Vorbereiten der Verzeichnissynchronisierung auf Office 365Prepare for directory synchronization to Office 365

Dieser Artikel gilt sowohl für Office 365 Enterprise als auch für Microsoft 365 Enterprise.This article applies to both Office 365 Enterprise and Microsoft 365 Enterprise.

Zu den Vorteilen der Hybriden Identitäts-und Verzeichnissynchronisierung in Ihrer Organisation gehören:The benefits to hybrid identity and directory synchronization your organization include:

  • Reduzieren der Verwaltungsprogramme in Ihrer OrganisationReducing the administrative programs in your organization
  • Optionales Aktivieren des Szenarios für einmaliges AnmeldenOptionally enabling single sign-on scenario
  • Automatisieren von Kontoänderungen in Office 365Automating account changes in Office 365

Weitere Informationen zu den Vorteilen der Verwendung der Verzeichnissynchronisierung finden Sie unter Directory Synchronization Roadmap and Hybrid Identity for Office 365.For more information about the advantages of using directory synchronization, see Directory synchronization roadmap and Hybrid identity for Office 365.

Die Verzeichnissynchronisierung erfordert jedoch die Planung und Vorbereitung, um sicherzustellen, dass Ihre Active Directory-Domänendienste (AD DS) mit dem Azure Active Directory (Azure AD)-Mandanten Ihres Office 365 Abonnements mit einem Minimum an Fehlern synchronisiert wird.However, directory synchronization requires planning and preparation to ensure that your Active Directory Domain Services (AD DS) synchronizes to the Azure Active Directory (Azure AD) tenant of your Office 365 subscription with a minimum of errors.

Führen Sie die folgenden Schritte aus, um die besten Ergebnisse zu erzielen.Follow these steps in order for the best results.

1. Aufgaben zur Verzeichnisbereinigung1. Directory cleanup tasks

Bevor Sie Ihre AD DS mit Ihrem Azure AD-Mandanten synchronisieren, müssen Sie Ihre AD DS bereinigen.Before you synchronize your AD DS to your Azure AD tenant, you need to clean up your AD DS.

Wichtig

Wenn Sie AD DS Bereinigung vor der Synchronisierung nicht durchführen, kann sich dies erheblich negativ auf den Bereitstellungsprozess auswirken.If you don't perform AD DS cleanup before you synchronize, there can be a significant negative effect on the deployment process. Es kann Tage oder sogar Wochen dauern, bis der Zyklus der Verzeichnissynchronisierung durchläuft, Fehler identifiziert und erneut synchronisiert wird.It might take days, or even weeks, to go through the cycle of directory synchronization, identifying errors, and re-synchronization.

Führen Sie in Ihrem AD DS die folgenden Bereinigungsaufgaben für jedes Benutzerkonto aus, dem eine Office 365 Lizenz zugewiesen wird:In your AD DS, complete the following clean-up tasks for each user account that will be assigned an Office 365 license:

  1. Stellen Sie eine gültige und eindeutige e-Mail-Adresse im proxyAddresses -Attribut sicher.Ensure a valid and unique email address in the proxyAddresses attribute.

  2. Entfernen Sie alle doppelten Werte im proxyAddresses -Attribut.Remove any duplicate values in the proxyAddresses attribute.

  3. Stellen Sie nach Möglichkeit einen gültigen und eindeutigen Wert für das userPrincipalName -Attribut im Benutzer Objekt des Benutzers sicher.If possible, ensure a valid and unique value for the userPrincipalName attribute in the user's user object. Stellen Sie sicher, dass der AD DS UPN mit dem Azure AD UPN übereinstimmt, um eine optimale Synchronisierung zu erzielen.For the best synchronization experience, ensure that the AD DS UPN matches the Azure AD UPN. Wenn ein Benutzer keinen Wert für das userPrincipalName -Attribut aufweist, muss das User -Objekt einen gültigen und eindeutigen Wert für das sAMAccountName -Attribut enthalten.If a user does not have a value for the userPrincipalName attribute, then the user object must contain a valid and unique value for the sAMAccountName attribute. Entfernen Sie alle doppelten Werte im userPrincipalName -Attribut.Remove any duplicate values in the userPrincipalName attribute.

