Konfigurieren der Microsoft Entra Connect-Synchronisierung
- 10 Minuten
Sie müssen ein Setupprogramm ausführen, um Microsoft Entra Connect Sync zu installieren. Aufgrund der sich ständig ändernden Natur der Cloud ist es wichtig, die neueste Version des Setupprogramms herunterzuladen, wenn Sie bereit sind, es auszuführen. Das Setupprogramm initiiert einen Microsoft Entra Connect Sync-Installations-Assistenten. Der Assistent bietet Ihnen die Möglichkeit, Microsoft Entra Connect Sync mit einem von zwei Setupmodi zu installieren: Express oder Benutzerdefiniert. In den folgenden Abschnitten werden diese Setupoptionen untersucht.
Microsoft Entra Connect Sync Express-Setup
Express-Einstellungen sind die Standardeinrichtungsoption bei der Installation von Microsoft Entra Connect Sync, da sie das gängigste Installationsszenario unterstützt. Wenn ein organization das Express-Setup ausführt, stellt Microsoft Entra Connect Sync die Synchronisierung mit der Option Kennworthashsynchronisierung (Password Hash Synchronization, PHS) bereit. Diese Option gilt nur für eine einzelne Gesamtstruktur. Mithilfe von PHS können Organisationen Kennworthashes mit Microsoft Entra ID synchronisieren, während sie die vollständige Kontrolle über Kennwortrichtlinien und Zurücksetzungen in der lokalen Infrastruktur behalten.
Der Express-Setupmodus bietet mehrere Vorteile, die ihn zu einer praktischen Option für Organisationen machen:
- Einfachheit und Benutzerfreundlichkeit. Der Express-Setupmodus vereinfacht den Installations- und Konfigurationsvorgang und erleichtert Organisationen den schnellen Einstieg. Es bietet eine optimierte Installationserfahrung mit Standardeinstellungen, die für die meisten gängigen Szenarien geeignet sind.
- Empfohlene bewährte Methoden. Der Express-Setupmodus wendet die empfohlenen bewährten Methoden basierend auf den Richtlinien und Branchenstandards von Microsoft automatisch an. Dadurch wird sichergestellt, dass die Microsoft Entra Connect-Bereitstellung den empfohlenen Konfigurationen für optimale Funktionalität, Sicherheit und Leistung entspricht.
- Automatische Konfiguration. Im Express-Setupmodus konfiguriert Microsoft Entra Connect Sync basierend auf den informationen, die während des Installationsvorgangs bereitgestellt werden, automatisch wichtige Komponenten wie Kennworthashsynchronisierung (Password Hash Synchronization, PHS) und Geräterückschreiben. Durch diesen Prozess ist keine manuelle Konfiguration erforderlich, und die Wahrscheinlichkeit von Fehlern oder Fehlkonfigurationen wird verringert.
- Nahtlose Verzeichnissynchronisierung. Microsoft Entra Connect Sync im Express-Setupmodus ermöglicht die nahtlose Synchronisierung von Benutzerkonten, Kennwörtern und anderen Attributen aus dem lokales Active Directory zu Microsoft Entra ID. Dieses Feature stellt sicher, dass Benutzeridentitäten und Attribute in der Cloud auf dem neuesten Stand bleiben, sodass konsistenter Zugriff und konsistente Verwaltung für lokale und Cloudressourcen ermöglicht werden.
- Integration in Microsoft Entra ID Features. Der Express-Setupmodus ermöglicht die Integration in verschiedene Microsoft Entra ID Features und Dienste, z. B. Self-Service-Kennwortzurücksetzung, gruppenbasierte Lizenzierung und dynamische Gruppenmitgliedschaft. Diese Features verbessern die Allgemeine Funktionalität und Benutzererfahrung innerhalb der Microsoft Entra ID Umgebung.
- Zukünftige Updates und Wartungen. Wenn Organisationen den Express-Setupmodus verwenden, profitieren sie von automatisierten zukünftigen Updates und Wartungen. Microsoft Entra Connect Sync erhält regelmäßig Updates und Verbesserungen. Der Express-Setupmodus stellt sicher, dass Organisationen ohne zusätzlichen manuellen Eingriff einfach über die neuesten Features und Verbesserungen auf dem Laufenden bleiben können.
