Vorbereiten der Verzeichnissynchronisierung mit Microsoft 365

  • Artikel

Dieser Artikel gilt sowohl für Microsoft 365 Enterprise als auch für Office 365 Enterprise.

Wenn Sie das Hybrididentitätsmodell ausgewählt und den Schutz für Administratorkonten in Schritt 2 und Benutzerkonten in Schritt 3 dieser Lösung konfiguriert haben, besteht Ihre nächste Aufgabe darin, die Verzeichnissynchronisierung bereitzustellen. Zu den Vorteilen der Verzeichnissynchronisierung für Ihre organization gehören:

  • Reduzierung der Administrativen Programme in Ihrem organization
  • Optionales Aktivieren des Szenarios für einmaliges Anmelden
  • Automatisieren von Kontoänderungen in Microsoft 365

Weitere Informationen zu den Vorteilen der Verzeichnissynchronisierung finden Sie unter Hybrididentität mit Microsoft Entra ID.

Die Verzeichnissynchronisierung erfordert jedoch Planung und Vorbereitung, um sicherzustellen, dass Ihre Active Directory Domain Services (AD DS) mit dem Microsoft Entra Mandanten Ihres Microsoft 365-Abonnements mit minimalen Fehlern synchronisiert wird.

Führen Sie diese Schritte aus, um die besten Ergebnisse zu erzielen.

Hinweis

Nicht-ASCII-Zeichen werden für attribute des AD DS-Benutzerkontos nicht synchronisiert.

AD DS-Vorbereitung

Um einen nahtlosen Übergang zu Microsoft 365 mithilfe der Synchronisierung zu gewährleisten, müssen Sie Ihre AD DS-Gesamtstruktur vorbereiten, bevor Sie mit der Bereitstellung der Microsoft 365-Verzeichnissynchronisierung beginnen.

Ihre Verzeichnisvorbereitung sollte sich auf die folgenden Aufgaben konzentrieren:

  • Entfernen Sie doppelte ProxyAddress - und userPrincipalName-Attribute .

  • Aktualisieren Sie leere und ungültige userPrincipalName-Attribute mit gültigen userPrincipalName-Attributen .

  • Entfernen Sie ungültige und fragwürdige Zeichen in den Attributen givenName, surname ( sn ), sAMAccountName, displayName, mail, proxyAddresses, mailNickname und userPrincipalName . Ausführliche Informationen zum Vorbereiten von Attributen finden Sie unter Liste der Attribute, die vom Azure Active Directory-Synchronisierungstool synchronisiert werden.

    Hinweis

    Dies sind die gleichen Attribute, die Microsoft Entra Connect synchronisiert.

Überlegungen zur Bereitstellung mehrerer Gesamtstrukturen

Verwenden Sie für mehrere Gesamtstrukturen und SSO-Optionen eine benutzerdefinierte Installation von Microsoft Entra Connect.

Wenn Ihr organization über mehrere Gesamtstrukturen für die Authentifizierung (Anmeldegesamtstrukturen) verfügt, wird Folgendes dringend empfohlen:

  • Erwägen Sie, Ihre Gesamtstrukturen zu konsolidieren. Im Allgemeinen ist mehr Aufwand erforderlich, um mehrere Gesamtstrukturen zu verwalten. Es sei denn, Ihre organization verfügt über Sicherheitseinschränkungen, die die Notwendigkeit separater Gesamtstrukturen vorschreiben, sollten Sie erwägen, Ihre lokale Umgebung zu vereinfachen.
  • Verwenden Sie nur in Ihrer primären Anmeldegesamtstruktur. Erwägen Sie die Bereitstellung von Microsoft 365 nur in Ihrer primären Anmeldegesamtstruktur für Ihren ersten Rollout von Microsoft 365.

Wenn Sie Ihre AD DS-Bereitstellung mit mehreren Gesamtstrukturen nicht konsolidieren können oder andere Verzeichnisdienste zum Verwalten von Identitäten verwenden, können Sie diese möglicherweise mit Hilfe von Microsoft oder einem Partner synchronisieren.

