Installationsübersicht: Azure AD Connect und Azure AD Connect Health

Installieren von Azure AD Connect

Wichtig

Microsoft unterstützt die Änderung oder den Einsatz der Azure AD Connect-Synchronisierung außerhalb dieser formal dokumentierten Aktionen nicht. Eine dieser Aktionen kann zu einem inkonsistenten oder nicht unterstützten Status der Azure AD Connect-Synchronisierung führen. Folglich kann Microsoft auch keinen technischen Support für solche Bereitstellungen leisten.

Den Download für Azure AD Connect finden Sie im Microsoft Download Center.

Lösung Szenario
Vorbereitung: Hardware und Voraussetzungen
  • Hier erfahren Sie mehr zu den Schritten, die vor dem Installieren von Azure AD Connect ausgeführt werden müssen.
  • Express-Einstellungen
  • Wenn Sie über eine einzelne Gesamtstruktur-AD-Instanz verfügen, ist dies die empfohlene Option.
  • Benutzer melden Sie sich mit dem gleichen Kennwort mithilfe der Kennwortsynchronisierung an.
  • Benutzerdefinierte Einstellungen
  • Wird bei mehreren Gesamtstrukturen verwendet. Unterstützt viele lokale Topologien.
  • Passen Sie die Anmeldeoption an, z.B. Pass-Through-Authentifizierung, ADFS für den Verbund, oder verwenden Sie einen Identitätsanbieter eines Drittanbieters.
  • Passen Sie Synchronisierungsfunktionen an, wie das Filtern und Rückschreiben.
  • Upgrade von DirSync
  • Wird bei einem vorhandenen DirSync-Server verwendet, der bereits ausgeführt wird.
  • Upgrade von Azure AD Sync oder Azure AD Connect
  • Je nach Bedarf gibt es verschiedene Methoden.
  • Nach der Installation sollten Sie überprüfen, ob es wie erwartet funktioniert und den Benutzern Lizenzen zuweisen.

    Nächste Schritte für die Installation von Azure AD Connect

    Thema Link
    Azure AD Connect herunterladen Azure AD Connect herunterladen
    Installieren mit den Express-Einstellungen Expressinstallation von Azure AD Connect
    Installieren mit benutzerdefinierten Einstellungen Benutzerdefinierte Installation von Azure AD Connect
    Upgrade von DirSync Upgrade von Azure AD-Synchronisierungstools (DirSync)
    Nach der Installation Überprüfen der Installation und Zuweisen von Lizenzen

    Weitere Informationen über die Installation von Azure AD Connect

    Sie sollten sich auch auf betriebliche Probleme vorbereiten. Verwenden Sie ggf. einen Standbyserver, um im Notfall problemlos ein Failover ausführen zu können. Wenn Sie häufig Konfigurationsänderungen vornehmen möchten, sollten Sie einen Stagingmodus -Server einplanen.

    Thema Link
    Unterstützte Topologien Topologien für Azure AD Connect
    Entwurfskonzepte Entwurfskonzepte für Azure AD Connect
    Für die Installation verwendete Konten Weitere Informationen zu den Anmeldeinformationen und Berechtigungen von Azure AD Connect
    Operative Planung Azure AD Connect-Synchronisierung: Operative Aufgaben und Überlegungen
    Optionen für die Benutzeranmeldung Azure AD Connect-Optionen für die Benutzeranmeldung

    Konfigurieren der Synchronisierungsfunktionen

    Azure AD Connect verfügt über mehrere Funktionen, die Sie optional aktivieren können oder die standardmäßig aktiviert sind. Einige Funktionen benötigen möglicherweise eine zusätzliche Konfiguration in bestimmten Szenarien und Topologien.

    Filtern wird verwendet, wenn Sie begrenzen möchten, welche Objekte mit Azure AD synchronisiert werden. Standardmäßig werden alle Benutzer, Kontakte, Gruppen und Windows 10-Computer synchronisiert. Sie können die Filterung ausgehend von Domänen, Organisationseinheiten oder Attributen ändern.