Insgesamt eignet sich der Express-Setupmodus ideal für Organisationen, die einen einfachen und empfohlenen Ansatz zum schnellen Bereitstellen und Konfigurieren Microsoft Entra Connect Sync mit minimalem Aufwand und Fachwissen suchen.
Während der Installation von Microsoft Entra Connect Sync mit Express-Einstellungen führt das Installationsprogramm Folgendes aus:
- Installieren Sie die Synchronisierungs-Engine.
- Konfigurieren Sie Microsoft Entra Connect Sync.
- Konfigurieren Sie den lokales Active Directory-Connector.
- Aktivieren Sie die Kennworthashsynchronisierung.
- Konfigurieren sie Synchronisierungsdienste.
- Konfigurieren sie Synchronisierungsdienste für die Exchange-Hybridbereitstellung (optional).
- Aktivieren Sie das automatische Upgrade von Microsoft Entra Connect Sync.
Wenn Sie Microsoft Entra Connect Sync mithilfe der Option Express Settings installieren, können Sie optional den Synchronisierungsvorgang starten, sobald die Installation abgeschlossen ist.
Der Microsoft Entra Connect Sync-Serverinstallationsprozess konfiguriert Active Directory, Microsoft Entra ID und den lokalen Computer für die Identitätssynchronisierung.
benutzerdefiniertes Setup der Microsoft Entra Connect-Synchronisierung
Während der Express-Setupmodus Einfachheit und Komfort bietet, deckt er möglicherweise nicht alle erweiterten Konfigurationsoptionen oder die spezifischen Anpassungsanforderungen eines organization ab. In solchen Fällen können Sie den Benutzerdefinierten Setupmodus auswählen. Diese Option bietet mehr Flexibilität und präzise Kontrolle über den Installations- und Konfigurationsvorgang.
Organisationen können die Option Benutzerdefinierte Einstellungen auswählen, wenn sie optionale Features benötigen, die nicht im Express-Setup behandelt werden. Organisationen verwenden die Option "Benutzerdefinierte Einstellungen" aus verschiedenen Gründen, z. B.:
- Sie verfügen über mehrere Gesamtstrukturen.
- Sie möchten das einmalige Anmelden (Kennworthashsynchronisierung und Passthrough-Authentifizierung) oder nur die Kennworthashsynchronisierung oder AD FS (Verbund) für ihre Anmeldeoption verwenden.
- Sie verwenden einen Nicht-Microsoft-Identitätsanbieter.
- Sie verfügen über angepasste Synchronisierungsfeatures, z. B. Filtern oder Rückschreiben.
Ein benutzerdefiniertes Setup installiert zwei Arten von Komponenten: die gleichen erforderlichen Komponenten, die in einem Express-Setup installiert sind, sowie die folgenden optionalen Komponenten, die bei der Installation des benutzerdefinierten Setups ausgewählt wurden:
- Geben Sie einen benutzerdefinierten Installationsspeicherort an. Ermöglicht es Ihnen, einen anderen Installationspfad anzugeben, um Microsoft Entra Connect zu installieren.
- Verwenden Sie einen vorhandenen Server, auf dem SQL Server ausgeführt wird. Ermöglicht es Ihnen, einen vorhandenen SQL-Datenbankserver auszuwählen.
- Verwenden Sie ein vorhandenes Dienstkonto. Ermöglicht es Ihnen, ein vorhandenes Dienstkonto anzugeben. Standardmäßig erstellt Microsoft Entra Connect Sync ein lokales Dienstkonto für die Synchronisierungsdienste. Microsoft Entra Connect Sync generiert automatisch das Kennwort, das der Person, die die Installation ausführt, unbekannt bleibt. Wenn Sie einen Remoteserver angeben, auf dem SQL Server ausgeführt wird, benötigen Sie ein Dienstkonto, für das Sie das Kennwort kennen.
