Integrieren Ihrer lokalen Verzeichnisse in Azure Active Directory

Azure AD Connect integriert Ihre lokalen Verzeichnisse in Azure Active Directory. Dadurch können Sie für Ihre Benutzer eine einzige Identität für in Azure AD integrierte in Office 365-, Azure- und SaaS-Anwendungen bereitstellen. Dieses Thema beschreibt die Planung, Bereitstellung und den Betrieb. Es umfasst Links zu Themen, die mit diesem Bereich zusammenhängen.

Was ist Azure AD Connect?

Gründe für die Verwendung von Azure AD Connect

Die Integration Ihrer lokalen Verzeichnisse in Azure AD steigert die Produktivität Ihrer Benutzer, da für den Zugriff auf die Cloud und lokale Ressourcen nur eine Identität benötigt wird. Benutzer und Organisationen können die folgenden Vorteile nutzen:

  • Benutzer können eine einzelne Identität verwenden, um auf lokale Anwendungen und Clouddienste wie z. B. Office 365 zuzugreifen.
  • Einzelnes Tool zum Bereitstellen einer einfachen Bereitstellungserfahrung für die Synchronisierung und Anmeldung.
  • Bietet die neuesten Funktionen für Ihre Szenarien. Azure AD Connect ersetzt ältere Versionen von Identitätsintegrationstools, wie z. B. DirSync und Azure AD Sync. Weitere Informationen finden Sie unter Vergleich von Tools für die Verzeichnisintegration für Hybrididentitäten.

Funktionsweise von Azure AD Connect

Azure Active Directory Connect besteht aus drei Hauptkomponenten: den Synchronisierungsdiensten, der optionalen Active Directory-Verbunddienstkomponente und eine Überwachungskomponente namens Azure AD Connect Health.

Azure AD Connect-Stapel
  • Synchronisierung: Diese Komponente ist verantwortlich für das Erstellen von Benutzern, Gruppen und anderen Objekten. Er stellt ebenfalls sicher, dass Identitätsinformationen für Ihre lokalen Benutzer und Gruppen denen in der Cloud entsprechen.
  • AD FS: Der Verbund ist eine optionale Komponente von Azure AD Connect und kann zum Konfigurieren einer Hybridumgebung mithilfe einer lokalen AD FS-Infrastruktur verwendet werden. Dies kann von Organisationen verwendet werden, um sich mit komplexen Bereitstellungen zu befassen, z.B. Domänenbeitritts-SSO, Erzwingen von AD-Anmelderichtlinien und Smartcard- bzw. Drittanbieter-MFA.
  • Systemüberwachung: Azure AD Connect Health bietet eine stabile Überwachung und einen zentralen Speicherort im Azure-Portal, um diese Aktivität anzuzeigen. Weitere Informationen finden Sie unter Azure Active Directory Connect Health.

Installieren von Azure AD Connect

Den Download für Azure AD Connect finden Sie im Microsoft Download Center.

Lösung Szenario
Vorbereitung: Hardware und Voraussetzungen
  • Hier erfahren Sie mehr zu den Schritten, die vor dem Installieren von Azure AD Connect ausgeführt werden müssen.
  • Express-Einstellungen
  • Wenn Sie über eine einzelne Gesamtstruktur-AD-Instanz verfügen, ist dies die empfohlene Option.
  • Benutzer melden Sie sich mit dem gleichen Kennwort mithilfe der Kennwortsynchronisierung an.
  • Benutzerdefinierte Einstellungen
  • Wird bei mehreren Gesamtstrukturen verwendet. Unterstützt viele lokale Topologien.
  • Passen Sie die Anmeldeoption an, z.B. ADFS für den Verbund, oder verwenden Sie einen Drittanbieter-Identitätsanbieter.
  • Passen Sie Synchronisierungsfunktionen an, wie das Filtern und Rückschreiben.
  • Upgrade von DirSync
  • Wird bei einem vorhandenen DirSync-Server verwendet, der bereits ausgeführt wird.
  • Upgrade von Azure AD Sync oder Azure AD Connect
  • Je nach Bedarf gibt es verschiedene Methoden.
  • Nach der Installation sollten Sie überprüfen, ob es wie erwartet funktioniert und den Benutzern Lizenzen zuweisen.

