Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die effektive Verwaltung von Benutzeridentitäten ist entscheidend für Organisationen, die in die Cloud umsteigen. Dieser Artikel enthält Anleitungen zur Verwendung der Benutzerquelle für Autorität (USER Source of Authority, SOA), um Benutzer von der lokalen Bereitstellung in die Cloud zu übertragen. Wie Sie Ihren Active Directory (AD)-Speicherbedarf nach der SOA-Übertragung minimieren, bewährte Methoden für den Übergang der Benutzerverwaltung einführen und eine reibungslose Migration der Benutzerverwaltung in die Cloud sicherstellen, wird auch in diesem Artikel behandelt.
Active Directory-Benutzerverwaltung
Eines der wichtigsten Szenarien für die Übertragung von SOA für Benutzer ist die Möglichkeit, Ihren AD-Speicherbedarf zu minimieren. Nachdem Sie die SOA-Übertragung abgeschlossen haben, können Benutzer, die keinen Zugriff mehr auf Active Directory-spezifische Ressourcen benötigen, in AD deaktiviert oder vollständig gelöscht werden.
Hinweis
Wenn Benutzer nach der SOA-Übertragung weiterhin Zugriff auf lokale Ressourcen benötigen, müssen diese Attribute manuell mithilfe von Microsoft Graph verwaltet werden. Weitere Informationen zu diesen Attributen finden Sie unter: Löschen von lokalen Attributen für übertragene SOA-Benutzer
Bewährte Methoden
Befolgen Sie diese bewährten Methoden, um die Benutzerverwaltung von der lokalen zu Microsoft Entra-ID zu übertragen.
Benutzer in eine OU verschieben
Die Verwendung von Active Directory-Verwaltungstools wie Active Directory-Benutzern und -Computern oder das Active Directory-Modul für PowerShell zum Ändern von AD-Objekten mit einer geänderten Quelle von Autorität (SOA) kann zu Inkonsistenzen in ihrer Microsoft Entra-Darstellung führen. Bevor Sie eine SOA-Änderung durchführen, sollte Ihre Organisation diese Objekte in eine bestimmte AD-OU verschieben, die signalisiert, dass diese Objekte nicht mehr über AD-Tools verwaltet werden sollen. Wenn der Benutzer, dessen SOA Sie übertragen möchten, in einer lokal verwalteten Gruppe referenziert wird, sollte der Benutzer im Synchronisierungsbereich verbleiben. Wenn Sie den lokalen Benutzer löschen, wird er auch aus der lokalen und der Microsoft Entra-Gruppe entfernt.
Verwaltung von Übergangsbenutzern
Stellen Sie vor dem Verschieben der SOA von Benutzern sicher, dass der Synchronisierungszyklus der Benutzer abgeschlossen ist. Entfernen Sie die Benutzer nach Abschluss aus dem Bereich der HR zu AD oder MIM zu AD-Konfiguration und fügen Sie sie Ihrer HR-Microsoft Entra ID-Konfiguration hinzu. Wenn Ihre Organisation Microsoft Identity Manager (MIM) mit dem Active Directory-Verwaltungs-Agent (AD MA) zum Verwalten von AD-Benutzern und -Gruppen verwendet, müssen Sie die Synchronisierungslogik aktualisieren, um das Exportieren von Änderungen an diesen Objekten über AD MA zu beenden, bevor Sie eine SOA-Änderung vornehmen. Anstatt die AD MA zu verwenden, können Sie mithilfe des MIM-Connectors für Microsoft Graph MIM dazu verwenden, die Objekte in Microsoft Entra zu aktualisieren, sodass die von MIM vorgenommenen Änderungen zuerst an Microsoft Entra und anschließend erforderlichenfalls an Active Directory gesendet werden. Weitere Informationen finden Sie unter: Vorbereiten des MIM-Setups. Beenden Sie das direkte Vornehmen von Änderungen an dem Benutzer in AD. Sobald SOA abgeschlossen ist, beginnen Sie mit der Verwaltung von Benutzern innerhalb der Cloud.
Benutzer, die LDAP-Anwendungen verwenden
Wenn Sie Benutzer mit lokalen LDAP-Anwendungen in die Cloud verschieben möchten, verwenden Sie die Microsoft Entra Domain-Dienste , um die LDAP-Anwendung in die Cloud zu verschieben, bevor Sie die SOA von Benutzern übertragen.
Verbundauthentifizierung von Drittanbietern
Wenn Ihre Organisation einen Identitätsanbieter für die Verbundauthentifizierung verwendet und die SOA von Benutzern übertragen möchte, müssen Sie das Active Directory-Konto manuell verwalten und das Kennwort mithilfe des Synchronisierungstools von Drittanbietern verwalten. Wenn Benutzer die Verbundauthentifizierung mit dem Active Directory-Verbunddienst verwenden, wird die Übertragung von SOA nicht unterstützt.
Geräte
Wir empfehlen Kunden, ihre Geräte in die Cloud zu migrieren und ein Microsoft Entra-Setup für verbundene Geräte zu verwenden, um benutzerbasierte SOA-Funktionen vollständig zu verwenden. Für Gruppen gibt es keine Voraussetzungen für Geräte.