Installationsübersicht: Azure AD Connect und Azure AD Connect Health
Installieren von Azure AD Connect
Wichtig
Microsoft unterstützt die Änderung oder den Einsatz der Azure AD Connect-Synchronisierung außerhalb dieser formal dokumentierten Aktionen nicht. Eine dieser Aktionen kann zu einem inkonsistenten oder nicht unterstützten Status der Azure AD Connect-Synchronisierung führen. Folglich kann Microsoft auch keinen technischen Support für solche Bereitstellungen leisten.
Den Download für Azure AD Connect finden Sie im Microsoft Download Center.
| Lösung | Szenario |
|---|---|
| Vorbereitung: Hardware und Voraussetzungen | Hier erfahren Sie mehr zu den Schritten, die vor dem Installieren von Azure AD Connect ausgeführt werden müssen. |
| Express-Einstellungen | Wenn Sie über eine einzelne Gesamtstruktur-AD-Instanz verfügen, ist dies die empfohlene Option. Benutzer melden Sie sich mit dem gleichen Kennwort mithilfe der Kennwortsynchronisierung an. |
| Benutzerdefinierte Einstellungen | Wird bei mehreren Gesamtstrukturen verwendet. Unterstützt viele lokale Topologien. Passen Sie die Anmeldeoption an, z.B. Pass-Through-Authentifizierung, ADFS für den Verbund, oder verwenden Sie einen Identitätsanbieter eines Drittanbieters. Passen Sie Synchronisierungsfunktionen an, wie das Filtern und Rückschreiben. |
| Upgrade von DirSync | Wird bei einem vorhandenen DirSync-Server verwendet, der bereits ausgeführt wird. |
| Upgrade von Azure AD Sync oder Azure AD Connect | Je nach Bedarf gibt es verschiedene Methoden. |
Nach der Installation sollten Sie überprüfen, ob es wie erwartet funktioniert und den Benutzern Lizenzen zuweisen.
Nächste Schritte für die Installation von Azure AD Connect
| Thema | Link |
|---|---|
| Azure AD Connect herunterladen | Azure AD Connect herunterladen |
| Installieren mit den Express-Einstellungen | Expressinstallation von Azure AD Connect |
| Installieren mit benutzerdefinierten Einstellungen | Benutzerdefinierte Installation von Azure AD Connect |
| Upgrade von DirSync | Upgrade von Azure AD-Synchronisierungstools (DirSync) |
| Nach der Installation | Überprüfen der Installation und Zuweisen von Lizenzen |
Weitere Informationen über die Installation von Azure AD Connect
Sie sollten sich auch auf betriebliche Probleme vorbereiten. Verwenden Sie ggf. einen Standbyserver, um im Notfall problemlos ein Failover ausführen zu können. Wenn Sie häufig Konfigurationsänderungen vornehmen möchten, sollten Sie einen Stagingmodus -Server einplanen.
| Thema | Link |
|---|---|
| Unterstützte Topologien | Topologien für Azure AD Connect |
| Entwurfskonzepte | Entwurfskonzepte für Azure AD Connect |
| Für die Installation verwendete Konten | Weitere Informationen zu den Anmeldeinformationen und Berechtigungen von Azure AD Connect |
| Operative Planung | Azure AD Connect-Synchronisierung: Operative Aufgaben und Überlegungen |
| Optionen für die Benutzeranmeldung | Azure AD Connect-Optionen für die Benutzeranmeldung |
Konfigurieren der Synchronisierungsfunktionen
Azure AD Connect verfügt über mehrere Funktionen, die Sie optional aktivieren können oder die standardmäßig aktiviert sind. Einige Funktionen benötigen möglicherweise eine zusätzliche Konfiguration in bestimmten Szenarien und Topologien.
Filtern wird verwendet, wenn Sie begrenzen möchten, welche Objekte mit Azure AD synchronisiert werden. Standardmäßig werden alle Benutzer, Kontakte, Gruppen und Windows 10-Computer synchronisiert. Sie können die Filterung ausgehend von Domänen, Organisationseinheiten oder Attributen ändern.