  4. Stellen Sie für eine optimale Verwendung der globalen Adressliste (GAL) sicher, dass die Informationen in den folgenden Attributen des AD DS Benutzerkontos richtig sind:For optimal use of the global address list (GAL), ensure the information in the following attributes of the AD DS user account is correct:

  • givenNamegivenName
  • surnamesurname
  • displayNamedisplayName
  • PositionJob Title
  • AbteilungDepartment
  • BüroOffice
  • Telefon (geschäftlich)Office Phone
  • MobiltelefonMobile Phone
  • FaxnummerFax Number
  • StraßeStreet Address
  • StadtCity
  • Bundesland/KantonState or Province
  • PLZZip or Postal Code
  • Land oder RegionCountry or Region

2. Verzeichnisobjekt-und Attribut Vorbereitung2. Directory object and attribute preparation

Für eine erfolgreiche Verzeichnissynchronisierung zwischen Ihrem AD DS und Office 365 müssen die AD DS Attribute ordnungsgemäß vorbereitet werden.Successful directory synchronization between your AD DS and Office 365 requires that your AD DS attributes are properly prepared. Beispielsweise müssen Sie sicherstellen, dass bestimmte Zeichen nicht in bestimmten Attributen verwendet werden, die mit der Office 365 Umgebung synchronisiert werden.For example, you need to ensure that specific characters aren't used in certain attributes that are synchronized with the Office 365 environment. Unerwartete Zeichen führen nicht dazu, dass die Verzeichnissynchronisierung fehlschlägt, aber möglicherweise wird eine Warnung zurückgegeben.Unexpected characters do not cause directory synchronization to fail but might return a warning. Ungültige Zeichen führen dazu, dass die Verzeichnissynchronisierung fehlschlägt.Invalid characters will cause directory synchronization to fail.

Die Verzeichnissynchronisierung schlägt auch fehl, wenn einige Ihrer AD DS Benutzer über ein oder mehrere doppelte Attribute verfügen.Directory synchronization will also fail if some of your AD DS users have one or more duplicate attributes. Jeder Benutzer muss über eindeutige Attribute verfügen.Each user must have unique attributes.

Die Attribute, die Sie vorbereiten müssen, sind hier aufgelistet:The attributes that you need to prepare are listed here:

  • displayNamedisplayName

    • Wenn das Attribut im User-Objekt vorhanden ist, wird es mit Office 365 synchronisiert.If the attribute exists in the user object, it will be synchronized with Office 365.
    • Wenn dieses Attribut im User-Objekt vorhanden ist, muss es einen Wert dafür geben.If this attribute exists in the user object, there must be a value for it. Das heißt, das Attribut darf nicht leer sein.That is, the attribute must not be blank.
    • Maximale Anzahl der Zeichen: 256Maximum number of characters: 256
  • givenNamegivenName

    • Wenn das Attribut im User-Objekt vorhanden ist, wird es mit Office 365 synchronisiert, aber Office 365 erfordert oder verwendet es nicht.If the attribute exists in the user object, it will be synchronized with Office 365, but Office 365 does not require or use it.
    • Maximale Anzahl der Zeichen: 64Maximum number of characters: 64
  • Mailmail

    • Der Attributwert muss innerhalb des Verzeichnisses eindeutig sein.The attribute value must be unique within the directory.

      Hinweis

      Wenn es doppelte Werte gibt, wird der erste Benutzer mit dem Wert synchronisiert.If there are duplicate values, the first user with the value is synchronized. Nachfolgende Benutzer werden nicht in Office 365 angezeigt.Subsequent users will not appear in Office 365. Sie müssen entweder den Wert in Office 365 ändern oder beide Werte in AD DS ändern, damit beide Benutzer in Office 365 angezeigt werden.You must modify either the value in Office 365 or modify both of the values in AD DS in order for both users to appear in Office 365.

  • mailnick Name (Exchange-Alias)mailNickname (Exchange alias)

    • Der Attributwert darf nicht mit einem Punkt (.) beginnen.The attribute value cannot begin with a period (.).

    • Der Attributwert muss innerhalb des Verzeichnisses eindeutig sein.The attribute value must be unique within the directory.

      Hinweis

      Unterstriche ("") im synchronisierten Namen gibt an, dass der ursprüngliche Wert dieses Attributs ungültige Zeichen enthält.Underscores ("") in the synchronized name indicates that the original value of this attribute contains invalid characters. Weitere Informationen zu diesem Attribut finden Sie unter Exchange-Alias Attribut.For more information on this attribute, see Exchange alias attribute.

  • proxyAddressesproxyAddresses

    • Mehrwertiges AttributMultiple-value attribute

    • Maximale Anzahl von Zeichen pro Wert: 256Maximum number of characters per value: 256

    • Der Attributwert darf kein Leerzeichen enthalten.The attribute value must not contain a space.