Weitere Informationen finden Sie unter Topologien für Microsoft Entra Connect.

Features, die von der Verzeichnissynchronisierung abhängig sind

Die Verzeichnissynchronisierung ist für die folgenden Features und Funktionen erforderlich:

  • Microsoft Entra nahtloses einmaliges Anmelden (Single Sign-On, SSO)
  • Skype-Koexistenz
  • Exchange-Hybridbereitstellung, einschließlich:
    • Vollständig freigegebene globale Adressliste (GAL) zwischen Ihrer lokalen Exchange-Umgebung und Microsoft 365.
    • Synchronisierung von GAL-Informationen aus unterschiedlichen E-Mail-Systemen.
    • Die Möglichkeit, Benutzer zu Microsoft 365-Dienstangeboten hinzuzufügen und Benutzer daraus zu entfernen. Dies erfordert Folgendes:
      • Die bidirektionale Synchronisierung muss während der Einrichtung der Verzeichnissynchronisierung konfiguriert werden. Standardmäßig schreiben Verzeichnissynchronisierungstools nur Verzeichnisinformationen in die Cloud. Wenn Sie die bidirektionale Synchronisierung konfigurieren, aktivieren Sie die Rückschreibfunktionalität, sodass eine begrenzte Anzahl von Objektattributen aus der Cloud kopiert und dann wieder in Ihre lokale AD DS-Instanz geschrieben wird. Das Rückschreiben wird auch als Exchange-Hybridmodus bezeichnet.
    • Lokale hybride Exchange-Bereitstellung.
    • Die Möglichkeit, einige Benutzerpostfächer nach Microsoft 365 zu verschieben, während andere Benutzerpostfächer lokal bleiben.
    • Sichere und lokale blockierte Absender werden in Microsoft 365 repliziert.
    • Grundlegende Delegierung und Funktion zum Senden von E-Mails im Auftrag.
    • Sie verfügen über eine integrierte lokale Lösung für intelligente Karte oder mehrstufige Authentifizierung.
  • Synchronisierung von Fotos, Miniaturansichten, Konferenzräumen und Sicherheitsgruppen

1. Verzeichnisbereinigungsaufgaben

Bevor Sie Ihre AD DS mit Ihrem Microsoft Entra Mandanten synchronisieren, müssen Sie Ihre AD DS sauber.

Wichtig

Wenn Sie vor der Synchronisierung keine AD DS-Bereinigung durchführen, kann dies zu erheblichen negativen Auswirkungen auf den Bereitstellungsprozess führen. Es kann Tage oder sogar Wochen dauern, bis der Zyklus der Verzeichnissynchronisierung, der Identifizierung von Fehlern und der erneuten Synchronisierung durchlaufen wird.

Führen Sie in Ihrem AD DS die folgenden sauber-Up-Aufgaben für jedes Benutzerkonto aus, dem eine Microsoft 365-Lizenz zugewiesen wird:

  1. Stellen Sie im Attribut proxyAddresses eine gültige und eindeutige E-Mail-Adresse sicher.

  2. Entfernen Sie alle doppelten Werte im Attribut proxyAddresses.

  3. Stellen Sie nach Möglichkeit einen gültigen und eindeutigen Wert für das userPrincipalName-Attribut im Benutzerobjekt des Benutzers sicher. Stellen Sie für eine optimale Synchronisierung sicher, dass der AD DS-UPN mit dem Microsoft Entra UPN übereinstimmt. Wenn ein Benutzer keinen Wert für das userPrincipalName-Attribut hat, muss das Benutzerobjekt einen gültigen und eindeutigen Wert für das sAMAccountName-Attribut enthalten. Entfernen Sie alle doppelten Werte im Attribut userPrincipalName.

