Lesen Sie die häufig gestellten Fragen zur Microsoft Entra-Cloudsynchronisierung.
Wie oft wird die Cloudsynchronisierung ausgeführt?
Die Kennworthashsynchronisierung erfolgt alle 2 bis 5 Minuten. Die Cloudbereitstellungssynchronisierung für Benutzer und Gruppen wird ungefähr alle 10 bis 20 Minuten geplant. Die tatsächliche Zeit, die zum Bereitstellen von Objekten in der Microsoft Entra-ID benötigt wird, hängt jedoch von der Anzahl der Änderungen ab, die in jedem Synchronisierungszyklus ausstehen. Größere Mengen von Änderungen können die Bereitstellungszeit verlängern, während kleinere Mengen schneller abgeschlossen werden können. Daher wird die Synchronisierungslatenz sowohl durch das Synchronisierungszyklusintervall als auch durch die Menge der verarbeiteten Änderungen beeinflusst.
Bei der ersten Ausführung werden Fehler bei der Kennworthashsynchronisierung angezeigt. Warum?
Dies ist das erwartete Verhalten. Die Fehler sind darauf zurückzuführen, dass das Benutzerobjekt nicht in Microsoft Entra ID vorhanden ist. Warten Sie nach der Bereitstellung des Benutzers einige Durchläufe, und vergewissern Sie sich, dass bei der Kennwort-Hash-Synchronisierung keine Fehler mehr auftreten.
Worin besteht der Unterschied zwischen der Microsoft Entra Connect-Synchronisierung und der Cloudsynchronisierung?
Bei der Microsoft Entra Connect-Synchronisierung erfolgt die Bereitstellung auf dem lokalen Synchronisierungsserver. Die Konfiguration wird auf dem lokalen Synchronisierungsserver gespeichert. Bei der Microsoft Entra-Cloudsynchronisierung wird die Bereitstellungskonfiguration in der Cloud gespeichert und als Teil des Microsoft Entra-Bereitstellungsdiensts in der Cloud ausgeführt. Einen ausführlichen Vergleich finden Sie im ausführlichen Artikel Was ist die Microsoft Entra-Cloudsynchronisierung.
Kann ich mit der Cloudsynchronisierung mehrere Active Directory-Gesamtstrukturen synchronisieren?
Ja. Mit der Cloud-Provisionierung können mehrere Active Directory-Gesamtstrukturen synchronisiert werden. In einer Multi-Forest-Umgebung müssen sich alle Verweise (z.B. Manager) innerhalb der Domäne befinden.
Wie wird der Agent aktualisiert?
Die Agents werden von Microsoft automatisch aktualisiert. Dadurch entfällt für das IT-Team das Testen und Überprüfen neuer Agent-Versionen.
Kann ich die automatische Aktualisierung deaktivieren?
Es gibt keine unterstützte Methode zum Deaktivieren des automatischen Upgrades.
Kann ich den Quellanker für die Cloudsynchronisierung ändern?
Bei der Cloudsynchronisierung wird standardmäßig „ms-ds-consistency-GUID“ mit einem Fallback auf ObjectGUID als Quellanker verwendet. Es gibt keine unterstützte Methode zum Ändern des Quellankers.
Bei Verwendung der Cloudsynchronisierung werden neue Dienstprinzipale mit den AD-Domänennamen angezeigt. Ist dies beabsichtigt?
Ja, bei der Cloudsynchronisierung wird ein Dienstprinzipal für die Bereitstellungskonfiguration mit dem Domänennamen als Dienstprinzipalname erstellt. Nehmen Sie keine Änderungen an der Dienstprinzipalkonfiguration vor.
Was geschieht, wenn ein synchronisierter Benutzer das Kennwort bei der nächsten Anmeldung ändern muss?
Wenn bei der Cloudsynchronisierung die Kennworthashsynchronisierung aktiviert ist und der synchronisierte Benutzer bei der nächsten Anmeldung bei der lokalen AD-Instanz das Kennwort ändern muss, stellt die Cloudsynchronisierung den „zu ändernden“ Kennworthash nicht in Microsoft Entra ID bereit. Sobald der Benutzer das Kennwort ändert, wird der Kennwort-Hash vom Active Directory (AD) zu Microsoft Entra ID bereitgestellt.
Unterstützt die Cloudsynchronisierung das Rückschreiben von „ms-ds-consistencyGUID“ für Objekte?
Nein, die Cloudsynchronisierung unterstützt das Rückschreiben von ms-ds-consistencyGUID für Objekte (einschließlich Benutzerobjekte) nicht.
Ich nutze für die Bereitstellung von Benutzern die Cloudsynchronisierung und habe die Konfiguration gelöscht. Warum werden die alten synchronisierten Objekte weiterhin in Microsoft Entra ID angezeigt?