    • Der Attributwert muss innerhalb des Verzeichnisses eindeutig sein.The attribute value must be unique within the directory.

    • Ungültige Zeichen: < > (); , [ ] " 'Invalid characters: < > ( ) ; , [ ] " '

      Beachten Sie, dass die ungültigen Zeichen auf die Zeichen nach dem typtrennzeichen und ":" angewendet werden, so dass SMTP:User@contso.com zulässig ist, aber SMTP:User:M@contoso.com nicht ist.Note that the invalid characters apply to the characters following the type delimiter and ":", such that SMTP:User@contso.com is allowed, but SMTP:user:M@contoso.com is not.

      Wichtig

      Alle SMTP-Adressen (Simple Mail Transport Protocol) sollten den e-Mail-Messagingstandards entsprechen.All Simple Mail Transport Protocol (SMTP) addresses should comply with email messaging standards. Wenn doppelte oder unerwünschte Adressen vorhanden sind, finden Sie im Hilfethema Entfernen von doppelten und unerwünschten Proxyadressen in Exchange.If duplicate or unwanted addresses exist, see the Help topic Removing duplicate and unwanted proxy addresses in Exchange.

  • sAMAccountNamesAMAccountName

    • Maximale Anzahl der Zeichen: 20Maximum number of characters: 20
    • Der Attributwert muss innerhalb des Verzeichnisses eindeutig sein.The attribute value must be unique within the directory.
    • Ungültige Zeichen: [\ "|,/: < > + =;?Invalid characters: [ \ " | , / : < > + = ; ? * ']* ']
    • Wenn ein Benutzer ein ungültiges sAMAccountName -Attribut aufweist, aber über ein gültiges userPrincipalName -Attribut verfügt, wird das Benutzerkonto in Office 365 erstellt.If a user has an invalid sAMAccountName attribute but has a valid userPrincipalName attribute, the user account is created in Office 365.
    • Wenn sowohl sAMAccountName als auch userPrincipalName ungültig sind, muss das AD DS userPrincipalName -Attribut aktualisiert werden.If both sAMAccountName and userPrincipalName are invalid, the AD DS userPrincipalName attribute must be updated.
  • SN (Nachname)sn (surname)

    • Wenn das Attribut im User-Objekt vorhanden ist, wird es mit Office 365 synchronisiert, aber Office 365 erfordert oder verwendet es nicht.If the attribute exists in the user object, it will be synchronized with Office 365, but Office 365 does not require or use it.
  • targetAddresstargetAddress

    Es ist erforderlich, dass das targetAddress -Attribut (beispielsweise SMTP:Tom@contoso.com), das für den Benutzer aufgefüllt wird, in der Office 365 GAL angezeigt wird.It's required that the targetAddress attribute (for example, SMTP:tom@contoso.com) that's populated for the user must appear in the Office 365 GAL. Bei Messaging Migrationsszenarien von Drittanbietern wäre dies die Office 365 Schemaerweiterung für die AD DS erforderlich.In third-party messaging migration scenarios, this would require the Office 365 schema extension for the AD DS. Die Office 365 Schemaerweiterung würde auch weitere nützliche Attribute zum Verwalten von Office 365-Objekten hinzufügen, die mit einem Verzeichnissynchronisierungstool aus AD DS aufgefüllt werden.The Office 365 schema extension would also add other useful attributes to manage Office 365 objects that are populated by using a directory synchronization tool from AD DS. Beispielsweise würde das msExchHideFromAddressLists -Attribut zum Verwalten von ausgeblendeten Postfächern oder Verteilergruppen hinzugefügt werden.For example, the msExchHideFromAddressLists attribute to manage hidden mailboxes or distribution groups would be added.

    • Maximale Anzahl der Zeichen: 256Maximum number of characters: 256
    • Der Attributwert darf kein Leerzeichen enthalten.The attribute value must not contain a space.
    • Der Attributwert muss innerhalb des Verzeichnisses eindeutig sein.The attribute value must be unique within the directory.
    • Ungültige Zeichen: \ < > (); , [ ] "Invalid characters: \ < > ( ) ; , [ ] "
    • Alle SMTP-Adressen (Simple Mail Transport Protocol) sollten den e-Mail-Messagingstandards entsprechen.All Simple Mail Transport Protocol (SMTP) addresses should comply with email messaging standards.
  • userPrincipalNameuserPrincipalName

