Konfigurieren der bereichsbezogenen Synchronisierung von Microsoft Entra ID zu Microsoft Entra Domain Services über das Microsoft Entra Admin Center
Um Authentifizierungsdienste bereitzustellen, synchronisiert Microsoft Entra Domain Services Benutzer und Gruppen aus Microsoft Entra ID. In einer Hybridumgebung können Benutzer*innen und Gruppen aus einer lokalen Active Directory Domain Services-Umgebung (AD DS) zuerst mithilfe von Microsoft Entra Connect mit Microsoft Entra ID und anschließend mit einer verwalteten Domain Services-Domäne synchronisiert werden.
Standardmäßig werden alle Benutzer und Gruppen aus einem Microsoft Entra-Verzeichnis in einer verwalteten Domäne synchronisiert. Wenn nur einige Benutzer*innen Domain Services verwenden müssen, können Sie stattdessen nur Benutzergruppen synchronisieren. Sie können die Synchronisierung für lokale Gruppen, nur für die Cloud oder für beide filtern.
In diesem Artikel erfahren Sie, wie Sie die bereichsbezogene Synchronisierung konfigurieren und anschließend die festgelegte Benutzergruppe über das Microsoft Entra Admin Center ändern oder deaktivieren. Sie können diese Schritte auch mithilfe von PowerShell ausführen.
Voraussetzungen
Für diesen Artikel benötigen Sie die folgenden Ressourcen und Berechtigungen:
- Ein aktives Azure-Abonnement.
- Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein Konto.
- Einen mit Ihrem Abonnement verknüpften Microsoft Entra-Mandanten, der entweder mit einem lokalen Verzeichnis synchronisiert oder ein reines Cloudverzeichnis ist.
- Erstellen Sie einen Microsoft Entra-Mandanten, oder verknüpfen Sie ein Azure-Abonnement mit Ihrem Konto, sofern erforderlich.
- Eine von Microsoft Entra Domain Services verwaltete Domäne, die in Ihrem Microsoft Entra-Mandanten aktiviert und konfiguriert ist.
- Bearbeiten Sie bei Bedarf das Tutorial Erstellen und Konfigurieren einer verwalteten Microsoft Entra Domain Services-Domäne.
- Sie benötigen die Microsoft Entra-Rollen Anwendungsadministrator und Gruppenadministrator in Ihrem Mandanten, um den Domain Services-Synchronisierungsbereich zu ändern.
Übersicht über die bereichsbezogene Synchronisierung
Standardmäßig werden alle Benutzer und Gruppen aus einem Microsoft Entra-Verzeichnis in einer verwalteten Domäne synchronisiert. Sie können die Synchronisierung auf Benutzerkonten beschränken, die in Microsoft Entra ID erstellt wurden, oder alle Benutzer*innen synchronisieren.
Wenn nur einige wenige Benutzergruppen auf die verwaltete Domäne zugreifen müssen, können Sie die Option Nach Gruppenberechtigung filtern auswählen, um nur diese Gruppen zu synchronisieren. Diese bereichsbezogene Synchronisierung ist nur gruppenbasiert. Wenn Sie eine gruppenbasierte bereichsbezogene Synchronisierung konfigurieren, werden nur die Benutzerkonten, die zu den angegebenen Gruppen gehören, mit der verwalteten Domäne synchronisiert. Geschachtelte Gruppen werden nicht synchronisiert. Nur die von Ihnen angegebenen Gruppen werden synchronisiert.
Sie können den Synchronisierungsbereich vor oder nach dem Erstellen der verwalteten Domäne ändern. Der Synchronisierungsbereich wird durch einen Dienstprinzipal mit dem Anwendungsbezeichner 2565bd9d-da50-47d4-8b85-4c97f669dc36
definiert. Um einen Bereichsverlust zu verhindern, löschen oder ändern Sie den Dienstprinzipal nicht. Wenn der Synchronisierungsbereich versehentlich gelöscht wird, kann er nicht wiederhergestellt werden.
Beachten Sie die folgenden Einschränkungen, wenn Sie den Synchronisierungsbereich ändern:
- Eine vollständige Synchronisierung wird durchgeführt.
- Objekte, die in der verwalteten Domäne nicht mehr erforderlich sind, werden gelöscht. Neue Objekte werden in der verwalteten Domäne erstellt.
