Teilen über


Microsoft Entra Connect: Wenn Sie über einen vorhandenen Mandanten verfügen

Die meisten Themen zur Verwendung von Microsoft Entra Connect gehen davon aus, dass Sie mit einem neuen Microsoft Entra-Mandanten beginnen und dass keine Benutzer oder andere Objekte vorhanden sind. Wenn Sie jedoch bereits über einen Microsoft Entra-Mandanten verfügen, der mit Benutzern und anderen Objekten aufgefüllt ist, und jetzt Connect verwenden möchten, eignet sich dieses Thema perfekt für Sie.

Grundlagen

Ein Objekt in Microsoft Entra ID wird entweder in der Cloud oder lokal verwaltet. Bei nur einem Objekt ist es nicht möglich, einige Attribute lokal und andere Attribute in Microsoft Entra ID zu verwalten. Jedes Objekt verfügt über ein Flag, das angibt, wo das Objekt verwaltet wird.

Sie können einige Benutzer lokal und andere in der Cloud verwalten. Ein häufiges Szenario für diese Konfiguration ist eine Organisation, die sowohl über Buchhaltungs- als auch Vertriebsmitarbeiter verfügt. Die Buchhaltungsmitarbeiter haben ein lokales AD-Konto, aber die Vertriebsmitarbeiter nicht. Beide haben jedoch ein Konto in Microsoft Entra ID. Sie würden einige Benutzer lokal und einige in Microsoft Entra ID verwalten.

Sie müssen einige weitere Aspekte berücksichtigen, wenn Sie mit der Verwaltung von auch lokal vorhandenen Benutzern in Microsoft Entra ID begonnen haben und später Microsoft Entra Connect verwenden möchten.

Synchronisieren mit vorhandenen Benutzern in Microsoft Entra ID

Wenn Sie die Synchronisierung mit Microsoft Entra Connect starten, überprüft die Microsoft Entra-Dienst-API jedes neue eingehende Objekt und versucht, ein entsprechendes vorhandenes Objekt zu finden. Für diesen Prozess werden drei Attribute verwendet: userPrincipalName, proxyAddresses und sourceAnchor/immutableID. Eine Übereinstimmung bei userPrincipalName oder proxyAddresses wird als Soft Match bezeichnet. Eine Übereinstimmung bei sourceAnchor wird als Hard Match bezeichnet. Für das Attribut proxyAddresses wird zur Auswertung nur der Wert mit SMTP: verwendet – dies ist die primäre E-Mail-Adresse.

Die Übereinstimmung wird nur für neue, aus Connect eingehende Objekte ausgewertet. Wenn Sie ein vorhandenes Objekt so ändern, dass es einem dieser Attribute entspricht, wird stattdessen ein Fehler angezeigt.

Wenn Microsoft Entra ID ein Objekt findet, bei dem die Attributwerte mit den Werten des neuen eingehenden Objekts von Microsoft Entra Connect übereinstimmen, wird das Objekt in Microsoft Entra ID übernommen, und das zuvor in der Cloud verwaltete Objekt wird in ein lokal verwaltetes Objekt konvertiert. Alle Attribute in Microsoft Entra ID mit einem Wert im lokalen AD werden mit dem entsprechenden lokalen Wert überschrieben.

Warnung

Da alle Attribute in Microsoft Entra ID durch die lokalen Werte überschrieben werden, müssen Sie sicherstellen, dass Ihre lokalen Daten richtig und vollständig sind. Ein Beispiel: Wenn Sie E-Mail-Adressen nur in Microsoft 365 verwaltet und im lokalen AD DS nicht aktualisiert haben, gehen alle Werte aus Microsoft Entra ID/Microsoft 365 verloren, die nicht im AD DS vorhanden sind.

Wichtig

Wenn Sie die Kennwortsynchronisierung verwenden, die bei Expresseinstellungen immer verwendet wird, wird das Kennwort in Microsoft Entra ID durch das Kennwort im lokalen AD überschrieben. Wenn Ihre Benutzer daran gewöhnt sind, verschiedene Kennwörter zu verwenden, müssen Sie sie darüber informieren, dass sie ihr lokales Kennwort verwenden müssen, nachdem Sie Connect installiert haben.

Die Warnungen und Informationen im vorherigen Abschnitt müssen in Ihrer Planung berücksichtigt werden. Wenn Sie Änderungen in Microsoft Entra ID vorgenommen haben, die nicht im lokalen AD DS widergespiegelt wurden, müssen Sie zur Verhinderung von Datenverlusten planen, wie AD DS mit den aktualisierten Werten aus Microsoft Entra ID aufgefüllt wird, bevor Sie Ihre Objekte mithilfe von Microsoft Entra Connect synchronisieren.

Wenn Sie Ihre Objekte mit einer weichen Übereinstimmung abgeglichen haben, wird dem Objekt in Microsoft Entra ID ein sourceAnchor hinzugefügt, sodass später eine harte Übereinstimmung verwendet werden kann.

Wichtig

Microsoft rät dringend davon ab, lokale Konten mit bereits vorhandenen Verwaltungskonten in Microsoft Entra ID zu synchronisieren.

