Konfigurieren der bereichsbezogenen Synchronisierung von Azure AD für Azure Active Directory Domain ServicesConfigure scoped synchronization from Azure AD to Azure Active Directory Domain Services

Zum Bereitstellen von Authentifizierungsdiensten synchronisiert Azure Active Directory Domain Services (Azure AD DS) Benutzer und Gruppen von Azure AD.To provide authentication services, Azure Active Directory Domain Services (Azure AD DS) synchronizes users and groups from Azure AD. In einer Hybridumgebung können Benutzer und Gruppen aus einer lokalen AD DS-Umgebung (Active Directory Domain Services) zuerst mithilfe von Azure AD Connect mit Azure AD und anschließend mit Azure AD DS synchronisiert werden.In a hybrid environment, users and groups from an on-premises Active Directory Domain Services (AD DS) environment can be first synchronized to Azure AD using Azure AD Connect, and then synchronized to Azure AD DS. Standardmäßig werden alle Benutzer und Gruppen aus einem Azure AD-Verzeichnis mit einer verwalteten Azure AD DS-Domäne synchronisiert.By default, all users and groups from an Azure AD directory are synchronized to an Azure AD DS managed domain. Bei speziellen Anforderungen können Sie stattdessen festlegen, dass nur eine definierte Gruppe von Benutzern synchronisiert werden soll.If you have specific needs, you can instead choose to synchronize only a defined set of users.

In diesem Artikel erfahren Sie, wie Sie eine verwaltete Azure AD DS-Domäne mit einer bereichsbezogenen Synchronisierung erstellen, und anschließend die Gruppe der Benutzer für diesen Bereich ändern oder deaktivieren.This article shows you how to create an Azure AD DS managed domain that uses scoped synchronization and then change or disable the set of scoped users.

Übersicht über die bereichsbezogene SynchronisierungScoped synchronization overview

Standardmäßig werden alle Benutzer und Gruppen aus einem Azure AD-Verzeichnis mit einer verwalteten Azure AD DS-Domäne synchronisiert.By default, all users and groups from an Azure AD directory are synchronized to an Azure AD DS managed domain. Wenn nur wenige Benutzer auf die verwaltete Domäne zugreifen müssen, können Sie nur diese Benutzerkonten synchronisieren.If only a few users need to access the managed domain, you can synchronize only those user accounts. Diese bereichsbezogene Synchronisierung ist gruppenbasiert.This scoped synchronization is group-based. Wenn Sie eine gruppenbasierte bereichsbezogene Synchronisierung konfigurieren, werden nur die Benutzerkonten, die zu den von Ihnen angegebenen Gruppen gehören, mit der verwalteten Azure AD DS-Domäne synchronisiert.When you configure group-based scoped synchronization, only the user accounts that belong to the groups you specify are synchronized to the Azure AD DS managed domain.

Aus der folgenden Tabelle geht hervor, wie Sie die bereichsbezogene Synchronisierung verwenden können:The following table outlines how to use scoped synchronization:

