen und E-Mail-Benachrichtigungen.
Die Funktion gegen versehentliches Löschen dient zum Schutz vor unbeabsichtigten Konfigurationsänderungen und Änderungen an Ihrem lokalen Verzeichnis, die sich auf viele Benutzer und Gruppen auswirken würden.
Dieses Feature bietet folgende Möglichkeiten:
- Konfigurieren der Möglichkeit zum automatischen Verhindern von versehentlichen Löschungen
- Festlegen der Anzahl von Objekten (Schwellenwert), ab der die Konfiguration wirksam wird
- Einrichten eine E-Mail-Adresse für Benachrichtigungen, sobald der betreffende Synchronisierungsauftrag gemäß diesem Szenario in Quarantäne gestellt wird
Weitere Informationen finden Sie unter Versehentliches Löschen.
Klicken Sie auf den Stift neben Grundlagen, um die Standardwerte in einer Konfiguration zu ändern.
Aktivieren Ihrer Konfiguration
Nachdem Sie Ihre Konfiguration abgeschlossen und getestet haben, können Sie sie aktivieren.
Klicken Sie auf Konfiguration aktivieren, um sie zu aktivieren.
Quarantäne
Die Cloudsynchronisierung überwacht die Integrität Ihrer Konfiguration und versetzt fehlerhafte Objekte in den Status „Quarantäne“. Wenn die meisten oder alle Aufrufe an das Zielsystem aufgrund eines Fehlers (z. B. bei ungültigen Administratoranmeldeinformationen) dauerhaft nicht erfolgreich sind, wird der Synchronisierungsauftrag in den Quarantänestatus versetzt. Weitere Informationen finden Sie im Abschnitt zur Problembehandlung bei der Quarantäne.
Erneutes Starten der Bereitstellung
Wenn Sie nicht auf die nächste geplante Ausführung warten möchten, können Sie mithilfe der Schaltfläche Synchronisierung neu starten die Ausführung der Bereitstellung auslösen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.
- Navigieren Sie zu Identität>Hybridverwaltung>Microsoft Entra Connect>Cloudsynchronisierung.
- Wählen Sie unter Konfiguration Ihre Konfiguration aus.
- Wählen Sie oben die Option Synchronisierung neu starten aus.
Entfernen einer Konfiguration
Führen Sie die folgenden Schritte aus, um eine Konfiguration zu löschen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.
- Navigieren Sie zu Identität>Hybridverwaltung>Microsoft Entra Connect>Cloudsynchronisierung.
- Wählen Sie unter Konfiguration Ihre Konfiguration aus.
- Wählen Sie am oberen Rand des Konfigurationsbildschirms Konfiguration löschen aus.
Wichtig
Vor dem Löschen einer Konfiguration wird keine Bestätigung ausgegeben. Stellen Sie sicher, dass es sich um die Aktion handelt, die Sie ausführen möchten, bevor Sie Löschen auswählen.