Vorbereiten der Verzeichnissynchronisierung mit Microsoft 365

Dieser Artikel gilt sowohl für Microsoft 365 Enterprise als auch für Office 365 Enterprise.

Wenn Sie das Hybrididentitätsmodell ausgewählt und den Schutz für Administratorkonten in Schritt 2 und Benutzerkonten in Schritt 3 dieser Lösung konfiguriert haben, besteht Ihre nächste Aufgabe darin, die Verzeichnissynchronisierung bereitzustellen. Die Vorteile der Verzeichnissynchronisierung für Ihre Organisation umfassen:

  • Verringern der Verwaltungsprogramme in Ihrer Organisation
  • Optionales Aktivieren des Szenarios für einmaliges Anmelden
  • Automatisieren von Kontoänderungen in Microsoft 365

Weitere Informationen zu den Vorteilen der Verwendung der Verzeichnissynchronisierung finden Sie unter Hybrididentität mit Azure Active Directory (Azure AD).For more information about the advantages of using directory synchronization, see hybrid identity with Azure Active Directory (Azure AD).

Die Verzeichnissynchronisierung erfordert jedoch Planung und Vorbereitung, um sicherzustellen, dass Ihre Active Directory Domain Services (AD DS) mit dem Azure AD-Mandanten Ihres Microsoft 365-Abonnements mit einem Minimum an Fehlern synchronisiert wird.

Führen Sie die folgenden Schritte aus, um die besten Ergebnisse zu erzielen.

Hinweis

Nicht-ASCII-Zeichen werden nicht für Attribute im AD DS-Benutzerkonto synchronisiert.

AD DS-Vorbereitung

Um einen nahtlosen Übergang zu Microsoft 365 mithilfe der Synchronisierung sicherzustellen, müssen Sie Ihre AD DS-Gesamtstruktur vorbereiten, bevor Sie mit der Bereitstellung der Microsoft 365-Verzeichnissynchronisierung beginnen.

Die Verzeichnisvorbereitung sollte sich auf die folgenden Aufgaben konzentrieren:

  • Entfernen Sie doppelte proxyAddress- und userPrincipalName-Attribute.

  • Aktualisieren Sie leere und ungültige userPrincipalName-Attribute mit gültigen userPrincipalName-Attributen .

  • Entfernen Sie ungültige und fragwürdige Zeichen in den Attributen givenName, surname ( sn ), sAMAccountName, displayName, mail, proxyAddresses, mailNickname und userPrincipalName . Ausführliche Informationen zum Vorbereiten von Attributen finden Sie unter Liste der Attribute, die vom Azure Active Directory-Synchronisierungstool synchronisiert werden.

    Hinweis

    Dies sind die gleichen Attribute, die Azure AD Connect synchronisiert.

Überlegungen zur Bereitstellung mit mehreren Gesamtstrukturen

Verwenden Sie für mehrere Gesamtstrukturen und SSO-Optionen eine benutzerdefinierte Installation von Azure AD Connect.

Wenn Ihre Organisation über mehrere Gesamtstrukturen für die Authentifizierung (Anmeldegesamtstrukturen) verfügt, wird Folgendes dringend empfohlen:

  • Erwägen Sie die Konsolidierung Ihrer Gesamtstrukturen. Im Allgemeinen ist mehr Aufwand erforderlich, um mehrere Gesamtstrukturen zu verwalten. Sofern Ihre Organisation keine Sicherheitseinschränkungen aufweist, die die Notwendigkeit separater Gesamtstrukturen diktieren, sollten Sie erwägen, Ihre lokale Umgebung zu vereinfachen.
  • Nur in der primären Anmeldegesamtstruktur verwenden. Erwägen Sie die Bereitstellung von Microsoft 365 nur in Ihrer primären Anmeldegesamtstruktur für Ihr anfängliches Rollout von Microsoft 365.

