Freigeben über

Konfigurieren der Benutzer-Autoritätsquelle (User Source of Authority, SOA)

In diesem Artikel werden die Voraussetzungen und Schritte zum Konfigurieren von "User" und "Contact" (Source of Authority, SOA) erläutert. In diesem Artikel wird auch erläutert, wie Änderungen rückgängig gemacht werden können und welche aktuellen Funktionseinschränkungen es gibt. Eine vollständige Übersicht über Benutzer-SOA finden Sie unter "Cloud-First-Haltung: Übertragen der Autoritätsquelle des Benutzers in die Cloud".

Voraussetzungen

Anforderung Description
Rollen Hybridadministrator muss die Microsoft Graph-APIs aufrufen, um die SOA von Benutzern zu lesen und zu aktualisieren.
Anwendungsadministrator oder Cloudanwendungsadministrator ist erforderlich, um den Benutzern die erforderlichen Berechtigungen für Microsoft Graph Explorer oder die App zu erteilen, die zum Aufrufen der Microsoft Graph-APIs verwendet wird.
Erlaubnisse Für Apps, die onPremisesSyncBehavior die Microsoft Graph-API aufrufen, muss der User-OnPremisesSyncBehavior.ReadWrite.All Berechtigungsbereich erteilt werden. Weitere Informationen dazu, wie Sie dieser Berechtigung zustimmen können, finden Sie im Microsoft Entra Admin Center.
Lizenz erforderlich Microsoft Entra Free-Lizenz.
Verbindungssynchronisierungsclient Die Mindestversion ist 2.5.76.0. So verwenden Sie Contact SOA, Version 2.5.79.0.
Cloud-Synchronisierungsclient Mindestversion ist 1.1.1370.0

Konfiguration

Sie müssen den Connect-Synchronisierungsclient und den Microsoft Entra-Bereitstellungs-Agent einrichten.

Verbinden des Synchronisierungsclients

  1. Laden Sie die neueste Version des Connect-Synchronisierungsbuilds herunter.

  2. Überprüfen Sie, ob der Connect-Synchronisierungsbuild erfolgreich installiert wurde. Wechseln Sie in der Systemsteuerung zu "Programme ", und vergewissern Sie sich, dass die Version von Microsoft Entra Connect Sync 2.5.76.0 ist.

Cloudsynchronisierungsclient

Laden Sie den Microsoft Entra-Bereitstellungs-Agent mit Buildversion 1.1.1370.0 oder höher herunter.

  1. Folgen Sie den Anweisungen zum Herunterladen des Cloud Sync-Clients.

  2. Erfahren Sie, wie Sie die aktuelle Version des Agents identifizieren.

  3. Befolgen Sie die Anweisungen zum Konfigurieren der Bereitstellung von AD DS zu Microsoft Entra ID.

Sie können im Microsoft Entra Admin Center Berechtigungen erteilen. Für diesen hoch privilegierten Vorgang ist die Rolle "Anwendungsadministrator" oder "Cloud-Anwendungsadministrator" erforderlich. Sie können die Zustimmung auch mithilfe von PowerShell erteilen. Weitere Informationen finden Sie unter Erteilen der Zustimmung im Namen eines einzelnen Benutzers.

Benutzerdefinierte Apps

Führen Sie die folgenden Schritte aus, um der entsprechenden App die Berechtigung zu erteilen User-OnPremisesSyncBehavior.ReadWrite.All . Weitere Informationen zum Hinzufügen neuer Berechtigungen zur App-Registrierung und zum Erteilen der Zustimmung finden Sie unter Aktualisieren der angeforderten Berechtigungen einer App in der Microsoft Entra-ID.

Hinweis

Um SOA eines Kontakts zu übertragen, ist die erforderliche Berechtigung Contacts-OnPremisesSyncBehavior.ReadWrite.All.

  1. Melden Sie sich beim Microsoft Entra Admin Center als Anwendungsadministrator oder Als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Enterprise Apps>App-Name.

  3. Wählen Sie Berechtigungen aus und gewähren Sie Administratorzustimmung für den Mandantennamen.

  4. Melden Sie sich erneut als Anwendungsadministrator oder Als Cloudanwendungsadministrator an.

  5. Überprüfen Sie die Liste der Berechtigungen, die Ihre Zustimmung erfordern, und wählen Sie "Annehmen" aus.

  6. Sie können die Liste der von Ihnen erteilten Berechtigungen anzeigen:

Screenshot, der zeigt, wie eine Berechtigung erteilt wird.

Erteilen der Berechtigung für Graph-Explorer

  1. Öffnen Sie graph-Explorer , und melden Sie sich als Anwendungsadministrator oder Cloudanwendungsadministrator an.

