Bereitstellen von Microsoft Entra ID in Active Directory: Konfiguration
Das folgende Dokument führt Sie durch die Konfiguration der Microsoft Entra-Cloudsynchronisierung für die Bereitstellung von Microsoft Entra ID zu Active Directory. Wenn Sie nach Informationen zur Bereitstellung von AD in Microsoft Entra ID suchen, lesen Sie Konfigurieren: Bereitstellen von Active Directory für Microsoft Entra ID mithilfe der Microsoft Entra-Cloudsynchronisierung.
Wichtig
Die öffentliche Vorschau von Group Writeback v2 in Microsoft Entra Verbinden Sync ist nach dem 30. Juni 2024 nicht mehr verfügbar. Dieses Feature wird an diesem Datum nicht mehr unterstützt, und Sie werden in Verbinden Synchronisierung nicht mehr unterstützt, um Cloudsicherheitsgruppen für Active Directory bereitzustellen. Das Feature wird weiterhin über das Einstellungsdatum hinaus funktionieren, es erhält jedoch nach diesem Datum keine Unterstützung mehr und kann jederzeit ohne Vorwarnung aufhören, zu funktionieren.
Wir bieten ähnliche Funktionen in Microsoft Entra Cloud Sync namens "Gruppenbereitstellung in Active Directory ", die Sie anstelle von Group Writeback v2 für die Bereitstellung von Cloudsicherheitsgruppen in Active Directory verwenden können. Wir arbeiten daran, diese Funktionalität in Cloud Sync zusammen mit anderen neuen Features zu verbessern, die wir in Cloud Sync entwickeln.
Kunden, die dieses Vorschaufeature in Verbinden Synchronisieren verwenden, sollten ihre Konfiguration von Verbinden Synchronisierung in Cloud Sync wechseln. Sie können die gesamte Hybridsynchronisierung in Cloud Sync verschieben (sofern sie Ihre Anforderungen unterstützt). Sie können Cloud Sync auch nebeneinander ausführen und nur die Cloudsicherheitsgruppenbereitstellung in Active Directory in Cloud Sync verschieben.
Kunden, die Microsoft 365-Gruppen für Active Directory bereitstellen, können Sie für diese Funktion weiterhin Group Writeback v1 verwenden.
Sie können das Verschieben ausschließlich in Cloud Sync auswerten, indem Sie den Benutzersynchronisierungs-Assistenten verwenden.
Konfigurieren der Bereitstellung
Gehen Sie zum Konfigurieren der Bereitstellung wie folgt vor.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.
- Navigieren Sie zu Identität>Hybridverwaltung>Microsoft Entra Connect>Cloudsynchronisierung.
- Wählen Sie Neue Konfiguration aus.
- Wählen Sie Microsoft Entra ID-Synchronisierung mit AD aus.
- Wählen Sie im Konfigurationsbildschirm Ihre Domäne aus, und geben Sie an, ob die Kennworthashsynchronisierung aktiviert werden soll. Klicken Sie auf Erstellen.
- Der Bildschirm Erste Schritte wird geöffnet. Von hier aus können Sie die Konfiguration der Cloudsynchronisierung fortsetzen.
- Die Konfiguration ist in die folgenden fünf Abschnitte unterteilt.
`Section` | BESCHREIBUNG |
---|---|
1. Bereichsfilter hinzufügen | Verwenden Sie diesen Abschnitt, um zu definieren, welche Objekte in Microsoft Entra ID angezeigt werden. |
2. Attribute zuordnen | Verwenden Sie diesen Abschnitt, um Attribute zwischen Ihren lokalen Benutzer*innen/Gruppen mit Microsoft Entra-Objekten zuzuordnen. |
3. Testen | Testen Sie Ihre Konfiguration, bevor Sie sie bereitstellen. |
4. Standardeigenschaften anzeigen | Zeigen Sie die Standardeinstellung vor der Aktivierung an, und nehmen Sie ggf. Änderungen vor. |
5. Ihre Konfiguration aktivieren | Sobald Sie bereit sind, aktivieren Sie die Konfiguration, und Benutzer/Gruppen beginnen mit der Synchronisierung. |
Beschränken der Bereitstellung auf bestimmte Gruppen
Sie können den Agent so festlegen, dass er alle oder bestimmte Sicherheitsgruppen synchronisiert. Gruppen und Organisationseinheiten können im Rahmen einer Konfiguration konfiguriert werden.
