Vorbereiten der Verzeichnissynchronisierung mit Microsoft 365

Dieser Artikel gilt sowohl für Microsoft 365 Enterprise als auch für Office 365 Enterprise.

Die Vorteile der Hybrididentitäts- und Verzeichnissynchronisierung In Ihrer Organisation sind:

  • Reduzieren der Administrativen Programme in Ihrer Organisation
  • Aktivieren des Szenarios für einmaliges Anmelden (Single Sign-On) optional
  • Automatisieren von Kontoänderungen in Microsoft 365

Weitere Informationen zu den Vorteilen der Verzeichnissynchronisierung finden Sie unter Hybrididentität mit Azure Active Directory (Azure AD) und Hybrididentität für Microsoft 365.

Die Verzeichnissynchronisierung erfordert jedoch Planung und Vorbereitung, um sicherzustellen, dass Ihre Active Directory Domain Services (AD DS) mit dem Azure AD-Mandanten Ihres Microsoft 365-Abonnements mit einem Minimum an Fehlern synchronisiert wird.

Führen Sie die folgenden Schritte aus, um die besten Ergebnisse zu erzielen.

Hinweis

Nicht-ASCII-Zeichen werden für attribute des AD DS-Benutzerkontos nicht synchronisiert.

1. Verzeichnisbereinigungsaufgaben

Bevor Sie Ihren AD DS mit Ihrem Azure AD-Mandanten synchronisieren, müssen Sie Ad DS bereinigen.

Wichtig

Wenn Sie vor der Synchronisierung keine AD DS-Bereinigung durchführen, kann dies zu erheblichen negativen Auswirkungen auf den Bereitstellungsprozess führen. Es kann Tage oder sogar Wochen dauern, bis der Zyklus der Verzeichnissynchronisierung, die Identifizierung von Fehlern und die erneute Synchronisierung durchlaufen wird.

Führen Sie in Ihrem AD DS die folgenden Bereinigungsaufgaben für jedes Benutzerkonto aus, dem eine Microsoft 365-Lizenz zugewiesen wird:

  1. Stellen Sie eine gültige und eindeutige E-Mail-Adresse im proxyAddresses-Attribut sicher.

  2. Entfernen Sie alle doppelten Werte im proxyAddresses-Attribut.

  3. Stellen Sie nach Möglichkeit einen gültigen und eindeutigen Wert für das attribut userPrincipalName im Benutzerobjekt des Benutzers sicher. Stellen Sie für eine optimale Synchronisierung sicher, dass der AD DS UPN dem Azure AD UPN entspricht. Wenn ein Benutzer keinen Wert für das UserPrincipalName-Attribut hat, muss das Benutzerobjekt einen gültigen und eindeutigen Wert für das sAMAccountName-Attribut enthalten. Entfernen Sie alle doppelten Werte im userPrincipalName-Attribut.

  4. Um die globale Adressliste (GAL) optimal zu verwenden, stellen Sie sicher, dass die Informationen in den folgenden Attributen des AD DS-Benutzerkontos korrekt sind:

    • givenName
    • surname
    • displayName
    • Position
    • Abteilung
    • Büro
    • Telefon (geschäftlich)
    • Mobiltelefon
    • Faxnummer
    • Straße
    • Stadt
    • Bundesland/Kanton
    • PLZ
    • Land oder Region

2. Verzeichnisobjekt- und Attributvorbereitung

Eine erfolgreiche Verzeichnissynchronisierung zwischen AD DS und Microsoft 365 erfordert, dass Ihre AD DS-Attribute ordnungsgemäß vorbereitet sind. Sie müssen beispielsweise sicherstellen, dass bestimmte Zeichen nicht in bestimmten Attributen verwendet werden, die mit der Microsoft 365-Umgebung synchronisiert werden. Unerwartete Zeichen führen nicht dazu, dass die Verzeichnissynchronisierung fehlschlägt, aber möglicherweise wird eine Warnung zurückgegeben. Ungültige Zeichen führen dazu, dass die Verzeichnissynchronisierung fehlschlägt.

Die Verzeichnissynchronisierung schlägt auch fehl, wenn einige Ad DS-Benutzer über mindestens ein doppeltes Attribut verfügen. Jeder Benutzer muss über eindeutige Attribute verfügen.

Die Attribute, die Sie vorbereiten müssen, sind hier aufgeführt:

  • displayName

    • Wenn das Attribut im Benutzerobjekt vorhanden ist, wird es mit Microsoft 365 synchronisiert.
    • Wenn dieses Attribut im Benutzerobjekt vorhanden ist, muss ein Wert dafür vorhanden sein. Das heißt, das Attribut darf nicht leer sein.
    • Maximale Anzahl der Zeichen: 256
  • givenName

    • Wenn das Attribut im Benutzerobjekt vorhanden ist, wird es mit Microsoft 365 synchronisiert, aber Microsoft 365 es nicht benötigt oder verwendet.
    • Maximale Anzahl der Zeichen: 64
  • Mail

    • Der Attributwert muss innerhalb des Verzeichnisses eindeutig sein.