Kennworthashsynchronisierung synchronisiert das Kennworthash in Active Directory mit Azure AD. So kann der Endbenutzer das gleiche Kennwort lokal und in der Cloud verwenden, es jedoch nur an einem Ort verwalten. Da es das lokale Active Directory als Autorität verwendet, können Sie auch Ihre eigene Kennwortrichtlinie verwenden.
Kennwortrückschreiben ermöglicht es den Benutzern, ihre Kennwörter in der Cloud zu ändern und zurückzusetzen und die lokale Kennwortrichtlinie anzuwenden.
Geräterückschreiben ermöglicht es Ihnen, ein in Azure AD registriertes Gerät wieder in das lokale Active Directory zurückzuschreiben, damit es für bedingten Zugriff verwendet werden kann.
Die Funktion zum Verhindern eines versehentlichen Löschvorgangs ist standardmäßig aktiviert und schützt Ihr Cloudverzeichnis vor mehreren gleichzeitigen Löschvorgängen. Standardmäßig sind 500 Löschvorgänge pro Durchlauf zulässig. Diese Einstellung kann abhängig von der Größe Ihres Unternehmens geändert werden.
automatische Upgrade ist für Installationen mit Expresseinstellungen standardmäßig aktiviert und stellt sicher, dass Ihre Azure AD Connect-Instanz immer mit der neuesten Version aktualisiert wird.
Nächste Schritte zum Konfigurieren der Synchronisierungsfunktionen
| Thema | Link |
|---|---|
| Konfigurieren der Filterung | Azure AD Connect-Synchronisierung: Konfigurieren der Filterung |
| Kennworthashsynchronisierung | Kennworthashsynchronisierung |
| Passthrough-Authentifizierung | Passthrough-Authentifizierung |
| Kennwortrückschreiben | Erste Schritte mit der Kennwortverwaltung |
| Geräterückschreiben | Aktivieren des Geräterückschreibens in Azure AD Connect |
| Verhindern eines versehentlichen Löschvorgangs | Azure AD Connect-Synchronisierung: Verhindern von versehentlichen Löschvorgängen |
| automatische Upgrade | Azure AD Connect: Automatisches Upgrade |
Anpassen der Azure AD Connect-Synchronisierung
Für die Azure AD Connect-Synchronisierung ist eine Standardkonfiguration vorgegeben, die für die meisten Kunden und Topologien konzipiert wurde. Es gibt jedoch immer Situationen, in denen die Standardkonfiguration nicht funktioniert und angepasst werden muss. Sie können Änderungen wie in diesem Abschnitt und in den verknüpften Themen beschrieben vornehmen.
Wenn Sie noch nicht mit einer Synchronisierungstopologie gearbeitet haben, sollten Sie sich zunächst mit den Grundlagen und verwendeten Begriffen vertraut machen, die unter Technische Konzeptebeschrieben werden. Azure AD Connect ist die Weiterentwicklung von MIIS2003, ILM2007 und FIM2010. Selbst wenn einige Dinge identisch sind, hat sich doch auch eine Menge verändert.
Bei der Standardkonfiguration wird davon ausgegangen, dass die Konfiguration möglicherweise mehrere Gesamtstrukturen umfasst. In diesen Topologien kann ein Benutzerobjekt möglicherweise in einer anderen Gesamtstruktur als Kontakt dargestellt werden. Der Benutzer kann in einer anderen Ressourcengesamtstruktur auch über ein verknüpftes Postfach verfügen. Das Verhalten der Standardkonfiguration wird unter Benutzer und Kontaktebeschrieben.
Das synchronisierte Konfigurationsmodell wird als deklarative Bereitstellungbezeichnet. Die erweiterten Attributflüsse verwenden Funktionen , um Attributtransformationen auszudrücken. Sie können die gesamte Konfiguration mithilfe von Tools, die im Lieferumfang von Azure AD Connect enthalten sind, anzeigen und überprüfen. Wenn Sie Änderungen an der Konfiguration vornehmen müssen, sollten Sie sicherstellen, dass Sie die bewährten Methoden befolgen, damit neue Versionen leichter übernommen werden.