Aktueller StatusCurrent state Gewünschter StatusDesired state Erforderliche KonfigurationRequired configuration
Eine vorhandene verwaltete Domäne ist zum Synchronisieren aller Benutzerkonten und Gruppen konfiguriert.An existing managed domain is configured to synchronize all user accounts and groups. Sie möchten nur Benutzerkonten synchronisieren, die zu bestimmten Gruppen gehören.You want to synchronize only user accounts that belong to specific groups. Sie können von der Synchronisierung aller Benutzer nicht zur bereichsbezogenen Synchronisierung wechseln.You can't change from synchronizing all users to using scoped synchronization. Löschen Sie die vorhandene verwaltete Domäne, und führen Sie dann die in diesem Artikel beschriebenen Schritte aus, um eine verwaltete Azure AD DS-Domäne mit konfigurierter bereichsbezogener Synchronisierung neu zu erstellen.Delete the existing managed domain, then follow the steps in this article to re-create an Azure AD DS managed domain with scoped synchronization configured.
Keine vorhandene verwaltete Domäne.No existing managed domain. Sie möchten eine neue verwaltete Domäne erstellen und nur Benutzerkonten synchronisieren, die zu bestimmten Gruppen gehören.You want to create a new managed domain and synchronize only user accounts belonging to specific groups. Führen Sie die in diesem Artikel beschriebenen Schritte aus, um eine neue verwaltete Azure AD DS-Domäne mit konfigurierter bereichsbezogener Synchronisierung zu erstellen.Follow the steps in this article to create an Azure AD DS managed domain with scoped synchronization configured.
Eine vorhandene verwaltete Domäne ist so konfiguriert, dass nur die Konten synchronisiert werden, die zu bestimmten Gruppen gehören.An existing managed domain is configured to synchronize only accounts that belong to specific groups. Sie möchten die Liste der Gruppen ändern, deren Benutzer mit der verwalteten Azure AD DS-Domäne synchronisiert werden sollen.You want to modify the list of groups whose users should be synchronized to the Azure AD DS managed domain. Führen Sie die in diesem Artikel beschriebenen Schritte aus, um die bereichsbezogene Synchronisierung zu ändern.Follow the steps in this article to modify scoped synchronization.

Zum Konfigurieren der Einstellungen für die bereichsbezogene Synchronisierung verwenden Sie das Azure-Portal oder PowerShell:You use the Azure portal or PowerShell to configure the scoped synchronization settings:

AktionAction
Erstellen einer verwalteten Azure AD DS-Domäne und Konfigurieren der bereichsbezogenen SynchronisierungCreate an Azure AD DS managed domain and configure scoped synchronization Azure-PortalAzure portal PowerShellPowerShell
Ändern der bereichsbezogenen SynchronisierungModify scoped synchronization Azure-PortalAzure portal PowerShellPowerShell
Deaktivieren der bereichsbezogenen SynchronisierungDisable scoped synchronization Azure-PortalAzure portal PowerShellPowerShell

Warnung

Wenn Sie den Bereich der Synchronisierung ändern, werden zwangsläufig alle Daten von der verwalteten Azure AD DS-Domäne neu synchronisiert.Changing the scope of synchronization causes the Azure AD DS managed domain to resynchronize all data.

  • Wenn Sie den Synchronisierungsbereich für eine verwaltete Azure AD DS-Domäne ändern, erfolgt eine vollständige Neusynchronisierung.When you change the synchronization scope for an Azure AD DS managed domain, a full resynchronization occurs.
  • Objekte, die in der verwalteten Azure AD DS-Domäne nicht mehr erforderlich sind, werden gelöscht.Objects that are no longer required in the Azure AD DS managed domain are deleted. Neue Objekte werden in der verwalteten Domäne erstellt.New objects are created in the managed domain.
  • Diese Neusynchronisierung dauert möglicherweise etwas länger.Resynchronization may take a long time to complete. Die Synchronisierungszeit hängt von der Anzahl der Objekte (Benutzer, Gruppen und Gruppenmitgliedschaften) in der verwalteten Azure AD DS-Domäne und im Azure AD-Verzeichnis ab.The synchronization time depends on the number of objects such as users, groups, and group memberships in the Azure AD DS managed domain and Azure AD directory. Bei großen Verzeichnissen mit Hunderten oder Tausenden von Objekten kann die Neusynchronisierung einige Tage dauern.For large directories with many hundreds of thousands of objects, resynchronization may take a few days.

Aktivieren der bereichsbezogenen Synchronisierung im Azure-PortalEnable scoped synchronization using the Azure portal

  1. Führen Sie die Anweisungen im Tutorial zum Erstellen und Konfigurieren einer Azure AD DS-Instanz aus.Follow the tutorial to create and configure an Azure AD DS instance. Sorgen Sie dafür, dass Sie bis auf die Angabe des Synchronisierungsbereichs alle Voraussetzungen erfüllt und die Bereitstellungsschritte ausgeführt haben.Complete all prerequisites and deployment steps other than for synchronization scope.
  2. Wählen Sie beim Synchronisierungsschritt Bereichsbezogen aus, und legen Sie dann die Azure AD-Gruppen fest, die mit der Azure AD DS-Instanz synchronisiert werden sollen.Choose Scoped at the synchronization step, then select the Azure AD groups to synchronize to the Azure AD DS instance.