    Nächste Schritte für die Installation von Azure AD Connect

    Thema Link
    Azure AD Connect herunterladen Azure AD Connect herunterladen
    Installieren mit den Express-Einstellungen Expressinstallation von Azure AD Connect
    Installieren mit benutzerdefinierten Einstellungen Benutzerdefinierte Installation von Azure AD Connect
    Upgrade von DirSync Upgrade von Azure AD-Synchronisierungstools (DirSync)
    Nach der Installation Überprüfen der Installation und Zuweisen von Lizenzen

    Weitere Informationen über die Installation von Azure AD Connect

    Sie sollten sich auch auf betriebliche Probleme vorbereiten. Ein Standbyserver empfiehlt sich, damit Sie im Notfallproblemlos ein Failover durchführen können. Wenn Sie häufig Konfigurationsänderungen vornehmen möchten, sollten Sie einen Stagingmodus -Server einplanen.

    Thema Link
    Unterstützte Topologien Topologien für Azure AD Connect
    Entwurfskonzepte Entwurfskonzepte für Azure AD Connect
    Für die Installation verwendete Konten Weitere Informationen zu den Anmeldeinformationen und Berechtigungen von Azure AD Connect
    Operative Planung Azure AD Connect Sync: Operative Aufgaben und Überlegungen
    Optionen für die Benutzeranmeldung Azure AD Connect-Optionen für die Benutzeranmeldung

    Konfigurieren der Synchronisierungsfunktionen

    Azure AD Connect verfügt über mehrere Funktionen, die Sie optional aktivieren können oder die standardmäßig aktiviert sind. Einige Funktionen benötigen möglicherweise eine zusätzliche Konfiguration in bestimmten Szenarien und Topologien.

    Filtern wird verwendet, wenn Sie begrenzen möchten, welche Objekte mit Azure AD synchronisiert werden. Standardmäßig werden alle Benutzer, Kontakte, Gruppen und Windows 10-Computer synchronisiert. Sie können die Filterung ausgehend von Domänen, Organisationseinheiten oder Attributen ändern.

    Kennwortsynchronisierung synchronisiert das Kennworthash in Active Directory nach Azure AD. So kann der Endbenutzer das gleiche Kennwort lokal und in der Cloud verwenden, es jedoch nur an einem Ort verwalten. Da es das lokale Active Directory als Autorität verwendet, können Sie auch Ihre eigene Kennwortrichtlinie verwenden.

    Kennwortrückschreiben ermöglicht es den Benutzern, ihre Kennwörter in der Cloud zu ändern und zurückzusetzen und die lokale Kennwortrichtlinie anzuwenden.

    Geräterückschreiben ermöglicht es Ihnen, ein in Azure AD registriertes Gerät wieder in das lokale Active Directory zurückzuschreiben, damit es für bedingten Zugriff verwendet werden kann.

    Die Funktion zum Verhindern eines versehentlichen Löschvorgangs ist standardmäßig aktiviert und schützt Ihr Cloudverzeichnis vor mehreren gleichzeitigen Löschvorgängen. Standardmäßig sind 500 Löschvorgänge pro Durchlauf zulässig. Diese Einstellung kann abhängig von der Größe Ihres Unternehmens geändert werden.

    automatische Upgrade ist für Installationen mit Expresseinstellungen standardmäßig aktiviert und stellt sicher, dass Ihre Azure AD Connect-Instanz immer mit der neuesten Version aktualisiert wird.

    Nächste Schritte zum Konfigurieren der Synchronisierungsfunktionen

    Thema Link
    Konfigurieren der Filterung Azure AD Connect-Synchronisierung: Konfigurieren der Filterung
    Kennwortsynchronisierung Azure AD Connect-Synchronisierung: Implementieren der Kennwortsynchronisierung
    Kennwortrückschreiben Erste Schritte mit der Kennwortverwaltung
    Geräterückschreiben Aktivieren des Geräterückschreibens in Azure AD Connect
    Verhindern eines versehentlichen Löschvorgangs Azure AD Connect-Synchronisierung: Verhindern von versehentlichen Löschvorgängen
    automatische Upgrade Azure AD Connect: Automatisches Upgrade

    Anpassen der Azure AD Connect-Synchronisierung

    Für die Azure AD Connect-Synchronisierung ist eine Standardkonfiguration vorgegeben, die für die meisten Kunden und Topologien konzipiert wurde. Es gibt jedoch immer Situationen, in denen die Standardkonfiguration nicht funktioniert und angepasst werden muss. Sie können Änderungen wie in diesem Abschnitt und in den verknüpften Themen beschrieben vornehmen.