- Geben Sie benutzerdefinierte Synchronisierungsgruppen an. Ermöglicht das Angeben vorhandener Verwaltungsgruppen für Microsoft Entra Connect Sync. Standardmäßig erstellt Microsoft Entra Connect Sync die folgenden Gruppen auf dem Server, wenn die Synchronisierungsdienste installiert werden: Gruppe "Administratoren", "Operatoren", "Gruppe "Durchsuchen" und Gruppe "Kennwortzurücksetzung". Verwenden Sie diese Option, wenn Sie ihre eigenen Gruppen angeben möchten. Die Gruppen müssen auf dem Server lokal sein und dürfen sich nicht in der Domäne befinden.
Sie können die folgenden Features aktivieren, wenn Sie Microsoft Entra Benutzerdefiniertes Connect-Setup ausführen:
| Feature | Beschreibung | Wann sollte sie verwendet werden? |
|---|---|---|
| Wählen Sie die Methode einmaliges Anmelden (Single Sign-On, SSO) aus. | Mit diesem Feature können Sie die SSO-Methode für Benutzer angeben. Zu den SSO-Methoden gehören Kennworthashsynchronisierung, Passthrough-Authentifizierung, Verbund mit AD FS und Nicht konfigurieren des einmaligen Anmeldens. Sie können auch die Option zum Aktivieren des einmaligen Anmeldens auswählen. | Der organization möchte seinen Benutzern das einmalige Anmelden ermöglichen. |
| Verbinden mehrerer lokaler Verzeichnisse oder Gesamtstrukturen | Mit diesem Feature können Sie eine Verbindung mit einer oder mehreren Active Directory-Domänen oder -Gesamtstrukturen herstellen. | Die organization verfügt über mehrere Gesamtstrukturen, um eine Verbindung mit einem Microsoft Entra Mandanten herzustellen. |
| Gesamtstrukturenübergreifender Abgleich. | Mit diesem Feature können Sie definieren, wie Microsoft Entra ID Benutzer aus Ihren Active Directory-Gesamtstrukturen darstellt. Sie können einen Benutzer entweder nur einmal in allen Gesamtstrukturen darstellen, oder Sie können eine Kombination aus aktivierten und deaktivierten Konten verwenden. | Die organization verfügt über mehrere Gesamtstrukturen, um eine Verbindung mit einem Microsoft Entra Mandanten herzustellen. |
| Synchronisierungsfilterung basierend auf Organisationseinheiten. | Mit diesem Feature können Sie ein kleines Pilotprojekt ausführen, bei dem Sie nur eine kleine Teilmenge von Objekten in Microsoft Entra ID und Microsoft 365 erstellen. Um dieses Feature zu verwenden, erstellen Sie eine Organisationseinheit in Ihrem lokales Active Directory und fügen die Benutzer und Gruppen hinzu, die von der Organisationseinheit mit Microsoft Entra ID synchronisiert werden sollen. Sie können dieser Gruppe später Benutzer hinzufügen und entfernen, um die Liste der Objekte zu verwalten, die in Microsoft Entra ID vorhanden sein sollten. | Die organization möchte nur bestimmte Organisationseinheiten oder Elemente mit Microsoft Entra ID synchronisieren. |
| Wählen Sie den Quellanker aus. | Mit diesem Feature können Sie den Primärschlüssel (d. h. die ImmutableID) auswählen, der den lokalen Benutzer mit dem Benutzer in Microsoft Entra ID verknüpft. | Der organization muss den Quellanker ändern, z. B. wenn er über mehrere Gesamtstrukturen verfügt. |
| Wählen Sie das Anmeldeattribute aus. | Mit diesem Feature können Sie das Attribut auswählen, das Benutzer verwenden, wenn sie sich bei Microsoft Entra ID und Microsoft 365 anmelden. In der Regel ist dieses Attribut das userPrincipalName-Attribut. Wenn dieses Attribut jedoch nicht routingfähig ist und das System es nicht überprüfen kann, ist es möglich, ein anderes Attribut auszuwählen. Beispielsweise E-Mail als Attribut mit der Anmelde-ID, die als alternative ID bezeichnet wird. | Die organization möchte UPNs für die Benutzeranmeldung verwenden. |