Es kann bis zu einer Stunde dauern, bis die Bereitstellung der verwalteten Azure AD DS-Domäne abgeschlossen ist.The Azure AD DS managed domain can take up to an hour to complete the deployment. Während dieser Bereitstellungsphase wird im Azure-Portal auf der Seite Übersicht für Ihre verwaltete Azure AD DS-Domäne der aktuelle Status angezeigt.In the Azure portal, the Overview page for your Azure AD DS managed domain shows the current status throughout this deployment stage.

Wenn im Azure-Portal angezeigt wird, dass die verwaltete Azure AD DS-Domäne die Bereitstellung abgeschlossen hat, müssen Sie die folgenden Aufgaben ausführen:When the Azure portal shows that the Azure AD DS managed domain has finished provisioning, the following tasks need to be completed:

  • Aktualisieren Sie DNS-Einstellungen für das virtuelle Netzwerk, damit virtuelle Computer die verwaltete Domäne für den Domänenbeitritt oder die Domänenauthentifizierung finden können.Update DNS settings for the virtual network so virtual machines can find the managed domain for domain join or authentication.
    • Wählen Sie zum Konfigurieren von DNS Ihre verwaltete Azure AD DS-Domäne im Portal aus.To configure DNS, select your Azure AD DS managed domain in the portal. Im Fenster Übersicht werden Sie aufgefordert, diese DNS-Einstellungen automatisch zu konfigurieren.On the Overview window, you are prompted to automatically configure these DNS settings.
  • Aktivieren Sie die Kennwortsynchronisierung für Azure AD Domain Services, damit sich Endbenutzer mit ihren Unternehmensanmeldeinformationen bei der verwalteten Domäne anmelden können.Enable password synchronization to Azure AD Domain Services so end users can sign in to the managed domain using their corporate credentials.

Ändern der bereichsbezogenen Synchronisierung im Azure-PortalModify scoped synchronization using the Azure portal

Führen Sie die folgenden Schritte aus, um die Liste der Gruppen zu ändern, deren Benutzer mit der verwalteten Azure AD DS-Domäne synchronisiert werden sollen:To modify the list of groups whose users should be synchronized to the Azure AD DS managed domain, complete the following steps:

  1. Wählen Sie im Azure-Portal Ihre Azure AD DS-Instanz aus, z.B. contoso.com.In the Azure portal, select your Azure AD DS instance, such as contoso.com.
  2. Wählen Sie im Menü auf der linken Seite Synchronisierung aus.Select Synchronization from the menu on the left-hand side.
  3. Um eine Gruppe hinzuzufügen, wählen Sie im oberen Bereich + Gruppen auswählen aus, und wählen Sie dann die hinzuzufügenden Gruppen aus.To add a group, choose + Select groups at the top, then choose the groups to add.
  4. Um eine Gruppe aus dem Synchronisierungsbereich zu entfernen, wählen Sie diese in der Liste der derzeit synchronisierten Gruppen aus, und wählen Sie dann Gruppen entfernen aus.To remove a group from the synchronization scope, select it from the list of currently synchronized groups and choose Remove groups.
  5. Wenn alle Änderungen vorgenommen wurden, wählen Sie Synchronisierungsbereich speichern aus.When all changes are made, select Save synchronization scope.

