Häufig gestellte Fragen zur Microsoft Entra Cloud Sync

Lesen Sie die häufig gestellten Fragen zur Microsoft Entra-Cloudsynchronisierung.

Wie oft wird die Cloudsynchronisierung ausgeführt?

Für die Cloudbereitstellung ist eine Ausführung alle zwei Minuten geplant. Alle zwei Minuten werden alle Änderungen an Benutzern, Gruppen oder Kennworthashes in Microsoft Entra ID bereitgestellt.

Bei der ersten Ausführung werden Fehler bei der Kennworthashsynchronisierung angezeigt. Warum?

Dies ist das erwartete Verhalten. Die Fehler sind darauf zurückzuführen, dass das Benutzerobjekt nicht in Microsoft Entra ID vorhanden ist. Warten Sie nach der Bereitstellung des Benutzers einige Ausführungen, und vergewissern Sie sich, dass bei der Kennworthashsynchronisierung keine Fehler mehr auftreten.

Worin besteht der Unterschied zwischen der Microsoft Entra Connect-Synchronisierung und der Cloudsynchronisierung?

Bei der Microsoft Entra Connect-Synchronisierung erfolgt die Bereitstellung auf dem lokalen Synchronisierungsserver. Die Konfiguration wird auf dem lokalen Synchronisierungsserver gespeichert. Bei der Microsoft Entra-Cloudsynchronisierung wird die Bereitstellungskonfiguration in der Cloud gespeichert und als Teil des Microsoft Entra-Bereitstellungsdiensts in der Cloud ausgeführt. Einen ausführlichen Vergleich finden Sie im ausführlichen Artikel Was ist die Microsoft Entra-Cloudsynchronisierung.

Kann ich mit der Cloudsynchronisierung mehrere Active Directory-Gesamtstrukturen synchronisieren?

Ja. Mit der Cloudbereitstellung können mehrere Active Directory-Gesamtstrukturen synchronisiert werden. In der Umgebung mit mehreren Gesamtstrukturen müssen sich alle Verweise (Beispiel, Manager) innerhalb der Domäne befinden.

Wie wird der Agent aktualisiert?

Die Agents werden von Microsoft automatisch aktualisiert. Dadurch entfällt für das IT-Team das Testen und Überprüfen neuer Agent-Versionen.

Kann ich die automatische Aktualisierung deaktivieren?

Es gibt keine unterstützte Methode zum Deaktivieren des automatischen Upgrades.

Kann ich den Quellanker für die Cloudsynchronisierung ändern?

Bei der Cloudsynchronisierung wird standardmäßig „ms-ds-consistency-GUID“ mit einem Fallback auf ObjectGUID als Quellanker verwendet. Es gibt keine unterstützte Methode zum Ändern des Quellankers.

Bei Verwendung der Cloudsynchronisierung werden neue Dienstprinzipale mit den AD-Domänennamen angezeigt. Ist dies beabsichtigt?

Ja, bei der Cloudsynchronisierung wird ein Dienstprinzipal für die Bereitstellungskonfiguration mit dem Domänennamen als Dienstprinzipalname erstellt. Nehmen Sie keine Änderungen an der Dienstprinzipalkonfiguration vor.

Was geschieht, wenn ein synchronisierter Benutzer das Kennwort bei der nächsten Anmeldung ändern muss?

Wenn bei der Cloudsynchronisierung die Kennworthashsynchronisierung aktiviert ist und der synchronisierte Benutzer bei der nächsten Anmeldung bei der lokalen AD-Instanz das Kennwort ändern muss, stellt die Cloudsynchronisierung den „zu ändernden“ Kennworthash nicht in Microsoft Entra ID bereit. Sobald der Benutzer das Kennwort ändert, wird der Benutzerkennworthash von AD in Microsoft Entra ID bereitgestellt.

Unterstützt die Cloudsynchronisierung das Rückschreiben von „ms-ds-consistencyGUID“ für Objekte?

Nein, die Cloudsynchronisierung unterstützt das Rückschreiben von ms-ds-consistencyGUID für Objekte (einschließlich Benutzerobjekte) nicht.

Ich nutze für die Bereitstellung von Benutzern die Cloudsynchronisierung und habe die Konfiguration gelöscht. Warum werden die alten synchronisierten Objekte weiterhin in Microsoft Entra ID angezeigt?

Wenn Sie die Konfiguration löschen, werden die synchronisierten Objekte in Microsoft Entra ID von der Cloudsynchronisierung nicht automatisch entfernt. Um sicherzustellen, dass Sie über keine alten Objekte verfügen, ändern Sie den Bereich der Konfiguration in eine leere Gruppe oder in Organisationseinheiten. Wenn die Bereitstellung läuft und die Objekte bereinigt, deaktivieren und löschen Sie die Konfiguration.