| Exchange-Hybridbereitstellung. | Dieses optionale Feature ermöglicht die Koexistenz von Exchange-Postfächern sowohl lokal als auch in Microsoft 365. Dazu wird ein bestimmter Satz von Attributen aus Microsoft Entra ID wieder mit Ihrem lokales Active Directory synchronisiert. | Das organization ist derzeit lokal installiert und plant, Postfächer in Exchange Online zu verschieben. |
| Öffentliche Exchange-E-Mail-Ordner. | Mit diesem Feature können Sie E-Mail-aktivierte öffentliche Ordner aus Ihrem lokales Active Directory mit Microsoft Entra ID synchronisieren, um die verzeichnisbasierte Edgeblockierung (Directory-Based Edge Blocking, DBEB) von EOP zu unterstützen. | Die organization verwendet derzeit lokale E-Mail-aktivierte öffentliche Ordner. |
| Microsoft Entra App- und Attributfilterung. | Mit diesem optionalen Feature können Sie den Satz synchronisierter Attribute basierend auf Microsoft Entra Apps an einen bestimmten Satz anpassen. | Die organization verwendet derzeit Microsoft Entra-Apps. |
| Kennwortrückschreiben. | Dieses Feature ermöglicht es dem System, Kennwortänderungen, die aus Microsoft Entra ID stammen, zurück in Ihre lokales Active Directory zu schreiben. Sie stellen dieses Feature in der Regel bereit, wenn Sie Benutzern die Self-Service-Kennwortzurücksetzung ihrer Microsoft Entra Kennwörter ermöglichen möchten. | Die organization möchte Benutzern ermöglichen, ihr Kennwort im Microsoft 365-Portal oder in anderen Bereichen zu ändern. |
| Gruppenrückschreiben. | Wenn Sie mit diesem Feature das Microsoft 365-Gruppen-Feature verwenden, können Sie diese Gruppen in Ihrer lokales Active Directory als Verteilergruppe verwenden. Diese Option ist nur verfügbar, wenn Sie Exchange Server lokal bereitstellen. | Die organization verfügt über eine Exchange-Hybridbereitstellung und verwendet Microsoft 365-Gruppen. |
| Geräterückschreiben. | Mit diesem Feature schreibt das System Geräteobjekte in Microsoft Entra ID zurück in Ihre lokales Active Directory für Szenarien mit bedingtem Zugriff. | Der organization plant die Implementierung des bedingten Zugriffs für seine mobilen Geräte. |
| Verzeichniserweiterungsattributsynchronisierung. | Mit diesem Feature können Sie das Schema in Microsoft Entra ID mit benutzerdefinierten Attributen erweitern, die von Ihrem organization oder anderen Attributen in Ihrem lokales Active Directory hinzugefügt wurden. | Die organization ihr lokales Active Directory-Schema um benutzerdefinierte Attribute erweitert. |
Einer der Hauptgründe, warum ein organization das installationsprogramm Microsoft Entra Connect Sync im benutzerdefinierten Setupmodus ausführen kann, ist die Option einmaliges Anmelden (Single Sign-On, SSO). Wenn Sie die Option zum Aktivieren des einmaligen Anmeldens auswählen, konfiguriert das Installationsprogramm sowohl die Kennworthashsynchronisierung (Password Hash Synchronization, PHS) als auch Microsoft Entra Passthrough-Authentifizierung (PTA). Wenn Sie die Option zum Aktivieren des einmaligen Anmeldens nicht auswählen, aktiviert das Installationsprogramm nur PHS. Dies ist die Standardoption, wenn das Installationsprogramm im Express-Setupmodus ausgeführt wird.
Die Aktivierung von SSO mit Kennworthashsynchronisierung (Password Hash Synchronization, PHS) und Passthrough-Authentifizierung (PTA) bietet eine umfassendere Authentifizierungslösung. Es kann jedoch Gründe geben, warum ein organization das einmalige Anmelden nicht aktiviert und sich nur für PHS entscheidet, z. B.:
- Einfachheit und minimale Infrastruktur. Die Implementierung und Verwaltung von PHS allein erfordert im Vergleich zur Einrichtung von PTA oder SSO weniger Komponenten und Infrastrukturänderungen. Wenn ein organization eine einfachere Bereitstellung bevorzugt, die nicht die erweiterten Funktionen von PTA oder SSO erfordert, kann er PHS als primäre Authentifizierungsmethode verwenden.
