Freigeben über


Bereitstellen von Active Directory für Microsoft Entra ID – Konfiguration

Das folgende Dokument führt Sie durch die Konfiguration von Microsoft Entra Cloud Sync für die Bereitstellung von Active Directory zu Microsoft Entra ID. Wenn Sie nach Informationen zur Bereitstellung von Microsoft Entra ID in AD suchen, lesen Sie Konfigurieren – Bereitstellen von Active Directory für Microsoft Entra ID mithilfe von Microsoft Entra Cloud Sync

In der folgenden Dokumentation wird die neue Anleitungsoberfläche für die Microsoft Entra-Cloudsynchronisierung veranschaulicht.

Weitere Informationen und ein Beispiel für die Konfiguration der Cloudsynchronisierung finden Sie im nachfolgenden Video.

Konfigurieren der Bereitstellung

Gehen Sie zum Konfigurieren der Bereitstellung wie folgt vor.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.
  2. Navigieren Sie zu Identität>Hybridverwaltung>Microsoft Entra Connect>Cloudsynchronisierung. Screenshot der Startseite für die Cloudsynchronisierung.
  1. Wählen Sie Neue Konfiguration aus.
  2. Wählen Sie AD zu Microsoft Entra ID-Synchronisierung aus. Screenshot: Hinzufügen einer Konfiguration
  3. Wählen Sie im Konfigurationsbildschirm Ihre Domäne aus, und geben Sie an, ob die Kennworthashsynchronisierung aktiviert werden soll. Klicken Sie auf Erstellen.

Screenshot: Neue Konfiguration

  1. Der Bildschirm Erste Schritte wird geöffnet. Von hier aus können Sie die Konfiguration der Cloudsynchronisierung fortsetzen.

Screenshot: Bildschirm zu den ersten Schritten

  1. Die Konfiguration ist in die folgenden fünf Abschnitte unterteilt.
`Section` BESCHREIBUNG
1. Bereichsfilter hinzufügen Verwenden Sie diesen Abschnitt, um zu definieren, welche Objekte in Microsoft Entra ID angezeigt werden.
2. Attribute zuordnen Verwenden Sie diesen Abschnitt, um Attribute zwischen Ihren lokalen Benutzer*innen/Gruppen mit Microsoft Entra-Objekten zuzuordnen.
3. Testen Testen Sie Ihre Konfiguration, bevor Sie sie bereitstellen.
4. Standardeigenschaften anzeigen Zeigen Sie die Standardeinstellung vor der Aktivierung an, und nehmen Sie ggf. Änderungen vor.
5. Ihre Konfiguration aktivieren Sobald Sie bereit sind, aktivieren Sie die Konfiguration, und Benutzer/Gruppen beginnen mit der Synchronisierung.

Hinweis

Während des Konfigurationsprozesses wird das Dienstkonto für die Synchronisierung im Format ADToAADSyncServiceAccount@[TenantID].onmicrosoft.com erstellt. Sie erhalten möglicherweise eine Fehlermeldung, wenn die Multi-Faktor-Authentifizierung für das Dienstkonto für die Synchronisierung aktiviert ist oder andere interaktive Authentifizierungsrichtlinien versehentlich für das Synchronisierungskonto aktiviert sind. Der Fehler sollte durch Entfernen der Multi-Faktor-Authentifizierung oder von interaktiven Authentifizierungsrichtlinien für das Synchronisierungsdienstkonto behoben werden, und Sie können die Konfiguration reibungslos abschließen.

Beschränken der Bereitstellung auf bestimmte Benutzer und Gruppen

Standardmäßig synchronisiert der Bereitstellungs-Agent eine Teilmenge der Benutzer und Gruppen aus Ihrem Active Directory. Durch Verwenden lokaler Active Directory-Gruppen oder Organisationseinheiten können Sie den Agent so beschränken, dass nur bestimmte Benutzer und Gruppen synchronisiert werden.

Screenshot: Symbol für Bereichsfilter

Gruppen und Organisationseinheiten können im Rahmen einer Konfiguration konfiguriert werden.