    Kennworthashsynchronisierung synchronisiert das Kennworthash in Active Directory mit Azure AD. So kann der Endbenutzer das gleiche Kennwort lokal und in der Cloud verwenden, es jedoch nur an einem Ort verwalten. Da es das lokale Active Directory als Autorität verwendet, können Sie auch Ihre eigene Kennwortrichtlinie verwenden.

    Kennwortrückschreiben ermöglicht es den Benutzern, ihre Kennwörter in der Cloud zu ändern und zurückzusetzen und die lokale Kennwortrichtlinie anzuwenden.

    Geräterückschreiben ermöglicht es Ihnen, ein in Azure AD registriertes Gerät wieder in das lokale Active Directory zurückzuschreiben, damit es für bedingten Zugriff verwendet werden kann.

    Die Funktion zum Verhindern eines versehentlichen Löschvorgangs ist standardmäßig aktiviert und schützt Ihr Cloudverzeichnis vor mehreren gleichzeitigen Löschvorgängen. Standardmäßig sind 500 Löschvorgänge pro Durchlauf zulässig. Diese Einstellung kann abhängig von der Größe Ihres Unternehmens geändert werden.

    automatische Upgrade ist für Installationen mit Expresseinstellungen standardmäßig aktiviert und stellt sicher, dass Ihre Azure AD Connect-Instanz immer mit der neuesten Version aktualisiert wird.

    Nächste Schritte zum Konfigurieren der Synchronisierungsfunktionen

    Thema Link
    Konfigurieren der Filterung Azure AD Connect-Synchronisierung: Konfigurieren der Filterung
    Kennworthashsynchronisierung Kennworthashsynchronisierung
    Passthrough-Authentifizierung Passthrough-Authentifizierung
    Kennwortrückschreiben Erste Schritte mit der Kennwortverwaltung
    Geräterückschreiben Aktivieren des Geräterückschreibens in Azure AD Connect
    Verhindern eines versehentlichen Löschvorgangs Azure AD Connect-Synchronisierung: Verhindern von versehentlichen Löschvorgängen
    automatische Upgrade Azure AD Connect: Automatisches Upgrade

    Anpassen der Azure AD Connect-Synchronisierung

    Für die Azure AD Connect-Synchronisierung ist eine Standardkonfiguration vorgegeben, die für die meisten Kunden und Topologien konzipiert wurde. Es gibt jedoch immer Situationen, in denen die Standardkonfiguration nicht funktioniert und angepasst werden muss. Sie können Änderungen wie in diesem Abschnitt und in den verknüpften Themen beschrieben vornehmen.

    Wenn Sie noch nicht mit einer Synchronisierungstopologie gearbeitet haben, sollten Sie sich zunächst mit den Grundlagen und verwendeten Begriffen vertraut machen, die unter Technische Konzeptebeschrieben werden. Azure AD Connect ist die Weiterentwicklung von MIIS2003, ILM2007 und FIM2010. Selbst wenn einige Dinge identisch sind, hat sich doch auch eine Menge verändert.

    Bei der Standardkonfiguration wird davon ausgegangen, dass die Konfiguration möglicherweise mehrere Gesamtstrukturen umfasst. In diesen Topologien kann ein Benutzerobjekt möglicherweise in einer anderen Gesamtstruktur als Kontakt dargestellt werden. Der Benutzer kann in einer anderen Ressourcengesamtstruktur auch über ein verknüpftes Postfach verfügen. Das Verhalten der Standardkonfiguration wird unter Benutzer und Kontaktebeschrieben.

    Das synchronisierte Konfigurationsmodell wird als deklarative Bereitstellungbezeichnet. Die erweiterten Attributflüsse verwenden Funktionen , um Attributtransformationen auszudrücken. Sie können die gesamte Konfiguration mithilfe von Tools, die im Lieferumfang von Azure AD Connect enthalten sind, anzeigen und überprüfen. Wenn Sie Änderungen an der Konfiguration vornehmen müssen, sollten Sie sicherstellen, dass Sie die bewährten Methoden befolgen, damit neue Versionen leichter übernommen werden.

