• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis

Jul 19, 2022 (Letztes Update) | Posted by Thomas Joos Active Directory, Administration, Microsoft Teams |

 

AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis

Unternehmen und Organisationen, die auf Microsoft Teams setzen, bilden häufig ihre Gruppen aus dem Active Directory auch in Teams ab. Dadurch lassen sich lokale Organisationen schneller und einfacher strukturieren. Denn es ist bereits über die Mitgliedschaften in Active Directory eine Struktur vorhanden, mit denen auch die Rechte in Azure AD und die Pflege von Teams einfacher möglich ist. In diesem Beitrag erfahren Sie, wie man AD-Gruppen am effektivsten in Microsoft Teams nutzt.

Inhaltsverzeichnis

  • 1 Ausgangslage: Synchronisierte AD-Gruppen in Azure AD
  • 2 Warum bietet es sich an, AD-Gruppen in Microsoft Teams zu verwenden?
  • 3 Welche Möglichkeiten gibt es, AD-Gruppen in Microsoft Teams zu nutzen?
    • 3.1 Möglichkeit 1: Statische Gruppen aus AD direkt in Teams nutzen
    • 3.2 Möglichkeit 2: Dynamische Gruppen aus Azure AD P1/P2-Abo in Teams nutzen
    • 3.3 Möglichkeit 3: Gruppenbasierte Synchronisierung mit DynamicSync
    • 3.4 Möglichkeit 4: Attributbasierte dynamische Gruppen mit DynamicSync in Teams
  • 4 Fazit
  • 5 Tabelle: Vergleich Azure AD P1/P2 und DynamicSync

Ausgangslage: Synchronisierte AD-Gruppen in Azure AD

Administratoren müssen bisher mit folgender Situation zurechtkommen:

Die aus dem Active Directory (AD) synchronisierten Gruppen können in Azure Active Directory (AAD) prinzipiell nicht editiert werden. Diese Gruppen sind statisch und lassen sich nur so einsetzen, wie sie aus dem AD übernommen wurden.

Azure P1 und P2 Lizenzen versprechen eine höhere Flexibilität, sind aber kostspielig und in vielen Fällen auch nicht ausreichend flexibel genug. Dazu kommt, dass Unternehmen beim Buchen von P1-Lizenzen auch Funktionen erhalten, die sie unter Umständen überhaupt nicht benötigen, die aber das Unternehmen mit bezahlen muss. Diese Mehrkosten reduzieren wiederum Budgets an anderer Stelle, die dringend notwendig sind. Hier gibt es aber anderweitige Möglichkeiten, die wir in diesem Beitrag ausführlicher behandeln. 

Warum bietet es sich an, AD-Gruppen in Microsoft Teams zu verwenden?

Gut gepflegte Gruppen in Active Directory bieten sich hervorragend an, um

  • die Teams-Struktur im Unternehmen abzubilden und
  • auch die Berechtigungen für den Zugriff auf Dateien an verschiedenen Orten zu steuern.  

Nicht umsonst sind Gruppen in AD seit Jahren ein bewährtes Mittel, um Berechtigungen über die Mitgliedschaften einfacher zu steuern. Sie lassen sich an verschiedenen Stellen nutzen, zum Beispiel für Berechtigungen in Active Directory, als Verteilergruppen in Exchange und auch für Freigaben, Drucker und andere Bereiche.

Durch die Synchronisierung der AD-Gruppen zu Azure AD stehen diese parallel in der Cloud zur Verfügung und lassen sich auch hier einsetzen, um Berechtigungen zu steuern. Über das Hinzufügen in die Gruppe erhalten die Anwender sofort die notwendigen Berechtigungen (oder verlieren sie beim Entfernen), ohne dass Administratoren weitere Änderungen vornehmen müssen. Das ist bequem, effektiv, leicht zu pflegen, gut zu dokumentieren und gleichzeitig auch sicher. Allerdings lassen sich synchronisierte Gruppen in AAD nicht mehr so einfach editieren und ändern. Das macht den Einsatz wiederum unflexibel und praxisfern. 

