Endlich wechselt Ihre Organisation zu Office 365! Das klingt aufregend und zugleich herausfordernd. Doch jetzt steht die Aufgabe an, Azure AD mit Office 365 zu verbinden. Wissen Sie, wie man Azure AD mit Office 365 verbindet?
Not a reader? Watch this related video.
Vermutlich denken Sie als Erstes daran, wie Sie sicherstellen können, dass die Benutzer nur eine Anmeldeinformation verwenden, um auf lokale und Cloud-Ressourcen zuzugreifen. Hier kommt Azure AD Connect ins Spiel.
Mit Azure AD Connect werden Ihre Benutzerkonten mit Office 365 synchronisiert, einschließlich ihrer Passwörter. Das bedeutet, dass Ihre Benutzer, ob sie nun Netzwerkdrucker verwenden oder auf ihre E-Mails in Office 365 zugreifen, nur eine Anmeldeinformation verwenden müssen.
In diesem Artikel erfahren Sie, wie Sie Azure AD Connect installieren und die Verzeichnissynchronisierung für Ihre Office 365-Mandanten aktivieren können.
Anforderungen
Da es sich um einen schrittweisen Artikel handelt, müssen Sie einige Voraussetzungen erfüllen, wenn Sie den Beispielen folgen möchten.
- Eine Azure AD-Mandanteninstanz. Wenn Sie noch keine haben, können Sie eine kostenlose Testversion anfordern.
- Zugriff auf eine On-Premise Active Directory. Wenn Sie noch keines haben, können Sie auch eine Azure-Testabonnement verwenden, um einen Testserver zu erstellen.
- A server where Azure AD Connect will be installed.
- Laden Sie den Azure AD Connect-Installer herunter.
- A Global Administrator account in your Azure AD tenant.
- Ein Unternehmensadministrator-Konto in Ihrer lokalen Active Directory.
- Stellen Sie sicher, dass die Azure AD Connect und Azure AD-Ports in Ihrem Netzwerk zugelassen sind.
- Das MSOnline-Modul muss auf Ihrem Management-PC installiert sein.
Für eine umfassende Liste der Anforderungen können Sie Voraussetzungen für Azure AD Connect besuchen
Überprüfen des Pre-Installation Directory Synchronization Status
Bevor Sie mit der Azure AD Connect-Installation beginnen, sehen wir uns an, wie Sie den aktuellen Status der Verzeichnissynchronisierung in Ihrem Mandanten überprüfen können.
Verwendung von PowerShell
Um den aktuellen DirSync-Status anzuzeigen, müssen Sie sich zuerst mit Azure AD verbinden. Verwenden Sie dann den folgenden Befehl, um die relevanten Informationen zum Verzeichnissynchronisierungsstatus Ihrer Organisation abzurufen.
Nach Ausführung des oben genannten Befehls sollten Sie ähnliche Ausgaben in PowerShell sehen, wie unten gezeigt. Wie Sie im folgenden Bild sehen können, ist der Wert von DirectorySynchronizationEnabled False.
Andere Attribute wie DirSyncServiceAccount, LastDirSyncTime und LastPasswordSyncTime haben voraussichtlich keine Werte, da die Verzeichnissynchronisierung noch nie durchgeführt wurde.
Mit dem Admin Center
Sie können auch die aktuelle DirSync im Azure Active Directory Admin Center überprüfen.
Melden Sie sich zunächst im Portal an. Gehen Sie dann zu Azure Active Directory —> Azure AD Connect. Unter dem Abschnitt Azure AD Connect-Synchronisierung sollten Sie den aktuellen Status der Verzeichnissynchronisierung sehen.
Wie Sie im folgenden Bild sehen können, wird angezeigt, dass Azure AD Connect nicht installiert ist. Der Wert des letzten Synchronisierungsstatus lautet Synchronisierung wurde noch nie ausgeführt. Schließlich ist der Wert für Password Hash Sync deaktiviert.
Installation von Azure AD Connect
Vorausgesetzt, Sie erfüllen bereits alle Voraussetzungen, können Sie Azure AD Connect auf Ihrem Server installieren.
Melden Sie sich zunächst am Server an, auf dem Sie Azure AD Connect installieren möchten. Führen Sie die Installationsdatei aus und befolgen Sie die angezeigten Anweisungen.
Das unten stehende Bild zeigt die Seite Willkommen bei Azure AD Connect. Beachten Sie, was gesagt wird (oder auch nicht) und setzen Sie ein Häkchen bei Ich stimme den Lizenzbedingungen und Datenschutzbestimmungen zu.. Klicken Sie dann auf Weiter.
Die nächste Seite ist die Seite, auf der Sie den Installationsmodus auswählen können. Sie können wählen, ob Sie Anpassen oder Express-Einstellungen verwenden. In diesem Beispiel wird Azure AD Connect mit den Express-Einstellungen installiert.
Die Auswahl der Express-Installation wird folgendes bewirken:
- Konfiguration der Synchronisierung von Identitäten.
- Konfiguration der Kennwortsynchronisierung von der lokalen AD zu Azure AD.
- Ausführung der ersten Synchronisierung.
- Aktivierung der automatischen Aktualisierung.
Als nächstes geben Sie auf der Seite Mit Azure AD verbinden die Anmeldeinformationen des globalen Administratorkontos ein. Wie bereits zuvor in diesem Artikel erwähnt wurde, wird ein globales Administrator-Konto benötigt.
Sobald Sie die Anmeldeinformationen eingegeben haben, klicken Sie auf Weiter.
Wenn der Installer die von Ihnen bereitgestellten Anmeldeinformationen für den globalen Administrator verwenden kann, gelangen Sie zur Seite Mit AD DS verbinden.
Sie müssen die Anmeldeinformationen mit Unternehmensadministratorrechten für Ihre lokale Active Directory eingeben. Klicken Sie dann auf Weiter.
Nach Bestätigung der Anmeldeinformationen gelangen Sie zur Seite „Bereit zur Konfiguration„, auf der Ihnen eine Liste der durchgeführten Aktionen angezeigt wird. Diese Aktionen umfassen:
- Installation des Synchronisierungsdiensts (lokaler SQL Express).
- Konfiguration des Azure AD Connectors.
- Konfiguration des <Domain> Connectors.
- Aktivierung der Passwort-Hash-Synchronisierung.
- Aktivierung der automatischen Aktualisierung.
- Konfiguration der Synchronisierungsdienste.
- Ausführung des Initialisierungs-Synchronisierungsprozesses.
Um mit der Installation fortzufahren, klicken Sie auf „Installieren„.
An diesem Punkt müssen Sie nur noch auf die Fertigstellung der Installation warten.
Nach Abschluss der Installation, Konfiguration und des Initialisierungs-Synchronisierungsprozesses wird eine Statusseite ähnlich wie auf dem Bild angezeigt. Beachten Sie die Hinweise und Empfehlungen und klicken Sie dann auf „Beenden„.
Verifizierung der Azure AD Connect-Installation
Nach der Installation von Azure AD Connect auf Ihrem Server möchten Sie sicherstellen, dass die Installation erfolgreich war und die Verzeichnissynchronisierung funktioniert. In diesem Abschnitt erfahren Sie verschiedene Möglichkeiten, um zu bestätigen, dass die Synchronisierung mit Azure AD Connect funktioniert.
Überprüfung von Azure AD Connect im Microsoft 365 Admin Center
Der Status von Azure AD Connect ist standardmäßig in der Microsoft 365 Admin Center-Konsole verfügbar.
Melden Sie sich zunächst im Microsoft 365 Admin Center-Portal an. Sobald Sie angemeldet sind, sollten Sie den Status von Azure AD Connect unter der Karte Benutzerverwaltung sehen. Siehe Screenshot unten als Referenz.
Wie Sie aus dem obigen Screenshot sehen können, zeigt der Azure AD Connect-Status an, dass die letzte Verzeichnissynchronisierung vor 17 Minuten ausgeführt wurde. Zusätzlich ist die Passwortsynchronisierung aktiviert.
Überprüfung des Benutzerkontosynchronisierungsstatus im Microsoft 365 Admin Center
Sie können auch überprüfen, ob die Konten in Ihrer lokalen Active Directory mit Office 365 synchronisiert sind.
Um den Benutzerkontosynchronisierungsstatus zu überprüfen, gehen Sie im Microsoft 365 Admin Center zu Benutzer -> Aktive Benutzer. Wenn Sie sich die Liste der Benutzer ansehen, sehen Sie die Spalte Synchronisierungsstatus, die anzeigt, ob das Konto In der Cloud oder Von der Vor-Ort-Umgebung synchronisiert ist.
Offensichtlich handelt es sich bei den Konten, die sich in der Cloud befinden, um Konten, die direkt in Office 365 bereitgestellt wurden und nicht in Ihrer lokalen Active Directory existieren.
Während die Von der Vor-Ort-Umgebung synchronisierten Konten sich lokal befinden und mit der Cloud synchronisiert werden.
Überprüfung von Azure AD Connect im Azure AD Admin Center
Zuerst melden Sie sich im Portal an. Gehen Sie dann zu Azure Active Directory —> Azure AD Connect. Unter dem Abschnitt Azure AD Connect Sync sehen Sie den aktuellen Status der Verzeichnissynchronisierung.
Wie Sie auf dem untenstehenden Bild sehen können, zeigt es an, dass der Azure AD Connect Synchronisierungsstatus aktiviert ist. Der Wert des letzten Synchronisierungsstatus gibt an, dass es weniger als 1 Stunde her ist. Schließlich ist der Wert von Password Hash Sync aktiviert.
Überprüfen der Benutzerkontenquelle im Azure AD Admin Center
Eine weitere Möglichkeit, zu überprüfen, ob die Synchronisierung funktioniert, besteht darin, die Benutzerkontenquelle zu überprüfen.
Zuerst melden Sie sich im Portal an. Gehen Sie dann zu Benutzer —> Alle Benutzer. Unter der Liste der Benutzer sehen Sie in der Spalte Quelle, ob das Konto von Windows Server AD stammt, was darauf hinweist, dass das Konto aus dem lokalen Active Directory synchronisiert wurde.
Überprüfen des Verzeichnissynchronisierungsstatus mit PowerShell
Um den aktuellen Azure AD-Synchronisierungsstatus anzuzeigen, müssen Sie sich zuerst mit Azure AD verbinden. Verwenden Sie dann den folgenden Befehl, um die relevanten Informationen zum Verzeichnissynchronisierungsstatus Ihrer Organisation abzurufen.
Nach Ausführung des oben genannten Befehls sollten Sie ähnliche Ausgaben in PowerShell sehen, wie unten dargestellt. Wie Sie im untenstehenden Bild sehen können:
- Der Wert von
DirectorySynchronizationEnabledistTrue. - Das als Synchronisationsdienstkonto konfigurierte Konto wird angezeigt.
LastDirSyncTimeundLastPasswordSyncTimehaben DateTime-Werte.- Der Wert von
PasswordSynchronizationEnabledistTru
Überprüfen des Azure AD Connect Sync-Zyklusplans
Beim Installieren von Azure AD Connect wird auch das AdSync PowerShell-Modul installiert. Mit dem AdSync-Modul können Sie den aktuellen Synchronisierungsstatus von Azure AD Connect auf Ihrem Server überprüfen.
Öffnen Sie zunächst PowerShell und führen Sie dann den folgenden Befehl aus.
Nach Ausführung des obigen Codes würde das Ergebnis Ihnen Folgendes anzeigen:
- Das geplante Synchronisationszyklusintervall (
AllowedSyncCycleInterval) - Ob der Synchronisationszyklusplan aktiviert ist (
SyncCycleEnabled) - Wann die nächste Synchronisierung geplant ist (
NextSyncCycleStartTimeInUTC) - Der Typ der nächsten geplanten Synchronisierung (
NextSyncCyclePolicyType)
Manuelles Ausführen einer Delta-Synchronisierung
Das manuelle Ausführen einer Delta-Synchronisierung ist eine Möglichkeit zu überprüfen, ob die Synchronisierung wie erwartet funktioniert. Bei einer Delta-Synchronisierung werden nur die Änderungen synchronisiert, die nach der letzten Verzeichnissynchronisierung vorgenommen wurden.
Um die Delta-Synchronisierung zu testen, wählen Sie ein Konto aus Ihrem lokalen Active Directory aus und ändern Sie dessen Anzeigenamen. In diesem Beispiel wird das Benutzerkonto AdSync verwendet und der Anzeigename wird zu AdSync1 geändert.
Führen Sie dann in PowerShell den folgenden Befehl aus.
Nachdem Sie den obigen Befehl ausgeführt haben, warten Sie auf das Ergebnis, wie im untenstehenden Bild gezeigt.
Wechseln Sie dann zum Azure AD-Verwaltungscenter, um zu bestätigen, dass sich der Anzeigename geändert hat. Das folgende Bild zeigt den Anzeigenamen des Benutzers AdSync vor und nach der Ausführung der Delta-Synchronisierung.
Deinstallieren von Azure AD Connect
Es kann vorkommen, dass Sie Azure AD Connect entfernen und die Verzeichnissynchronisierung für Ihre Organisation deaktivieren möchten.
Angenommen, Sie haben eine kleine Organisation und haben bereits alle Benutzer in die Cloud migriert. Sie möchten keine Server mehr in Ihrem Rechenzentrum betreiben. Das ist ein Grund, Azure AD Connect zu entfernen.
Deinstallieren von Azure AD Connect vom Server
Um Azure AD Connect zu entfernen, befolgen Sie diese Schritte. Deinstallieren Sie zuerst Azure AD Connect von Ihrem Server.
Wenn das Fenster „Azure AD Connect deinstallieren“ angezeigt wird, stellen Sie sicher, dass Sie Auch die unterstützenden Komponenten deinstallieren auswählen. Klicken Sie dann auf Entfernen.
Warten Sie, bis der Deinstallationsvorgang abgeschlossen ist, und Sie sollten eine Bestätigungsseite wie die unten angezeigte sehen.
Deaktivieren der Verzeichnissynchronisierung
Sobald Azure AD Connect vom Server deinstalliert wurde, ist die letzte Aktion das Deaktivieren der DirSync.
Sie müssen zuerst mit PowerShell eine Verbindung zu Azure AD herstellen. Verwenden Sie dann den folgenden Befehl, um die Verzeichnissynchronisierung für Ihren Azure AD-Mandanten zu deaktivieren.
Nach Ausführung des Befehls erhalten Sie möglicherweise einen Fehler ähnlich dem unten angezeigten Screenshot.
Der obige Fehler bedeutet, dass Sie noch nicht berechtigt sind, die Synchronisierung zu deaktivieren. Es kann mehrere Minuten bis mehrere Tage dauern, abhängig von der Größe Ihres Mandanten, bevor Sie DirSync deaktivieren können.
Wenn dies geschieht, können Sie nur warten und den gleichen Befehl erneut versuchen. In diesem Beispiel dauerte das Warten etwa 15 Minuten. Die Ausführung des Befehls zur Deaktivierung von DirSync war dieses Mal erfolgreich.
Nach dem Deaktivieren von DirSync und der Entfernung von Azure AD Connect werden die zuvor synchronisierten Konten von Ihrem lokalen AD in Azure AD in ein Cloud-Konto umgewandelt. Diese konvertierten Konten werden nicht mehr als aus dem lokalen Netzwerk synchronisiert angezeigt.
Es kann mehrere Stunden dauern, bis die Konten vollständig vom lokalen Netzwerk in die Cloud konvertiert sind. In diesem Artikel dauerte die Konvertierung nach Deaktivierung der Verzeichnissynchronisierung ungefähr sechsunddreißig (36) Stunden. Vergleichen Sie vorher und nachher unten.
Zusammenfassung
Azure AD Connect ist ein ausgezeichnetes Tool, das es ermöglicht, Benutzerkonten vor Ort mit Ihrer Azure AD / Office 365-Umgebung zu synchronisieren. Wenn es ordnungsgemäß konfiguriert ist, müssen Ihre Benutzer keine separaten Konten bereitgestellt bekommen, um auf lokale und Cloud-Ressourcen zuzugreifen.
Mit Azure AD Connect können mehr Konfigurationen vorgenommen werden, als in diesem Artikel behandelt werden. Azure AD Connect kann anpassbar sein, um den Synchronisierungszyklus zu ändern oder die automatische Aktualisierung zu deaktivieren, wenn Sie mehr Kontrolle über Upgrades wünschen.
I hope that what you’ve learned in this article, although as basic as possible, could help you get a better understanding of how to install, configure and use Azure AD Connect for your Office 365 tenancy.
Weiterführende Informationen
Source:
https://adamtheautomator.com/connect-azure-ad-to-office-365/