    • Das userPrincipalName -Attribut muss das Anmeldeformat im Internet Format aufweisen, dem der Benutzername gefolgt von dem @-Zeichen (@) und einem Domänennamen folgt: beispielsweise user@contoso.com.The userPrincipalName attribute must be in the Internet-style sign-in format where the user name is followed by the at sign (@) and a domain name: for example, user@contoso.com. Alle SMTP-Adressen (Simple Mail Transport Protocol) sollten den e-Mail-Messagingstandards entsprechen.All Simple Mail Transport Protocol (SMTP) addresses should comply with email messaging standards.
    • Die maximale Anzahl von Zeichen für das userPrincipalName -Attribut lautet 113.The maximum number of characters for the userPrincipalName attribute is 113. Eine bestimmte Anzahl von Zeichen ist vor und nach dem @-Zeichen wie folgt zulässig:A specific number of characters are permitted before and after the at sign (@), as follows:
    • Maximale Anzahl von Zeichen für den Benutzernamen vor dem @-Zeichen (@): 64Maximum number of characters for the username that is in front of the at sign (@): 64
    • Maximale Anzahl von Zeichen für den Domänennamen nach dem @-Zeichen (@): 48Maximum number of characters for the domain name following the at sign (@): 48
    • Ungültige Zeichen: % & * +/=?Invalid characters: \ % & * + / = ? { } | < > ( ) ; : , [ ] " '{ } | < > ( ) ; : , [ ] " '
    • Ein Umlaut ist ebenfalls ein ungültiges Zeichen.An umlaut is also an invalid character.
    • Das @-Zeichen ist in jedem userPrincipalName -Wert erforderlich.The @ character is required in each userPrincipalName value.
    • Das @-Zeichen darf nie das erste Zeichen in einem userPrincipalName-Wert sein.The @ character cannot be the first character in each userPrincipalName value.
    • Der Benutzername darf nicht mit einem Punkt (.), einem kaufmännischen und-Zeichen (&), einem Leerzeichen oder einem @-Zeichen enden.The username cannot end with a period (.), an ampersand (&), a space, or an at sign (@).
    • Der Benutzername darf keine Leerzeichen enthalten.The username cannot contain any spaces.
    • Routingfähige Domänen müssen verwendet werden; Beispielsweise können keine lokalen oder internen Domänen verwendet werden.Routable domains must be used; for example, local or internal domains cannot be used.
    • Unicode-Zeichen werden in Unterstriche umgewandelt.Unicode is converted to underscore characters.
    • userPrincipalName darf keine doppelten Werte im Verzeichnis enthalten.userPrincipalName cannot contain any duplicate values in the directory.

Informationen zum Identifizieren von Fehlern in den Attributen ihrer AD DS finden Sie unter Prepare Directory Attributes with the IdFix Tool to use the IdFix Tool.See Prepare directory attributes with the IdFix tool to use the IdFIx tool to identify errors in the attributes of your AD DS.

3. Vorbereiten des userPrincipalName-Attributs3. Prepare the userPrincipalName attribute

Active Directory wurde entwickelt, um es den Endbenutzern in Ihrer Organisation zu ermöglichen, sich mit sAMAccountName oder userPrincipalNamebei Ihrem Verzeichnis anzumelden.Active Directory is designed to allow the end users in your organization to sign in to your directory by using either sAMAccountName or userPrincipalName. Auf ähnliche Weise können sich Endbenutzer bei Office 365 anmelden, indem Sie den Benutzerprinzipalnamen (User Principal Name, UPN) Ihres Geschäfts-oder Schul Kontos verwenden.Similarly, end users can sign in to Office 365 by using the user principal name (UPN) of their work or school account. Die Verzeichnissynchronisierung versucht, neue Benutzer in Azure Active Directory mithilfe desselben UPN zu erstellen, der in Ihrem AD DS ist.Directory synchronization attempts to create new users in Azure Active Directory by using the same UPN that's in your AD DS. Der UPN ist wie eine e-Mail-Adresse formatiert.The UPN is formatted like an email address.

In Office 365 ist der UPN das Standardattribut, das zum Generieren der e-Mail-Adresse verwendet wird.In Office 365, the UPN is the default attribute that's used to generate the email address. Es ist ganz einfach, userPrincipalName (in AD DS und in Azure AD) und die primäre e-Mail-Adresse in proxyAddresses auf unterschiedliche Werte festgelegt zu erhalten.It's easy to get userPrincipalName (in AD DS and in Azure AD) and the primary email address in proxyAddresses set to different values. Wenn Sie auf unterschiedliche Werte festgelegt sind, kann es zu Verwirrung für Administratoren und Endbenutzer kommen.When they are set to different values, there can be confusion for administrators and end users.