Wenn Sie Ihre AD DS-Bereitstellung mit mehreren Gesamtstrukturen nicht konsolidieren können oder andere Verzeichnisdienste zum Verwalten von Identitäten verwenden, können Sie diese möglicherweise mitHilfe von Microsoft oder einem Partner synchronisieren.

Weitere Informationen finden Sie unter Topologien für Azure AD Connect .

Features, die von der Verzeichnissynchronisierung abhängig sind

Die Verzeichnissynchronisierung ist für die folgenden Features und Funktionen erforderlich:

  • Azure AD Seamless Single Sign-On (SSO)
  • Skype-Koexistenz
  • Exchange-Hybridbereitstellung, einschließlich:
    • Vollständig freigegebene globale Adressliste (GAL) zwischen Ihrer lokalen Exchange-Umgebung und Microsoft 365.
    • Synchronisierung von GAL-Informationen aus unterschiedlichen E-Mail-Systemen.
    • Die Möglichkeit, Benutzer zu Microsoft 365-Dienstangeboten hinzuzufügen und daraus zu entfernen. Dies erfordert Folgendes:
    • Die bidirektionale Synchronisierung muss während der Einrichtung der Verzeichnissynchronisierung konfiguriert werden. Standardmäßig schreiben Verzeichnissynchronisierungstools Verzeichnisinformationen nur in die Cloud. Wenn Sie die bidirektionale Synchronisierung konfigurieren, aktivieren Sie die Zurückschreibefunktion, sodass eine begrenzte Anzahl von Objektattributen aus der Cloud kopiert und dann in Ihren lokalen AD DS zurückgeschrieben wird. Das Zurückschreiben wird auch als Exchange-Hybridmodus bezeichnet.
    • Eine lokale Exchange-Hybridbereitstellung
    • Die Möglichkeit, einige Benutzerpostfächer nach Microsoft 365 zu verschieben, während andere Benutzerpostfächer lokal bleiben.
    • Sichere Und blockierte Absender werden lokal in Microsoft 365 repliziert.
    • Grundlegende Delegierung und Funktion zum Senden von E-Mails im Auftrag.
    • Sie verfügen über eine integrierte lokale Smartcard- oder mehrstufige Authentifizierungslösung.
  • Synchronisierung von Fotos, Miniaturansichten, Konferenzräumen und Sicherheitsgruppen

1. Verzeichnisbereinigungsaufgaben

Bevor Sie Ihren AD DS mit Ihrem Azure AD-Mandanten synchronisieren, müssen Sie Ihren AD DS bereinigen.

Wichtig

Wenn Sie die AD DS-Bereinigung vor der Synchronisierung nicht durchführen, kann dies zu erheblichen negativen Auswirkungen auf den Bereitstellungsprozess führen. Es kann Tage oder sogar Wochen dauern, bis der Zyklus der Verzeichnissynchronisierung, das Erkennen von Fehlern und die erneute Synchronisierung durchlaufen werden.

Führen Sie in Ihrem AD DS die folgenden Bereinigungsaufgaben für jedes Benutzerkonto aus, dem eine Microsoft 365-Lizenz zugewiesen wird:

  1. Stellen Sie im Attribut "proxyAddresses " eine gültige und eindeutige E-Mail-Adresse sicher.

  2. Entfernen Sie alle doppelten Werte im Attribut proxyAddresses.

  3. Stellen Sie nach Möglichkeit einen gültigen und eindeutigen Wert für das Attribut "userPrincipalName " im Benutzerobjekt des Benutzers sicher. Stellen Sie für eine optimale Synchronisierung sicher, dass der AD DS-UPN mit dem Azure AD-UPN übereinstimmt. Wenn ein Benutzer keinen Wert für das Attribut "userPrincipalName " hat, muss das Benutzerobjekt einen gültigen und eindeutigen Wert für das sAMAccountName-Attribut enthalten. Entfernen Sie alle doppelten Werte im Attribut userPrincipalName.

