Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Entra Connect verwendet das Microsoft Entra Connector-Konto , um Identitäten aus Active Directory mit Microsoft Entra Connect zu authentifizieren und zu synchronisieren. Dieses Konto verwendet einen Benutzernamen und ein Kennwort, um Anforderungen zu authentifizieren.
Um die Sicherheit des Diensts zu verbessern, wird eine Anwendungsidentität bereitgestellt, die den Oauth 2.0-Clientanmeldeinformationsfluss mit Zertifikatanmeldeinformationen verwendet. In dieser neuen Methode erstellt Microsoft Entra oder ein Administrator eine einzelne Mandant-Nicht-Microsoft-Anwendung in der Microsoft Entra-ID und verwendet eine der folgenden relevanten Zertifikatverwaltungsoptionen für die Anmeldeinformationen.
Microsoft Entra Connect bietet drei Optionen für die Anwendungs- und Zertifikatverwaltung:
- Von Microsoft Entra Connect verwaltet (empfohlen)
- Bring Your Own Application (BYOA)
- Bring Your Own Certificate (BYOC – Bringen Sie Ihr eigenes Zertifikat mit)
Von Microsoft Entra Connect verwaltet (empfohlen)
Microsoft Entra Connect verwaltet die Anwendung und das Zertifikat, einschließlich Erstellung, Erneuerung und Löschung des Zertifikats. Das Zertifikat wird im CURRENT_USER Speicher gespeichert. Um den privaten Schlüssel des Zertifikats optimal zu schützen, empfehlen wir, dass der Computer eine TPM-Lösung (Trusted Platform Module) verwenden sollte, um eine hardwarebasierte Sicherheitsgrenze einzurichten.
Wenn ein TPM verfügbar ist, werden wichtige Dienstvorgänge in einer dedizierten Hardwareumgebung ausgeführt. Wenn ein TPM nicht verwendet werden kann, speichert Microsoft Entra Connect standardmäßig das Zertifikat im Standardmäßigen Microsoft Software Key Storage Provider und kennzeichnet den privaten Schlüssel als nicht exportierbar für zusätzlichen Schutz. Ohne die von einem TPM bereitgestellte Hardwareisolation schützt nur Software den privaten Schlüssel, was nicht das gleiche Schutzniveau erreicht.
Weitere Informationen zur TPM-Technologie finden Sie unter Trusted Platform Module technology overview.
Wir empfehlen die Option zur Zertifikatverwaltung von Microsoft Entra Connect, da wir die Schlüssel verwalten und das Zertifikat bei Ablauf automatisch erneuern. Dieses Verhalten ist die Standardoption in Microsoft Entra Connect-Synchronisierungsversionen gleich oder höher als 2.5.3.0.
Wir verwenden die Wartungsaufgabe, um zu überprüfen, ob das Zertifikat zur Erneuerung fällig ist, und erneuern das Zertifikat dann automatisch. Wenn der Scheduler angehalten wird oder der Wartungsvorgang deaktiviert ist, kann die AutomatischeRotation nicht ausgeführt werden, obwohl Microsoft Entra Connect Sync das Zertifikat verwaltet.
Eigene Anwendung mitbringen
Im Byoa-Setup (Bring Your Own Application) verwaltet der Kundenadministrator die Anwendung, die Microsoft Entra Connect Sync verwendet, um sich bei Microsoft Entra, den Anwendungsberechtigungen und den von der Anwendung verwendeten Zertifikatanmeldeinformationen zu authentifizieren.
Der Administrator registriert eine Microsoft Entra App und erstellt einen Dienstprinzipal. Der Anwendung müssen die erforderlichen Berechtigungen zugewiesen werden.
Der Administrator ist für das Erstellen des Zertifikats, der Rotation und Löschung nicht verwendeter oder abgelaufener Zertifikate verantwortlich. Das Zertifikat muss im LOCAL_MACHINE Speicher gespeichert werden.
Der Administrator ist für die Sicherung des privaten Schlüssels des Zertifikats verantwortlich und stellt sicher, dass nur Microsoft Entra Connect Sync auf den privaten Schlüssel für die Signatur zugreifen kann.
Eigenes Zertifikat mitbringen
Im Setup "Eigenes Zertifikat mitbringen" (BYOC) verwaltet der Administrator die von der Anwendung verwendeten Zertifikatanmeldeinformationen. Der Administrator ist für das Erstellen, die Rotation und die Löschung von nicht verwendeten oder abgelaufenen Zertifikaten verantwortlich. Das Zertifikat muss im LOCAL_MACHINE Speicher gespeichert werden.
