Freigeben über

Bereitstellen von Active Directory für Microsoft Entra ID – Konfiguration

Das folgende Dokument führt Sie durch die Konfiguration von Microsoft Entra Cloud Sync für die Bereitstellung von Active Directory zu Microsoft Entra ID. Wenn Sie Nach Informationen zur Bereitstellung von Microsoft Entra ID in AD suchen, lesen Sie "Konfigurieren – Bereitstellen von Active Directory für Microsoft Entra-ID mithilfe von Microsoft Entra Cloud Sync"

In der folgenden Dokumentation wird die neue geführte Benutzeroberfläche für Microsoft Entra Cloud Sync veranschaulicht.

Weitere Informationen und ein Beispiel für die Konfiguration der Cloudsynchronisierung finden Sie im folgenden Video.

Konfigurieren der Bereitstellung

Gehen Sie zum Konfigurieren der Bereitstellung wie folgt vor.

  1. Melden Sie sich beim Microsoft Entra Admin-Center mindestens als Hybrid-Identitätsadministrator an.

  2. Navigieren Sie zur Entra ID>Entra Connect>Cloud-Synchronisierung.

    Screenshot der Startseite von Microsoft Entra Connect Cloud Sync.

  1. Wählen Sie Neue Konfiguration aus.
  2. Wählen Sie AD zu Microsoft Entra ID-Synchronisierung aus. Screenshot: Hinzufügen einer Konfiguration
  3. Wählen Sie im Konfigurationsbildschirm Ihre Domäne aus, und geben Sie an, ob die Kennworthashsynchronisierung aktiviert werden soll. Klicken Sie auf Erstellen.

Screenshot einer neuen Konfiguration.

  1. Der Bildschirm Erste Schritte wird geöffnet. Von hier aus können Sie die Konfiguration der Cloudsynchronisierung fortsetzen.

Screenshot des Bildschirms

  1. Die Konfiguration ist in die folgenden fünf Abschnitte unterteilt.
`Section` BESCHREIBUNG
1. Bereichsfilter hinzufügen Verwenden Sie diesen Abschnitt, um zu definieren, welche Objekte in Microsoft Entra ID angezeigt werden.
2. Zuordnen von Attributen Verwenden Sie diesen Abschnitt, um Attribute zwischen Ihren lokalen Benutzer*innen/Gruppen mit Microsoft Entra-Objekten zuzuordnen.
3. Test Testen Sie Ihre Konfiguration, bevor Sie sie bereitstellen.
4. Anzeigen der Standardeigenschaften Zeigen Sie die Standardeinstellung vor der Aktivierung an, und nehmen Sie ggf. Änderungen vor.
5. Aktivieren Ihrer Konfiguration Sobald Sie bereit sind, aktivieren Sie die Konfiguration, und Benutzer/Gruppen beginnen mit der Synchronisierung.

Hinweis

Während des Konfigurationsprozesses wird das Synchronisierungsdienstkonto mit dem Format ADToAADSyncServiceAccount@[TenantID].onmicrosoft.com erstellt, und Sie erhalten möglicherweise eine Fehlermeldung, wenn die mehrstufige Authentifizierung für das Synchronisierungsdienstkonto aktiviert ist, oder andere interaktive Authentifizierungsrichtlinien für das Synchronisierungskonto versehentlich aktiviert sind. Durch das Entfernen der mehrstufigen Authentifizierung oder aller interaktiven Authentifizierungsrichtlinien für das Synchronisierungsdienstkonto sollte der Fehler behoben werden, und Sie können die Konfiguration reibungslos abschließen.

Beschränken der Bereitstellung auf bestimmte Benutzer und Gruppen

Standardmäßig synchronisiert der Bereitstellungs-Agent eine Teilmenge der Benutzer und Gruppen aus Ihrem Active Directory. Sie können den Agent weiter auf die Synchronisierung bestimmter Benutzer und Gruppen beschränken, indem Sie lokale Active Directory-Gruppen oder Organisationseinheiten verwenden.

Screenshot des Bereichsfiltersymbols.