  4. Stellen Sie für eine optimale Verwendung der globalen Adressliste (GAL) sicher, dass die Informationen in den folgenden Attributen des AD DS-Benutzerkontos korrekt sind:

    • givenName
    • surname
    • displayName
    • Position
    • Abteilung
    • Büro
    • Telefon (geschäftlich)
    • Mobiltelefon
    • Faxnummer
    • Straße
    • Stadt/Ort
    • Bundesland/Kanton
    • PLZ
    • Land oder Region

2. Verzeichnisobjekt- und Attributvorbereitung

Eine erfolgreiche Verzeichnissynchronisierung zwischen Ad DS und Microsoft 365 erfordert, dass Ihre AD DS-Attribute ordnungsgemäß vorbereitet sind. Sie müssen beispielsweise sicherstellen, dass bestimmte Zeichen nicht in bestimmten Attributen verwendet werden, die mit der Microsoft 365-Umgebung synchronisiert werden. Unerwartete Zeichen führen nicht dazu, dass die Verzeichnissynchronisierung fehlschlägt, aber möglicherweise eine Warnung zurückgegeben wird. Ungültige Zeichen führen dazu, dass die Verzeichnissynchronisierung fehlschlägt.

Die Verzeichnissynchronisierung schlägt auch fehl, wenn einige Ihrer AD DS-Benutzer über ein oder mehrere doppelte Attribute verfügen. Jeder Benutzer muss über eindeutige Attribute verfügen.

Die Attribute, die Sie vorbereiten müssen, sind hier aufgeführt:

  • displayName

    • Wenn das Attribut im Benutzerobjekt vorhanden ist, wird es mit Microsoft 365 synchronisiert.
    • Wenn dieses Attribut im Benutzerobjekt vorhanden ist, muss dafür ein Wert vorhanden sein. Das heißt, das Attribut darf nicht leer sein.
    • Maximale Anzahl der Zeichen: 256
  • givenName

    • Wenn das Attribut im Benutzerobjekt vorhanden ist, wird es mit Microsoft 365 synchronisiert, aber Microsoft 365 erfordert es nicht oder verwendet es nicht.
    • Maximale Anzahl der Zeichen: 64
  • Mail

    • Der Attributwert muss innerhalb des Verzeichnisses eindeutig sein.

      Hinweis

      Wenn doppelte Werte vorhanden sind, wird der erste Benutzer mit dem Wert synchronisiert. Nachfolgende Benutzer werden in Microsoft 365 nicht angezeigt. Sie müssen entweder den Wert in Microsoft 365 oder beide Werte in AD DS ändern, damit beide Benutzer in Microsoft 365 angezeigt werden.

  • mailNickname (Exchange-Alias)

    • Der Attributwert kann nicht mit einem Punkt (.) beginnen.

    • Der Attributwert muss innerhalb des Verzeichnisses eindeutig sein.

      Hinweis

      Unterstriche ("_") im synchronisierten Namen deuten darauf hin, dass der ursprüngliche Wert dieses Attributs ungültige Zeichen enthält. Weitere Informationen zu diesem Attribut finden Sie unter Exchange-Aliasattribut.

  • proxyAddresses

    • Attribut mit mehreren Werten

    • Maximale Anzahl von Zeichen pro Wert: 256

    • Der Attributwert darf kein Leerzeichen enthalten.

    • Der Attributwert muss innerhalb des Verzeichnisses eindeutig sein.

    • Ungültige Zeichen: <> ( ) ; , [ ] "

    • Buchstaben mit diakritischen Zeichen, z. B. Umlaute, Akzente und Tilden, sind ungültige Zeichen.

      Die ungültigen Zeichen gelten für die Zeichen nach dem Typtrennzeichen und ":", sodass SMTP:User@contso.com zulässig ist, SMTP:user:M@contoso.com jedoch nicht.