- Lokale Kennwortverwaltung. Einige Organisationen haben möglicherweise bestimmte Anforderungen oder Richtlinien, die die Verwaltung von Benutzerkennwörtern ausschließlich innerhalb der lokales Active Directory-Umgebung vorschreiben. Mithilfe von PHS können Organisationen Kennworthashes mit Microsoft Entra ID synchronisieren, während sie die vollständige Kontrolle über Kennwortrichtlinien und Zurücksetzungen in der lokalen Infrastruktur behalten.
- Compliance und regulatorische Überlegungen. In bestimmten Branchen oder gesetzlichen Umgebungen haben Organisationen möglicherweise strenge Complianceanforderungen, die die Verwendung bestimmter Authentifizierungsmethoden einschränken oder bestimmte Verfahren zur Kennwortverarbeitung vorschreiben. Durch die alleinige Verwendung von PHS können Organisationen diese Anforderungen erfüllen und gleichzeitig von der Kennwortsynchronisierung mit Microsoft Entra ID profitieren.
- Vorhandene Identitäts- und Zugriffsverwaltungsinfrastruktur. Organisationen mit etablierten IAM-Systemen und -Prozessen (Identity and Access Management, Identitäts- und Zugriffsverwaltung) verfügen möglicherweise bereits über robuste Authentifizierungsmechanismen wie Smartcards, Zertifikate oder Verbunddienste von Drittanbietern. In solchen Fällen ziehen sie es möglicherweise vor, sich auf ihre vorhandene Infrastruktur für die Authentifizierung zu verlassen und PHS zum Synchronisieren von Kennwörtern mit Microsoft Entra ID zu verwenden. Dies würde es ihnen ersparen, weitere Komponenten wie PTA oder SSO einzuführen.
- Eingeschränkte Verfügbarkeit der lokalen Infrastruktur. Wenn die lokale Infrastruktur eines organization aufgrund von Konnektivitäts- oder Ressourceneinschränkungen eingeschränkt ist, ist die Implementierung von PTA oder SSO möglicherweise nicht möglich. In solchen Fällen bietet PHS eine praktikable Option für die Kennwortsynchronisierung zum Microsoft Entra ID, ohne dass eine Echtzeitvalidierung für die lokales Active Directory erforderlich ist.
Es ist wichtig zu beachten, dass PHS weiterhin Vorteile bietet, z. B. die Kennwortsynchronisierung, eine geringere Kennwortmüdigkeit für Benutzer und die Möglichkeit, lokale Kennwortrichtlinien anzuwenden. Während PTA und SSO mehr Funktionen für eine verbesserte Benutzererfahrung und Echtzeitauthentifizierung bieten, können Organisationen PHS allein basierend auf ihren spezifischen Anforderungen, Infrastruktureinschränkungen oder Complianceaspekten auswählen.
Die Aktivierung von SSO in Microsoft Entra Connect Sync, die sowohl die Kennworthashsynchronisierung (Password Hash Synchronization, PHS) als auch die Passthrough-Authentifizierung (Passthrough Authentication, PTA) konfiguriert, bietet mehrere Vorteile gegenüber der ausschließlichen Verwendung von PHS ohne SSO:
- Nahtlose Benutzererfahrung. Wenn einmaliges Anmelden aktiviert ist, können sich Benutzer mit ihren lokales Active Directory Anmeldeinformationen bei Microsoft Entra ID- und Microsoft 365-Diensten anmelden. Sie müssen ihre Anmeldeinformationen nicht mehrmals eingeben, wodurch die Notwendigkeit einer erneuten Kennworteingabe reduziert und die Benutzerfreundlichkeit verbessert wird.
- Reduzierte Kennwortverwaltung. Mit SSO und PHS/PTA können Benutzer ihre lokalen Kennwörter verwenden, um sich bei Microsoft Entra ID- und Microsoft 365-Diensten zu authentifizieren. Dadurch entfällt die Notwendigkeit für Benutzer, sich separate Kennwörter für Clouddienste zu merken und zu verwalten, wodurch kennwortbezogene Probleme reduziert und die Kennwortverwaltung vereinfacht wird.