Nächste Schritte zur Anpassung der Azure AD Connect-Synchronisierung
| Thema | Link |
|---|---|
| Alle Artikel zur Azure AD Connect-Synchronisierung | Azure AD Connect-Synchronisierung |
| Technische Konzepte | Azure AD Connect-Synchronisierung: Technische Konzepte |
| Grundlegendes zur Standardkonfiguration | Azure AD Connect-Synchronisierung: Grundlegendes zur Standardkonfiguration |
| Grundlegendes zu Benutzern und Kontakten | Azure AD Connect-Synchronisierung: Grundlegendes zu Benutzern und Kontakten |
| deklarative Bereitstellung | Azure AD Connect-Synchronisierung: Grundlegendes zu Ausdrücken für die deklarative Bereitstellung |
| Ändern der Standardkonfiguration | Bewährte Methoden zum Ändern der Standardkonfiguration |
Konfigurieren von Verbundfunktionen
Azure AD Connect bietet mehrere Features, die die Verbunderstellung mit Azure AD unter Verwendung von AD FS sowie die Verwaltung Ihrer Verbundvertrauensstellung vereinfachen. Azure AD Connect unterstützt AD FS ab Windows Server 2012 R2.
Aktualisieren Sie das TLS/SSL-Zertifikat der AD FS-Farm, auch wenn Sie Azure AD Connect nicht für die Verwaltung Ihrer Verbundvertrauensstellung verwenden.
Fügen Sie Ihrer Farm einen AD FS-Server hinzu, um die Farm nach Bedarf zu erweitern.
Reparieren Sie die Vertrauensstellung mit Azure AD mit einigen wenigen Klicks.
AD FS kann für die Unterstützung von mehreren Domänenkonfiguriert werden. Beispiel: Sie besitzen mehrere Domänen der obersten Ebene, die Sie für den Verbund verwenden müssen.
Wenn Ihr AD FS-Server nicht für die automatische Aktualisierung von Zertifikaten in Azure AD konfiguriert wurde oder wenn Sie eine Lösung ohne AD FS nutzen, werden Sie benachrichtigt, wenn Sie Zertifikate aktualisieren müssen.
Nächste Schritte zum Konfigurieren der Verbundfunktionen
| Thema | Link |
|---|---|
| Alle AD FS-Artikel | Azure AD Connect und Verbund |
| Konfigurieren von AD FS mit Unterdomänen | Unterstützung mehrerer Domänen für den Verbund mit Azure AD |
| Verwalten der AD FS-Farm | Verwaltung und Anpassung der Active Directory-Verbunddienste mit Azure AD Connect |
| Manuelles Aktualisieren von Verbundzertifikaten | Erneuern von Verbundzertifikaten für Microsoft 365 und Azure AD |
Erste Schritte mit Azure AD Connect Health
Der Einstieg in Azure AD Connect Health ist einfach:
- Rufen Sie Azure AD Premium ab, oder beginnen Sie mit einer Testaktivierung.
- Laden Sie Azure AD Connect Health-Agents herunter, und installieren Sie sie auf Ihren Identitätsservern.
- Zeigen Sie das Azure AD Connect Health-Dashboard unter https://aka.ms/aadconnecthealth an.
Hinweis
Denken Sie daran, dass Sie die Azure AD Connect Health-Agents auf Ihren Zielservern installieren müssen, um in Ihrem Azure AD Connect Health-Dashboard Daten anzeigen zu können.
Herunterladen und Installieren des Azure AD Connect Health-Agents
- Vergewissern Sie sich, dass Sie die Anforderungen für Azure AD Connect Health erfüllen.
- Erste Schritte mit Azure AD Connect Health für AD FS
- Erste Schritte mit Azure AD Connect Health für die Sychronisierung
- Laden Sie die aktuelle Version von Azure AD Connect herunter, und installieren Sie sie. Der Health-Agent für die Synchronisierung wird im Rahmen der Installation von Azure AD Connect installiert (Version 1.0.9125.0 oder höher).