AD-Gruppen können auch in Microsoft Teams genutzt werden, zum Beispiel um ein Team für eine AD-Gruppe zu erstellen. Hier gibt es die Möglichkeit, direkt mit den synchronisierten AD-Gruppen zu arbeiten, die Unternehmen in Azure AD aus dem lokalen AD übernommen haben. Microsoft stellt dazu verschiedene Möglichkeiten zur Verfügung. Diese haben wir bereits in verschiedenen Beiträgen behandelt haben, zum Beispiel in „Azure AD Connect und Azure AD Connect Cloud Sync„.  

Synchronisierung von lokalen AD-Umgebungen mit Azure AD

Welche Möglichkeiten gibt es, AD-Gruppen in Microsoft Teams zu nutzen?

Es gibt verschiedene Möglichkeiten, mit denen lokale Gruppen aus Active Directory in Azure AD zum Einsatz kommen können, zum Beispiel für die Anbindung an Teams. Diese Möglichkeiten bieten allerdings auch unterschiedliche Vorteile und Nachteile, die berücksichtigt werden wollen. Es ist wichtig, dass die Synchronisierung funktioniert und gleichzeitig auch flexibel, sowie für die Administratoren einfach zu verwalten ist.

Möglichkeit 1: Statische Gruppen aus AD direkt in Teams nutzen

Durch die Synchronisierung von Gruppen zwischen AD und Azure AD sind die AD-Gruppen auch 1:1 in Azure AD verfügbar. Es ist natürlich verlockend, diese ebenfalls in Teams so zu nutzen. Das geht zunächst auch unproblematisch. Bei der Erstellung eines neuen Teams auf Basis einer synchronisierten AD-Gruppe erhalten alle Mitglieder der Gruppe auch den gewünschten Zugriff.

Allerdings kann Teams bei Änderung der Gruppen in AD oder auch in Azure AD keine Aktualisierung durchführen. Die Mitglieder, die beim Erstellen des Teams oder der Zuweisung der Berechtigungen hinzugefügt wurden, bleiben als Benutzerkonten in der Gruppe. Es findet danach keine weitere Synchronisierung statt, die komplette Einrichtung ist statisch. Auch das Anpassen der aus dem AD synchronisierten Gruppen in AAD ist nachträglich nicht mehr möglich. Das gilt auch für die Synchronisierung zwischen Azure AD-Gruppen und Microsoft 365-Gruppen. Diese Vorgehensweise scheidet daher für die meisten Unternehmen aus, da sich dadurch keinerlei Anpassungsmöglichkeiten ergeben.

AD-Gruppen lassen sich nur begrenzt in Teams nutzen

Möglichkeit 2: Dynamische Gruppen aus Azure AD P1/P2-Abo in Teams nutzen

Die zweite Möglichkeit ist die Verwendung von dynamischen Gruppen in Azure AD. Das hört sich schon vom Namen her als idealer Weg an, um auch dynamische Teams zu nutzen. Das funktioniert generell auch so wie es sich liest, hat aber einige Haken.

Zunächst ist für den Einsatz von dynamischen Gruppen ein P1/P2-Abonnement von Azure AD Premium notwendig. Dieses Abo ist nicht gerade günstig und macht nur dann Sinn, wenn auch die anderen Funktionen von Azure AD Premium P1 zum Einsatz kommen. Eine Lizenz für Azure AD Premium P1 kostet in etwa 5,40 Euro pro Benutzer und Monat, eine P2-Lizenz kostet pro Benutzer und Monat etwa 8 Euro.

Dynamische Gruppen in Azure AD sind begrenzt flexibel, dafür aber teuer und komplex.

Eines der Features von Azure AD Premium P1 sind dynamische Gruppen. Hier synchronisiert Azure AD nicht die kompletten Gruppen aus dem AD, sondern liest Attribute und Felder aus. Auf Basis dieser Felder erstellt Azure AD passende Gruppen, die sich auch jederzeit dynamisch pflegen lassen. Auch Microsoft Teams kann diese dynamischen Gruppen nutzen.