Wenn Sie den Bereich der Synchronisierung ändern, werden zwangsläufig alle Daten von der verwalteten Azure AD DS-Domäne neu synchronisiert.Changing the scope of synchronization causes the Azure AD DS managed domain to resynchronize all data. Objekte, die in der verwalteten Azure AD DS-Domäne nicht mehr benötigt werden, werden gelöscht, und die erneute Synchronisierung kann einige Zeit in Anspruch nehmen.Objects that are no longer required in the Azure AD DS managed domain are deleted, and resynchronization may take a long time to complete.

Deaktivieren der bereichsbezogenen Synchronisierung im Azure-PortalDisable scoped synchronization using the Azure portal

Führen Sie die folgenden Schritte aus, um die gruppenbasierte bereichsbezogene Synchronisierung für eine verwaltete Azure AD DS-Domäne zu deaktivieren:To disable group-based scoped synchronization for an Azure AD DS managed domain, complete the following steps:

  1. Wählen Sie im Azure-Portal Ihre Azure AD DS-Instanz aus, z.B. contoso.com.In the Azure portal, select your Azure AD DS instance, such as contoso.com.
  2. Wählen Sie im Menü auf der linken Seite Synchronisierung aus.Select Synchronization from the menu on the left-hand side.
  3. Legen Sie den Synchronisierungsbereich von Bereichsbezogen auf Alle fest, und wählen Sie dann Synchronisierungsbereich speichern aus.Set the synchronization scope from Scoped to All, then select Save synchronization scope.

Wenn Sie den Bereich der Synchronisierung ändern, werden zwangsläufig alle Daten von der verwalteten Azure AD DS-Domäne neu synchronisiert.Changing the scope of synchronization causes the Azure AD DS managed domain to resynchronize all data. Objekte, die in der verwalteten Azure AD DS-Domäne nicht mehr benötigt werden, werden gelöscht, und die erneute Synchronisierung kann einige Zeit in Anspruch nehmen.Objects that are no longer required in the Azure AD DS managed domain are deleted, and resynchronization may take a long time to complete.

PowerShell-Skript für die bereichsbezogene SynchronisierungPowerShell script for scoped synchronization

Zum Konfigurieren der bereichsbezogenen Synchronisierung mithilfe von PowerShell müssen Sie zuerst das folgende Skript in einer Datei namens Select-GroupsToSync.ps1 speichern.To configure scoped synchronization using PowerShell, first save the following script to a file named Select-GroupsToSync.ps1. Mit diesem Skript wird Azure AD DS für die Synchronisierung ausgewählter Gruppen von Azure AD konfiguriert.This script configures Azure AD DS to synchronize selected groups from Azure AD. Alle Benutzerkonten, die zu den angegebenen Gruppen gehören, werden mit der verwalteten Azure AD DS-Domäne synchronisiert.All user accounts that are part of the specified groups are synchronized to the Azure AD DS managed domain.

Dieses Skript wird in den weiteren Schritten in diesem Artikel verwendet.This script is used in the additional steps in this article.

param (
    [Parameter(Position = 0)]
    [String[]]$groupsToAdd
)

Connect-AzureAD
$sp = Get-AzureADServicePrincipal -Filter "AppId eq '2565bd9d-da50-47d4-8b85-4c97f669dc36'"
$role = $sp.AppRoles | where-object -FilterScript {$_.DisplayName -eq "User"}

Write-Output "`n****************************************************************************"

Write-Output "Total group-assignments need to be added: $($groupsToAdd.Count)"
$newGroupIds = New-Object 'System.Collections.Generic.HashSet[string]'
foreach ($groupName in $groupsToAdd)
{
    try
    {
        $group = Get-AzureADGroup -Filter "DisplayName eq '$groupName'"
        $newGroupIds.Add($group.ObjectId)

        Write-Output "Group-Name: $groupName, Id: $($group.ObjectId)"
    }
    catch
    {
        Write-Error "Failed to find group: $groupName. Exception: $($_.Exception)."
    }
}

Write-Output "****************************************************************************`n"
Write-Output "`n****************************************************************************"