  2. Wählen Sie das Profilsymbol aus, und wählen Sie "Zustimmung zu Berechtigungen" aus.

  3. Suchen Sie nach User-OnPremisesSyncBehavior, und wählen Sie "Zustimmung für die Berechtigung" aus. Screenshot der Diagrammberechtigungen.

SOA für einen Testbenutzer übertragen

Hinweis

Sie können auch kontakt-SOA mithilfe des https://graph.microsoft.com/v1.0/contacts API-Endpunkts übertragen.

Führen Sie die folgenden Schritte aus, um die SOA für einen Testbenutzer zu übertragen:

  1. Erstellen Sie einen Benutzer in AD. Sie können auch einen vorhandenen Benutzer verwenden, der mit Microsoft Entra ID synchronisiert wird, indem Sie Connect Sync verwenden.

  2. Führen Sie den folgenden Befehl aus, um die Verbindungssynchronisierung zu starten:

    Start-ADSyncSyncCycle

  3. Stellen Sie sicher, dass der Benutzer im Microsoft Entra Admin Center als synchronisierter Benutzer angezeigt wird.

  4. Verwenden Sie die Microsoft Graph-API, um die SOA des Benutzerobjekts zu übertragen (isCloudManaged=true). Öffnen Sie Microsoft Graph Explorer , und melden Sie sich mit einer entsprechenden Benutzerrolle an, z. B. Benutzeradministrator.

  5. Überprüfen wir den vorhandenen SOA-Status. Wir haben die SOA noch nicht aktualisiert, daher sollte der wert des isCloudManaged-Attributs "false" sein. Ersetzen Sie die {ID} in den folgenden Beispielen durch die Objekt-ID Ihres Benutzers. Weitere Informationen zu dieser API finden Sie unter Get onPremisesSyncBehavior. /graph/api/onpremisessyncbehavior-update

    GET https://graph.microsoft.com/v1.0/users/{ID}/onPremisesSyncBehavior?$select=isCloudManaged

    Screenshot des GET-Aufrufs zum Überprüfen der Benutzereigenschaften.

  6. Stellen Sie sicher, dass der synchronisierte Benutzer nur Leseberechtigung hat. Da der Benutzer lokal verwaltet wird, schlägt jeder Schreibversuch für den Benutzer in der Cloud fehl. Die Fehlermeldung unterscheidet sich für E-Mail-aktivierte Benutzer, aktualisierungen sind jedoch immer noch nicht zulässig.

    Hinweis

    Wenn diese API mit 403 fehlschlägt, verwenden Sie die Registerkarte "Berechtigungen ändern ", um der erforderlichen Berechtigung "User.ReadWrite.All" die Zustimmung zu erteilen.

    PATCH https://graph.microsoft.com/v1.0/users/{ID}/
   {
     "DisplayName": "User Name Updated"
   }

    Screenshot eines Versuchs, einen Benutzer zu aktualisieren, um zu prüfen, ob der Benutzerzugriff schreibgeschützt ist.

  7. Suchen Sie im Microsoft Entra Admin-Center nach dem Benutzer. Vergewissern Sie sich, dass alle Benutzerfelder abgeblentet sind und diese Quelle Windows Server AD DS ist.

  8. Jetzt können Sie die SOA des Benutzers so aktualisieren, dass er in der Cloud verwaltet wird. Führen Sie den folgenden Vorgang im Microsoft Graph-Explorer für das Benutzerobjekt aus, das Sie in die Cloud übertragen möchten. Weitere Informationen zu dieser API finden Sie unter Update onPremisesSyncBehavior.

    PATCH https://graph.microsoft.com/v1.0/users/{ID}/onPremisesSyncBehavior
   {
     "isCloudManaged": true
   }

    Screenshot des PATCH-Vorgangs zum Aktualisieren von Benutzereigenschaften.

  9. Um die Änderung zu überprüfen, rufen Sie GET auf, um zu überprüfen, ob "isCloudManaged" wahr ist.

    GET https://graph.microsoft.com/v1.0/users/{ID}/onPremisesSyncBehavior?$select=isCloudManaged

    Screenshot der Verwendung von Microsoft Graph Explorer zum Abrufen des SOA-Werts eines Benutzers.

  10. Bestätigen Sie die Änderung in den Überwachungsprotokollen. Um auf die Prüfprotokolle im Azure-Portal zuzugreifen, öffnen Sie Verwalten von Microsoft Entra ID>Überwachung>Prüfprotokolle, oder suchen Sie nach Prüfprotokollen. Wählen Sie "Quelle der Autorität ändern" aus AD in die Cloud als Aktivität aus.

  11. Überprüfen Sie, ob der Benutzer in der Cloud aktualisiert werden kann.

    PATCH https://graph.microsoft.com/v1.0/users/{ID}/
   {
     "DisplayName": "Update User Name"
   }

    Screenshot eines Wiederholungsversuches zum Ändern von Benutzereigenschaften.