Die Pflege dieser Gruppen ist aber recht kompliziert und nur bei der Erstellung von korrekten Regeln funktioniert auch alles. Außerdem ist es bei der Verwendung von dynamischen Gruppen nicht mehr möglich, manuell Benutzer zu einem Team hinzuzufügen. Dies bedeutet, dass ein Team Owner beim Hinzufügen eines neuen Kollegen die IT um Hilfe bitten muss. Die statischen Gruppen in AD sind hier nicht unterstützt. Administratoren müssen neue Gruppen erstellen, Felder und Attribute pflegen und darauf achten, dass die Daten auch richtig in die Cloud synchronisiert werden.

Möglichkeit 3: Gruppenbasierte Synchronisierung mit DynamicSync

Mit dem Cloud-Dienst DynamicSync von FirstAttribute lassen sich ebenfalls dynamische Gruppen in Azure pflegen.

Dabei gibt es aber einige entscheidende Vorteile:
Zunächst ist für die Verwendung des Dienstes kein P1-Abonnement von Azure AD notwendig. Der Cloud-Dienst selbst ist wesentlich günstiger und bietet parallel mehr Funktionen und Flexibilität als die dynamischen Gruppen in Azure AD Premium P1/P2. Für den Einsatz von DynamicSync ist keine lokale Installation notwendig, der Dienst arbeitet komplett in der Cloud. Basis können hier auch statische Gruppen in Active Directory sein. Diese lassen sich mit DynamicSync effektiv in der Cloud einsetzen.

DynamicSync bietet flexible und leicht zu bedienende Möglichkeiten für die Synchronisierung von Gruppenmitgliedschaften zwischen AD und Azure AD

Durch die dynamische Gruppenpflege zwischen AD und Azure AD können alle Dienste in Microsoft 365 auf dynamische Gruppen setzen. Diese werden im lokalen AD gepflegt und durch Azure AD Connect in Azure AD verfügbar gemacht. DynamicSync kümmert sich anschließend um die sinnvolle Synchronisierung der Cloud-Gruppen und ihrer Mitglieder.

Die Synchronisierung der Mitgliedschaften mit DynamicSync erfolgt automatisiert und, wenn gewünscht, auch nach definierten Zeitvorgaben. Admins können ihre Gruppen problemlos weiter im lokalen AD pflegen. Mit DynamicSync lassen sich die synchronisierten AD Gruppen weiterverwenden und an verschiedenen Stellen nutzen. Zum Beispiel können Mitarbeiter mit DynamicSync regelmäßig und zeitgesteuert in Teams synchronisiert werden, sodass die Mitgliedschaften immer aktuell sind.

Quellgruppen und Zielgruppen in Azure synchronisieren mit DynamicSync

Einfach ausgedrückt, können Unternehmen bei der gruppenbasierten Synchronisierung mit DynamicSync ihre vorhandenen statischen Gruppen in AD dynamisch für die Gruppenmitgliedschaft in Teams nutzen. Änderungen der statischen Gruppen in AD resultiert automatisch in Änderungen der Teams-Mitgliedschaft. Das ist mit Azure AD Premium P1/P2 nicht möglich!

DynamicSync geht bei der gruppenbasierten Synchronisierung aber noch weiter: Es ist mit dem Cloud-Dienst auch möglich, verschiedene Typen von Cloud-Gruppen in andere Cloud-Gruppen zu synchronisieren. Dabei kann DynamicSync als Quelle auf bereits synchronisierte Gruppen zurückgreifen, auf Microsoft 365-Gruppen und auch auf Sicherheitsgruppen.

Möglichkeit 4: Attributbasierte dynamische Gruppen mit DynamicSync in Teams

Als weiteres nützliches Feature bietet DynamicSync die Synchronisierung attributbasierter AAD Gruppen auf Basis dynamischer Filter an. Bei diesen Gruppen sind die Gruppenmitgliedschaften über Felder und Attribute der Benutzer aufgebaut. Auf Basis der hinterlegten Auswahlkriterien kann DynamicSync dynamische Gruppen in Azure AD, im Speziellen auch Teams in Microsoft 365, regelmäßig und zeitgesteuert synchronisieren.

