Microsoft Entra Cloud Sync ist eine fortschrittliche Synchronisationslösung, die eine nahtlose Integration von Objekten aus dem Active Directory in Microsoft Entra ID ermöglicht. Diese Technologie vereinfacht die Synchronisation durch die Orchestrierung der Bereitstellung von Active Directory-Objekten in Microsoft Entra ID innerhalb der Microsoft Cloud Services. Für die lokale Infrastruktur ist lediglich die Installation eines schlanken Agenten erforderlich, was die Komplexität reduziert und die Effizienz steigert.

Die Konfiguration der Synchronisierung erfolgt zentral über das Microsoft Entra Admin Center. Durch die Installation des Microsoft Entra Cloud Sync-Agenten auf verschiedenen lokalen Servern lässt sich eine hochverfügbare Architektur realisieren.

Diese Anleitung führt durch die Schritte der Installation und Konfiguration von Microsoft Entra Cloud Sync, um eine effiziente und resiliente Synchronisation zu gewährleisten.

Voraussetzungen und Lizenzierung

Für das Feature Microsoft Entra Cloud Sync ist keine Lizenz notwendig.

Anforderungen des Agenten:

  • Windows Server 2016 oder höher
  • Ausgehender Port 80 (CRL, Certificate Revocation Lists)
  • Ausgehender Port 443 (ausgehende Kommunikation zum Microsoft Online Service)
  • Zugriff auf die folgenden URLs
    – *.msappproxy.net
    – *.servicebus.windows.net
    – login.windows.net
    – login.microsoftonline.com
    – mscrl.microsoft.com
    – crl.microsoft.com
    – ocsp.msocsp.com
    – www.microsoft.com

Microsoft Entra Cloud Sync verfügt derzeit nicht über alle Funktionen, die bei Microsoft Entra Connect verfügbar sind. In der nachstehenden Tabelle sind die bereits unterstützten Features aufgeführt: https://learn.microsoft.com/de-ch/entra/identity/hybrid/cloud-sync/what-is-cloud-sync#comparison-between-microsoft-entra-connect-and-cloud-sync

Microsoft Entra Cloud Sync Agent

Installation Agent

Der Agent steht im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Identität > Hybridverwaltung > Microsoft Entra Connect > Cloudsynchronisierung > Agents > Lokalen Agent herunterladen zum Herunterladen bereit.

Um den Agenten herunterzuladen, auf Bedingungen annehmen und herunterladen klicken.

Installation mit Doppelklick auf die heruntergeladene Datei AADConnectProvisioningAgentSetup.exe starten.

Microsoft Entra Provisioning Agent Package license terms
Microsoft Entra Provisioning Agent Package setup progress

Nach erfolgreicher Installation das Fenster durch Klicken auf Close schliessen.

Microsoft Entra Provisioning Agent Package setup successfull

Konfiguration Agent

Nach der erfolgreichen Installation startet der Microsoft Entra Provisioning Agent Wizard automatisch, um die weitere Konfiguration durchzuführen. Mit Klick auf Next die Konfiguration starten.

Erweiterung HR-driven provisioning auswählen.

Die Verbindung zu Microsoft Entra ID mit einem globalen Administrator Konto herstellen.

Für den Service ist ein gruppenverwaltetes Dienstkonto (gMSA) erforderlich. Es besteht die Möglichkeit, ein neues Konto zu erstellen oder ein bereits vorhandenes zu nutzen. Die Anmeldeinformationen werden ausschliesslich für die Einrichtung des gMSA genutzt und nicht permanent gespeichert.

Verbindung zum Active Directory herstellen.

Agent Konfiguration prüfen und mit Confirm bestätigen.

Nach wenigen Minuten ist der Agent erfolgreich konfiguriert. Fenster mit Exit schliessen.

Zur Gewährleistung einer hohen Verfügbarkeit lässt sich der Agent nach demselben Verfahren auf zusätzlichen Servern einrichten.

Agent Status kontrollieren

Microsoft Entra Admin Center

Im Microsoft Entra Admin Center (https://entra.microsoft.com) werden unter Identität > Hybridverwaltung > Microsoft Entra Connect > Cloudsynchronisierung > Agents alle Agenten mit dem aktuellen Status aufgelistet.