Weitere Informationen zum Synchronisierungsvorgang finden Sie unter Grundlegendes zur Synchronisierung in Microsoft Entra Domain Services.
Aktivieren der bereichsbezogenen Synchronisierung
Führen Sie die folgenden Schritte aus, um die bereichsbezogene Synchronisierung im Microsoft Entra Admin Center zu aktivieren:
Suchen Sie im Microsoft Entra Admin Center nach der Option Microsoft Entra Domain Services, und wählen Sie sie aus. Wählen Sie Ihre verwaltete Domäne (z. B. aaddscontoso.com) aus.
Wählen Sie im Menü auf der linken Seite Synchronisierung aus.
Wählen Sie unter Synchronisierungsbereich die Option Alle oder Nur Cloud aus.
Um die Synchronisierung für ausgewählte Gruppen zu filtern, klicken Sie auf Ausgewählte Gruppen anzeigen und wählen Sie, ob nur Cloud-Gruppen, lokale Gruppen oder beide synchronisiert werden sollen. Der folgende Screenshot zeigt zum Beispiel, wie nur drei Gruppen synchronisiert werden, die in Microsoft Entra ID erstellt wurden. Nur die Konten von Benutzer*innen, die zu diesen Gruppen gehören, werden mit Domain Services synchronisiert.
Klicken Sie zum Hinzufügen von Gruppen auf Gruppen hinzufügen und suchen und wählen Sie die Gruppen, die Sie hinzufügen möchten.
Wenn alle Änderungen vorgenommen wurden, wählen Sie Synchronisierungsbereich speichern aus.
Wenn Sie den Bereich der Synchronisierung ändern, werden alle Daten in der verwalteten Domäne neu synchronisiert. Objekte, die in der verwalteten Domäne nicht mehr erforderlich sind, werden gelöscht, und die Neusynchronisierung kann einige Zeit in Anspruch nehmen.
Ändern der bereichsbezogenen Synchronisierung
Führen Sie die folgenden Schritte aus, um die Liste der Gruppen zu ändern, deren Benutzer mit der verwalteten Domäne synchronisiert werden sollen:
- Suchen Sie im Microsoft Entra Admin Center nach der Option Microsoft Entra Domain Services, und wählen Sie sie aus. Wählen Sie Ihre verwaltete Domäne (z. B. aaddscontoso.com) aus.
- Wählen Sie im Menü auf der linken Seite Synchronisierung aus.
- Um eine Gruppe hinzuzufügen, wählen Sie im oberen Bereich + Gruppen hinzufügen aus, und wählen Sie dann die Gruppen aus, die Sie hinzufügen möchten.
- Um eine Gruppe aus dem Synchronisierungsbereich zu entfernen, wählen Sie diese in der Liste der derzeit synchronisierten Gruppen aus, und wählen Sie dann Gruppen entfernen aus.
- Wenn alle Änderungen vorgenommen wurden, wählen Sie Synchronisierungsbereich speichern aus.
Wenn Sie den Bereich der Synchronisierung ändern, werden alle Daten in der verwalteten Domäne neu synchronisiert. Objekte, die in der verwalteten Domäne nicht mehr erforderlich sind, werden gelöscht, und die Neusynchronisierung kann einige Zeit in Anspruch nehmen.
Deaktivieren der bereichsbezogenen Synchronisierung
Führen Sie die folgenden Schritte aus, um die gruppenbasierte bereichsbezogene Synchronisierung für eine verwaltete Domäne zu deaktivieren:
- Suchen Sie im Microsoft Entra Admin Center nach der Option Microsoft Entra Domain Services, und wählen Sie sie aus. Wählen Sie Ihre verwaltete Domäne (z. B. aaddscontoso.com) aus.
- Wählen Sie im Menü auf der linken Seite Synchronisierung aus.
- Deaktivieren Sie das Kontrollkästchen für Ausgewählte Gruppen anzeigen und klicken Sie auf Synchronisationsbereich speichern.
Wenn Sie den Bereich der Synchronisierung ändern, werden alle Daten in der verwalteten Domäne neu synchronisiert. Objekte, die in der verwalteten Domäne nicht mehr erforderlich sind, werden gelöscht, und die Neusynchronisierung kann einige Zeit in Anspruch nehmen.
Nächste Schritte
Weitere Informationen zum Synchronisierungsvorgang finden Sie unter Grundlegendes zur Synchronisierung in Microsoft Entra Domain Services.