Hard Match im Vergleich zu Soft Match

Standardmäßig wird der sourceAnchor-Wert „abcdefghijklmnopqrstuv==“ von Microsoft Entra Connect anhand des Attributs „MsDs-ConsistencyGUID“ (oder je nach Konfiguration anhand des ObjectGUID-Werts) aus dem lokalen Active Directory berechnet. Dieser Attributwert ist der entsprechende ImmutableId-Wert in Microsoft Entra ID. Wenn Microsoft Entra Connect (Synchronisierungs-Engine) Objekte hinzufügt oder aktualisiert, gleicht Microsoft Entra ID das eingehende Objekt anhand des sourceAnchor-Werts ab, der dem ImmutableId-Attribut des vorhandenen Objekts in Microsoft Entra ID entspricht. Wenn es eine Übereinstimmung gibt, übernimmt Microsoft Entra Connect dieses Objekt und aktualisiert es mit den Eigenschaften des eingehenden lokalen Active Directory-Objekts, was als Hard Match bezeichnet wird. Wenn Microsoft Entra ID kein Objekt mit einem ImmutableId-Wert finden kann, der dem SouceAnchor-Wert entspricht, wird versucht, anhand des Benutzerprinzipalnamens (userPrincipalName) oder der primären Proxyadresse des eingehenden Objekts eine Übereinstimmung zu finden. Dies wird als „Soft Match“ bezeichnet. Beim Soft Match-Vorgang wird versucht, Objekte abzugleichen, die bereits in Microsoft Entra ID vorhanden sind und verwaltet werden. Dabei werden die neuen eingehenden Objekte hinzugefügt oder aktualisiert, die dieselbe lokale Entität darstellen. Wenn Microsoft Entra ID keinen Hard Match oder Soft Match für das eingehende Objekt finden kann, wird ein neues Objekt im Microsoft Entra ID-Verzeichnis bereitgestellt. Wir haben eine Konfigurationsoption hinzugefügt, um das Feature für den Hard Match-Vorgang in Microsoft Entra ID zu deaktivieren. Wir empfehlen Kunden, den Hard Match-Vorgang zu deaktivieren, es sei denn, sie benötigen ihn für die Übernahme reiner Cloudkonten.

Verwenden Sie zum Deaktivieren des Hard Match-Vorgangs das Microsoft Graph PowerShell-Cmdlet Update-MgDirectoryOnPremiseSynchronization:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

Wir haben ebenso eine Konfigurationsoption hinzugefügt, um die Option für den Soft Match-Vorgang in Microsoft Entra ID zu deaktivieren. Wir empfehlen Kunden, das Soft Matching zu deaktivieren, es sei denn, sie benötigen es, um reine Cloudkonten zu übernehmen.

Verwenden Sie zum Deaktivieren des Soft Match-Vorgangs das Microsoft Graph PowerShell-Cmdlet Update-MgDirectoryOnPremiseSynchronization:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

Hinweis

„BlockCloudObjectTakeoverThroughHardMatchEnabled“ und „BlockSoftMatchEnabled“ werden zum Blockieren der Zuordnung für alle Objekte verwendet, sofern die Option für den Mandanten aktiviert ist. Kunden werden ermutigt, diese Features nur während des Zeitraums zu deaktivieren, in dem ein Zuordnungsverfahren für ihren Mandanten erforderlich ist. Dieses Flag sollte wieder auf True festgelegt werden, wenn eine Zuordnung abgeschlossen ist und nicht mehr benötigt wird.

Andere Objekte als Benutzer

Für E-Mail-aktivierte Gruppen und Kontakte können Sie ein Soft Match basierend auf proxyAddresses durchführen. Ein Hard Match ist nicht anwendbar, da Sie „sourceAnchor/immutableID“ (mithilfe von PowerShell) nur für Benutzer aktualisieren können. Für nicht E-Mail-aktivierte Gruppen gibt es derzeit weder Soft Match- noch Hard Match-Unterstützung.

Überlegungen zu Administratorrollen

Zum Schutz vor nicht vertrauenswürdigen lokalen Benutzern gleicht Microsoft Entra ID lokale Benutzer nicht mit Cloudbenutzern ab, die über eine Administratorrolle verfügen. Dies ist das standardmäßige Verhalten. Sie können die folgenden Schritte ausführen, um dies zu umgehen:

  1. Entfernen Sie die Verzeichnisrollen von dem reinen Cloudbenutzerobjekt.
  2. Führen Sie für das unter Quarantäne gestellte Objekt in der Cloud das endgültige Löschen durch.
  3. Führen Sie eine Synchronisierung aus.
  4. Fügen Sie optional die Verzeichnisrollen dem Benutzerobjekt in der Cloud wieder hinzu, nachdem die Zuordnung stattgefunden hat.

Erstellen eines neuen lokalen Active Directory aus Daten in Microsoft Entra ID

Einige Kunden beginnen mit einer reinen Cloudlösung mit Microsoft Entra ID und verfügen nicht über ein lokales AD. Später möchten diese Kunden lokale Ressourcen nutzen und ein lokales AD basierend auf den Microsoft Entra-Daten aufbauen. Microsoft Entra Connect kann Ihnen bei diesem Szenario nicht helfen. Connect erstellt keine lokalen Benutzer und bietet keine Möglichkeit, das Kennwort lokal auf das gleiche festzulegen, das in Microsoft Entra ID verwendet wird.

Wenn der einzige Grund, warum Sie planen, lokales AD hinzuzufügen, die Unterstützung von branchenspezifischen Apps (Line-of-Business-Apps, LOBs) ist, sollten Sie stattdessen die Verwendung von Microsoft Entra Domain Services erwägen.

Nächste Schritte

Weitere Informationen finden Sie unter Integrieren Ihrer lokalen Identitäten in Microsoft Entra ID.