Lokaler Server

Auf dem Server, auf dem der Agent installiert ist, sind in der Diensteverwaltung (services.msc) die folgenden Dienste sichtbar und gestartet:

  • Microsoft Azure AD Connect Agent Updater
  • Microsoft Azure AD Connect Provisioning Agent

Cloudsynchronisierung einrichten

Konfiguration

Für die Synchronisierung der Active Directory Objekte zu Microsoft Entra ID wird eine neue Konfiguration im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Identität > Hybridverwaltung > Microsoft Entra Connect > Cloudsynchronisierung > Konfiguration > Neue Konfiguration > AD-zu-Microsoft Entra-ID-Synchronisierung erstellt.

Im nächsten Schritt wird die Active Directory Domain ausgewählt (1).
Empfehlenswert: Password Hash Sync (2) aktivieren und damit folgende Vorteile zu nutzen:

  • Authentifizierung vollständig über Microsoft Entra ID durchführen
  • Erkennung von geleakten Passwörtern und Erhalt entsprechender Warnmeldungen
  • Nahtloses Single Sign-On (SSO) ermöglichen

Weiter mit Create (3).

Im nächsten Schritt werden alle Einstellungen angezeigt und den eigenen Bedürfnissen angepasst.
Die Kontrolle und Anpassung der folgenden Einstellungen ist empfehlenswert:
Übersicht > Eigenschaften

  • Einstellungen für Kennworthashsynchronisierung (1) prüfen
  • Email Benachrichtigungsempfänger (2) für Quarantäne Benachrichtigung hinterlegen

Scoping-Filters dienen dazu, die Auswahl der Objekte zu spezifizieren, die mit dem Active Directory synchronisiert werden sollen. Im Standard werden alle Benutzer synchronisiert. Aus persönlicher Perspektive favorisiere ich die Selektion der zu synchronisierenden Objekte über die Active Directory Organisationseinheiten.

Sind alle Einstellungen korrekt, kann die Konfiguration unter Übersicht > Überprüfen und aktivieren > Konfiguration aktivieren aktiviert werden.

Kurze Zeit nach der Konfiguration zeigt die Übersicht von Cloud Sync den Status der Bereitstellung an.

Konfiguration kontrollieren

In den Protokollen unter Microsoft Entra Admin Center (https://entra.microsoft.com) > Identität > Hybridverwaltung > Microsoft Entra Connect > Cloudsynchronisierung > Bereitstellungsprotokolle werden die durchgeführten Synchronisationen dokumentiert.

Gut zu wissen

Bereitstellung bei Bedarf

Bei Bedarf kann ein einzelnes Active Directory Objekt manuell synchronisiert werden. Hierzu im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Identität > Hybridverwaltung > Microsoft Entra Connect > Cloudsynchronisierung > Konfiguration die Konfiguration auswählen, welche das Active Directory Objekt abdeckt.

Bei Bedarf bereitstellen (1) auswählen, Distinguished Name (2) des Benutzers aus dem Active Directory einfügen und mit Bereitstellen (3) die Synchronisation starten.

Nach kurzer Zeit wird der Status der Bereitstellung angezeigt.

Koexistenz Microsoft Entra Connect und Microsoft Entra Cloud Sync

Microsoft Entra Cloud Sync und Microsoft Entra Connect können im koexistenten Betrieb auf einem einzigen Server installiert und betrieben werden. Diese Konfiguration ermöglicht es, die Vorteile beider Synchronisierungsmethoden zu nutzen. Während Microsoft Entra Connect die Synchronisierungsaufgaben direkt auf dem lokalen Server durchführt, nutzt Microsoft Entra Cloud Sync eine in der Cloud hinterlegte Bereitstellungskonfiguration, um die Synchronisierungsdienste effizient zu verwalten.

gMSA

Das verwaltete Dienstkonto (Managed Service Account, gMSA), das bei der Konfiguration von Microsoft Entra Cloud Sync angelegt wurde, ist im Active Directory in der Organisationseinheit Managed Service Accounts abgelegt.


Folge mir auf LinkedIn, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.

Auf LinkedIn folgen