- Auf dem Konfigurationsbildschirm Erste Schritte. Klicken Sie entweder auf Bereichsfilter hinzufügen neben dem Symbol Bereichsfilter hinzufügen oder auf die Schaltfläche Bereichsfilter links unter Verwalten.
- Wählen Sie den Bereichsfilter aus. Der Filter kann eine der folgenden Optionen darstellen:
- Alle Sicherheitsgruppen: Dies legt den Bereich für die Konfiguration auf alle Cloudsicherheitsgruppen fest.
- Ausgewählte Sicherheitsgruppen: Definiert die Konfiguration, die auf bestimmte Sicherheitsgruppen angewendet werden soll.
- Wählen Sie für bestimmte Sicherheitsgruppen Gruppen bearbeiten aus, und wählen Sie die gewünschten Gruppen aus der Liste aus.
Hinweis
Wenn Sie eine Sicherheitsgruppe auswählen, die über eine geschachtelte Sicherheitsgruppe als Mitglied verfügt, wird lediglich die geschachtelte Gruppe zurückgeschrieben und nicht ihre Mitglieder. Wenn beispielsweise eine Vertriebssicherheitsgruppe ein Mitglied der Marketingsicherheitsgruppe ist, wird lediglich die Vertriebsgruppe selbst zurückgeschrieben und nicht ihre Mitglieder.
Wenn Sie Gruppen schachteln und mit AD bereitstellen möchten, müssen Sie außerdem alle Mitgliedergruppen zum Bereich hinzufügen.
- Sie können das Feld Zielcontainer verwenden, um Gruppen einzubeziehen, die einen bestimmten Container verwenden. Hierzu wird das parentDistinguishedName-Attribut verwendet. Verwenden Sie eine konstante, eine direkte oder eine Ausdruckszuordnung.
Mehrere Zielcontainer können mithilfe eines Attributzuordnungsausdrucks mit der Switch()-Funktion konfiguriert werden. Die Gruppe wird in der entsprechenden Organisationseinheit erstellt, wenn bei diesem Ausdruck der displayName-Wert „Marketing“ oder „Vertrieb“ lautet. Wenn es keine Übereinstimmung gibt, wird die Gruppe in der Standardorganisationseinheit erstellt.
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
- Die attributbasierte Bereichsfilterung wird unterstützt. Weitere Informationen finden Sie unter Attributbasierte Bereichsfilterung, Referenz zum Schreiben von Ausdrücken für Attributzuordnungen in Microsoft Entra ID und Szenario – Verwenden von Verzeichniserweiterungen mit Gruppenbereitstellung in Active Directory.
- Nachdem Ihre Bereichsfilter konfiguriert sind, klicken Sie auf Speichern.
- Nach dem Speichern sollte eine Meldung angezeigt werden, die Sie darüber informiert, was Sie zum Konfigurieren der Cloudsynchronisierung noch durchführen müssen. Sie können auf den Link klicken, um fortzufahren.
Bereichsbereitstellung für bestimmte Gruppen mithilfe von Verzeichniserweiterungen
Für erweiterte Bereichsdefinitionen und Filterungen können Sie die Verwendung von Verzeichniserweiterungen konfigurieren. Eine Übersicht über Verzeichniserweiterungen finden Sie unter Verzeichniserweiterungen für die Bereitstellung von Microsoft Entra ID in Active Directory.
Ein Schritt-für-Schritt-Tutorial zum Erweitern des Schemas und zur anschließenden Verwendung des Verzeichniserweiterungsattributs mit der Cloudsynchronisierungsbereitstellung in AD finden Sie unter Szenario – Verwenden von Verzeichniserweiterungen mit Gruppenbereitstellung in Active Directory.
Attributzuordnung
Die Microsoft Entra-Cloudsynchronisierung ermöglicht das einfache Zuordnen von Attributen zwischen lokalen Benutzer-/Gruppenobjekten und den Objekten in Microsoft Entra ID.
Sie können die Standardattributzuordnungen den Anforderungen Ihres Unternehmens entsprechend anpassen. Dies bedeutet, dass Sie vorhandene Attributzuordnungen ändern oder löschen und neue Attributzuordnungen erstellen können.
Nach dem Speichern sollte eine Meldung angezeigt werden, die Sie darüber informiert, was Sie zum Konfigurieren der Cloudsynchronisierung noch durchführen müssen. Sie können auf den Link klicken, um fortzufahren.
Weitere Informationen finden Sie unter Attributzuordnung und Referenz zum Schreiben von Ausdrücken für Attributzuordnungen in Microsoft Entra ID.
Verzeichniserweiterungen und benutzerdefinierte Attributzuordnungen
Mit der Microsoft Entra-Cloudsynchronisierung können Sie das Verzeichnis mit Erweiterungen erweitern und eine benutzerdefinierte Attributzuordnung ermöglichen. Weitere Informationen finden Sie unter Verzeichniserweiterungen und benutzerdefinierte Attributzuordnungen.
Bedarfsorientierte Bereitstellung
Die Microsoft Entra-Cloudsynchronisierung ermöglicht Ihnen das Testen von Konfigurationsänderungen, indem diese Änderungen auf einen einzelnen Benutzer oder eine einzelne Gruppe angewandt werden.
So können Sie überprüfen, ob die an der Konfiguration vorgenommenen Änderungen richtig angewendet wurden und ordnungsgemäß mit Microsoft Entra ID synchronisiert werden.
Nach dem Testen sollte eine Meldung angezeigt werden, die Sie darüber informiert, was Sie zum Konfigurieren der Cloudsynchronisierung noch durchführen müssen. Sie können auf den Link klicken, um fortzufahren.
Weitere Informationen finden Sie unter Bedarfsorientierte Bereitstellung mit Azure AD Connect-Cloudbereitstellung.
Versehentliche Löschungen und E-Mail-Benachrichtigungen
Der Abschnitt „Standardeigenschaften“ enthält Informationen zu versehentlichen Löschungen und E-Mail-Benachrichtigungen.
Die Funktion gegen versehentliches Löschen dient zum Schutz vor unbeabsichtigten Konfigurationsänderungen und Änderungen an Ihrem lokalen Verzeichnis, die sich auf viele Benutzer und Gruppen auswirken würden.
Dieses Feature bietet folgende Möglichkeiten:
- Konfigurieren der Möglichkeit zum automatischen Verhindern von versehentlichen Löschungen
- Festlegen der Anzahl von Objekten (Schwellenwert), ab der die Konfiguration wirksam wird
- Einrichten eine E-Mail-Adresse für Benachrichtigungen, sobald der betreffende Synchronisierungsauftrag gemäß diesem Szenario in Quarantäne gestellt wird
Weitere Informationen finden Sie unter Versehentliches Löschen.
Klicken Sie auf den Stift neben Grundlagen, um die Standardwerte in einer Konfiguration zu ändern.
Aktivieren Ihrer Konfiguration
Nachdem Sie Ihre Konfiguration abgeschlossen und getestet haben, können Sie sie aktivieren.
Klicken Sie auf Konfiguration aktivieren, um sie zu aktivieren.
Quarantäne
Die Cloudsynchronisierung überwacht die Integrität Ihrer Konfiguration und versetzt fehlerhafte Objekte in den Status „Quarantäne“. Wenn die meisten oder alle Aufrufe an das Zielsystem aufgrund eines Fehlers (z. B. bei ungültigen Administratoranmeldeinformationen) dauerhaft nicht erfolgreich sind, wird der Synchronisierungsauftrag in den Quarantänestatus versetzt. Weitere Informationen finden Sie im Abschnitt zur Problembehandlung bei der Quarantäne.
Erneutes Starten der Bereitstellung
Wenn Sie nicht auf die nächste geplante Ausführung warten möchten, können Sie mithilfe der Schaltfläche Synchronisierung neu starten die Ausführung der Bereitstellung auslösen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.
- Navigieren Sie zu Identität>Hybridverwaltung>Microsoft Entra Connect>Cloudsynchronisierung.
Wählen Sie unter Konfiguration Ihre Konfiguration aus.
Wählen Sie oben die Option Synchronisierung neu starten aus.
Entfernen einer Konfiguration
Führen Sie die folgenden Schritte aus, um eine Konfiguration zu löschen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.
- Navigieren Sie zu Identität>Hybridverwaltung>Microsoft Entra Connect>Cloudsynchronisierung.
Wählen Sie unter Konfiguration Ihre Konfiguration aus.
Wählen Sie am oberen Rand des Konfigurationsbildschirms Konfiguration löschen aus.
Wichtig
Vor dem Löschen einer Konfiguration wird keine Bestätigung ausgegeben. Stellen Sie sicher, dass es sich um die Aktion handelt, die Sie ausführen möchten, bevor Sie Löschen auswählen.