Generell kann DynamicSync hier genauso auf die Attribute und Felder in Active Directory zugreifen, wie die dynamischen Gruppen in Azure AD Premium P1. Nur ist der Zugriff einfacher zu pflegen, günstiger und bietet wesentlich mehr Einstellungsmöglichkeiten. Erstellen Admins auf Basis der dynamischen Gruppen neue Teams, können beim Einsatz von DynamicSync auch noch manuell Mitglieder vom Team Owner hinzugefügt werden. Das geht bei dynamischen Gruppen in Azure AD Premium P1 nicht.

DynamicSync kann statische AD-Gruppen synchronisieren, unterstützt parallel aber auch dynamische Gruppen

Fazit

DynamicSync bietet eine gruppenbasierte Synchronisierung verschiedener Quell- und Zielgruppen in der Cloud an. Gleichzeitig kann der Cloud-Dienst attributbasiert Mitglieder herausfiltern und für dynamische Gruppen nutzen. Beide Funktionen lassen sich bei DynamicSync miteinander kombinieren. Beim Einsatz von Azure AD P1/P2 gibt es diese Möglichkeiten nicht. Hier bleiben die Admins auf die dynamischen Gruppen begrenzt, die dabei auch weniger flexibel sind, als die Möglichkeiten, die DynamicSync bietet.

Tabelle: Vergleich Azure AD P1/P2 und DynamicSync

In der folgenden Tabelle haben wir für Sie die wichtigsten Unterschiede zwischen Azure P1/P2 und DynamicSync zusammengefasst. 

MöglichkeitenVorteileNachteile
1Statische Gruppen aus AD direkt in Teams nutzenGruppe ist 1:1 verfügbar;
kann sofort als M365 Gruppe für Teams verwendet werden
Statisches Team;
keine Aktualisierung möglich; keine weitere Synchronisierung
2Dynamische Gruppen aus AAD P1/P2-Abo in TeamsAzure AD liest Attribute/Felder aus AD Gruppen und erstellt Gruppen (Teams);
dynamische Pflege und Updates möglich
AAD P1/P2 Abonnement nötig (= hohe Kosten);
keine direkte Gruppensynchronisierung;
Pflege der Gruppen zeitaufwendig;
Team Owner können keine Mitglieder mehr in Teams hinzufügen (nur noch IT)
3Gruppenbasierte Synchronisierung mit DynamicSyncSynchronisierung von Cloud-Gruppen in andere Cloud-Gruppen möglich;
individuelle Zeitsteuerung;
stets aktuelle Gruppenmitgliedschaften;
Änderungen der AD Gruppen werden automatisch in Teams-Mitgliedschaften synchronisiert;
kein AAD P1/P2 Abonnement nötig (= wesentlich günstiger)
Nicht mit Microsoft Bordmitteln umsetzbar
4Attributbasierte dynamische Gruppen mit DynamicSync in TeamsDynamicSync filtert Mitglieder, die ein bestimmtes Attribut teilen, und synchronisiert sie in eine AAD Gruppe (z. Bsp. M365-Gruppe/Team);
Team Owner können weiterhin Mitglieder hinzufügen;
individuelle Zeitsteuerung;
Include- und Exclude-Listen;
kein AAD P1/P2 Abonnement nötig (= wesentlich günstiger)
Nicht mit Microsoft Bordmitteln umsetzbar

Unterstützung benötigt?

Gerne stellen wir Ihnen unsere Leistungen und Lösungen in einem persönlichen Gespräch vor und würden uns über Ihre Kontaktaufnahme sehr freuen!

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 07.03.2022
0

You also might be interested in

QMM-Public-Folder-Exchange-Migration-2016

Quest QMM 8.13 – Public Folder Migration zu Exchange 2016

Mrz 31, 2017

Wie bereits in dem Artikel Migration Manager for AD/Exchange 8.13 [...]

8 Tipps für mehr Sicherheit in Active Directory und Backups von AD

8 Tipps für mehr Sicherheit in Active Directory und Backups von AD

Okt 11, 2022

Um Active Directory zuverlässig zu betreiben, sind verschiedene Sicherheitsoptimierungen enorm[...]

azure-portal-azure-ad

AD Verwaltung jetzt auch im neuen Azure Portal

Sep 15, 2016

Seit Kurzem ist die Verwaltung des AzureAD nun auch über[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next