Unterstützt die Cloudsynchronisierung Exchange-Hybrid?

Ja. Die Cloudsynchronisierung unterstützt jetzt Exchange-Hybridszenarien. Weitere Informationen finden Sie unter Exchange-Hybrid mit Cloudsynchronisierung

Kann ich den Agent für die Cloudbereitstellung unter Windows Server Core installieren?

Nein, die Installation des Agents unter Server Core wird nicht unterstützt.

Kann ich den Cloudbereitstellungs-Agent auf demselben Server wie die Microsoft Entra Connect-Synchronisierung installieren?

Ja, die Installation des Agents auf demselben Server wird unterstützt.

Kann ich zusammen mit dem Cloudbereitstellungs-Agent einen Stagingserver verwenden?

Nein, Stagingserver werden nicht unterstützt.

Kann ich ein Gastbenutzerkonto synchronisieren?

Nein, das Synchronisieren eines Gastbenutzerkontos wird nicht unterstützt.

Was geschieht, wenn ich einen Benutzer aus einer Organisationseinheit, deren Gültigkeitsbereich die Cloudsynchronisierung ist, in eine Organisationseinheit verschiebe, deren Gültigkeitsbereich Microsoft Entra Connect ist?

Der Benutzer wird gelöscht und neu erstellt. Das Verschieben eines Benutzers aus einer Organisationseinheit, deren Gültigkeitsbereich die Cloudsynchronisierung ist, wird als Löschvorgang betrachtet. Wenn der Benutzer in eine OE verschoben wird, die von Microsoft Entra Connect verwaltet wird, wird er wieder in Microsoft Entra ID bereitgestellt, und es wird ein neuer Benutzer erstellt.

Was geschieht mit dem Benutzer, der in Microsoft Entra ID erstellt wurde, wenn ich die Organisationseinheit umbenenne oder verschiebe, deren Gültigkeitsbereich der Cloudsynchronisierungsfilter ist?

Nichts. Die Benutzer werden nicht gelöscht, wenn die OE umbenannt oder verschoben wird.

Unterstützt die Cloudsynchronisierung von Microsoft Entra große Gruppen?

Ja. Wir unterstützen heute bis zu 50 000 Gruppenmitglieder, die mithilfe der OE-Bereichsfilterung synchronisiert werden.

Unterstützt die Microsoft Entra-Cloudsynchronisierung geschachtelte Gruppen mit Gruppenbereichsdefinition?

Nein Geschachtelte Objekte jenseits der ersten Ebene werden bei der Bereichsfestlegung mithilfe von Sicherheitsgruppen nicht einbezogen. Verwenden Sie die Gruppenbereichsfilterung nur für Pilotszenarien. Für die Synchronisierung großer Gruppen bestehen Einschränkungen.

Führt der Cloudbereitstellungs-Agent einen Lastenausgleich durch, wenn mehrere Agents installiert sind?

Nein Es ist immer nur ein Agent aktiv.

Muss für den Cloud Provisioning Agent eine Liste mit bevorzugten Domänencontrollern festgelegt werden?

Nein Die Liste der bevorzugten Domänencontroller wird bei der Agentinstallation angegeben, ist aber optional. Wenn keine bevorzugten DCs konfiguriert sind, wird der Agent jeden verfügbaren DC in der Domäne verwenden.

Ich habe eine Umgebung mit mehreren Gesamtstrukturen, und für das Netzwerk zwischen den beiden Gesamtstrukturen wird die Netzwerkadressenübersetzung (NAT) verwendet. Wird Microsoft Entra Cloud Sync zwischen diesen beiden Gesamtstrukturen unterstützt?

Nein, die Verwendung von Microsoft Entra Cloud Sync über NAT wird nicht unterstützt, da sie von Active Directory abhängig ist, das NAT nicht unterstützt. Siehe Supportgrenzen für Active Directory über NAT.

Nächste Schritte

• Was ist die Identitätsbereitstellung?
• Was ist Microsoft Entra-Cloudsynchronisierung?

Lesen Sie die häufig gestellten Fragen zur Microsoft Entra-Cloudsynchronisierung.

Für die Cloudbereitstellung ist eine Ausführung alle zwei Minuten geplant. Alle zwei Minuten werden alle Änderungen an Benutzern, Gruppen oder Kennworthashes in Microsoft Entra ID bereitgestellt.

Dies ist das erwartete Verhalten. Die Fehler sind darauf zurückzuführen, dass das Benutzerobjekt nicht in Microsoft Entra ID vorhanden ist. Warten Sie nach der Bereitstellung des Benutzers einige Ausführungen, und vergewissern Sie sich, dass bei der Kennworthashsynchronisierung keine Fehler mehr auftreten.