$currentAssignments = Get-AzureADServiceAppRoleAssignment -ObjectId $sp.ObjectId
Write-Output "Total current group-assignments: $($currentAssignments.Count), SP-ObjectId: $($sp.ObjectId)"

$currAssignedObjectIds = New-Object 'System.Collections.Generic.HashSet[string]'
foreach ($assignment in $currentAssignments)
{
    Write-Output "Assignment-ObjectId: $($assignment.PrincipalId)"

    if ($newGroupIds.Contains($assignment.PrincipalId) -eq $false)
    {
        Write-Output "This assignment is not needed anymore. Removing it! Assignment-ObjectId: $($assignment.PrincipalId)"
        Remove-AzureADServiceAppRoleAssignment -ObjectId $sp.ObjectId -AppRoleAssignmentId $assignment.ObjectId
    }
    else
    {
        $currAssignedObjectIds.Add($assignment.PrincipalId)
    }
}

Write-Output "****************************************************************************`n"
Write-Output "`n****************************************************************************"

foreach ($id in $newGroupIds)
{
    try
    {
        if ($currAssignedObjectIds.Contains($id) -eq $false)
        {
            Write-Output "Adding new group-assignment. Role-Id: $($role.Id), Group-Object-Id: $id, ResourceId: $($sp.ObjectId)"
            New-AzureADGroupAppRoleAssignment -Id $role.Id -ObjectId $id -PrincipalId $id -ResourceId $sp.ObjectId
        }
        else
        {
            Write-Output "Group-ObjectId: $id is already assigned."
        }
    }
    catch
    {
        Write-Error "Exception occurred assigning Object-ID: $id. Exception: $($_.Exception)."
    }
}

Write-Output "****************************************************************************`n"

Aktivieren der bereichsbezogenen Synchronisierung mit PowerShellEnable scoped synchronization using PowerShell

Verwenden Sie PowerShell, um diese Schritte auszuführen.Use PowerShell to complete this set of steps. Lesen Sie die Anweisungen zum Aktivieren von Azure Active Directory Domain Services mithilfe von PowerShell.Refer to the instructions to enable Azure Active Directory Domain Services using PowerShell. Einige Schritte in diesem Artikel wurden leicht geändert, um die bereichsbezogene Synchronisierung zu konfigurieren.A couple of steps in this article are modified slightly to configure scoped synchronization.

  1. Führen Sie die folgenden Aufgaben aus dem Artikel aus, um Azure AD DS mithilfe von PowerShell zu aktivieren.Complete the following tasks from the article to enable Azure AD DS using PowerShell. Halten Sie bei dem Schritt an, mit dem die eigentliche verwaltete Domäne erstellt wird.Stop at the step to actually create the managed domain. Die bereichsbezogene Synchronisierung wird beim Erstellen der verwalteten Azure AD DS-Domäne konfiguriert.You configure the scoped synchronization you create the Azure AD DS managed domain.

  2. Legen Sie die Gruppen und die darin enthaltenen Benutzer fest, die von Azure AD synchronisiert werden sollen.Determine the groups and users they contain that you want to synchronize from Azure AD. Erstellen Sie eine Liste mit den Anzeigenamen der Gruppen, die mit Azure AD DS synchronisiert werden sollen.Make a list of the display names of the groups to synchronize to Azure AD DS.

  3. Führen Sie das Skript aus dem vorherigen Abschnitt aus, und verwenden Sie den Parameter -groupsToAdd, um die Liste der zu synchronisierenden Gruppen zu übergeben.Run the script from the previous section and use the -groupsToAdd parameter to pass the list of groups to synchronize.

    Warnung

    Sie müssen die Gruppe AAD DC-Administratoren in die Liste der Gruppen für die bereichsbezogene Synchronisierung aufnehmen.You must include the AAD DC Administrators group in the list of groups for scoped synchronization. Wenn Sie diese Gruppe nicht einbeziehen, ist die verwaltete Azure AD DS-Domäne nicht verwendbar.If you don't include this group, the Azure AD DS managed domain is unusable.