Der Administrator ist für die Sicherung des privaten Schlüssels des Zertifikats verantwortlich und stellt sicher, dass nur Microsoft Entra Connect Sync auf den privaten Schlüssel für die Signatur zugreifen kann.
Es wird empfohlen, ein TPM oder ein HardwareSicherheitsmodul (Hardware Security Module, HSM) zu verwenden, um eine hardwarebasierte Sicherheitsgrenze anstelle des Standardwerts bereitzustellen. Verwenden Sie das Get-TPM PowerShell-Cmdlet , um den Status Ihres TPM zu überprüfen.
Wenn Sie Hyper-V virtuelle Computer (VMs) verwenden, können Sie das TPM aktivieren, indem Sie Sicherheit>"Vertrauenswürdiges Plattformmodul aktivieren" auswählen. Sie können diesen Schritt nur auf VMs der Generation 2 ausführen. VMs der Generation 1 können nicht in VMs der Generation 2 konvertiert werden. Weitere Informationen finden Sie unter Sicherheitseinstellungen der Generation 2 für Hyper-V und Aktivieren des vertrauenswürdigen Starts auf vorhandenen virtuellen Azure Gen2-Computern.
Voraussetzungen
Die folgenden Voraussetzungen sind erforderlich, um die Authentifizierung mithilfe der Anwendungsidentität zu implementieren.
Von Bedeutung
Neue Microsoft Entra Connect Sync-Versionen sind nur über das Microsoft Entra Admin Center verfügbar.
Im Anschluss an die Neue Kommunikation stehen neue Versionen von Microsoft Entra Connect Sync nur im Microsoft Entra Connect-Bereich im Microsoft Entra Admin Center zur Verfügung und werden nicht mehr im Microsoft Download Center veröffentlicht.
- Microsoft Entra Connect , Version 2.5.3.0 oder höher.
- Microsoft Entra-Konto mit mindestens der Rolle Hybrididentitätsadministrator.
- Lokale Active Directory Domain Services-Umgebung mit einem Windows Server 2016-Betriebssystem oder höher.
- Optional: TPM 2.0 ist vorhanden und einsatzbereit (empfohlen für Sicherheit).
Für die BYOC-Zertifikatverwaltungsoption sind die folgenden zusätzlichen Anforderungen erforderlich:
- Ein Zertifikat wird in einem HSM oder TPM mithilfe einer Kryptografie-API erstellt: Anbieter der nächsten Generation. Der private Schlüssel ist als nicht exportierbar markiert. Ein Warnungsereignis 1014 wird ausgegeben, wenn TPM nicht verwendet wird. Die folgenden Zertifikatkonfigurationen werden unterstützt:
KeyLength: 2048-
KeyAlgorithm: RSA KeyHashAlgorithm: SHA256
- Das erstellte Zertifikat wird im
LOCAL_MACHINESpeicher gespeichert. - Erteilen Sie dem Microsoft Entra Connect-Synchronisierungskonto die Berechtigung zum Signieren mithilfe des privaten Schlüssels.
Für die BYOA-Anwendungsverwaltungsoption sind die folgenden zusätzlichen Anforderungen erforderlich:
- Der Kunde erstellt ein Zertifikat, wie in den vorherigen BYOC-Voraussetzungen angegeben.
- Der Kunde registriert eine Anwendung in Microsoft Entra ID und erstellt einen Dienstprinzipal. Die erforderlichen Berechtigungen werden über die Microsoft Graph-API erteilt.
- Der Kunde registriert das Zertifikat bei der Anwendung.
Installation und Upgrade (verwaltet von Microsoft Entra Connect)
Die von Microsoft Entra Connect verwaltete Anwendung und Anmeldeinformationen werden während der Erstinstallation für neue Installationen automatisch eingerichtet. Um zu bestätigen, dass Microsoft Entra Connect die Anwendungsidentität verwendet, verwenden Sie das PowerShell-Cmdlet Get-ADSyncEntraConnectorCredential.
Wählen Sie für Upgrades anwendungsbasierte Authentifizierung für Microsoft Entra ID (Vorschau) konfigurieren aus.
Wenn Sie das Feld während des Upgrades nicht ausgewählt haben, wird nach Abschluss der Installation die folgende Empfehlung angezeigt.