      Hinweis

      Wenn doppelte Werte vorhanden sind, wird der erste Benutzer mit dem Wert synchronisiert. Nachfolgende Benutzer werden in Microsoft 365 nicht angezeigt. Sie müssen entweder den Wert in Microsoft 365 oder beide Werte in AD DS ändern, damit beide Benutzer in Microsoft 365 angezeigt werden.

  • mailNickname (Exchange Alias)

    • Der Attributwert kann nicht mit einem Punkt (.) beginnen.

    • Der Attributwert muss innerhalb des Verzeichnisses eindeutig sein.

      Hinweis

      Unterstriche ("_") im synchronisierten Namen geben an, dass der ursprüngliche Wert dieses Attributs ungültige Zeichen enthält. Weitere Informationen zu diesem Attribut finden Sie unter Exchange Aliasattribut.

  • proxyAddresses

    • Attribut mit mehreren Werten

    • Maximale Anzahl von Zeichen pro Wert: 256

    • Der Attributwert darf kein Leerzeichen enthalten.

    • Der Attributwert muss innerhalb des Verzeichnisses eindeutig sein.

    • Ungültige Zeichen: < > ( ) ; , [ ] "

      Beachten Sie, dass die ungültigen Zeichen auf die Zeichen angewendet werden, die auf das Typtrennzeichen und ":" folgen, sodass SMTP:User@contso.com zulässig ist, SMTP:user:M@contoso.com jedoch nicht.

      Wichtig

      Alle SMTP-Adressen (Simple Mail Transport Protocol) sollten den E-Mail-Nachrichtenstandards entsprechen. Entfernen Sie doppelte oder unerwünschte Adressen, falls vorhanden.

  • Samaccountname

    • Maximale Anzahl der Zeichen: 20
    • Der Attributwert muss innerhalb des Verzeichnisses eindeutig sein.
    • Ungültige Zeichen: [ \ " | , / : < > + = ; ? * ']
    • Wenn ein Benutzer über ein ungültiges sAMAccountName-Attribut verfügt, aber über ein gültiges userPrincipalName-Attribut verfügt, wird das Benutzerkonto in Microsoft 365 erstellt.
    • Wenn sAMAccountName und userPrincipalName ungültig sind, muss das AD DS userPrincipalName-Attribut aktualisiert werden.
  • sn (Nachname)

    • Wenn das Attribut im Benutzerobjekt vorhanden ist, wird es mit Microsoft 365 synchronisiert, aber Microsoft 365 es nicht benötigt oder verwendet.
  • Targetaddress

    Es ist erforderlich, dass das targetAddress-Attribut (z. B. SMTP:tom@contoso.com), das für den Benutzer aufgefüllt wird, in der Microsoft 365 GAL angezeigt werden muss. In Szenarien für die Messagingmigration von Drittanbietern würde dies die Microsoft 365 Schemaerweiterung für AD DS erfordern. Die Microsoft 365 Schemaerweiterung würde auch weitere nützliche Attribute hinzufügen, um Microsoft 365 Objekte zu verwalten, die mithilfe eines Verzeichnissynchronisierungstools aus AD DS aufgefüllt werden. Beispielsweise würde das MsExchHideFromAddressLists-Attribut zum Verwalten ausgeblendeter Postfächer oder Verteilergruppen hinzugefügt.

    • Maximale Anzahl der Zeichen: 256
    • Der Attributwert darf kein Leerzeichen enthalten.
    • Der Attributwert muss innerhalb des Verzeichnisses eindeutig sein.
    • Ungültige Zeichen: \ < > ( ) ; , [ ] "
    • Alle SMTP-Adressen (Simple Mail Transport Protocol) sollten den E-Mail-Nachrichtenstandards entsprechen.
  • userPrincipalName