Gruppen und Organisationseinheiten können im Rahmen einer Konfiguration konfiguriert werden.

Hinweis

Geschachtelte Gruppen können nicht mit der Gruppenbereichsdefinition verwendet werden. Geschachtelte Objekte jenseits der ersten Ebene werden bei der Bereichsdefinition mithilfe von Sicherheitsgruppen nicht einbezogen. Verwenden Sie die Gruppenbereichsfilterung nur für Pilotszenarien, da es Einschränkungen beim Synchronisieren großer Gruppen gibt.

  1. Auf dem Konfigurationsbildschirm Erste Schritte. Klicken Sie entweder auf Bereichsfilter hinzufügen neben dem Symbol Bereichsfilter hinzufügen oder auf die Schaltfläche Bereichsfilter links unter Verwalten.

Screenshot: Bereichsfilter.

  1. Wählen Sie den Bereichsfilter aus. Der Filter kann eine der folgenden Sein:
    • Alle Benutzer: Bezieht sich auf die Konfiguration, die für alle Benutzer gilt, die synchronisiert werden.
    • Ausgewählte Sicherheitsgruppen: Definiert die Konfiguration, die auf bestimmte Sicherheitsgruppen angewendet werden soll.
    • Ausgewählte Organisationseinheiten: Definiert die Konfiguration, die auf bestimmte Organisationseinheiten angewendet werden soll.
  2. Geben Sie für Sicherheitsgruppen und Organisationseinheiten den entsprechenden distinguishierten Namen an, und klicken Sie auf "Hinzufügen".
  3. Nachdem Ihre Bereichsfilter konfiguriert sind, klicken Sie auf Speichern.
  4. Nach dem Speichern sollte eine Meldung angezeigt werden, die Sie darüber informiert, was Sie zum Konfigurieren der Cloudsynchronisierung noch durchführen müssen. Sie können auf den Link klicken, um fortzufahren. Screenshot: Aufforderung für Bereichsfilter.
  5. Nachdem Sie den Bereich geändert haben, sollten Sie die Bereitstellung neu starten , um eine sofortige Synchronisierung der Änderungen zu initiieren.

Attributzuordnung

Die Microsoft Entra-Cloudsynchronisierung ermöglicht das einfache Zuordnen von Attributen zwischen lokalen Benutzer-/Gruppenobjekten und den Objekten in Microsoft Entra ID.

Screenshot des Symbols

Sie können die Standardattributzuordnungen den Anforderungen Ihres Unternehmens entsprechend anpassen. Dies bedeutet, dass Sie vorhandene Attributzuordnungen ändern oder löschen und neue Attributzuordnungen erstellen können.

Screenshot der Standardmäßigen Attributzuordnungen.

Nach dem Speichern sollte eine Meldung angezeigt werden, die Sie darüber informiert, was Sie zum Konfigurieren der Cloudsynchronisierung noch durchführen müssen. Sie können auf den Link klicken, um fortzufahren. Screenshot: Aufforderung für Attributfilter.

Weitere Informationen finden Sie unter Attributzuordnung.

Verzeichniserweiterungen und benutzerdefinierte Attributzuordnungen

Mit der Microsoft Entra-Cloudsynchronisierung können Sie das Verzeichnis mit Erweiterungen erweitern und eine benutzerdefinierte Attributzuordnung ermöglichen. Weitere Informationen finden Sie unter Verzeichniserweiterungen und benutzerdefinierte Attributzuordnungen.

Bedarfsorientierte Bereitstellung

Die Microsoft Entra-Cloudsynchronisierung ermöglicht Ihnen das Testen von Konfigurationsänderungen, indem diese Änderungen auf einen einzelnen Benutzer oder eine einzelne Gruppe angewandt werden.

Screenshot des Testsymbols.

So können Sie überprüfen, ob die an der Konfiguration vorgenommenen Änderungen richtig angewendet wurden und ordnungsgemäß mit Microsoft Entra ID synchronisiert werden.

Screenshot der On-Demand-Bereitstellung.