    Wenn Sie noch nicht mit einer Synchronisierungstopologie gearbeitet haben, sollten Sie sich zunächst mit den Grundlagen und verwendeten Begriffen vertraut machen, die unter Technische Konzeptebeschrieben werden. Azure AD Connect ist die Weiterentwicklung von MIIS2003, ILM2007 und FIM2010. Selbst wenn einige Dinge identisch sind, hat sich doch auch eine Menge verändert.

    Bei der Standardkonfiguration wird davon ausgegangen, dass die Konfiguration möglicherweise mehrere Gesamtstrukturen umfasst. In diesen Topologien kann ein Benutzerobjekt möglicherweise in einer anderen Gesamtstruktur als Kontakt dargestellt werden. Der Benutzer kann in einer anderen Ressourcengesamtstruktur auch über ein verknüpftes Postfach verfügen. Das Verhalten der Standardkonfiguration wird unter Benutzer und Kontaktebeschrieben.

    Das synchronisierte Konfigurationsmodell wird als deklarative Bereitstellungbezeichnet. Die erweiterten Attributflüsse verwenden Funktionen , um Attributtransformationen auszudrücken. Sie können die gesamte Konfiguration mithilfe von Tools, die im Lieferumfang von Azure AD Connect enthalten sind, anzeigen und überprüfen. Wenn Sie Änderungen an der Konfiguration vornehmen müssen, sollten Sie sicherstellen, dass Sie die bewährten Methoden befolgen, damit neue Versionen leichter übernommen werden.

    Nächste Schritte zur Anpassung der Azure AD Connect-Synchronisierung

    Thema Link
    Alle Artikel zur Azure AD Connect-Synchronisierung Azure AD Connect-Synchronisierung
    Technische Konzepte Azure AD Connect-Synchronisierung: Technische Konzepte
    Grundlegendes zur Standardkonfiguration Azure AD Connect-Synchronisierung: Grundlegendes zur Standardkonfiguration
    Grundlegendes zu Benutzern und Kontakten Azure AD Connect-Synchronisierung: Grundlegendes zu Benutzern und Kontakten
    deklarative Bereitstellung Azure AD Connect-Synchronisierung: Grundlegendes zu Ausdrücken für die deklarative Bereitstellung
    Ändern der Standardkonfiguration Bewährte Methoden zum Ändern der Standardkonfiguration

    Konfigurieren von Verbundfunktionen

    AD FS kann für die Unterstützung von mehreren Domänenkonfiguriert werden. Beispiel: Sie besitzen mehrere Domänen der obersten Ebene, die Sie für den Verbund verwenden müssen.

    Wenn Ihr AD FS-Server nicht für die automatische Aktualisierung von Zertifikaten in Azure AD konfiguriert wurde oder wenn Sie eine Lösung ohne AD FS nutzen, werden Sie benachrichtigt, wenn Sie Zertifikate aktualisierenmüssen.

    Nächste Schritte zum Konfigurieren der Verbundfunktionen

    Thema Link
    Alle AD FS-Artikel Azure AD Connect und Verbund
    Konfigurieren von AD FS mit Unterdomänen Unterstützung mehrerer Domänen für den Verbund mit Azure AD
    Verwalten der AD FS-Farm Verwaltung und Anpassung von AD FS mit Azure AD Connect
    Manuelles Aktualisieren von Verbundzertifikaten Erneuern von Verbundzertifikaten für Office 365 und Azure AD

    Weitere Informationen und Referenzen

    Thema Link
    Versionsverlauf Versionsverlauf
    Vergleich von DirSync, Azure ADSync und Azure AD Connect Vergleich von Tools für die Verzeichnisintegration
    Liste mit Informationen zur Kompatibilität zwischen AD FS-fremden Lösungen und Azure AD Azure AD-Verbund – Kompatibilitätsliste
    Konfigurieren eines SAML 2.0-Identitätsanbieters Verwenden eines SAML 2.0-Identitätsanbieters für einmaliges Anmelden
    Synchronisierte Attribute Synchronisierte Attribute
    Überwachen mit Azure AD Connect Health Azure AD Connect Health
    Häufig gestellte Fragen Häufig gestellte Fragen zu Azure AD Connect

    Weitere Ressourcen

    Ignite 2015-Präsentation über die Erweiterung lokaler Verzeichnisse in die Cloud.