  4. Stellen Sie für eine optimale Verwendung der globalen Adressliste (GAL) sicher, dass die Informationen in den folgenden Attributen des AD DS-Benutzerkontos korrekt sind:

    • givenName
    • surname
    • displayName
    • Position
    • Abteilung
    • Büro
    • Telefon (geschäftlich)
    • Mobiltelefon
    • Faxnummer
    • Straße
    • Stadt/Ort
    • Bundesland/Kanton
    • PLZ
    • Land oder Region

2. Vorbereitung von Verzeichnisobjekten und Attributen

Eine erfolgreiche Verzeichnissynchronisierung zwischen Ihrem AD DS und Microsoft 365 erfordert, dass Ihre AD DS-Attribute ordnungsgemäß vorbereitet sind. Beispielsweise müssen Sie sicherstellen, dass bestimmte Zeichen in bestimmten Attributen, die mit der Microsoft 365-Umgebung synchronisiert werden, nicht verwendet werden. Unerwartete Zeichen führen nicht dazu, dass die Verzeichnissynchronisierung fehlschlägt, sondern möglicherweise eine Warnung zurückgeben. Ungültige Zeichen führen dazu, dass die Verzeichnissynchronisierung fehlschlägt.

Bei der Verzeichnissynchronisierung tritt auch ein Fehler auf, wenn einige Ihrer AD DS-Benutzer über ein oder mehrere doppelte Attribute verfügen. Jeder Benutzer muss über eindeutige Attribute verfügen.

Die Attribute, die Sie vorbereiten müssen, sind hier aufgeführt:

  • displayName

    • Wenn das Attribut im Benutzerobjekt vorhanden ist, wird es mit Microsoft 365 synchronisiert.
    • Wenn dieses Attribut im Benutzerobjekt vorhanden ist, muss es einen Wert dafür geben. Das heißt, das Attribut darf nicht leer sein.
    • Maximale Anzahl der Zeichen: 256

  • givenName

    • Wenn das Attribut im Benutzerobjekt vorhanden ist, wird es mit Microsoft 365 synchronisiert, aber Microsoft 365 erfordert oder verwendet es nicht.
    • Maximale Anzahl der Zeichen: 64

  • Mail

    • Der Attributwert muss innerhalb des Verzeichnisses eindeutig sein.

      Hinweis

      Wenn doppelte Werte vorhanden sind, wird der erste Benutzer mit dem Wert synchronisiert. Nachfolgende Benutzer werden in Microsoft 365 nicht angezeigt. Sie müssen entweder den Wert in Microsoft 365 oder beide Werte in AD DS ändern, damit beide Benutzer in Microsoft 365 angezeigt werden.

  • mailNickname (Exchange-Alias)

    • Der Attributwert darf nicht mit einem Punkt (.) beginnen.

    • Der Attributwert muss innerhalb des Verzeichnisses eindeutig sein.

      Hinweis

      Unterstriche ("_") im synchronisierten Namen geben an, dass der ursprüngliche Wert dieses Attributs ungültige Zeichen enthält. Weitere Informationen zu diesem Attribut finden Sie unter Exchange-Alias-Attribut.

  • proxyAddresses

    • Attribut mit mehreren Werten

    • Maximale Anzahl von Zeichen pro Wert: 256

    • Der Attributwert darf kein Leerzeichen enthalten.

    • Der Attributwert muss innerhalb des Verzeichnisses eindeutig sein.

    • Ungültige Zeichen: <> ( ) ; , [ ] "

    • Buchstaben mit diakritischen Zeichen, z. B. Umlaute, Akzente und Tilden, sind ungültige Zeichen.

      Die ungültigen Zeichen gelten für die Zeichen, die dem Typtrennzeichen und ":" folgen, sodass SMTP:User@contso.com zulässig ist, SMTP:user:M@contoso.com jedoch nicht.

      Wichtig

      Alle SMTP-Adressen (Simple Mail Transport Protocol) müssen den E-Mail-Messagingstandards entsprechen. Entfernen Sie doppelte oder unerwünschte Adressen, falls vorhanden.