    .\Select-GroupsToSync.ps1 -groupsToAdd @("AAD DC Administrators", "GroupName1", "GroupName2")
    
  4. Erstellen Sie jetzt die verwaltete Azure AD DS-Domäne, und aktivieren Sie die gruppenbasierte bereichsbezogene Synchronisierung.Now create the Azure AD DS managed domain and enable group-based scoped synchronization. Nehmen Sie "filteredSync" = "Enabled" in den Parameter -Properties auf.Include "filteredSync" = "Enabled" in the -Properties parameter.

    Legen Sie Ihre Azure-Abonnement-ID fest, und geben Sie dann einen Namen für die verwaltete Domäne an, z.B. contoso.com.Set your Azure subscription ID, and then provide a name for the managed domain, such as contoso.com. Die ID Ihres Abonnements können Sie mithilfe des Cmdlets Get-AzSubscription abrufen.You can get your subscription ID using the Get-AzSubscription cmdlet. Legen Sie den Namen der Ressourcengruppe, den Namen des virtuellen Netzwerks und die Region auf die Werte fest, die in den vorherigen Schritten zum Erstellen der unterstützenden Azure-Ressourcen verwendet wurden:Set the resource group name, virtual network name, and region to the values used in the previous steps to create the supporting Azure resources:

    $AzureSubscriptionId = "YOUR_AZURE_SUBSCRIPTION_ID"
    $ManagedDomainName = "contoso.com"
    $ResourceGroupName = "myResourceGroup"
    $VnetName = "myVnet"
    $AzureLocation = "westus"
    
    # Enable Azure AD Domain Services for the directory.
    New-AzResource -ResourceId "/subscriptions/$AzureSubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.AAD/DomainServices/$ManagedDomainName" `
    -Location $AzureLocation `
    -Properties @{"DomainName"=$ManagedDomainName; "filteredSync" = "Enabled"; `
     "SubnetId"="/subscriptions/$AzureSubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.Network/virtualNetworks/$VnetName/subnets/DomainServices"} `
    -Force -Verbose
    

Es dauert einige Minuten, bis die Ressource erstellt und die Steuerung an die PowerShell-Eingabeaufforderung zurückgegeben wird.It takes a few minutes to create the resource and return control to the PowerShell prompt. Im Hintergrund wird weiterhin die verwaltete Azure AD DS-Domäne bereitgestellt, und es kann bis zu einer Stunde dauern, bis die Bereitstellung beendet ist.The Azure AD DS managed domain continues to be provisioned in the background, and can take up to an hour to complete the deployment. Während dieser Bereitstellungsphase wird im Azure-Portal auf der Seite Übersicht für Ihre verwaltete Azure AD DS-Domäne der aktuelle Status angezeigt.In the Azure portal, the Overview page for your Azure AD DS managed domain shows the current status throughout this deployment stage.

Wenn im Azure-Portal angezeigt wird, dass die verwaltete Azure AD DS-Domäne die Bereitstellung abgeschlossen hat, müssen Sie die folgenden Aufgaben ausführen:When the Azure portal shows that the Azure AD DS managed domain has finished provisioning, the following tasks need to be completed:

  • Aktualisieren Sie DNS-Einstellungen für das virtuelle Netzwerk, damit virtuelle Computer die verwaltete Domäne für den Domänenbeitritt oder die Domänenauthentifizierung finden können.Update DNS settings for the virtual network so virtual machines can find the managed domain for domain join or authentication.
    • Wählen Sie zum Konfigurieren von DNS Ihre verwaltete Azure AD DS-Domäne im Portal aus.To configure DNS, select your Azure AD DS managed domain in the portal. Im Fenster Übersicht werden Sie aufgefordert, diese DNS-Einstellungen automatisch zu konfigurieren.On the Overview window, you are prompted to automatically configure these DNS settings.
  • Aktivieren Sie die Kennwortsynchronisierung für Azure AD Domain Services, damit sich Endbenutzer mit ihren Unternehmensanmeldeinformationen bei der verwalteten Domäne anmelden können.Enable password synchronization to Azure AD Domain Services so end users can sign in to the managed domain using their corporate credentials.