Wenn Sie das Feld während des Upgrades nicht ausgewählt haben oder zur anwendungsbasierten Authentifizierung wechseln möchten, verwenden Sie "Aufgaben".
Wählen Sie im Bereich "Zusätzliche Aufgaben " die Option " Anwendungsbasierte Authentifizierung für Microsoft Entra ID (Vorschau) konfigurieren" aus, und folgen Sie dann den Anweisungen.
Onboarding in anwendungsbasierte Authentifizierung mithilfe von PowerShell
Dieser Abschnitt ist nur dann relevant, wenn Sie die BYOC- oder BYOA-Optionen verwenden. Microsoft Entra Connect-Versionen unter 2.5.3.0 verwenden standardmäßig einen Benutzernamen und ein Kennwort, um sich bei Microsoft Entra-ID zu authentifizieren. Um die anwendungsbasierte Authentifizierung zu integrieren, muss ein Administrator die folgenden Schritte für eine Microsoft Entra Connect-Synchronisierungsversion ausführen, die gleich oder höher als 2.5.3.0 ist.
Hinweis
Stellen Sie sicher, dass Sie sich auf dem Microsoft Entra Connect-Server befinden und das Microsoft Entra Connect Sync PowerShell-Modul installiert ist.
Verwenden Sie den PowerShell-Befehl, um die aktuelle Authentifizierungsmethode zu überprüfen.
Get-ADSyncEntraConnectorCredentialDieser Schritt sollte den
ConnectorIdentityTypeaktuell verwendeten Wert zurückgeben.Deaktivieren Sie den Scheduler, um sicherzustellen, dass keine Synchronisierungszyklen ausgeführt werden, bis diese Änderung abgeschlossen ist.
Set-ADSyncScheduler -SyncCycleEnabled $falseRegistrieren Sie eine Anwendung und erstellen Sie einen Dienstprinzipal in Microsoft Entra ID.
Von Microsoft Entra Connect verwaltet:
Add-EntraApplicationRegistrationVerwenden sie BYOC:
Hinweis
Das Zertifikat
SHA256Hashmuss angegeben werden, wenn Sie die Anwendung registrieren. Verwenden Sie das Generierungsskript , um den Hash zu generieren.Add-EntraApplicationRegistration -CertificateSHA256Hash <CertificateSHA256Hash>Ersetzen Sie
<CertificateSHA256Hash>durchCertificateSHA256Hash.Verwenden Sie BYOA:
Registrieren einer Microsoft Entra-App und Erstellen eines Dienstprinzipals. Notieren Sie sich die Anwendungs-ID, da Sie sie im nächsten Abschnitt benötigen.
Verknüpfen Sie die Microsoft Entra-Anwendung mit Microsoft Entra Connect Sync mithilfe von Administratoranmeldeinformationen.
Von Microsoft Entra Connect verwaltet:
Add-ADSyncApplicationRegistrationVerwenden sie BYOC:
Add-ADSyncApplicationRegistration -CertificateSHA256Hash <CertificateSHA256Hash>Verwenden Sie BYOA:
Add-EntraApplicationRegistration -CertificateSHA256Hash <CertificateSHA256Hash> –ApplicationAppId <appId>
Ersetzen Sie sie
<CertificateSHA256Hash>durchCertificateSHA256Hashund<appId>durch die ID der Anwendung, die in der Microsoft Entra-ID erstellt wurde.Führen Sie eine Überprüfung aus, um zu bestätigen, dass Sie jetzt die Anwendungsidentität verwenden. Führen Sie das folgende Cmdlet aus, um die aktuelle Authentifizierung abzurufen, und stellen Sie sicher, dass sie den
ConnectorIdentityTypeWert aufweistApplication.Get-ADSyncEntraConnectorCredentialSetzen Sie den Scheduler erneut auf, um den Synchronisierungsdienst mithilfe des folgenden Cmdlets zu starten:
Set-ADSyncScheduler -SyncCycleEnabled $true
Zertifikat anzeigen
Um die Zertifikatinformationen anzuzeigen, wechseln Sie zu "Aufgaben", und wählen Sie dann "Aktuelle Konfiguration anzeigen" aus. Scrollen Sie nach unten zu den Zertifikatdetails. Die folgende Tabelle enthält Informationen zum Zertifikat.