  • Samaccountname

    • Maximale Anzahl der Zeichen: 20
    • Der Attributwert muss innerhalb des Verzeichnisses eindeutig sein.
    • Ungültige Zeichen: [ \ " | , / : <> + = ; ? * ']
    • Wenn ein Benutzer über ein ungültiges sAMAccountName-Attribut verfügt, aber über ein gültiges userPrincipalName-Attribut verfügt, wird das Benutzerkonto in Microsoft 365 erstellt.
    • Wenn sowohl sAMAccountName als auch userPrincipalName ungültig sind, muss das AD DS-Attribut userPrincipalName aktualisiert werden.

  • sn (Familienname)

    • Wenn das Attribut im Benutzerobjekt vorhanden ist, wird es mit Microsoft 365 synchronisiert, aber Microsoft 365 erfordert oder verwendet es nicht.

  • Targetaddress

    Es ist erforderlich, dass das targetAddress-Attribut (z. B. SMTP:tom@contoso.com), das für den Benutzer aufgefüllt wird, in der Microsoft 365-GAL angezeigt werden muss. In Messagingmigrationsszenarien von Drittanbietern wäre hierfür die Microsoft 365-Schemaerweiterung für ad ds erforderlich. Die Microsoft 365-Schemaerweiterung würde auch weitere nützliche Attribute hinzufügen, um Microsoft 365-Objekte zu verwalten, die mithilfe eines Verzeichnissynchronisierungstools aus AD DS aufgefüllt werden. Beispielsweise wird das Attribut msExchHideFromAddressLists zum Verwalten ausgeblendeter Postfächer oder Verteilergruppen hinzugefügt.

    • Maximale Anzahl der Zeichen: 256
    • Der Attributwert darf kein Leerzeichen enthalten.
    • Der Attributwert muss innerhalb des Verzeichnisses eindeutig sein.
    • Ungültige Zeichen: \ <> ( ) ; , [ ] "
    • Alle SMTP-Adressen (Simple Mail Transport Protocol) müssen den E-Mail-Messagingstandards entsprechen.

  • userPrincipalName

    • Das userPrincipalName-Attribut muss das Anmeldeformat im Internetformat aufweisen, user@contoso.comauf das auf den Benutzernamen das At-Zeichen (@) und ein Domänenname folgt, z. B. . Alle SMTP-Adressen (Simple Mail Transport Protocol) müssen den E-Mail-Messagingstandards entsprechen.
    • Die maximale Anzahl von Zeichen für das userPrincipalName-Attribut beträgt 113. Eine bestimmte Anzahl von Zeichen ist vor und nach dem at-Zeichen (@) wie folgt zulässig:
    • Maximale Anzahl von Zeichen für den Benutzernamen, der sich vor dem At-Zeichen (@) befindet: 64
    • Maximale Anzahl von Zeichen für den Domänennamen nach dem At-Zeichen (@): 48
    • Ungültige Zeichen: \ % & * + / = ? { } | <> ( ) ; : , [ ] "
    • Zulässige Zeichen: A – Z, a - z, 0 – 9, ' . - _ ! # ^ ~
    • Buchstaben mit diakritischen Zeichen, z. B. Umlaute, Akzente und Tilden, sind ungültige Zeichen.
    • Das @-Zeichen ist in jedem userPrincipalName-Wert erforderlich.
    • Das @-Zeichen darf nicht das erste Zeichen in jedem userPrincipalName-Wert sein.
    • Der Benutzername darf nicht mit einem Punkt (.), einem kaufmännischen Und-Zeichen (&), einem Leerzeichen oder einem At-Zeichen (@) enden.
    • Der Benutzername darf keine Leerzeichen enthalten.
    • Routingfähige Domänen müssen verwendet werden. beispielsweise können keine lokalen oder internen Domänen verwendet werden.
    • Unicode-Zeichen werden in Unterstriche umgewandelt.
    • userPrincipalName darf keine doppelten Werte im Verzeichnis enthalten.