    Nächste Schritte zur Anpassung der Azure AD Connect-Synchronisierung

    Thema Link
    Alle Artikel zur Azure AD Connect-Synchronisierung Azure AD Connect-Synchronisierung
    Technische Konzepte Azure AD Connect-Synchronisierung: Technische Konzepte
    Grundlegendes zur Standardkonfiguration Azure AD Connect-Synchronisierung: Grundlegendes zur Standardkonfiguration
    Grundlegendes zu Benutzern und Kontakten Azure AD Connect-Synchronisierung: Grundlegendes zu Benutzern und Kontakten
    deklarative Bereitstellung Azure AD Connect-Synchronisierung: Grundlegendes zu Ausdrücken für die deklarative Bereitstellung
    Ändern der Standardkonfiguration Bewährte Methoden zum Ändern der Standardkonfiguration

    Konfigurieren von Verbundfunktionen

    Azure AD Connect bietet mehrere Features, die die Verbunderstellung mit Azure AD unter Verwendung von AD FS sowie die Verwaltung Ihrer Verbundvertrauensstellung vereinfachen. Azure AD Connect unterstützt AD FS ab Windows Server 2012 R2.

    Aktualisieren Sie das TLS/SSL-Zertifikat der AD FS-Farm, auch wenn Sie Azure AD Connect nicht für die Verwaltung Ihrer Verbundvertrauensstellung verwenden.

    Fügen Sie Ihrer Farm einen AD FS-Server hinzu, um die Farm nach Bedarf zu erweitern.

    Reparieren Sie die Vertrauensstellung mit Azure AD mit einigen wenigen Klicks.

    AD FS kann für die Unterstützung von mehreren Domänenkonfiguriert werden. Beispiel: Sie besitzen mehrere Domänen der obersten Ebene, die Sie für den Verbund verwenden müssen.

    Wenn Ihr AD FS-Server nicht für die automatische Aktualisierung von Zertifikaten in Azure AD konfiguriert wurde oder wenn Sie eine Lösung ohne AD FS nutzen, werden Sie benachrichtigt, wenn Sie Zertifikate aktualisieren müssen.

    Nächste Schritte zum Konfigurieren der Verbundfunktionen

    Thema Link
    Alle AD FS-Artikel Azure AD Connect und Verbund
    Konfigurieren von AD FS mit Unterdomänen Unterstützung mehrerer Domänen für den Verbund mit Azure AD
    Verwalten der AD FS-Farm Verwaltung und Anpassung der Active Directory-Verbunddienste mit Azure AD Connect
    Manuelles Aktualisieren von Verbundzertifikaten Erneuern von Verbundzertifikaten für Microsoft 365 und Azure AD

    Erste Schritte mit Azure AD Connect Health

    Der Einstieg in Azure AD Connect Health ist einfach:

    1. Rufen Sie Azure AD Premium ab, oder beginnen Sie mit einer Testaktivierung.
    2. Laden Sie Azure AD Connect Health-Agents herunter, und installieren Sie sie auf Ihren Identitätsservern.
    3. Zeigen Sie das Azure AD Connect Health-Dashboard unter https://aka.ms/aadconnecthealth an.

    Hinweis

    Denken Sie daran, dass Sie die Azure AD Connect Health-Agents auf Ihren Zielservern installieren müssen, um in Ihrem Azure AD Connect Health-Dashboard Daten anzeigen zu können.