Hinweis

Geschachtelte Gruppen können nicht mit der Gruppenbereichsdefinition verwendet werden. Geschachtelte Objekte jenseits der ersten Ebene werden bei der Bereichsdefinition mithilfe von Sicherheitsgruppen nicht einbezogen. Verwenden Sie die Gruppenbereichsfilterung nur für Pilotszenarien, da für die Synchronisierung großer Gruppen Einschränkungen bestehen.

  1. Auf dem Konfigurationsbildschirm Erste Schritte. Klicken Sie entweder auf Bereichsfilter hinzufügen neben dem Symbol Bereichsfilter hinzufügen oder auf die Schaltfläche Bereichsfilter links unter Verwalten.

Screenshot: Bereichsfilter

  1. Wählen Sie den Bereichsfilter aus. Der Filter kann eine der folgenden Optionen darstellen:
    • Alle Benutzer: Definiert die Konfiguration, die auf alle Benutzer angewendet wird, die synchronisiert werden.
    • Ausgewählte Sicherheitsgruppen: Definiert die Konfiguration, die auf bestimmte Sicherheitsgruppen angewendet werden soll.
    • Ausgewählte Organisationseinheiten: Definiert die Konfiguration, die auf bestimmte Organisationseinheiten angewendet werden soll.
  2. Geben Sie für Sicherheitsgruppen und Organisationseinheiten den entsprechenden Distinguished Name an, und klicken Sie auf Hinzufügen.
  3. Nachdem Ihre Bereichsfilter konfiguriert sind, klicken Sie auf Speichern.
  4. Nach dem Speichern sollte eine Meldung angezeigt werden, die Sie darüber informiert, was Sie zum Konfigurieren der Cloudsynchronisierung noch durchführen müssen. Sie können auf den Link klicken, um fortzufahren. Screenshot: Aufforderung für Bereichsfilter
  5. Nachdem Sie den Bereich geändert haben, sollten Sie die Bereitstellung erneut starten, um eine sofortige Synchronisierung der Änderungen einzuleiten.

Attributzuordnung

Die Microsoft Entra-Cloudsynchronisierung ermöglicht das einfache Zuordnen von Attributen zwischen lokalen Benutzer-/Gruppenobjekten und den Objekten in Microsoft Entra ID.

Screenshot: Symbol zum Zuordnen von Attributen

Sie können die Standardattributzuordnungen den Anforderungen Ihres Unternehmens entsprechend anpassen. Dies bedeutet, dass Sie vorhandene Attributzuordnungen ändern oder löschen und neue Attributzuordnungen erstellen können.

Screenshot: Standardmäßige Attributzuordnungen

Nach dem Speichern sollte eine Meldung angezeigt werden, die Sie darüber informiert, was Sie zum Konfigurieren der Cloudsynchronisierung noch durchführen müssen. Sie können auf den Link klicken, um fortzufahren. Screenshot: Aufforderung für Attributfilter

Weitere Informationen finden Sie unter Attributzuordnung bei der Azure AD Connect-Cloudsynchronisierung.

Verzeichniserweiterungen und benutzerdefinierte Attributzuordnungen

Mit der Microsoft Entra-Cloudsynchronisierung können Sie das Verzeichnis mit Erweiterungen erweitern und eine benutzerdefinierte Attributzuordnung ermöglichen. Weitere Informationen finden Sie unter Verzeichniserweiterungen und benutzerdefinierte Attributzuordnungen.

Bedarfsorientierte Bereitstellung

Die Microsoft Entra-Cloudsynchronisierung ermöglicht Ihnen das Testen von Konfigurationsänderungen, indem diese Änderungen auf einen einzelnen Benutzer oder eine einzelne Gruppe angewandt werden.

Screenshot: Testsymbol

So können Sie überprüfen, ob die an der Konfiguration vorgenommenen Änderungen richtig angewendet wurden und ordnungsgemäß mit Microsoft Entra ID synchronisiert werden.

