Konfigurieren der bereichsbezogenen Synchronisierung von Azure AD für Azure Active Directory Domain Services mithilfe des Azure-Portals

Zum Bereitstellen von Authentifizierungsdiensten synchronisiert Azure Active Directory Domain Services (Azure AD DS) Benutzer und Gruppen von Azure AD. In einer Hybridumgebung können Benutzer und Gruppen aus einer lokalen AD DS-Umgebung (Active Directory Domain Services) zuerst mithilfe von Azure AD Connect mit Azure AD und anschließend mit einer verwalteten Azure AD DS-Domäne synchronisiert werden.

Standardmäßig werden alle Benutzer und Gruppen aus einem Azure AD-Verzeichnis in einer verwalteten Domäne synchronisiert. Bei speziellen Anforderungen können Sie stattdessen festlegen, dass nur eine definierte Gruppe von Benutzern synchronisiert werden soll.

In diesem Artikel erfahren Sie, wie Sie eine bereichsbezogene Synchronisierung konfigurieren und anschließend die Gruppe der Benutzer für diesen Bereich über das Azure-Portal ändern oder deaktivieren. Sie können diese Schritte auch mithilfe von PowerShell ausführen.

Voraussetzungen

Für diesen Artikel benötigen Sie die folgenden Ressourcen und Berechtigungen:

Übersicht über die bereichsbezogene Synchronisierung

Standardmäßig werden alle Benutzer und Gruppen aus einem Azure AD-Verzeichnis in einer verwalteten Domäne synchronisiert. Wenn nur wenige Benutzer auf die verwaltete Domäne zugreifen müssen, können Sie nur diese Benutzerkonten synchronisieren. Diese bereichsbezogene Synchronisierung ist gruppenbasiert. Wenn Sie eine gruppenbasierte bereichsbezogene Synchronisierung konfigurieren, werden nur die Benutzerkonten, die zu den angegebenen Gruppen gehören, mit der verwalteten Domäne synchronisiert. Geschachtelte Gruppen werden nicht synchronisiert, nur die von Ihnen ausgewählten.

Sie können den Synchronisierungsbereich vor oder nach dem Erstellen der verwalteten Domäne ändern. Der Synchronisierungsbereich wird von einem Dienstprinzipal mit dem Anwendungsbezeichner 2565bd9d-da50-47d4-8b85-4c97f669dc36 definiert. Um einen Bereichsverlust zu verhindern, löschen oder ändern Sie den Dienstprinzipal nicht. Wenn der Synchronisierungsbereich versehentlich gelöscht wird, kann er nicht wiederhergestellt werden.

Beachten Sie die folgenden Einschränkungen, wenn Sie den Synchronisierungsbereich ändern:

  • Eine vollständige Synchronisierung wird durchgeführt.
  • Objekte, die in der verwalteten Domäne nicht mehr erforderlich sind, werden gelöscht. Neue Objekte werden in der verwalteten Domäne erstellt.

Weitere Informationen zum Synchronisierungsvorgang finden Sie unter Grundlegendes zur Synchronisierung in Azure AD Domain Services.

Aktivieren der bereichsbezogenen Synchronisierung

Führen Sie die folgenden Schritte aus, um die bereichsbezogene Synchronisierung im Azure-Portal zu aktivieren:

  1. Suchen Sie im Azure-Portal nach dem Eintrag Azure AD Domain Services, und wählen Sie ihn aus. Wählen Sie Ihre verwaltete Domäne (z. B. aaddscontoso.com) aus.
  2. Wählen Sie im Menü auf der linken Seite Synchronisierung aus.
  3. Klicken Sie für Synchronisierungstyp auf Bereichsbezogen.
  4. Klicken Sie auf Gruppen auswählen, und suchen Sie nach den Gruppen, die Sie hinzufügen möchten, und wählen Sie sie aus.
  5. Wenn alle Änderungen vorgenommen wurden, wählen Sie Synchronisierungsbereich speichern aus.

Wenn Sie den Bereich der Synchronisierung ändern, werden alle Daten in der verwalteten Domäne neu synchronisiert. Objekte, die in der verwalteten Domäne nicht mehr erforderlich sind, werden gelöscht, und die Neusynchronisierung kann einige Zeit in Anspruch nehmen.

Ändern der bereichsbezogenen Synchronisierung

Führen Sie die folgenden Schritte aus, um die Liste der Gruppen zu ändern, deren Benutzer mit der verwalteten Domäne synchronisiert werden sollen:

  1. Suchen Sie im Azure-Portal nach dem Eintrag Azure AD Domain Services, und wählen Sie ihn aus. Wählen Sie Ihre verwaltete Domäne (z. B. aaddscontoso.com) aus.
  2. Wählen Sie im Menü auf der linken Seite Synchronisierung aus.
  3. Um eine Gruppe hinzuzufügen, wählen Sie im oberen Bereich + Gruppen auswählen aus, und wählen Sie dann die hinzuzufügenden Gruppen aus.
  4. Um eine Gruppe aus dem Synchronisierungsbereich zu entfernen, wählen Sie diese in der Liste der derzeit synchronisierten Gruppen aus, und wählen Sie dann Gruppen entfernen aus.
  5. Wenn alle Änderungen vorgenommen wurden, wählen Sie Synchronisierungsbereich speichern aus.

Wenn Sie den Bereich der Synchronisierung ändern, werden alle Daten in der verwalteten Domäne neu synchronisiert. Objekte, die in der verwalteten Domäne nicht mehr erforderlich sind, werden gelöscht, und die Neusynchronisierung kann einige Zeit in Anspruch nehmen.

Deaktivieren der bereichsbezogenen Synchronisierung

Führen Sie die folgenden Schritte aus, um die gruppenbasierte bereichsbezogene Synchronisierung für eine verwaltete Domäne zu deaktivieren:

  1. Suchen Sie im Azure-Portal nach dem Eintrag Azure AD Domain Services, und wählen Sie ihn aus. Wählen Sie Ihre verwaltete Domäne (z. B. aaddscontoso.com) aus.
  2. Wählen Sie im Menü auf der linken Seite Synchronisierung aus.
  3. Legen Sie den Synchronisierungstyp von Bereichsbezogen auf Alle fest, und klicken Sie dann auf Synchronisierungsbereich speichern.

Wenn Sie den Bereich der Synchronisierung ändern, werden alle Daten in der verwalteten Domäne neu synchronisiert. Objekte, die in der verwalteten Domäne nicht mehr erforderlich sind, werden gelöscht, und die Neusynchronisierung kann einige Zeit in Anspruch nehmen.

Nächste Schritte

Weitere Informationen zum Synchronisierungsvorgang finden Sie unter Grundlegendes zur Synchronisierung in Azure AD Domain Services.