      Wichtig

      Alle SMTP-Adressen (Simple Mail Transport Protocol) sollten den E-Mail-Messaging-Standards entsprechen. Entfernen Sie doppelte oder unerwünschte Adressen, sofern vorhanden.

  • Samaccountname

    • Maximale Anzahl der Zeichen: 20
    • Der Attributwert muss innerhalb des Verzeichnisses eindeutig sein.
    • Ungültige Zeichen: [ \ " | , / : <> + = ; ? * ']
    • Wenn ein Benutzer über ein ungültiges sAMAccountName-Attribut verfügt, aber über ein gültiges userPrincipalName-Attribut verfügt, wird das Benutzerkonto in Microsoft 365 erstellt.
    • Wenn sowohl sAMAccountName als auch userPrincipalName ungültig sind, muss das AD DS userPrincipalName-Attribut aktualisiert werden.
  • sn (Nachname)

    • Wenn das Attribut im Benutzerobjekt vorhanden ist, wird es mit Microsoft 365 synchronisiert, aber Microsoft 365 erfordert es nicht oder verwendet es nicht.
  • Targetaddress

    Es ist erforderlich, dass das targetAddress-Attribut (z. B. SMTP:tom@contoso.com), das für den Benutzer aufgefüllt wird, in der Microsoft 365 GAL angezeigt werden muss. In Messagingmigrationsszenarien von Drittanbietern würde dies die Microsoft 365-Schemaerweiterung für AD DS erfordern. Die Microsoft 365-Schemaerweiterung würde auch weitere nützliche Attribute zum Verwalten von Microsoft 365-Objekten hinzufügen, die mithilfe eines Verzeichnissynchronisierungstools von AD DS aufgefüllt werden. Beispielsweise würde das Attribut "msExchHideFromAddressLists " zum Verwalten ausgeblendeter Postfächer oder Verteilergruppen hinzugefügt.

    • Maximale Anzahl der Zeichen: 256
    • Der Attributwert darf kein Leerzeichen enthalten.
    • Der Attributwert muss innerhalb des Verzeichnisses eindeutig sein.
    • Ungültige Zeichen: \ <> ( ) ; , [ ] "
    • Alle SMTP-Adressen (Simple Mail Transport Protocol) sollten den E-Mail-Messaging-Standards entsprechen.
  • userPrincipalName

    • Das Attribut "userPrincipalName" muss im Anmeldeformat im Internetformat vorliegen, user@contoso.comauf das auf den Benutzernamen das At-Zeichen (@) und ein Domänenname folgen, z. B. . Alle SMTP-Adressen (Simple Mail Transport Protocol) sollten den E-Mail-Messaging-Standards entsprechen.
    • Die maximale Anzahl von Zeichen für das Attribut "userPrincipalName" beträgt 113. Eine bestimmte Anzahl von Zeichen ist vor und nach dem At-Zeichen (@) wie folgt zulässig:
    • Maximale Anzahl von Zeichen für den Benutzernamen, der sich vor dem At-Zeichen (@) befindet: 64
    • Maximale Anzahl von Zeichen für den Domänennamen nach dem At-Zeichen (@): 48
    • Ungültige Zeichen: \ % & * + / = ? { } | <> ( ) ; : , [ ] "
    • Zulässige Zeichen: A – Z, a - z, 0 – 9, ' . - _ ! # ^ ~
    • Buchstaben mit diakritischen Zeichen, z. B. Umlaute, Akzente und Tilden, sind ungültige Zeichen.
    • Das @-Zeichen ist in jedem userPrincipalName-Wert erforderlich.
    • Das @-Zeichen darf nicht das erste Zeichen in jedem userPrincipalName-Wert sein.
    • Der Benutzername darf nicht mit einem Punkt (.), einem kaufmännischen Und-Zeichen (&), einem Leerzeichen oder einem At-Zeichen (@) enden.
    • Der Benutzername darf keine Leerzeichen enthalten.
    • Routingfähige Domänen müssen verwendet werden; Lokale oder interne Domänen können z. B. nicht verwendet werden.
    • Unicode-Zeichen werden in Unterstriche umgewandelt.
    • "userPrincipalName" darf keine doppelten Werte im Verzeichnis enthalten.