  12. Öffnen Sie das Microsoft Entra Admin Center und bestätigen Sie, dass die Eigenschaft 'Lokale Synchronisierung aktiviert' auf 'Ja' steht.

Connect-Synchronisierungsclient

  1. Führen Sie den folgenden Befehl aus, um die Verbindungssynchronisierung zu starten:

    Start-ADSyncSyncCycle

  2. Um das Benutzerobjekt mit übertragener SOA zu betrachten, wechseln Sie im Synchronisierungsdienst-Manager zu Connectors:

    Screenshot von Konnektoren.

  3. Klicken Sie mit der rechten Maustaste auf active Directory Domain Services Connector. Suchen Sie nach dem Benutzer anhand des relativen Domänennamens (RDN) mit der Einstellung "CN=<UserName>".

    Screenshot, wie man nach RDN sucht.

  4. Doppelklicken Sie auf den durchsuchten Eintrag, und wählen Sie Lineage>Eigenschaften des Metaverse-Objekts aus.

    Screenshot zum Anzeigen der Linien.

  5. Wählen Sie Connectors aus, und doppelklicken Sie auf das Microsoft Entra ID-Objekt mit "CN={<Alphanumeric Characters>}".

  6. Sie können sehen, dass die BlockOnPremisesSync-Eigenschaft für das Microsoft Entra ID-Objekt auf "true" festgelegt ist. Dieser Eigenschaftswert bedeutet, dass alle Änderungen, die im entsprechenden AD DS-Objekt vorgenommen wurden, nicht an das Microsoft Entra ID-Objekt fließen:

    Screenshot zum Blockieren des Datenflusses.

  7. Aktualisieren wir das lokale Benutzerobjekt. Wir ändern den Benutzernamen von TestUserF1 in TestUserF1.1:

    Screenshot zum Ändern des Objektnamens.

  8. Führen Sie den folgenden Befehl aus, um die Verbindungssynchronisierung zu starten:

    Start-ADSyncSyncCycle

  9. Öffnen Sie die Ereignisanzeige, und filtern Sie das Anwendungsprotokoll für die Ereignis-ID 6956. Diese Ereignis-ID ist reserviert, um die Kunden darüber zu informieren, dass das Objekt nicht mit der Cloud synchronisiert wird, da sich die SOA des Objekts in der Cloud befindet.

    Screenshot der Ereignis-ID 6956.

Status der Attribute nach der Übertragung von SOA

In der folgenden Tabelle wird der Status für isCloudManaged - und onPremisesSyncEnabled-Attribute erläutert, nachdem Sie die SOA eines Objekts übertragen haben.

Administratorschritt isCloudManaged-Wert onPremisesSyncEnabled-Wert Beschreibung
Der Administrator synchronisiert ein Objekt von AD DS mit der Microsoft Entra-ID. false true Wenn ein Objekt ursprünglich mit Microsoft Entra-ID synchronisiert wird, wird das onPremisesSyncEnabled-Attribut auf true gesetzt und isCloudManaged auf false festgelegt. 
Der Administrator überträgt die Quelle der Autorität (SOA) des Objekts in die Cloud. true null Nachdem ein Administrator die SOA eines Objekts in die Cloud überträgt, wird das Attribut isCloudManaged auf true gesetzt und der Attributwert von onPremisesSyncEnabled wird auf null gesetzt. 
Der Administrator setzt den SOA-Vorgang zurück. false null Wenn ein Administrator die SOA zurück zu AD überträgt, wird isCloudManaged auf false gesetzt und onPremisesSyncEnabled auf null, bis der Synchronisierungsclient das Objekt übernimmt.   
Der Administrator erstellt ein cloudeigenes Objekt in der Microsoft Entra-ID. false null Wenn ein Administrator ein neues cloudeigenes Objekt in Microsoft Entra ID erstellt, wird isCloudManaged auf false und onPremisesSyncEnabled auf null festgelegt.
Der Administrator erstellt ein cloudeigenes Objekt in der Microsoft Entra-ID. false null Wenn ein Administrator ein neues cloudeigenes Objekt in Microsoft Entra ID erstellt, wird isCloudManaged auf false und onPremisesSyncEnabled auf null festgelegt.

Zurücksetzen des SOA-Updates

Von Bedeutung

Stellen Sie sicher, dass die Benutzer, die Sie zurücksetzen, keine Cloudverweise haben. Entfernen Sie Cloudbenutzer aus soA übertragenen Gruppen, und entfernen Sie diese Gruppen aus Zugriffspaketen, bevor Sie die Benutzer auf AD DS zurücksetzen. Der Synchronisierungsclient übernimmt das Objekt im nächsten Synchronisierungszyklus.

