Azure Active Directory Cloud Sync ist eine Software, welche Objekte aus dem Active Directory nach Azure Active Directory synchronisiert.
Bei der Azure AD Connect-Cloudsynchronisierung wird die Bereitstellung von AD Objekten zu Azure AD in Microsoft Online Services orchestriert. Lokal wird nur noch ein einfacher Agent benötigt.

Die gesamte Synchronisierungskonfiguration wird im Azure Portal (https://portal.azure.com) eingerichtet. Azure AD Cloud Sync kann durch die Installation des Agents auf mehreren Servern hochverfügbar bereitgestellt werden.

Dieses Anleitung beschreibt die Installation und Konfiguration von Azure AD Cloud Sync.

Voraussetzungen und Lizenzierung

Für das Feature «Azure AD Cloud Sync» ist keine Lizenz notwendig.

  • Windows Server 2016 oder höher
  • Ausgehender Port 80 (CRL, Certificate Revocation Lists)
  • Ausgehender Port 443 (ausgehende Kommunikation zum Microsoft Online Service)
  • Zugriff auf die folgenden URLs
    – *.msappproxy.net
    – *.servicebus.windows.net
    – login.windows.net
    – login.microsoftonline.com
    – mscrl.microsoft.com
    – crl.microsoft.com
    – ocsp.msocsp.com
    – www.microsoft.com

Azure AD Cloud Sync weist noch nicht alle Features auf, welche von Azure AD Connect bekannt sind. Die folgende Tabelle zeigt die unterstützen Features an: https://docs.microsoft.com/en-us/azure/active-directory/cloud-sync/what-is-cloud-sync

Azure AD Cloud Sync Agent

Installation Agent

Der Agent steht im Azure Portal (https://portal.azure.com) unter «Azure Active Directory» > «Azure AD Connect» > «Cloud Sync» > «Agents» > «Download on-premises agent» zum Herunterladen bereit.

Bedingungen akzeptieren und Agent herunterladen

Installation mit Doppelklick auf die heruntergeladene Datei «AADConnectProvisioningAgentSetup.exe» starten.

Konfiguration Agent

Nach der erfolgreichen Installation wird der «AAD Connect Provisioning Agent Wizard» gestartet.

Erweiterung «HR-driven privisioning» auswählen

Die Verbindung zum Azure AD mit einem globalen Administrator herstellen

Der Service setzt ein gruppenverwaltetes Dienstkonto voraus.
Es kann entweder ein neues Dienstkonto angelegt werden oder ein bestehendes verwendet werden.
Die Credentials werden für das erstellen eines gruppenverwalteten Dienstkontos verwendet und die Credentials werden nicht dauerhaft gespeichert.

Verbindung zum lokalen Active Directory herstellen

Agent Konfiguration prüfen und bestätigen

Nach wenigen Minuten ist der Agent installiert

Um eine hohe Verfügbarkeit zu erreichen, kann der Agent auf die gleiche Weise auf weiteren Servern installiert werden.

Agent Status kontrollieren

Azure Portal

Im Azure Portal (https://portal.azure.com) werden unter «Azure Active Directory» > «Azure AD Connect» > «Cloud Sync» > «Agents» alle Agenten mit dem aktuellen Status aufgelistet.

Lokaler Server (Dienste)

Auf dem Server mit dem installierten Agent sind unter «Dienste» («services.msc») die folgenden Dienste ersichtlich und gestartet:

  • Microsoft Azure AD Connect Agent Updater
  • Microsoft Azure AD Connect Provisioning Agent
Sponsored Links

Bereitstellungsoptionen

Konfiguration

Für die Bereitstellung wird eine neue Konfiguration im Azure Portal (https://portal.azure.com) unter “Azure Active Directory” > “Azure AD Connect” > “Cloud Sync” > ”New configuration” erstellt.

Im nächsten Schritt wird die Active Directory Domain ausgewählt (1).
Es ist empfohlen, Password Hash Sync (2) zu aktivieren und damit folgende Vorteile zu nutzen:

  • Authentifizierung vollumfänglich in Azure durchführen
  • geleakte Passwörter erkennen und entsprechende Warnungen erhalten
  • Seamless SSO

Im nächsten Schritt werden alle Einstellungen angezeigt und können den eigenen Bedürfnissen angepasst werden.
Empfehlenswert sind die folgenden zu kontrollieren:

«Overview» > «Properties»

  • Einstellungen für «Password Hash Sync» prüfen
  • Email Adresse für Quarantäne Benachrichtigung hinterlegen

«Scoping filters» wird verwendet um festzulegen, welche Objekte vom Active Directory synchronisiert werden.

Wenn alle Einstellungen korrekt sind, wird die Konfiguration unter «Overview» > «Review and enable» aktivieren.

Nach ein paar Minuten wird der Status der Bereitstellung in der Übersicht von Cloud Sync angezeigt.

Bereitstellung kontrollieren

In den Logs unter «Azure Active Directory» > «Azure AD Connect» > «Cloud sync» > «Provisioning logs» wird detailliert aufgelistet, welche Synchronisationen durchgeführt werden.


Folge mir auf LinkedIn und lasse Dich über meine aktuellen Beiträge informieren.

Sponsored Links