    • Das UserPrincipalName-Attribut muss im Anmeldeformat im Internetformat vorliegen, in dem auf den Benutzernamen das At-Zeichen (@) und ein Domänenname folgen, z. B. user@contoso.com. Alle SMTP-Adressen (Simple Mail Transport Protocol) sollten den E-Mail-Nachrichtenstandards entsprechen.
    • Die maximale Anzahl von Zeichen für das userPrincipalName-Attribut ist 113. Eine bestimmte Anzahl von Zeichen ist vor und nach dem At-Zeichen (@) wie folgt zulässig:
    • Maximale Anzahl von Zeichen für den Benutzernamen, der sich vor dem At-Zeichen (@) befindet: 64
    • Maximale Anzahl von Zeichen für den Domänennamen nach dem At-Zeichen (@): 48
    • Ungültige Zeichen: \ % & * + / = ? { } | < > ( ) ; : , [ ] "
    • Zulässige Zeichen: A – Z, a - z, 0 – 9, ' . - _ ! # ^ ~
    • Buchstaben mit diakritischen Zeichen, z. B. Umlaute, Akzente und Tilden, sind ungültige Zeichen.
    • Das @-Zeichen ist in jedem userPrincipalName-Wert erforderlich.
    • Das @-Zeichen darf nie das erste Zeichen in einem userPrincipalName-Wert sein.
    • Der Benutzername kann nicht mit einem Punkt (.), einem kaufmännischen Und-Zeichen ( & ), einem Leerzeichen oder einem At-Zeichen (@) enden.
    • Der Benutzername darf keine Leerzeichen enthalten.
    • Routingfähige Domänen müssen verwendet werden. Beispielsweise können lokale oder interne Domänen nicht verwendet werden.
    • Unicode-Zeichen werden in Unterstriche umgewandelt.
    • userPrincipalName darf keine doppelten Werte im Verzeichnis enthalten.

3. Vorbereiten des userPrincipalName-Attributs

Active Directory ist so konzipiert, dass endbenutzer in Ihrer Organisation sich mithilfe von sAMAccountName oder userPrincipalName bei Ihrem Verzeichnis anmelden können. Auf ähnliche Weise können sich Endbenutzer mithilfe des Benutzerprinzipalnamens (UPN) ihres Geschäfts-, Schul- oder Unikontos bei Microsoft 365 anmelden. Die Verzeichnissynchronisierung versucht, neue Benutzer in Azure Active Directory mit demselben UPN zu erstellen, der sich in Ihrem AD DS befindet. Der UPN ist wie eine E-Mail-Adresse formatiert.

In Microsoft 365 ist der UPN das Standardattribut, das zum Generieren der E-Mail-Adresse verwendet wird. Es ist einfach, userPrincipalName (in AD DS und in Azure AD) und die primäre E-Mail-Adresse in proxyAddresses abzurufen, die auf unterschiedliche Werte festgelegt sind. Wenn sie auf unterschiedliche Werte festgelegt sind, kann es für Administratoren und Endbenutzer verwirrungen.

Es empfiehlt sich, diese Attribute auszurichten, um Verwirrung zu vermeiden. Um die Anforderungen des einmaligen Anmeldens mit Active Directory-Verbunddiensten (AD FS) 2.0 zu erfüllen, müssen Sie sicherstellen, dass die UPNs in Azure Active Directory und Ihre AD DS übereinstimmen und einen gültigen Domänennamespace verwenden.

4. Hinzufügen eines alternativen UPN-Suffix zu AD DS

Möglicherweise müssen Sie ein alternatives UPN-Suffix hinzufügen, um die Unternehmensanmeldeinformationen des Benutzers der Microsoft 365 Umgebung zuzuordnen. Ein UPN-Suffix ist der Teil eines Benutzerprinzipalnamens, der rechts vom Zeichen @ steht. UPNs, die für einmaliges Anmelden verwendet werden, können Buchstaben, Zahlen, Punkte, Bindestriche und Unterstriche enthalten, aber keine anderen Zeichen.

Weitere Informationen zum Hinzufügen eines alternativen UPN-Suffix zu Active Directory finden Sie unter Vorbereiten der Verzeichnissynchronisierung.

5. Abgleichen des AD DS UPN mit dem Microsoft 365 UPN

Wenn Sie die Verzeichnissynchronisierung bereits eingerichtet haben, stimmt der UPN des Benutzers für Microsoft 365 möglicherweise nicht mit dem AD DS-UPN des Benutzers überein, der in Ihrem AD DS definiert ist. Das kann vorkommen, wenn einem Benutzer vor der Überprüfung der Domäne schon eine Lizenz zugewiesen wurde. Um dies zu beheben, verwenden Sie PowerShell, um den doppelten UPN zu beheben, um den UPN des Benutzers zu aktualisieren, um sicherzustellen, dass der Microsoft 365 UPN dem Benutzernamen und der Domäne des Unternehmens entspricht. Wenn Sie den UPN im AD DS aktualisieren und ihn mit der Azure Active Directory Identität synchronisieren möchten, müssen Sie die Lizenz des Benutzers in Microsoft 365 entfernen, bevor Sie die Änderungen in AD DS vornehmen.

Weitere Informationen finden Sie unter Vorbereiten einer nicht routingfähigen Domäne (z. B. .local domain) für die Verzeichnissynchronisierung.

Nächste Schritte

Wenn Sie die Schritte 1 bis 5 oben ausgeführt haben, finden Sie weitere Informationen unter Einrichten der Verzeichnissynchronisierung.