Freigeben über

Microsoft Entra Connect Sync: Konfigurieren des bevorzugten Datenspeicherorts für Microsoft 365-Ressourcen

  • Artikel

Der Zweck dieses Artikels besteht darin, Sie durch die Konfiguration des Attributs für den bevorzugten Datenspeicherort in Microsoft Entra Connect Sync zu führen. Wenn jemand Multi-Geo-Funktionen in Microsoft 365 verwendet, verwenden Sie dieses Attribut, um den geografischen Standort der Microsoft 365-Daten des Benutzers festzulegen. (Die Begriffe Region und Geo werden synonym verwendet.)

Unterstützte Multi-Geo-Standorte

Eine Liste aller von Microsoft Entra Connect unterstützten geografischen Gebiete finden Sie unter Microsoft 365 Multi-Geo-Verfügbarkeit

Aktivieren der Synchronisierung des bevorzugten Datenspeicherorts

Standardmäßig befinden sich die Microsoft 365-Ressourcen für Ihre Benutzer im selben geografischen Raum wie Ihr Microsoft Entra-Mandant. Wenn sich der Mandant beispielsweise in Nordamerika befindet, befinden sich die Exchange-Postfächer der Benutzer ebenfalls in Nordamerika. Für eine multinationale Organisation ist dies möglicherweise nicht optimal.

Durch Festlegen des Attributs preferredDataLocation-können Sie den geografischen Standort eines Benutzers definieren. Sie können über die Microsoft 365-Ressourcen des Benutzers verfügen, z. B. das Postfach und OneDrive, in demselben geografischen Bereich wie der Benutzer und dennoch über einen Mandanten für Ihre gesamte Organisation verfügen.

Wichtig

Ab dem 1. Juni 2023 können CSP-Partner Multi-Geo für mindestens 5 % der gesamten Microsoft 365-Abonnementarbeitsplätze für ihre Kunden erwerben.

Multi-Geo ist auch für Kunden mit einem aktiven Enterprise Agreement verfügbar. Bitte wenden Sie sich an Ihren Microsoft-Vertreter, um Details zu erhalten.

Eine Liste aller geografischen Standorte, die von Microsoft Entra Connect unterstützt werden, finden Sie unter Microsoft 365 Verfügbarkeit in mehreren geografischen Regionen.

Microsoft Entra Connect-Unterstützung für die Synchronisierung

Microsoft Entra Connect unterstützt in Version 1.1.524.0 und höher die Synchronisierung des Attributs preferredDataLocation für Benutzerobjekte. Genauer gesagt:

  • Das Schema des Objekttyps Benutzer im Microsoft Entra-Connector wird zum Einbeziehen des preferredDataLocation-Attributs erweitert. Das Attribut ist vom Typ einwertige Zeichenfolge.
  • Das Schema des Objekttyps Person im Metaverse wird erweitert, um das preferredDataLocation-Attribut einzuschließen. Das Attribut ist vom Typ einwertige Zeichenfolge.

Standardmäßig ist preferredDataLocation- nicht für die Synchronisierung aktiviert. Dieses Feature ist für größere Organisationen vorgesehen. Das Active Directory-Schema in Windows Server 2019 verfügt über ein Attribut msDS-preferredDataLocation, das Sie zu diesem Zweck verwenden sollten. Wenn Sie das Active Directory-Schema nicht aktualisiert haben und dies nicht tun können, müssen Sie ein Attribut identifizieren, das die Microsoft 365-Geo für Ihre Benutzer enthält. Dies wird für jede Organisation unterschiedlich sein.

Wichtig

Microsoft Entra erlaubt die direkte Konfiguration des preferredDataLocation-Attributs in Cloudbenutzerobjekten mithilfe von Microsoft Graph PowerShell. Um dieses Attribut für die synchronisierten Benutzerobjekte zu konfigurieren, müssen Sie Microsoft Entra Connect verwenden.

Vor dem Aktivieren der Synchronisierung:

  • Wenn Sie das Active Directory-Schema nicht auf 2019 aktualisiert haben, entscheiden Sie, welches lokale Active Directory-Attribut als Quellattribute verwendet werden soll. Dieses muss vom Typ einwertige Zeichenfolge sein.