Ändern der bereichsbezogenen Synchronisierung mit PowerShellModify scoped synchronization using Powershell

Um die Liste der Gruppen zu ändern, deren Benutzer mit der verwalteten Azure AD DS-Domäne synchronisiert werden sollen, führen Sie erneut das PowerShell-Skript aus, und geben Sie die neue Liste der Gruppen an.To modify the list of groups whose users should be synchronized to the Azure AD DS managed domain, re-run the PowerShell script and specify the new list of groups. Im folgenden Beispiel enthält die Liste der zu synchronisierenden Gruppen nicht mehr GroupName2, dafür aber GroupName3.In the following example, the groups to synchronize no longer includes GroupName2, and now includes GroupName3.

Warnung

Sie müssen die Gruppe AAD DC-Administratoren in die Liste der Gruppen für die bereichsbezogene Synchronisierung aufnehmen.You must include the AAD DC Administrators group in the list of groups for scoped synchronization. Wenn Sie diese Gruppe nicht einbeziehen, ist die verwaltete Azure AD DS-Domäne nicht verwendbar.If you don't include this group, the Azure AD DS managed domain is unusable.

.\Select-GroupsToSync.ps1 -groupsToAdd @("AAD DC Administrators", "GroupName1", "GroupName3")

Wenn Sie den Bereich der Synchronisierung ändern, werden zwangsläufig alle Daten von der verwalteten Azure AD DS-Domäne neu synchronisiert.Changing the scope of synchronization causes the Azure AD DS managed domain to resynchronize all data. Objekte, die in der verwalteten Azure AD DS-Domäne nicht mehr benötigt werden, werden gelöscht, und die erneute Synchronisierung kann einige Zeit in Anspruch nehmen.Objects that are no longer required in the Azure AD DS managed domain are deleted, and resynchronization may take a long time to complete.

Deaktivieren der bereichsbezogenen Synchronisierung mit PowerShellDisable scoped synchronization using PowerShell

Legen Sie zum Deaktivieren der gruppenbasierten bereichsbezogenen Synchronisierung für eine verwaltete Azure AD DS-Domäne "filteredsync" = "Disabled" für die Azure AD DS-Ressource fest, und aktualisieren Sie dann die verwaltete Domäne.To disable group-based scoped synchronization for an Azure AD DS managed domain, set "filteredSync" = "Disabled" on the Azure AD DS resource, then update the managed domain. Nach Abschluss des Vorgangs ist für alle Benutzer und Gruppen die Synchronisierung von Azure AD festgelegt.When complete, all users and groups are set to synchronize from Azure AD.

// Retrieve the Azure AD DS resource.
$DomainServicesResource = Get-AzResource -ResourceType "Microsoft.AAD/DomainServices"

// Disable group-based scoped synchronization.
$disableScopedSync = @{"filteredSync" = "Disabled"}

// Update the Azure AD DS resource
Set-AzResource -Id $DomainServicesResource.ResourceId -Properties $disableScopedSync

Wenn Sie den Bereich der Synchronisierung ändern, werden zwangsläufig alle Daten von der verwalteten Azure AD DS-Domäne neu synchronisiert.Changing the scope of synchronization causes the Azure AD DS managed domain to resynchronize all data. Objekte, die in der verwalteten Azure AD DS-Domäne nicht mehr benötigt werden, werden gelöscht, und die erneute Synchronisierung kann einige Zeit in Anspruch nehmen.Objects that are no longer required in the Azure AD DS managed domain are deleted, and resynchronization may take a long time to complete.

Nächste SchritteNext steps

Weitere Informationen zum Synchronisierungsvorgang finden Sie unter Grundlegendes zur Synchronisierung in Azure AD Domain Services.To learn more about the synchronization process, see Understand synchronization in Azure AD Domain Services.