Nach dem Testen sollte eine Meldung angezeigt werden, die Sie darüber informiert, was Sie zum Konfigurieren der Cloudsynchronisierung noch durchführen müssen. Sie können auf den Link klicken, um fortzufahren. Screenshot des Nudges für Tests.

Weitere Informationen finden Sie unter Bedarfsorientierte Bereitstellung.

Versehentliche Löschungen und E-Mail-Benachrichtigungen

Der Abschnitt „Standardeigenschaften“ enthält Informationen zu versehentlichen Löschungen und E-Mail-Benachrichtigungen.

Screenshot des Standardeigenschaftensymbols.

Die Funktion gegen versehentliches Löschen dient zum Schutz vor unbeabsichtigten Konfigurationsänderungen und Änderungen an Ihrem lokalen Verzeichnis, die sich auf viele Benutzer und Gruppen auswirken würden.

Dieses Feature bietet folgende Möglichkeiten:

  • konfigurieren Sie die Möglichkeit, versehentliche Löschungen automatisch zu verhindern.
  • Festlegen der Anzahl von Objekten (Schwellenwert), ab der die Konfiguration wirksam wird
  • Einrichten einer E-Mail-Adresse für Benachrichtigungen, damit sie eine E-Mail-Benachrichtigung erhalten können, sobald der betreffende Synchronisierungsauftrag für dieses Szenario in Quarantäne gestellt wird

Weitere Informationen finden Sie unter Versehentliches Löschen

Klicken Sie auf den Stift neben Grundlagen, um die Standardwerte in einer Konfiguration zu ändern.

Screenshot: Grundlagen.

Aktivieren Ihrer Konfiguration

Nachdem Sie Ihre Konfiguration abgeschlossen und getestet haben, können Sie sie aktivieren.

Screenshot des Symbols

Klicken Sie auf Konfiguration aktivieren, um sie zu aktivieren.

Screenshot der Aktivierung einer Konfiguration.

Quarantäne

Die Cloudsynchronisierung überwacht die Integrität Ihrer Konfiguration und versetzt fehlerhafte Objekte in den Status „Quarantäne“. Wenn die meisten oder alle Aufrufe an das Zielsystem aufgrund eines Fehlers (z. B. bei ungültigen Administratoranmeldeinformationen) dauerhaft nicht erfolgreich sind, wird der Synchronisierungsauftrag in den Quarantänestatus versetzt. Weitere Informationen finden Sie im Abschnitt zur Problembehandlung bei der Quarantäne.

Erneutes Starten der Bereitstellung

Wenn Sie nicht auf die nächste geplante Ausführung warten möchten, können Sie mithilfe der Schaltfläche Synchronisierung neu starten die Ausführung der Bereitstellung auslösen.

  1. Melden Sie sich beim Microsoft Entra Admin-Center mindestens als Hybrid-Identitätsadministrator an.

  2. Navigieren Sie zur Entra ID>Entra Connect>Cloud-Synchronisierung.

    Screenshot der Startseite von Microsoft Entra Connect Cloud Sync.

  1. Wählen Sie unter Konfiguration Ihre Konfiguration aus.

Screenshot des Neustarts der Synchronisierung.

  1. Wählen Sie oben die Option Synchronisierung neu starten aus.

Entfernen einer Konfiguration

Führen Sie die folgenden Schritte aus, um eine Konfiguration zu löschen.

  1. Melden Sie sich beim Microsoft Entra Admin-Center mindestens als Hybrid-Identitätsadministrator an.

  2. Navigieren Sie zur Entra ID>Entra Connect>Cloud-Synchronisierung.

    Screenshot der Startseite von Microsoft Entra Connect Cloud Sync.

  1. Wählen Sie unter Konfiguration Ihre Konfiguration aus.

Screenshot des Löschvorgangs.

  1. Wählen Sie am oberen Rand des Konfigurationsbildschirms Konfiguration löschen aus.

Von Bedeutung

Vor dem Löschen einer Konfiguration wird keine Bestätigung ausgegeben. Stellen Sie sicher, dass es sich um die Aktion handelt, die Sie ausführen möchten, bevor Sie Löschen auswählen.

Nächste Schritte