  • Wenn Sie das Attribut preferredDataLocation mithilfe von Microsoft Graph PowerShell zuvor in vorhandenen synchronisierten Benutzerobjekten in Microsoft Entra konfiguriert haben, müssen Sie ein Backport für die Attributwerte auf die entsprechenden Benutzerobjekte im lokalen Active Directory durchführen.

    Wichtig

    Wenn Sie kein Backport für diese Werte durchführen, entfernt Microsoft Entra Connect bei aktivierter Synchronisierung für das Attribut preferredDataLocation die vorhandenen Attributwerte in Microsoft Entra ID.

  • Konfigurieren Sie das Quellattribute für mindestens ein paar lokale Active Directory-Benutzerobjekte jetzt. Sie können dies später zur Überprüfung verwenden.

Die folgenden Abschnitte enthalten die Schritte zum Aktivieren der Synchronisierung des preferredDataLocation-Attributs.

Anmerkung

Die Schritte werden im Kontext einer Microsoft Entra-Bereitstellung mit einer Topologie mit einer einzelnen Gesamtstruktur und ohne benutzerdefinierte Synchronisierungsregeln beschrieben. Wenn Sie über eine Topologie mit mehreren Gesamtstrukturen verfügen, benutzerdefinierte Synchronisierungsregeln konfiguriert haben oder einen Stagingserver verwenden, sollten Sie die Schritte entsprechend anpassen.

Schritt 1: Deaktivieren des Synchronisierungszeitplans und Überprüfen, ob keine Synchronisierung ausgeführt wird

Um unbeabsichtigte Änderungen zu vermeiden, die in die Microsoft Entra-ID exportiert werden, stellen Sie sicher, dass keine Synchronisierung stattfindet, während Sie sich in der Mitte der Aktualisierung von Synchronisierungsregeln befinden. So deaktivieren Sie den integrierten Synchronisierungszeitplaner:

  1. Starten Sie eine PowerShell-Sitzung auf dem Microsoft Entra Connect-Server.
  2. Deaktivieren Sie die geplante Synchronisierung, indem Sie dieses Cmdlet ausführen: Set-ADSyncScheduler -SyncCycleEnabled $false.
  3. Starten Sie Synchronization Service Manager, indem Sie zu START>Synchronization Service navigieren.
  4. Wählen Sie die Registerkarte Vorgänge aus, und vergewissern Sie sich, dass kein Vorgang mit dem Status In Arbeit angezeigt wird.

Screenshot des Synchronisierungsdienst-Managers

Schritt 2: Aktualisieren des Schemas für Active Directory

Wenn Sie das Active Directory-Schema auf 2019 aktualisiert haben und Connect vor der Schemaerweiterung installiert wurde, verfügt der Connect-Schemacache nicht über das aktualisierte Schema. Sie müssen das Schema anschließend im Assistenten aktualisieren, damit es auf der Benutzeroberfläche angezeigt wird.

  1. Starten Sie den Microsoft Entra Connect-Assistenten vom Desktop aus.
  2. Wählen Sie die Option Verzeichnisschema aktualisieren und klicken Sie auf Weiter.
  3. Geben Sie Ihre Microsoft Entra-Anmeldeinformationen ein, und wählen Sie Nextaus.
  4. Stellen Sie auf der Seite Verzeichnisschema aktualisieren sicher, dass alle Gesamtstrukturen ausgewählt sind, und wählen Sie Nextaus.
  5. Wenn Sie fertig sind, schließen Sie den Assistenten.

Screenshot der Aktualisierung des Verzeichnisschemas im Connect-Assistenten

Schritt 3: Hinzufügen des Quellattributes zum lokalen Active Directory Connector-Schema

Dieser Schritt ist nur erforderlich, wenn Sie Connect, Version 1.3.21 oder älter, ausführen. Wenn Sie Version 1.4.18 oder höher verwenden, überspringen Sie die Schritte bis zu Schritt 5.
Nicht alle Microsoft Entra-Attribute werden in den lokalen Active Directory-Connectorbereich importiert. Wenn Sie ein Attribut verwenden möchten, das nicht standardmäßig synchronisiert wird, müssen Sie es importieren. So fügen Sie das Quellattribut zur Liste der importierten Attribute hinzu:

  1. Wählen Sie in Synchronization Service Manager die Registerkarte Connectors aus.
  2. Wählen Sie den lokalen Active Directory-Connector mit der rechten Maustaste aus, und wählen Sie Eigenschaftenaus.
  3. Navigieren Sie im Popupdialogfeld zur Registerkarte Attribute auswählen.
  4. Stellen Sie sicher, dass das ausgewählte Quellattribut in der Attributliste markiert ist. Wenn Ihr Attribut nicht angezeigt wird, aktivieren Sie das Kontrollkästchen Alle anzeigen.
  5. Zum Speichern wählen Sie OKaus.