Es empfiehlt sich, diese Attribute auszurichten, um Verwirrung zu verringern.It's best to align these attributes to reduce confusion. Um die Anforderungen des einmaligen Anmeldens mit Active Directory-Verbunddienste (AD FS) 2.0 zu erfüllen, müssen Sie sicherstellen, dass die UPNs in Azure Active Directory und Ihre AD DS übereinstimmen und einen gültigen Domänennamespace verwenden.To meet the requirements of single sign-on with Active Directory Federation Services (AD FS) 2.0, you need to ensure that the UPNs in Azure Active Directory and your AD DS match and are using a valid domain namespace.

4. Hinzufügen eines alternativen UPN-Suffix zu AD DS4. Add an alternative UPN suffix to AD DS

Möglicherweise müssen Sie ein alternatives UPN-Suffix hinzufügen, um die Unternehmensanmeldeinformationen des Benutzers der Office 365 Umgebung zuzuordnen.You may need to add an alternative UPN suffix to associate the user's corporate credentials with the Office 365 environment. Ein UPN-Suffix ist der Teil eines Benutzerprinzipalnamens, der rechts vom Zeichen @ steht.A UPN suffix is the part of a UPN to the right of the @ character. UPNs, die für einmaliges Anmelden verwendet werden, können Buchstaben, Zahlen, Punkte, Bindestriche und Unterstriche enthalten, aber keine anderen Zeichen.UPNs that are used for single sign-on can contain letters, numbers, periods, dashes, and underscores, but no other types of characters.

Weitere Informationen zum Hinzufügen eines alternativen UPN-Suffix zu Active Directory finden Sie unter Prepare for Directory Synchronization.For more information on how to add an alternative UPN suffix to Active Directory, see Prepare for directory synchronization.

5. Übereinstimmung mit dem AD DS UPN mit dem Office 365 UPN5. Match the AD DS UPN with the Office 365 UPN

Wenn Sie die Verzeichnissynchronisierung bereits eingerichtet haben, stimmt der UPN des Benutzers für Office 365 möglicherweise nicht mit dem AD DS UPN des Benutzers überein, der in Ihrem AD DS definiert ist.If you've already set up directory synchronization, the user's UPN for Office 365 may not match the user's AD DS UPN that's defined in your AD DS. Das kann vorkommen, wenn einem Benutzer vor der Überprüfung der Domäne schon eine Lizenz zugewiesen wurde.This can occur when a user was assigned a license before the domain was verified. Um dies zu beheben, verwenden Sie PowerShell, um doppelten UPN zu beheben , um den UPN des Benutzers zu aktualisieren, um sicherzustellen, dass der Office 365 UPN mit dem Benutzernamen und der Domäne des Unternehmens übereinstimmt.To fix this, use PowerShell to fix duplicate UPN to update the user's UPN to ensure that the Office 365 UPN matches the corporate user name and domain. Wenn Sie den UPN im AD DS aktualisieren und mit der Azure Active Directory-Identität synchronisieren möchten, müssen Sie die Lizenz des Benutzers in Office 365 entfernen, bevor Sie die Änderungen in AD DS vornehmen.If you are updating the UPN in the AD DS and would like it to synchronize with the Azure Active Directory identity, you need to remove the user's license in Office 365 prior to making the changes in AD DS.

Weitere Informationen finden Sie unter Vorgehensweise Vorbereiten einer nicht routingfähigen Domäne (beispielsweise. Local Domain) für die Verzeichnissynchronisierung.Also see How to prepare a non-routable domain (such as .local domain) for directory synchronization.

Nächste SchritteNext steps

Informationen zum Korrigieren von Fehlern in den Attributen ihrer AD DS vor der Verzeichnissynchronisierung finden Sie unter Prepare Directory Attributes with the IdFix Tool .See Prepare directory attributes with the IdFix tool to help you correct errors in the attributes of your AD DS prior to directory synchronization.

Wenn Sie alle mit dem IdFix-Tool identifizierten Attribut Fehler korrigiert haben und die Schritte 1 bis 5 oben ausgeführt haben, finden Sie weitere Informationen unter Einrichten der Verzeichnissynchronisierung.If you have corrected all the attribute errors identified with the IdFix tool and have done steps 1 through 5 above, see Set up directory synchronization.