| Eigentum | BESCHREIBUNG |
|---|---|
| Zertifikat verwaltet von | Unabhängig davon, ob Microsoft Entra Connect Sync oder BYOC das Zertifikat verwaltet. |
| Automatische Drehung aktiviert | Gibt an, ob die automatische Drehung oder die manuelle Drehung aktiviert ist. |
| Zertifikatfingerabdruck | Eindeutiger Bezeichner für das Zertifikat. |
| Zertifikat-SHA256-Hash | Ein Fingerabdruck für das Zertifikat, das mit dem SHA-256-Hashingalgorithmus generiert wird. |
| Betreff Name | Identifiziert die Entität, die dem Zertifikat zugeordnet ist. |
| Ausgestellt von | Wer ist der Aussteller des Zertifikats. |
| Seriennummer | Identifiziert das Zertifikat eindeutig zwischen Zertifikaten desselben Ausstellers. |
| Ungültig vor | Das erste Datum, an dem das Zertifikat gültig ist. |
| Nach diesem Zeitpunkt ungültig | Das letzte Datum, an dem das Zertifikat gültig ist. |
On-Demand-Zertifikatszweifingerdrehung
Microsoft Entra Connect warnt, wenn die Zertifikatrotation fällig ist. Das heißt, wenn der Ablauf weniger als oder gleich 150 Tage beträgt. Wenn das Zertifikat bereits abgelaufen ist, wird ein Fehler ausgegeben. Sie finden diese Warnungen (Ereignis-ID 1011) und Fehler (Ereignis-ID 1012) im Anwendungsereignisprotokoll.
Diese Nachricht wird mit der Häufigkeit des Planers gesendet, wenn die Wartung aktiviert ist und der Planer nicht angehalten ist. Führen Sie Get-ADSyncSchedulerSettings aus, um festzustellen, ob der Scheduler angehalten ist oder ob der Wartungsmodus aktiviert oder deaktiviert ist.
Wenn Microsoft Entra Connect das Zertifikat verwaltet, ist keine Aktion von Ihnen erforderlich, es sei denn, der Zeitplaner wird angehalten oder die Wartung deaktiviert. Microsoft Entra Connect Sync fügt der Anwendung die neuen Zertifikatanmeldeinformationen hinzu und versucht, die alten Zertifikatanmeldeinformationen zu entfernen. Wenn die alten Zertifikatanmeldeinformationen nicht entfernt werden, wird ein Fehlerereignis in den Anwendungsprotokollen in der Ereignisanzeige angezeigt.
Wenn dieser Fehler angezeigt wird, führen Sie das folgende Cmdlet in PowerShell aus, um die alten Zertifikatanmeldeinformationen von Microsoft Entra zu bereinigen. Das Cmdlet verwendet den CertificateId-Wert des zu entfernenden Zertifikats, den Sie aus dem Protokoll oder dem Microsoft Entra-Admin-Center abrufen können.
Remove-EntraApplicationKey -CertificateId <certificateId>
Verwenden des Assistenten
Nachdem die Anwendungsauthentifizierung aktiviert wurde, wird im Bereich "Zusätzliche Aufgaben " eine weitere Option angezeigt. Die Option Anwendungszertifikat erneuern ist jetzt verfügbar. Ab diesem Zeitpunkt können Sie das Zertifikat manuell drehen. Wir empfehlen die Zertifikatverwaltung mit Microsoft Entra Connect, da wir die Schlüssel verwalten und das Zertifikat bei Ablauf automatisch erneuern. Diese Option ist die Standardeinstellung in Microsoft Entra Connect Sync-Versionen gleich oder höher als 2.5.3.0.
Verwenden von PowerShell
Wenn Sie eine Warnung von Microsoft Entra Connect Sync erhalten, wenn Sie die BYOC-Option verwenden, empfehlen wir dringend, einen neuen Schlüssel und ein neues Zertifikat zu generieren und das Zertifikat mithilfe von PowerShell zu erneuern, das Microsoft Entra Connect Sync verwendet.
Deaktivieren Sie den Scheduler, um sicherzustellen, dass keine Synchronisierungszyklen ausgeführt werden, bis diese Änderung abgeschlossen ist. Verwenden Sie das folgende PowerShell-Cmdlet, um den Zeitplan zu deaktivieren:
Set-ADSyncScheduler -SyncCycleEnabled $falseRufen Sie die Zertifikatanmeldeinformationsrotation auf, wenn Sie die Microsoft Entra verwaltete Option (Standardmodus) verwenden, aber der Planer angehalten oder die Wartung deaktiviert ist.