Screenshot: Synchronization Service Manager und Dialogfeld „Eigenschaften“, in dem die Liste „Attribute“ hervorgehoben ist

Schritt 4: Hinzufügen preferredDataLocation zum Microsoft Entra Connector-Schema

Dieser Schritt ist nur erforderlich, wenn Sie Connect, Version 1.3.21 oder älter, ausführen. Wenn Sie Version 1.4.18 oder höher haben, können Sie direkt mit Schritt 5 weitermachen.
Standardmäßig wird das preferredDataLocation-Attribut nicht in den Microsoft Entra Connector-Bereich importiert. So fügen Sie sie der Liste der importierten Attribute hinzu:

  1. Wählen Sie in Synchronization Service Manager die Registerkarte Connectors aus.
  2. Wählen Sie den Microsoft Entra-Connector mit der rechten Maustaste aus, und wählen Sie Eigenschaftenaus.
  3. Navigieren Sie im Popupdialogfeld zur Registerkarte Attribute auswählen.
  4. Wählen Sie das preferredDataLocation-Attribut in der Liste aus.
  5. Zum Speichern wählen Sie OKaus.

Screenshot des Synchronisierungsdienst-Managers und des Eigenschaften-Dialogfelds

Schritt 5: Erstellen einer Eingehenden Synchronisierungsregel

Die Synchronisierungsregel für eingehende Daten ermöglicht die Übertragung des Attributwerts aus dem Quellattribut im lokalen Active Directory in die Metaverse.

  1. Starten Sie den Synchronisierungsregel-Editor, indem Sie zu START>Synchronisierungsregel-Editor navigieren.

  2. Legen Sie den Suchfilter Richtung auf Eingehend fest.

  3. Um eine neue Regel für eingehende Daten zu erstellen, wählen Sie Neue Regel hinzufügen.

  4. Geben Sie auf der Registerkarte Beschreibung die folgende Konfiguration an:

    Attribut Wert Details
    Name Geben Sie einen Namen Zum Beispiel: „In from AD – User preferredDataLocation“
    Beschreibung Geben Sie eine benutzerdefinierte Beschreibung an.
    Verbundenes System Lokalen Active Directory Connector auswählen
    Objekttyp des verbundenen Systems Benutzer
    Metaverse-Objekttyp Person
    Verknüpfungstyp Tritt bei
    Vorrang Wählen Sie eine Zahl zwischen 1 und 99 1 bis 99 ist für benutzerdefinierte Synchronisierungsregeln reserviert. Wählen Sie keinen Wert aus, der von einer anderen Synchronisierungsregel verwendet wird.

  5. Lassen Sie die Bereichsfilter leer, um alle Objekte einzubeziehen. Möglicherweise müssen Sie den Bereichsfilter entsprechend Ihrer Microsoft Entra Connect-Bereitstellung optimieren.

  6. Navigieren Sie zur Registerkarte Transformation, und implementieren Sie folgende Transformationsregel:

    Flusstyp Zielattribut Quelle Einmal anwenden Mergetyp
    Direkt BevorzugterDatenspeicherort Auswählen des Quellattributes Deaktiviert Aktualisieren

  7. Wählen Sie Hinzufügen, um die Regel für eingehende Daten zu erstellen.

Screenshot des Erstellens einer Synchronisierungsregel für eingehende Daten "Erstellen einer eingehenden Synchronisierungsregel"

Schritt 6: Erstellen einer ausgehenden Synchronisierungsregel

Mit der ausgehenden Synchronisierungsregel kann der Attributwert von der Metaverse in der Microsoft Entra-ID zum preferredDataLocation--Attribut fließen:

  1. Navigieren Sie zum Synchronisierungsregel-Editor.

  2. Legen Sie den Suchfilter Richtung auf Ausgehend fest.

  3. Wählen Sie Neue Regel hinzufügen aus.

  4. Geben Sie auf der Registerkarte Beschreibung die folgende Konfiguration an:

    Attribut Wert Details
    Name Geben Sie einen Namen Zum Beispiel: "Out to Microsoft Entra ID – Benutzer preferredDataLocation"
    Beschreibung Geben Sie eine Beschreibung
    Verbundenes System Wählen Sie den Microsoft Entra Connector aus
    Objekttyp des verbundenen Systems Benutzer
    Metaverse-Objekttyp Person
    Verknüpfungstyp Join
    Vorrang Wählen Sie eine Zahl zwischen 1 und 99 1 bis 99 ist für benutzerdefinierte Synchronisierungsregeln reserviert. Wählen Sie keinen Wert aus, der von einer anderen Synchronisierungsregel verwendet wird.

  5. Navigieren Sie zur Registerkarte Bereichsfilter, und fügen Sie eine einzelne Bereichsfiltergruppe mit zwei Klauseln hinzu:

    Attribut Operator Wert
    Quellobjekttyp GLEICH Benutzer
    cloudMastered NOTEQUAL Wahr

    Der Bereichsfilter bestimmt, auf welche Microsoft Entra-Objekte diese ausgehende Synchronisierungsregel angewendet wird. In diesem Beispiel verwenden wir denselben Scoping-Filter aus der OOB-Synchronisierungsregel (out-of-box) "Out to Microsoft Entra ID – User Identity". Er verhindert, dass die Synchronisierungsregel auf Benutzerobjekte angewendet wird, die nicht über ein lokales Active Directory synchronisiert werden. Möglicherweise müssen Sie den Bereichsfilter entsprechend Ihrer Microsoft Entra Connect-Bereitstellung optimieren.

  6. Navigieren Sie zur Registerkarte Transformation, und implementieren Sie folgende Transformationsregel:

    Flusstyp Zielattribut Quelle Einmal anwenden Mergetyp
    Direkt bevorzugterDatenstandort bevorzugter Datenstandort Deaktiviert Aktualisieren

  7. Schließen Sie Hinzufügen, um die Ausgangsregel zu erstellen.

Screenshot des Erstellens einer Synchronisierungsregel für ausgehende Daten

Schritt 7: Ausführen des vollständigen Synchronisierungszyklus

Im Allgemeinen ist ein vollständiger Synchronisierungszyklus erforderlich. Dies liegt daran, dass Sie sowohl dem Active Directory- als auch dem Microsoft Entra Connector-Schema neue Attribute hinzugefügt und benutzerdefinierte Synchronisierungsregeln eingeführt haben. Überprüfen Sie die Änderungen, bevor Sie sie in die Microsoft Entra-ID exportieren. Sie können die folgenden Schritte verwenden, um die Änderungen zu überprüfen, während Sie manuell die Schritte ausführen, die einen vollständigen Synchronisierungszyklus bilden.

  1. Führen Sie Vollständiger Import auf dem lokalen Active Directory Connector aus:

    1. Wechseln Sie in Synchronization Service Manager zur Registerkarte Connectors.

    2. Wählen Sie mit der rechten Maustaste den lokalen Active Directory-Connectoraus, und wählen Sie Ausführenaus.

    3. Wählen Sie im Dialogfeld Vollständiger Import und dann OK aus.

    4. Warten Sie, bis der Vorgang abgeschlossen ist.

      Anmerkung

      Sie können den vollständigen Import für den lokalen Active Directory-Connector überspringen, wenn das Quellattribute bereits in der Liste der importierten Attribute enthalten ist. Mit anderen Worten, Sie mussten in Schritt 2 weiter oben in diesem Artikel keine Änderungen vornehmen.

  2. Führen Sie Vollständigen Import auf dem Microsoft Entra Connector aus:

    1. Wählen Sie mit der rechten Maustaste den Microsoft Entra Connectoraus, und wählen Sie Ausführenaus.
    2. Wählen Sie im Dialogfeld Vollständiger Import und dann OK aus.
    3. Warten Sie, bis der Vorgang abgeschlossen ist.

  3. Überprüfen Sie die Änderungen an den Synchronisierungsregeln zu einem vorhandenen Benutzerobjekt.