    Herunterladen und Installieren des Azure AD Connect Health-Agents

    Azure AD Connect Health-Portal

    Das Azure AD Connect Health-Portal zeigt Warnungen, Leistungsüberwachungsdaten und Nutzungsanalysen an. Über die URL https://aka.ms/aadconnecthealth gelangen Sie zum Hauptblatt von Azure AD Connect Health. Sie können es sich wie ein Fenster vorstellen. Auf dem Hauptblatt werden die Option Schnellstart, die Dienste von Azure AD Connect Health und weitere Konfigurationsoptionen angezeigt. Im folgenden Screenshot sehen Sie diese Elemente und darunter finden Sie ihre Beschreibung. Nachdem Sie die Agents bereitgestellt haben, wird der Integritätsdienst für die Dienste automatisch identifiziert, die von Azure AD Connect Health überwacht werden.

    Hinweis

    Informationen zur Lizenzierung finden Sie unter Häufig gestellte Fragen zu Azure AD Connect Health sowie auf der Seite zur Preisgestaltung von Azure AD.

    Azure AD Connect Health Portal

    • Schnellstart: Wenn Sie diese Option auswählen, wird das Blatt Schnellstart geöffnet. Sie können Sie den Azure AD Connect Health-Agent herunterladen, indem Sie Tools abrufen auswählen. Sie können auch auf die Dokumentation zugreifen und Feedback geben.

    • Azure Active Directory Connect (Sync) : Diese Option zeigt Ihre Azure AD Connect-Server an, die derzeit von Azure AD Connect Health überwacht werden. Der Eintrag Synchronisierungsfehler zeigt allgemeine Synchronisierungsfehler des ersten integrierten Synchronisierungsdiensts nach Kategorien. Wenn Sie den Eintrag Synchronisierungsdienste auswählen, wird ein Blatt mit Informationen zu Ihren Azure AD Connect-Servern geöffnet. Weitere Informationen zu den Funktionen finden Sie unter Verwenden von Azure AD Connect Health für die Synchronisierung.

    • Active Directory-Verbunddienste: Diese Option zeigt alle AD FS-Dienste an, die derzeit von Azure AD Connect Health überwacht werden. Wenn Sie eine Instanz auswählen, wird ein Blatt mit Informationen zu dieser Dienstinstanz geöffnet, darunter beispielsweise eine Übersicht, Eigenschaften, Warnungen, Überwachungsinformationen und eine Nutzungsanalyse. Weitere Informationen zu den Funktionen finden Sie unter Verwenden von Azure AD Connect Health mit AD FS.

    • Active Directory Domain Services: Diese Option zeigt alle AD DS-Gesamtstrukturen an, die derzeit von Azure AD Connect Health überwacht werden. Wenn Sie eine Gesamtstruktur auswählen, wird ein Blatt mit Informationen zu dieser Gesamtstruktur geöffnet. Diese Informationen umfassen eine Übersicht mit den wichtigsten Informationen, das Domänencontroller-Dashboard, das Replikationsstatus-Dashboard, Warnungen und Überwachungsdaten. Weitere Informationen zu den Funktionen finden Sie unter Verwenden von Azure AD Connect Health mit AD DS.

    • Konfigurieren: In diesem Abschnitt können Sie folgende Optionen aktivieren oder deaktivieren:

      • Automatisches Update des Azure AD Connect Health-Agents auf die aktuelle Version: Der Azure AD Connect Health-Agent wird automatisch aktualisiert, wenn neue Versionen verfügbar sind. Diese Option ist standardmäßig aktiviert.
      • Zugriff auf Daten vom Azure AD-Verzeichnisintegritätsdienst durch Microsoft nur zur Problembehandlung: Wenn diese Option aktiviert ist, kann Microsoft auf dieselben Daten zugreifen, die vom Benutzer angezeigt werden. Diese Informationen können bei der Problembehandlung hilfreich sein und die nötige Unterstützung bereitstellen. Diese Option ist standardmäßig deaktiviert.
    • Im Abschnitt Rollenbasierte Zugriffssteuerung (IAM) wird der Zugriff auf Connect Health-Daten auf Rollenbasis verwaltet.

    Nächste Schritte