Sie können diesen Vorgang ausführen, um das SOA-Update zurückzuschalten und die SOA lokal zurückzuverwenden.

PATCH https://graph.microsoft.com/v1.0/users/{ID}/onPremisesSyncBehavior
   {
     "isCloudManaged": false
   }

Screenshot des API-Aufrufs zum Wiederherstellen von SOA.

Hinweis

Die Änderung von isCloudManaged in false führt dazu, dass ein AD DS-Objekt, das im Bereich der Synchronisierung liegt, bei der nächsten Ausführung von Connect Sync übernommen wird. Bis zum nächsten Ausführen der Connect-Synchronisierung kann das Objekt in der Cloud bearbeitet werden. Das Rollback von SOA ist erst abgeschlossen, nachdem sowohl der API-Aufruf als auch die nächste geplante oder erzwungene Ausführung der Connect-Synchronisierung abgeschlossen sind.

Überprüfen der Änderung in den Überwachungsprotokollen

Wählen Sie die Aktivität Änderungen der Autoritätsquelle von AD DS zu Cloud rückgängig machen aus:

Screenshot von Rückgängigmachen von Änderungen in Überwachungsprotokollen.

Validieren im Connect Sync-Clients

  1. Führen Sie den folgenden Befehl aus, um die Verbindungssynchronisierung zu starten:

    Start-ADSyncSyncCycle

  2. Öffnen Sie das Objekt im Synchronisierungsserver-Manager (Details befinden sich im Abschnitt "Verbindungssynchronisierungsclient "). Sie können den Status des Microsoft Entra ID-Connectorobjekts " Awaiting Export Confirmation " und "blockOnPremisesSync = false" sehen, was bedeutet, dass das Objekt SOA erneut von der lokalen Bereitstellung übernommen wird.

    Screenshot eines Objekts, das auf den Export wartet.

Löschen von lokalen Attributen für übertragene SOA-Benutzer

Im Folgenden sind die Liste der lokalen Eigenschaften aufgeführt, die im Cloudbenutzerobjekt vorhanden sind, das für den Zugriff auf lokale Ressourcen verwendet wird:

  • onPremisesDistinguishedName
  • onPremisesDomainName
  • onPremisesSamAccountName
  • onPremisesSecurityIdentifier
  • onPremisesUserPrincipalName

Wenn Administratoren nach der Übertragung von SOA auf lokale Ressourcen zugreifen möchten, müssen Sie diese Attribute manuell mit Microsoft Graph verwalten und diese Attribute nicht löschen.

Festlegen der Berechtigungen eines Benutzers für SOA-Vorgänge innerhalb einer administrativen Einheit

Führen Sie die folgenden Schritte aus, um einen Benutzer für die Quelle von Autoritätsvorgängen innerhalb einer Verwaltungseinheit festzulegen:

  1. Erstellen Sie eine Einheit, die als Bereich für den Benutzer verwendet werden soll. Schritte zum Erstellen einer Einheit finden Sie unter: Erstellen einer administrativen Einheit.

  2. Fügen Sie den Benutzer innerhalb des Geltungsbereichs als Hybrid-Identitätsadministrator hinzu. Screenshot der Zuweisung einer Hybridadministratorrolle zu einem Bereich

  3. Fügen Sie der Einheit Benutzer hinzu. Weitere Informationen hierzu finden Sie unter: Hinzufügen von Benutzern, Gruppen oder Geräten zu einer Verwaltungseinheit.

  4. Übertragen Sie die SOA von Benutzern im Rahmen der Einheit. Eine Anleitung zum Übertragen der SOA von Benutzern finden Sie unter: Übertragen von SOA für einen Testbenutzer.

Konfigurieren von SOA für Kontakte

Sie können auch die SOA von Kontakten von Benutzern mithilfe der in diesem Artikel beschriebenen Beispiele übertragen. Kontakte sind Elemente in Outlook, in denen Sie Informationen zu den Personen und Organisationen organisieren und speichern können, mit denen Sie kommunizieren. In den folgenden Beispielen wird gezeigt, wie Sie die SOA von Kontakten übertragen würden.

Hinweis

Um SOA eines Kontakts zu übertragen, ist die erforderliche Berechtigung Contacts-OnPremisesSyncBehavior.ReadWrite.All.

Um zu bestätigen, dass der Kontakt SOA in der Cloud verwaltet wird, führen Sie den folgenden API-Aufruf aus:

GET https://graph.microsoft.com/v1.0/contacts/{ID}/onPremisesSyncBehavior?$select=isCloudManaged

Um den in der Cloud verwalteten Kontakt zu aktualisieren, können Sie den folgenden API-Aufruf ausführen:

   PATCH https://graph.microsoft.com/v1.0/contacts/{ID}/
      {
        "DisplayName": "Contact Name Updated"
      }

Verwandte Inhalte

  • Last updated on