Screenshot: Bedarfsorientierte Bereitstellung

Nach dem Testen sollte eine Meldung angezeigt werden, die Sie darüber informiert, was Sie zum Konfigurieren der Cloudsynchronisierung noch durchführen müssen. Sie können auf den Link klicken, um fortzufahren. Screenshot: Aufforderung zum Testen

Weitere Informationen finden Sie unter Bedarfsorientierte Bereitstellung mit Azure AD Connect-Cloudbereitstellung.

Versehentliche Löschungen und E-Mail-Benachrichtigungen

Der Abschnitt „Standardeigenschaften“ enthält Informationen zu versehentlichen Löschungen und E-Mail-Benachrichtigungen.

Screenshot: Symbol für Standardeigenschaften

Die Funktion gegen versehentliches Löschen dient zum Schutz vor unbeabsichtigten Konfigurationsänderungen und Änderungen an Ihrem lokalen Verzeichnis, die sich auf viele Benutzer und Gruppen auswirken würden.

Dieses Feature bietet folgende Möglichkeiten:

  • Konfigurieren der Möglichkeit zum automatischen Verhindern von versehentlichen Löschungen
  • Festlegen der Anzahl von Objekten (Schwellenwert), ab der die Konfiguration wirksam wird
  • Einrichten eine E-Mail-Adresse für Benachrichtigungen, sobald der betreffende Synchronisierungsauftrag gemäß diesem Szenario in Quarantäne gestellt wird

Weitere Informationen finden Sie unter Versehentliches Löschen.

Klicken Sie auf den Stift neben Grundlagen, um die Standardwerte in einer Konfiguration zu ändern.

Screenshot: Grundlagen

Aktivieren Ihrer Konfiguration

Nachdem Sie Ihre Konfiguration abgeschlossen und getestet haben, können Sie sie aktivieren.

Screenshot: Symbol zum Überprüfen und Aktivieren

Klicken Sie auf Konfiguration aktivieren, um sie zu aktivieren.

Screenshot: Aktivieren einer Konfiguration

Quarantäne

Die Cloudsynchronisierung überwacht die Integrität Ihrer Konfiguration und versetzt fehlerhafte Objekte in den Status „Quarantäne“. Wenn die meisten oder alle Aufrufe an das Zielsystem aufgrund eines Fehlers (z. B. bei ungültigen Administratoranmeldeinformationen) dauerhaft nicht erfolgreich sind, wird der Synchronisierungsauftrag in den Quarantänestatus versetzt. Weitere Informationen finden Sie im Abschnitt zur Problembehandlung bei der Quarantäne.

Erneutes Starten der Bereitstellung

Wenn Sie nicht auf die nächste geplante Ausführung warten möchten, können Sie mithilfe der Schaltfläche Synchronisierung neu starten die Ausführung der Bereitstellung auslösen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.
  2. Navigieren Sie zu Identität>Hybridverwaltung>Microsoft Entra Connect>Cloudsynchronisierung. Screenshot: Startseite der Cloudsynchronisierung
  1. Wählen Sie unter Konfiguration Ihre Konfiguration aus.

Screenshot: Neustart der Synchronisierung

  1. Wählen Sie oben die Option Synchronisierung neu starten aus.

Entfernen einer Konfiguration

Führen Sie die folgenden Schritte aus, um eine Konfiguration zu löschen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.
  2. Navigieren Sie zu Identität>Hybridverwaltung>Microsoft Entra Connect>Cloudsynchronisierung. Screenshot: Startseite der Cloudsynchronisierung
  1. Wählen Sie unter Konfiguration Ihre Konfiguration aus.

Screenshot: Löschvorgang

  1. Wählen Sie am oberen Rand des Konfigurationsbildschirms Konfiguration löschen aus.

Wichtig

Vor dem Löschen einer Konfiguration wird keine Bestätigung ausgegeben. Stellen Sie sicher, dass es sich um die Aktion handelt, die Sie ausführen möchten, bevor Sie Löschen auswählen.

Nächste Schritte