    Das Quellattribut aus lokalem Active Directory und preferredDataLocation von Microsoft Entra ID wird in jeden jeweiligen Connectorbereich importiert. Bevor Sie mit dem Schritt der vollständigen Synchronisierung fortfahren, sollten Sie eine Vorschau zu einem vorhandenen Benutzerobjekt im lokalen Active Directory Connector-Bereich ausführen. In dem von Ihnen ausgewählten Objekt muss das Quellattribut aufgefüllt sein. Eine erfolgreiche Vorschau mit preferredDataLocation aufgefüllt in der Metaverse ist ein guter Indikator, dass Sie die Synchronisierungsregeln richtig konfiguriert haben. Informationen zum Durchführen einer Vorschau finden Sie unter Überprüfen der Änderungen.

  4. Führen Sie Vollständige Synchronisierung auf dem lokalen Active Directory Connector aus:

    1. Wählen Sie mit der rechten Maustaste den lokalen Active Directory-Connectoraus, und wählen Sie Ausführenaus.
    2. Wählen Sie im Dialogfeld Vollständige Synchronisierung aus und dann OK.
    3. Warten Sie, bis der Vorgang abgeschlossen ist.

  5. Überprüfen Sie ausstehende Exporte in die Microsoft Entra-ID:

    1. Wählen Sie mit der rechten Maustaste den Microsoft Entra Connectoraus, und wählen Sie Suchverbindungsraumaus.

    2. Gehen Sie im Dialogfeld Connectorbereich durchsuchen wie folgt vor:

      a. Legen Sie den Bereich auf Ausstehender Export fest.
      b. Wählen Sie alle drei Kontrollkästchen aus: „Hinzufügen“, „Ändern“ und „Löschen“.
      c. Um die Liste der Objekte mit Änderungen, die exportiert werden sollen, anzuzeigen, wählen Sie Suchenaus. Um die Änderungen für ein bestimmtes Objekt zu untersuchen, doppelklicken Sie auf das Objekt.
      d. Überprüfen Sie, ob die Änderungen erwartet werden.

  6. Führen Sie Export auf dem Microsoft Entra Connector aus

    1. Wählen Sie mit der rechten Maustaste den Microsoft Entra Connectoraus, und wählen Sie Ausführenaus.
    2. Wählen Sie im Dialogfeld Connector ausführen die Option Exportieren und dann OK aus.
    3. Warten Sie, bis der Vorgang abgeschlossen ist.

Anmerkung

Möglicherweise stellen Sie fest, dass die Schritte nicht den vollständigen Synchronisierungsschritt im Microsoft Entra Connector oder den Exportschritt für den Active Directory-Connector enthalten. Die Schritte sind nicht erforderlich, da die Attributwerte von lokalem Active Directory zu Microsoft Entra-only fließen.

Schritt 8: Erneutes Aktivieren des Synchronisierungszeitplans

Aktivieren Sie den integrierten Synchronisierungszeitplaner erneut:

  1. Starten Sie eine PowerShell-Sitzung.
  2. Erneute Aktivierung der geplanten Synchronisierung durch Ausführen dieses Cmdlets: Set-ADSyncScheduler -SyncCycleEnabled $true

Schritt 9: Überprüfen des Ergebnisses

Es ist jetzt an der Zeit, die Konfiguration zu überprüfen und für Ihre Benutzer zu aktivieren.

  1. Fügen Sie dem ausgewählte Attribut für einen Benutzer den geografischen Raum hinzu. Die Liste der verfügbaren Geos kann in dieser Tabellegefunden werden.
    Screenshot eines einem Benutzer hinzugefügten AD-Attributs
  2. Warten Sie, bis das Attribut mit der Microsoft Entra-ID synchronisiert wird.
  3. Überprüfen Sie mithilfe von Exchange Online PowerShell, ob die Postfachregion ordnungsgemäß festgelegt ist.
    Screenshot von Exchange Online-PowerShell
    Wenn Ihr Mandant für die Verwendung dieses Features markiert ist, wird das Postfach in den richtigen geografischen Raum verschoben. Dies kann überprüft werden, indem Sie sich den Servernamen ansehen, in dem sich das Postfach befindet.

Nächste Schritte

Weitere Informationen zu Multi-Geo in Microsoft 365:

Erfahren Sie mehr über das Konfigurationsmodell im Synchronisierungsmodul:

Übersichtsthemen: