Verzeichnissynchronisation mit Azure AD Connect

Neben Microsoft Azure und Office 365 vermehren sich die Angebote aus Rechenzentren extrem schnell. Diese bieten neben hoher Flexibilität und Skalierbarkeit noch vielerlei andere Vorteile gegenüber den on premise Lösungen. Doch bringt ein Umstieg auch gewisse Herausforderungen mit sich, egal ob man auf eine reine Cloudvariante oder eine hybride Lösung setzt. Deswegen empfehlen wir, vorher eine genaue Planung des Designkonzepts durchzuführen. So können zum Beispiel relevante Punkte wie die Benutzerverwaltung, Anmeldeverfahren und die Lizenzvergabe genau nach den eigenen Vorstellungen umgesetzt werden, ohne dabei einen erheblichen Aufwand auf sich nehmen zu müssen.

Azure AD Connect

Damit ein Benutzer auf eine Office 365 Anwendung oder auf die verfügbaren Onlinedienste wie Exchange Online zugreifen kann, muss ein Benutzeraccount im Azure Active Directory angelegt werden. Zwar kann man dies manuell mithilfe der Office 365 Administrationsoberfläche durchführen, allerdings kann diese Methode gerade bei größeren Unternehmen schnell zu einem ausuferndem Arbeitsaufwand führen.

Um diese Arbeitsschritte langfristig zu vereinfachen, stellt Microsoft mit Azure AD Connect für Office 365 ein starkes Werkzeug zur Verfügung. Damit können der Aufwand zum Anlegen und Verwalten der Benutzer vermindert und gleichzeitig weitere Features wie Single-Sign-on bereitstellt werden. Durch die Anbindung von Azure AD Connect an den lokalen Verzeichnisdienst Active Directory kann für den Zugriff auf lokal sowie in der Cloud bereitgestellten Dienste eine einzige Identität verwendet werden. Desweiteren kann durch die Kennwortsynchronisierung sogar das Benutzerpasswort als Hashwert zu Office 365 synchronisiert und dort zur Anmeldung verwendet werden. Somit muss sich jeder Benutzer für die Anmeldung bei Office 365 kein zusätzliches Passwort merken, wodurch auch der Aufwand des Administrators zum Beispiel für das Zurücksetzen von Passwörtern reduziert wird.

Azure AD Connect

Standardmäßig werden die Benutzer mit den ausgewählten Attributen alle 30 Minuten ins Azure Active Directory synchronisiert. Dieser Wert kann allerdings auch bei Bedarf angepasst oder eine Synchronisierung auch manuell angestoßen werden.

Voraussetzungen

Für die Installation von Azure AD Connect sind keine umfangreichen Voraussetzungen erforderlich. Hier einige Auszüge:

  • mindestens ein Windows Server 2008 mit grafischer Benutzeroberfläche vorausgesetzt (keine Installation auf einem Small Business Server oder Windows Server Essentials möglich)
  • mindestens .NET Framework 4.5.1 und Microsoft Powershell 3.0
  • Schemaversion und Funktionsebene des Active Directory von Windows Server 2003 oder höher
  • mindestens SQL Server 2008 (mit dem neuesten Service Pack)
  • Azure AD Abonnement

Zusätzlich wird für die Synchronisation der Daten eine SQL-Server-Datenbank benötigt. Deswegen wird standardmäßig eine Instanz von SQL Server 2012 Express LocalDB installiert, die die Verwaltung von Datenbanken von einer Größe bis zu 10 GB ermöglicht. Laut Microsoft soll diese Instanz für bis zu 100.000 Objekte ausreicht. Soll eine größere Anzahl an Objekten synchronisiert werden, muss bei der Installation auf eine andere SQL-Server-Instanz verwiesen werden, die mindestens der Version 2008 mit neuestem Service-Pack entspricht.

Um lokale Anmeldeinformationen für die Anmeldung bei Office 365 zu verwenden, müssen die User-Principal-Name-Suffixe des Benutzernamens mit den Domänen übereinstimmen, die in Azure Active Directory hinterlegt und überprüft  wurden.

Pass-through-Authentifizierung

Falls die Passwörter aufgrund hoher Sicherheitsstandards das Unternehmen nicht verlassen dürfen – also auch nicht in Form eines Hashwerts ins Azure Active Directory synchronisiert werden sollen – bietet Azure AD Connect im Preview die Azure AD-Passthrough-Authentifizierung an. Dabei wird die Kennwortüberprüfung direkt im Abgleich mit dem lokalen Active Directory durchgeführt. Der Vorteil an dieser Variante liegt darin, dass keine komplexe Infrastruktur bereitgestellt werden muss – wie es beim Einsatz von Federation Services der Fall wäre – um den Zugriff auf die Onlinedienste ausfallsicher gewährleisten zu können.

Nicht nur weil der Support für die veralteten Tools Windows Azure Active Directory Sync (DirSync) und Azure AD Sync am 13. April 2017 abgelaufen ist, sollte also möglichst bald auf Azure AD Connect umgestiegen werden. Darüber hinaus bietet dieses Tool noch weitere Funktionalitäten, wie die Möglichkeit, mit mehreren lokalen Exchange-Organisationen eine Verbindung herzustellen.

Azure AD Connect

Nicht nur weil der Support für die veralteten Tools Windows Azure Active Directory Sync (DirSync) und Azure AD Sync am 13. April 2017 abgelaufen ist, sollte möglichst bald auf Azure AD Connect umgestiegen werden. Darüber hinaus bietet dies Tool zusätzliche Funktionalitäten, wie das Synchronisieren benutzerdefinierter Attribute und Verzeichniserweiterungen.

Haben Sie Fragen zu diesem Thema?

Ich freue mich auf Ihren Anruf! 

 Henning Giewekemeyer EDV-BV Technologiespezialist Microsoft & Cloud

Weitere Blog Beiträge

Impressionen von der Microsoft Inspire!

Montag, 21 August, 2017|Kommentare deaktiviert für Impressionen von der Microsoft Inspire!

Highlights und Aufbruchstimmung 17.000 Teilnehmer aus 140 Ländern. Die diesjährige Microsoft Inspire hat zum [...]

Exchange Installation hängt bei Schritt: Sprache

Freitag, 28 Juli, 2017|Kommentare deaktiviert für Exchange Installation hängt bei Schritt: Sprache

Exchange Installation hängt bei Schritt: Sprache Heute hatte ich ein interessantes Problem welches mir leider [...]

Benutzerverwaltung in Office 365

Mittwoch, 7 Juni, 2017|Kommentare deaktiviert für Benutzerverwaltung in Office 365

Verzeichnissynchronisation mit Azure AD Connect Neben Microsoft Azure und Office 365 vermehren sich die Angebote [...]