3. Vorbereiten des userPrincipalName-Attributs

Active Directory ist so konzipiert, dass sich die Endbenutzer in Ihrem organization mit sAMAccountName oder userPrincipalName bei Ihrem Verzeichnis anmelden können. Ebenso können sich Endbenutzer mit dem Benutzerprinzipalnamen (UPN) ihres Geschäfts-, Schul- oder Unikontos bei Microsoft 365 anmelden. Bei der Verzeichnissynchronisierung wird versucht, neue Benutzer in Microsoft Entra-ID zu erstellen, indem derselbe UPN verwendet wird, der in Ihrer AD DS enthalten ist. Der UPN ist wie eine E-Mail-Adresse formatiert.

In Microsoft 365 ist der UPN das Standardattribute, das zum Generieren der E-Mail-Adresse verwendet wird. Es ist einfach, userPrincipalName (in AD DS und in Microsoft Entra ID) und die primäre E-Mail-Adresse in proxyAddresses auf unterschiedliche Werte festzulegen. Wenn sie auf unterschiedliche Werte festgelegt sind, kann es für Administratoren und Endbenutzer zu Verwirrung kommen.

Es ist am besten, diese Attribute auszurichten, um Verwirrung zu vermeiden. Um die Anforderungen des einmaligen Anmeldens mit Active Directory-Verbunddienste (AD FS) (AD FS) 2.0 zu erfüllen, müssen Sie sicherstellen, dass die UPNs in Microsoft Entra ID und Ihre AD DS übereinstimmen und einen gültigen Domänennamespace verwenden.

4. Hinzufügen eines alternativen UPN-Suffixs zu AD DS

Möglicherweise müssen Sie ein alternatives UPN-Suffix hinzufügen, um die Unternehmensanmeldeinformationen des Benutzers mit der Microsoft 365-Umgebung zu verknüpfen. Ein UPN-Suffix ist der Teil eines Benutzerprinzipalnamens, der rechts vom Zeichen @ steht. UPNs, die für einmaliges Anmelden verwendet werden, können Buchstaben, Zahlen, Punkte, Bindestriche und Unterstriche enthalten, aber keine anderen Zeichen.

Weitere Informationen zum Hinzufügen eines alternativen UPN-Suffixes zu Active Directory finden Sie unter Vorbereiten der Verzeichnissynchronisierung.

5. Abgleichen des AD DS-UPNs mit dem Microsoft 365 UPN

Wenn Sie die Verzeichnissynchronisierung bereits eingerichtet haben, entspricht der UPN des Benutzers für Microsoft 365 möglicherweise nicht dem AD DS-UPN des Benutzers, der in Ihrem AD DS definiert ist. Diese Bedingung kann auftreten, wenn einem Benutzer eine Lizenz zugewiesen wurde, bevor die Domäne überprüft wurde. Um dieses Problem zu beheben, verwenden Sie PowerShell, um doppelte UPNs zu beheben , um den UPN des Benutzers zu aktualisieren, um sicherzustellen, dass der Microsoft 365-UPN mit dem Benutzernamen und der Domäne des Unternehmens übereinstimmt. Wenn Sie den UPN im AD DS aktualisieren und ihn mit der Microsoft Entra Identität synchronisieren möchten, müssen Sie die Lizenz des Benutzers in Microsoft 365 entfernen, bevor Sie die Änderungen in AD DS vornehmen.

Weitere Informationen finden Sie unter Vorbereiten einer nicht routingfähigen Domäne (z. B. einer lokalen Domäne) für die Verzeichnissynchronisierung.

Nächste Schritte

Nachdem Sie die Schritte 1 bis 5 abgeschlossen haben, finden Sie weitere Informationen unter Einrichten der Verzeichnissynchronisierung.