Invoke-ADSyncApplicationCredentialRotationIm BYOC-Modus muss das neue Zertifikat
SHA256Hashbereitgestellt werden:Invoke-ADSyncApplicationCredentialRotation -CertificateSHA256Hash <CertificateSHA256Hash>Im BYOA-Modus muss das neue Zertifikat
SHA256Hashbereitgestellt werden:Add-EntraApplicationRegistration -CertificateSHA256Hash <CertificateSHA256Hash>Ersetzen Sie
<CertificateSHA256Hash>durchCertificateSHA256Hash.Rufen Sie die aktuelle Authentifizierung ab, und bestätigen Sie, dass sie den
ConnectorIdentityTypeWert hat alsApplication. Verwenden Sie das folgende PowerShell-Cmdlet, um die aktuelle Authentifizierung zu überprüfen:Get-ADSyncEntraConnectorCredentialStellen Sie den Scheduler wieder zum Starten des Synchronisierungsdiensts bereit:Reenable the scheduler to begin the synchronization service:
Set-ADSyncScheduler -SyncCycleEnabled $trueÜberprüfen Sie, ob der Synchronisierungszyklus erfolgreich ist.
Entfernen Sie das alte Zertifikat aus dem
LOCAL_MACHINESpeicher für BYOC- und BYOA-Optionen.
Sie können das Zertifikat zu einem beliebigen Zeitpunkt drehen, auch wenn das aktuelle Zertifikat noch nicht für die Drehung fällig ist oder das aktuelle Zertifikat abgelaufen ist.
Skript zum Generieren des SHA256-Hashs des Zertifikats
# Get raw data from X509Certificate cert
$certRawDataString = $cert.GetRawCertData()
# Compute SHA256Hash of certificate
$sha256 = [System.Security.Cryptography.SHA256]::Create()
$hashBytes = $sha256.ComputeHash($certRawDataString)
# Convert hash to bytes for PowerShell (Core) 7.1+:
$certHash = [System.Convert]::ToHexString($hashBytes)
# Convert hash to bytes for older PowerShell:
$certHash = ($hashBytes|ForEach-Object ToString X2) -join ''
Ressourcenzugriffsberechtigung
ADSynchronization.ReadWrite.All
| Kategorie | Anwendung | Delegiert |
|---|---|---|
Identifier |
0b41ed4d-5f52-442b-8952-ea7d90719860 | 0b41ed4d-5f52-442b-8952-ea7d90719860 |
DisplayText |
Lesen, schreiben und Identitätssynchronisierung mit lokalem Microsoft Entra Connect Sync verwalten. | Lesen, schreiben und Identitätssynchronisierung mit lokalem Microsoft Entra Connect Sync verwalten. |
Description |
Ermöglicht der App, Identitätsdaten zu lesen, zu schreiben und zu verwalten, die über Microsoft Entra Connect Sync lokal synchronisiert werden. | Ermöglicht der App, Identitätsdaten zu lesen, zu schreiben und zu verwalten, die über Microsoft Entra Connect Sync lokal synchronisiert werden. |
AdminConsentRequired |
Ja. | Ja. |
Microsoft Graph-Berechtigungen für BYOA
PasswordWriteback.RefreshClient.All
| Kategorie | Anwendung | Delegiert |
|---|---|---|
Identifier |
fc7e8088-95b5-453e-8bef-b17ecfec5ba3 | - |
DisplayText |
Lesen, schreiben und verwalten der Self-Service-Kennwortzurücksetzung und des Kennwortrückschreibens für den Microsoft Entra Verbinden Synchronisierungs-Agent. | - |
Description |
Ermöglicht der App, die lokale Konfiguration für die Self-Service-Kennwortzurücksetzung von Microsoft zu aktualisieren und neu zu erstellen. | - |
AdminConsentRequired |
Ja. | - |
PasswordWriteback.RegisterClientVersion.All
| Kategorie | Anwendung | Delegiert |
|---|---|---|
Identifier |
e006e431-a65b-4f3e-8808-77d29d4c5f1a | - |
DisplayText |
Lesen, schreiben und verwalten der Self-Service-Kennwortzurücksetzung-Clientversion-Konfiguration für den Microsoft Entra Verbinden-Clientsynchronisierungs-Agent. | - |
Description |
Ermöglicht der App, eine neuere Version des lokalen Microsoft Entra Connect-Synchronisierungs-Agents zu registrieren. | - |
AdminConsentRequired |
Ja. | - |
PasswordWriteback.OffboardClient.All
| Kategorie | Anwendung | Delegiert |
|---|---|---|
Identifier |
69201c67-737b-4a20-8f16-e0c8c64e0b0e | - |
DisplayText |
Lesen, schreiben und verwalten der Deinstallation/Offboarding-Konfiguration für die Self-Service-Kennwortzurücksetzung des Microsoft Entra Connect Sync Agent. | - |
Description |
Ermöglicht der App das Offboardieren einer Version des lokalen Microsoft Entra Connect-Synchronisierungs-Agents. | - |
AdminConsentRequired |
Ja. | - |
Zertifikatsperrprozess
Bei selbstsignierten Zertifikaten, entweder Microsoft Entra Managed oder BYOC, muss ein Administrator eine manuelle Widerrufung durchführen, indem der keyCredential Wert aus der Microsoft Entra ID entfernt wird. Eine Erneuerung des Zertifikats auf Abruf ist ebenfalls eine Option.