- Erste Schritte mit Azure AD Connect Health für AD DS
Azure AD Connect Health-Portal
Das Azure AD Connect Health-Portal zeigt Warnungen, Leistungsüberwachungsdaten und Nutzungsanalysen an. Über die URL https://aka.ms/aadconnecthealth gelangen Sie zum Hauptblatt von Azure AD Connect Health. Sie können es sich wie ein Fenster vorstellen. Auf dem Hauptblatt werden die Option Schnellstart, die Dienste von Azure AD Connect Health und weitere Konfigurationsoptionen angezeigt. Im folgenden Screenshot sehen Sie diese Elemente und darunter finden Sie ihre Beschreibung. Nachdem Sie die Agents bereitgestellt haben, wird der Integritätsdienst für die Dienste automatisch identifiziert, die von Azure AD Connect Health überwacht werden.
Hinweis
Informationen zur Lizenzierung finden Sie unter Häufig gestellte Fragen zu Azure AD Connect Health sowie auf der Seite zur Preisgestaltung von Azure AD.
Schnellstart: Wenn Sie diese Option auswählen, wird das Blatt Schnellstart geöffnet. Sie können Sie den Azure AD Connect Health-Agent herunterladen, indem Sie Tools abrufen auswählen. Sie können auch auf die Dokumentation zugreifen und Feedback geben.
Azure Active Directory Connect (Sync) : Diese Option zeigt Ihre Azure AD Connect-Server an, die derzeit von Azure AD Connect Health überwacht werden. Der Eintrag Synchronisierungsfehler zeigt allgemeine Synchronisierungsfehler des ersten integrierten Synchronisierungsdiensts nach Kategorien. Wenn Sie den Eintrag Synchronisierungsdienste auswählen, wird ein Blatt mit Informationen zu Ihren Azure AD Connect-Servern geöffnet. Weitere Informationen zu den Funktionen finden Sie unter Verwenden von Azure AD Connect Health für die Synchronisierung.
Active Directory-Verbunddienste: Diese Option zeigt alle AD FS-Dienste an, die derzeit von Azure AD Connect Health überwacht werden. Wenn Sie eine Instanz auswählen, wird ein Blatt mit Informationen zu dieser Dienstinstanz geöffnet, darunter beispielsweise eine Übersicht, Eigenschaften, Warnungen, Überwachungsinformationen und eine Nutzungsanalyse. Weitere Informationen zu den Funktionen finden Sie unter Verwenden von Azure AD Connect Health mit AD FS.
Active Directory Domain Services: Diese Option zeigt alle AD DS-Gesamtstrukturen an, die derzeit von Azure AD Connect Health überwacht werden. Wenn Sie eine Gesamtstruktur auswählen, wird ein Blatt mit Informationen zu dieser Gesamtstruktur geöffnet. Diese Informationen umfassen eine Übersicht mit den wichtigsten Informationen, das Domänencontroller-Dashboard, das Replikationsstatus-Dashboard, Warnungen und Überwachungsdaten. Weitere Informationen zu den Funktionen finden Sie unter Verwenden von Azure AD Connect Health mit AD DS.
Konfigurieren: In diesem Abschnitt können Sie folgende Optionen aktivieren oder deaktivieren:
- Automatisches Update des Azure AD Connect Health-Agents auf die aktuelle Version: Der Azure AD Connect Health-Agent wird automatisch aktualisiert, wenn neue Versionen verfügbar sind. Diese Option ist standardmäßig aktiviert.
- Zugriff auf Daten vom Azure AD-Verzeichnisintegritätsdienst durch Microsoft nur zur Problembehandlung: Wenn diese Option aktiviert ist, kann Microsoft auf dieselben Daten zugreifen, die vom Benutzer angezeigt werden. Diese Informationen können bei der Problembehandlung hilfreich sein und die nötige Unterstützung bereitstellen. Diese Option ist standardmäßig deaktiviert.
Im Abschnitt Rollenbasierte Zugriffssteuerung (IAM) wird der Zugriff auf Connect Health-Daten auf Rollenbasis verwaltet.
Nächste Schritte
- Voraussetzungen für Azure AD Connect
- Express-Einstellungen
- Benutzerdefinierte Einstellungen
- Implementieren der Kennworthashsynchronisierung mit Azure AD Connect|
- Passthrough-Authentifizierung
- Azure AD Connect und Verbund
- Installieren des Azure AD Connect Health-Agents
- Azure AD Connect-Synchronisierung