Wenn Sie die Konfiguration löschen, werden die synchronisierten Objekte in Microsoft Entra ID von der Cloudsynchronisierung nicht automatisch entfernt. Um sicherzustellen, dass Sie nicht über die alten Objekte verfügen, ändern Sie den Umfang der Konfiguration in eine leere Gruppe oder Organisationseinheiten. Sobald die Bereitstellung abgeschlossen ist und die Objekte bereinigt wurden, deaktivieren und löschen Sie die Konfiguration.
Ich habe den Cloud-Synchronisierungs-Agent deinstalliert. Wie lange, bis sie aus dem Portal entfernt wird?
Wenn Sie einen Cloudsynchronisierungs-Agent deinstallieren oder beenden, wird der Agent nicht sofort aus dem Microsoft Entra Admin Center entfernt. Nach ungefähr einer Stunde wird der Agent als "Inaktiv" angezeigt. Nach ungefähr 10 Tagen wird der Agent vorläufig gelöscht und nicht mehr im Portal angezeigt. Der Agent wird dauerhaft entfernt, wenn sein Zertifikat abläuft, was eine weitere Interaktion mit Microsoft-Diensten verhindert. Weitere Informationen finden Sie unter Agent-Entfernung aus dem Portal nach der Deinstallation.
Unterstützt die Cloudsynchronisierung Exchange-Hybrid?
Ja. Die Cloudsynchronisierung unterstützt jetzt Exchange-Hybridszenarien. Weitere Informationen finden Sie unter Exchange-Hybrid mit Cloudsynchronisierung
Kann ich den Agent für die Cloudbereitstellung unter Windows Server Core installieren?
Nein, die Installation des Agents unter Server Core wird nicht unterstützt.
Kann ich den Cloudbereitstellungs-Agent auf demselben Server wie die Microsoft Entra Connect-Synchronisierung installieren?
Ja, die Installation des Agents auf demselben Server wird unterstützt.
Kann ich zusammen mit dem Cloudbereitstellungs-Agent einen Stagingserver verwenden?
Nein, Stagingserver werden nicht unterstützt.
Kann ich ein Gastbenutzerkonto synchronisieren?
Nein, das Synchronisieren eines Gastbenutzerkontos wird nicht unterstützt.
Was geschieht, wenn ich einen Benutzer aus einer Organisationseinheit, deren Gültigkeitsbereich die Cloudsynchronisierung ist, in eine Organisationseinheit verschiebe, deren Gültigkeitsbereich Microsoft Entra Connect ist?
Der Benutzer wird gelöscht und neu erstellt. Das Verschieben eines Benutzers aus einer Organisationseinheit, deren Gültigkeitsbereich die Cloudsynchronisierung ist, wird als Löschvorgang betrachtet. Wenn der Benutzer in eine von Microsoft Entra Connect verwaltete Organisationseinheit (OE) verschoben wird, wird er in Microsoft Entra ID neu zugewiesen, und ein neuer Benutzer wird erstellt.
Wenn ich die Organisationseinheit umbenenne oder verschiebe, die sich im Bereich des Cloudsynchronisierungsfilters befindet, was geschieht mit den Benutzern, die in der Microsoft Entra-ID erstellt wurden?
Nichts. Die Benutzer werden nicht gelöscht, wenn die OE umbenannt oder verschoben wird.
Unterstützt die Cloudsynchronisierung von Microsoft Entra große Gruppen?
Ja. Wir unterstützen heute bis zu 50.000 Gruppenmitglieder, die mithilfe der OU-Bereichsfilterung synchronisiert werden.
Unterstützt die Microsoft Entra Cloud-Synchronisierung geschachtelte Gruppen mit Gruppenbereichsabgrenzung?
Nein Geschachtelte Objekte jenseits der ersten Ebene werden bei der Eingrenzung durch Sicherheitsgruppen nicht einbezogen. Verwenden Sie die Gruppenbereichsfilterung nur für Pilotszenarien. Für die Synchronisierung großer Gruppen bestehen Einschränkungen.
Führt der Cloudbereitstellungs-Agent einen Lastenausgleich durch, wenn mehrere Agents installiert sind?
Nein Es ist immer nur ein Agent aktiv.
Muss für den Cloud Provisioning Agent eine Liste mit bevorzugten Domänencontrollern festgelegt werden?
Nein Die Liste der bevorzugten Domänencontroller wird bei der Agentinstallation angegeben, ist aber optional. Wenn keine bevorzugten DCs konfiguriert sind, wird der Agent jeden verfügbaren DC in der Domäne verwenden.
Ich habe eine Umgebung mit mehreren Gesamtstrukturen, und für das Netzwerk zwischen den beiden Gesamtstrukturen wird die Netzwerkadressenübersetzung (NAT) verwendet. Wird der Microsoft Entra Cloud Sync zwischen diesen beiden Gesamtstrukturen unterstützt?
Nein, die Verwendung von Microsoft Entra Cloud Sync über NAT wird nicht unterstützt, da sie von Active Directory abhängig ist, das NAT nicht unterstützt. Siehe Supportgrenzen für Active Directory über NAT.