3. Vorbereiten des attributs "userPrincipalName"

Active Directory ist so konzipiert, dass sich die Endbenutzer in Ihrer Organisation mit sAMAccountName oder userPrincipalName bei Ihrem Verzeichnis anmelden können. Ebenso können sich Endbenutzer mit dem Benutzerprinzipalnamen (USER Principal Name, UPN) ihres Geschäfts-, Schul- oder Unikontos bei Microsoft 365 anmelden. Die Verzeichnissynchronisierung versucht, neue Benutzer in Azure Active Directory mithilfe des gleichen UPN zu erstellen, der sich in Ihrem AD DS befindet. Der UPN ist wie eine E-Mail-Adresse formatiert.

In Microsoft 365 ist der UPN das Standardattribut, das zum Generieren der E-Mail-Adresse verwendet wird. Es ist einfach, userPrincipalName (in AD DS und in Azure AD) abzurufen und die primäre E-Mail-Adresse in proxyAddresses auf unterschiedliche Werte festzulegen. Wenn sie auf unterschiedliche Werte festgelegt sind, kann es zu Verwirrung bei Administratoren und Endbenutzern kommen.

Es empfiehlt sich, diese Attribute auszurichten, um Verwirrung zu vermeiden. Um die Anforderungen des einmaligen Anmeldens mit Active Directory-Verbunddienste (AD FS) (AD FS) 2.0 zu erfüllen, müssen Sie sicherstellen, dass die UPNs in Azure Active Directory und Ihrem AD DS übereinstimmen und einen gültigen Domänennamespace verwenden.

4. Hinzufügen eines alternativen UPN-Suffixes zu AD DS

Möglicherweise müssen Sie ein alternatives UPN-Suffix hinzufügen, um die Unternehmensanmeldeinformationen des Benutzers der Microsoft 365-Umgebung zuzuordnen. Ein UPN-Suffix ist der Teil eines Benutzerprinzipalnamens, der rechts vom Zeichen @ steht. UPNs, die für einmaliges Anmelden verwendet werden, können Buchstaben, Zahlen, Punkte, Bindestriche und Unterstriche enthalten, aber keine anderen Zeichen.

Weitere Informationen zum Hinzufügen eines alternativen UPN-Suffixes zu Active Directory finden Sie unter Vorbereiten der Verzeichnissynchronisierung.

5. Abgleichen des AD DS-UPN mit dem Microsoft 365-UPN

Wenn Sie die Verzeichnissynchronisierung bereits eingerichtet haben, stimmt der UPN des Benutzers für Microsoft 365 möglicherweise nicht mit dem AD DS-UPN des Benutzers überein, der in Ihrem AD DS definiert ist. Das kann vorkommen, wenn einem Benutzer vor der Überprüfung der Domäne schon eine Lizenz zugewiesen wurde. Um dieses Problem zu beheben, verwenden Sie PowerShell, um den doppelten UPN zu korrigieren , um den UPN des Benutzers zu aktualisieren, um sicherzustellen, dass der Microsoft 365 UPN dem Benutzernamen und der Domäne des Unternehmens entspricht. Wenn Sie den UPN im AD DS aktualisieren und ihn mit der Azure Active Directory-Identität synchronisieren möchten, müssen Sie die Lizenz des Benutzers in Microsoft 365 entfernen, bevor Sie die Änderungen in AD DS vornehmen.

Weitere Informationen finden Sie unter Vorbereiten einer nicht routingfähigen Domäne (z. B. ".local domain") für die Verzeichnissynchronisierung.

Nächste Schritte

Nachdem Sie oben 1 bis 5 abgeschlossen haben, lesen Sie "Einrichten der Verzeichnissynchronisierung".