Es gibt viele Szenarien, bei denen Anmeldedaten aus lokalen Active Directory-Umgebungen mit Azure Active Directory synchronisiert werden. Neben Single Sign-on, für die Verwendung von Cloud-Ressourcen in Microsoft Azure oder Microsoft 365, wird eine solche Synchronisierung auch für den Einsatz von Microsoft Endpoint Manager genutzt. Die Synchronisierung wird über das von Microsoft zur Verfügung gestellte Tool „Azure AD Connect“ vorgenommen. Sie installieren das Tool auf einem Server im Netzwerk, richten eine Verbindung mit Microsoft Azure ein, und lassen die Daten anschließend synchronisieren.
Index
Was kann Azure AD Connect?
Azure AD Connect kann Benutzerkonten zwischen lokalen Active Directory-Gesamtstrukturen (On-Premises) mit Azure Active Directory synchronisieren. Auf Anforderung können auch die Hashes von Kennwörtern synchronisiert werden, sodass die Benutzerkonten in Azure AD zur Authentifizierung für Ressourcen in Azure und Microsoft 365 genutzt werden können. Die Benutzer müssen sich aber nicht erneut authentifizieren, sondern die Anmeldedaten am lokalen Rechner werden in Azure übernommen.
Das sind die Voraussetzungen für den Einsatz von Azure AD Connect
Für den Einsatz von Azure AD Connect wird natürlich zunächst ein Abonnement von Microsoft Azure benötigt. Hier kann auch eine kostenlose Testversion genutzt werden. Die Installation der notwendigen Software muss auf einem Server im lokalen Rechenzentrum erfolgen. Hier empfiehlt Microsoft die Verwendung eines Mitgliedsservers. Die Installation sollte aus Sicherheitsgründen nicht direkt auf einem Domänencontroller erfolgen, ist aber möglich. Azure AD Connect speichert die Daten vor der Synchronisierung in einer SQL-Datenbank. Standardmäßig wird hier SQL Server 2012 Express LocalDB verwendet. Azure AD Connect benötigt eine grafische Oberfläche. Die Installation auf einem Core-Server mit Windows Server 2016/2019 ist nicht möglich.
Azure AD Connect einrichten
Die Einrichtung von Azure AD Connect wird über das Azure-Portal begonnen. Hier steht der Menüpunkt „Azure Active Directory“ zur Verfügung. Unterhalb von „Azure Active Directory“ ist wiederum „Azure AD Connect“ zu finden. Hier sehen Sie die Domänen, die bereits angebunden sind und können auch die MSI-Datei herunterladen, die Sie im lokalen Rechenzentrum installieren müssen. Azure AD Connect können Sie auch direkt im Microsoft Downloadcenter herunterladen (https://www.microsoft.com/en-us/download/details.aspx?id=47594).
Die Einrichtung nehmen Sie über die Installation von Azure AD Connect auf dem Server vor, mit dem Sie die Benutzerkonten der lokalen Active Directory-Gesamtstruktur zu Azure synchronisieren wollen. Die Einrichtung erfolgt über einen Assistenten. Auf der ersten Seite zeigt der Assistent die Aktionen an, die das Tool durchführen kann.
Nach der Bestätigung der Lizenzbestimmungen können Sie auf der Seite „Express-Einstellungen“ auswählen, ob die vorgegebenen Einstellungen des Assistenten verwendet werden sollen, oder ob Sie die Einrichtung anpassen möchten. In den meisten Fällen reichen die Express-Einstellungen aus. Nach der Auswahl der Express-Einstellungen erfolgt die Anmeldung an Azure AD.
Nach der Eingabe der Anmeldeinformationen für Azure AD versucht Azure AD Connect eine Verbindung herzustellen. In den meisten Fällen sollte die Verbindung problemlos hergestellt werden. Bei Verbindungsproblemen erhalten Sie Tipps zur Problemlösung auf der Seite „Troubleshoot Azure AD connectivity“. Ist die Verbindung erfolgreich, müssen Sie als nächstes die Anmeldedaten für das lokale Active Directory eingeben. Auch hier prüft der Assistent die erfolgreiche Verbindung.
Anschließend prüft der Assistent, ob die UPN-Suffixe der lokalen Active Directory-Gesamtstruktur auch in Azure AD vorhanden sind. Wollen Sie sicherstellen, dass sich Anwender mit ihrer lokalen Anmeldung an Active Directory auch an Azure AD anmelden können, ohne erneut Anmeldedaten einzugeben, sollten die verwendeten Suffixe in beiden Umgebungen vorhanden sein. Sie können auch ohne einen Abgleich fortfahren. Danach überprüft der Assistent, ob mit der Einrichtung fortgefahren werden soll. Die einzelnen Aktionen werden im Fenster angezeigt:
Mit „Installieren“ wird der Vorgang fortgeführt und Azure AD Connect eingerichtet. Sobald der Assistent abgeschlossen ist, werden die Benutzer im Microsoft 365 Admin Center angezeigt (https://admin.microsoft.com). Bei „Benutzer\Aktive Benutzer“ sollten die Benutzer aus dem lokalen Active Directory angezeigt werden.
Die Benutzer werden auch im Azure-Webportal angezeigt. Im Bereich „Azure Active Directory\Benutzer\Alle Benutzer“ sind die synchronisierten Benutzer zu sehen. Bei „Azure AD Connect“ wird darüber hinaus der Status der Synchronisierung angezeigt und wann die letzte Synchronisierung stattgefunden hat.
Azure AD Connect konfigurieren
Die Einrichtung von Azure AD Connect kann auf dem Server durchgeführt werden, auf dem Azure AD Connect installiert wurde. Auf dem Desktop befindet sich hier das Icon zum Verwaltungsprogramm von Azure AD Connect. Nach dem Aufruf können alle Einstellungen angepasst werden. Dazu wählen Sie den Menüpunkt aus, dessen Einstellungen Sie anpassen möchten und klicken auf „Weiter“. Danach können die entsprechenden Einstellungen angepasst werden. Bevor Änderungen durchgeführt werden können, muss natürlich erst eine Anmeldung an Microsoft Azure erfolgen. Die Anmeldung an Active Directory wird von den Anmeldedaten des Kontos gezogen, das sich am Computer angemeldet hat. Über den Menüpunkt „View or export current configuration” kann die Konfiguration von Azure AD Connect in eine JSON-Datei exportiert werden.
Fazit
Sie können recht schnell Azure AD Connect installieren, wenn Sie sich an eine Schritt-für-Schritt-Anleitung halten. Weitere granulare Einstellungen sollten Sie immer mit Bedacht vornehmen. Beachten Sie bitte aber dazu auch, dass Microsoft gelegentlich Funktionen und Oberflächen bei neueren Produkten ändert.
Unterstützung benötigt?
Gerne stellen wir Ihnen unsere Leistungen und Lösungen in einem persönlichen Gespräch vor und würden uns über Ihre Kontaktaufnahme sehr freuen!
7 Comments
Leave your reply.