- Authentifizierungsoptionen. SSO mit PHS/PTA bietet Flexibilität bei Authentifizierungsmethoden. Benutzer können sich mithilfe der Kennworthashsynchronisierung (Password Hash Synchronization, PHS) authentifizieren, wenn lokales Active Directory erreichbar ist. Oder sie können auf die Passthrough-Authentifizierung (PTA) zurückgreifen, wenn die lokale Infrastruktur nicht verfügbar ist. Diese Flexibilität stellt auch bei Unterbrechungen der lokalen Infrastruktur den kontinuierlichen Zugriff auf Clouddienste sicher.
- Lokale Kennwortrichtlinien. Mithilfe von SSO mit PHS/PTA können Organisationen ihre lokales Active Directory Kennwortrichtlinien für die Cloudauthentifizierung erzwingen. Diese Richtlinien können Anforderungen an die Kennwortkomplexität, Ablaufrichtlinien und andere kennwortbezogene Einstellungen in lokalen und Cloudumgebungen konsistent anwenden.
- Sicherheitsverbesserungen. SSO mit PHS/PTA bietet im Vergleich zur ausschließlichen Verwendung von PHS eine weitere Sicherheitsebene. PTA überprüft Die Benutzeranmeldeinformationen direkt anhand der lokales Active Directory. Dieser Prozess ermöglicht eine Authentifizierungsüberprüfung in Echtzeit und verringert das Risiko von kompromittierten oder gestohlenen Kennwörtern.
- Flexible Bereitstellung. SSO mit PHS/PTA kann in Hybridumgebungen von Vorteil sein, in denen Organisationen über eine Kombination aus lokalen und Cloudressourcen verfügen. Es bietet eine einheitliche Authentifizierungserfahrung, die Benutzern den nahtlosen Zugriff auf Ressourcen sowohl lokal als auch in der Cloud mit ihren vorhandenen Anmeldeinformationen ermöglicht.
Das folgende Diagramm zeigt den Authentifizierungsprozess mithilfe der Passthrough-Authentifizierung.
Wenn Sie über eine vorhandene Active Directory-Verbunddienste (AD FS) (AD FS)-Bereitstellung in einer Verbundumgebung verfügen, können Sie diese Konfiguration während des Installationsvorgangs identifizieren. Wenn Sie die Option zum Aktivieren des einmaligen Anmeldens auswählen, konfiguriert das Installationsprogramm nicht nur PHS und PTA, sondern bietet auch eine Option zum Konfigurieren von AD FS. Wenn Sie diese AD FS-Option auswählen, werden Sie vom Installationsprogramm aufgefordert, die erforderlichen Verbundinformationen einzugeben. Beispiele hierfür sind der Name der AD FS-Serverfarm, das Dienstkonto und das TLS/SSL-Zertifikat für AD FS.
Wenn Sie Microsoft Entra Connect Sync mithilfe der Option Benutzerdefinierte Einstellungen installieren, können Sie optional auswählen, dass der Synchronisierungsvorgang nach Abschluss der Installation gestartet werden soll.
Sie können auch den Stagingmodus aktivieren. Mit diesem Prozess können Sie parallel zu einem vorhandenen Server einen neuen Verzeichnissynchronisierungsserver einrichten. Microsoft 365 unterstützt nur einen Verzeichnissynchronisierungsserver, der mit einem Microsoft Entra Verzeichnis in der Cloud verbunden ist. Wenn Sie einen zusätzlichen Sicherungsserver für die Einrichtung der Verzeichnissynchronisierung benötigen, können Sie Microsoft Entra Connect Sync im Stagingmodus aktivieren. Wenn diese Option aktiviert ist, importiert und synchronisiert das Synchronisierungsmodul Daten wie gewohnt. Es wird jedoch nichts in Microsoft Entra ID exportiert. Außerdem werden die Kennworthashsynchronisierung und das Kennwortrückschreiben deaktiviert.
Wissenscheck
Wählen Sie für jede der folgenden Fragen die beste Antwort aus.