Für BYOC-Zertifikate, die von einer bei Microsoft Entra registrierten Zertifizierungsstelle ausgestellt wurden, kann der Administrator dem Zertifikatsperrprozess folgen.
Entfernen eines Legacydienstkontos mithilfe von PowerShell
Nach dem Übergang zur anwendungsbasierten Authentifizierung und wenn Microsoft Entra Connect Sync wie erwartet funktioniert, wird dringend empfohlen, das veraltete DSA-Benutzernamen- und Kennwortdienstkonto mithilfe von PowerShell zu entfernen. Wenn Sie ein benutzerdefiniertes Konto verwenden, das nicht entfernt werden kann, deaktivieren Sie es, und entfernen Sie die DSA-Rolle daraus.
Führen Sie die folgenden Schritte aus, um das Legacy-Dienstkonto zu entfernen.
Fügen Sie den Benutzernamen und das Kennwort des Dienstkontos hinzu.
$HACredentialSie werden aufgefordert, Ihren Microsoft Entra-Administratorwert
UserPrincipalNameund das Kennwort einzugeben. Geben Sie den Benutzernamen und das Kennwort ein.Fügen Sie als Nächstes das Dienstkonto hinzu.
Remove-ADSyncAADServiceAccount -AADCredential $HACredential -Name <$serviceAccountName>Der
ServiceAccountNameWert ist der erste Teil desUserPrincipalNameWerts des Dienstkontos, das in der Microsoft Entra-ID verwendet wird. Sie finden diesen Benutzer in der Liste der Benutzer im Microsoft Entra Admin Center. Wenn der UPNaringdahl@fabrikam.comist, verwenden Siearingdahlals denServiceAccountNameWert.
Zurücksetzen auf ein älteres Dienstkonto mithilfe von PowerShell
Wenn Sie zum älteren Dienstkonto zurückkehren möchten, können Sie PowerShell verwenden, um das Dienstkonto zu verwenden, um das Problem umgehend zu beheben. Führen Sie die folgenden Schritte aus, um ein Rollback auf das Dienstkonto auszuführen.
Im Rahmen des Rollbacks müssen Sie das DSA-Konto erneut erstellen. Dieses neue Konto kann bis zu 15 Minuten benötigen, um aktiv zu werden, sodass beim erneuten Aktivieren des Synchronisierungszyklus möglicherweise die Fehlermeldung "Zugriff verweigert" angezeigt wird.
Deaktivieren Sie den Scheduler, um sicherzustellen, dass keine Synchronisierungszyklen ausgeführt werden, bis diese Änderung abgeschlossen ist.
Set-ADSyncScheduler -SyncCycleEnabled $falseFügen Sie das Dienstkonto hinzu. Sie werden aufgefordert, Ihren Microsoft Entra-Administratorwert
UserPrincipalNameund das Kennwort einzugeben. Geben Sie die Anmeldedaten ein.Add-ADSyncAADServiceAccountRufen Sie den aktuellen Mechanismus zur Authentifizierung ab und überprüfen Sie, dass der
ConnectorIdentityType-Wert wieder beiServiceAccountist.Get-ADSyncEntraConnectorCredentialStellen Sie den Scheduler wieder zum Starten des Synchronisierungsdiensts bereit.Reenable the scheduler to begin the synchronization service.
Set-ADSyncScheduler -SyncCycleEnabled $true