Bei der Microsoft Entra Connect-Synchronisierung erfolgt die Bereitstellung auf dem lokalen Synchronisierungsserver. Die Konfiguration wird auf dem lokalen Synchronisierungsserver gespeichert. Bei der Microsoft Entra-Cloudsynchronisierung wird die Bereitstellungskonfiguration in der Cloud gespeichert und als Teil des Microsoft Entra-Bereitstellungsdiensts in der Cloud ausgeführt. Einen ausführlichen Vergleich finden Sie im ausführlichen Artikel Was ist die Microsoft Entra-Cloudsynchronisierung.

Ja. Mit der Cloudbereitstellung können mehrere Active Directory-Gesamtstrukturen synchronisiert werden. In der Umgebung mit mehreren Gesamtstrukturen müssen sich alle Verweise (Beispiel, Manager) innerhalb der Domäne befinden.

Die Agents werden von Microsoft automatisch aktualisiert. Dadurch entfällt für das IT-Team das Testen und Überprüfen neuer Agent-Versionen.

Es gibt keine unterstützte Methode zum Deaktivieren des automatischen Upgrades.

Bei der Cloudsynchronisierung wird standardmäßig „ms-ds-consistency-GUID“ mit einem Fallback auf ObjectGUID als Quellanker verwendet. Es gibt keine unterstützte Methode zum Ändern des Quellankers.

Ja, bei der Cloudsynchronisierung wird ein Dienstprinzipal für die Bereitstellungskonfiguration mit dem Domänennamen als Dienstprinzipalname erstellt. Nehmen Sie keine Änderungen an der Dienstprinzipalkonfiguration vor.

Wenn bei der Cloudsynchronisierung die Kennworthashsynchronisierung aktiviert ist und der synchronisierte Benutzer bei der nächsten Anmeldung bei der lokalen AD-Instanz das Kennwort ändern muss, stellt die Cloudsynchronisierung den „zu ändernden“ Kennworthash nicht in Microsoft Entra ID bereit. Sobald der Benutzer das Kennwort ändert, wird der Benutzerkennworthash von AD in Microsoft Entra ID bereitgestellt.

Nein, die Cloudsynchronisierung unterstützt das Rückschreiben von ms-ds-consistencyGUID für Objekte (einschließlich Benutzerobjekte) nicht.

Wenn Sie die Konfiguration löschen, werden die synchronisierten Objekte in Microsoft Entra ID von der Cloudsynchronisierung nicht automatisch entfernt. Um sicherzustellen, dass Sie über keine alten Objekte verfügen, ändern Sie den Bereich der Konfiguration in eine leere Gruppe oder in Organisationseinheiten. Wenn die Bereitstellung läuft und die Objekte bereinigt, deaktivieren und löschen Sie die Konfiguration.

Ja. Die Cloudsynchronisierung unterstützt jetzt Exchange-Hybridszenarien. Weitere Informationen finden Sie unter Exchange-Hybrid mit Cloudsynchronisierung

Nein, die Installation des Agents unter Server Core wird nicht unterstützt.

Ja, die Installation des Agents auf demselben Server wird unterstützt.

Nein, Stagingserver werden nicht unterstützt.

Nein, das Synchronisieren eines Gastbenutzerkontos wird nicht unterstützt.

Der Benutzer wird gelöscht und neu erstellt. Das Verschieben eines Benutzers aus einer Organisationseinheit, deren Gültigkeitsbereich die Cloudsynchronisierung ist, wird als Löschvorgang betrachtet. Wenn der Benutzer in eine OE verschoben wird, die von Microsoft Entra Connect verwaltet wird, wird er wieder in Microsoft Entra ID bereitgestellt, und es wird ein neuer Benutzer erstellt.

Nichts. Die Benutzer werden nicht gelöscht, wenn die OE umbenannt oder verschoben wird.

Ja. Wir unterstützen heute bis zu 50 000 Gruppenmitglieder, die mithilfe der OE-Bereichsfilterung synchronisiert werden.

Nein Geschachtelte Objekte jenseits der ersten Ebene werden bei der Bereichsfestlegung mithilfe von Sicherheitsgruppen nicht einbezogen. Verwenden Sie die Gruppenbereichsfilterung nur für Pilotszenarien. Für die Synchronisierung großer Gruppen bestehen Einschränkungen.

Nein Es ist immer nur ein Agent aktiv.

Nein Die Liste der bevorzugten Domänencontroller wird bei der Agentinstallation angegeben, ist aber optional. Wenn keine bevorzugten DCs konfiguriert sind, wird der Agent jeden verfügbaren DC in der Domäne verwenden.

Nein, die Verwendung von Microsoft Entra Cloud Sync über NAT wird nicht unterstützt, da sie von Active Directory abhängig ist, das NAT nicht unterstützt. Siehe Supportgrenzen für Active Directory über NAT.

Nächste Schritte

• Was ist die Identitätsbereitstellung?
• Was ist Microsoft Entra-Cloudsynchronisierung?