Azure Active Directory Connect

, ,

Active Directory an Office 365 anbinden

Immer mehr Firmen nutzen auf Basis von Microsoft Azure den Cloud Service Microsoft Office 365. Dabei wird neben dem klassischen Office Produkt (bspw. Office 2016) jedem lizenzierten Benutzer ein Postfach auf Basis von Microsoft Exchange zur Verfügung gestellt. Das ist insofern praktisch, da es auch kleinen Unternehmen mit wenigen Postfächern ermöglicht Microsoft Exchange in Anspruch zu nehmen.

Neben Office 365 haben die meisten Firmen aber nach wie vor lokale Windows-Installationen in Betrieb, für die sie ein Active Directory zur Verwaltung der Benutzer und deren Rechte einsetzen. Der IT-Administrator steht anschließend vor der Aufgabe, daß an zwei Stellen Benutzer verwaltet werden müssen: Einmal im lokalen Active Directory und ein zweites Mal innerhalb des Office 365 Mandanten (engl. Tenant). Das ist insofern unschön, da jeder Benutzer dann einmal im Active Directory als auch in Office 365 gepflegt und verwaltet werden muss.

Microsoft Azure Directory Connect (bzw. Azure Directory Sync) löst dieses Problem, in dem das lokale Active Directory des Unternehmens mit dem Mandanten von Office 365 so verbunden wird, daß die angelegten Benutzer weiterhin nur an einer Stelle verwaltet werden müssen.

Voraussetzungen für den Directory Sync mit Azure

Damit die Synchronisation zwischen Active Directory und Office365 einwandfrei funktioniert, müssen einige Voraussetzungen erfüllt sein:

  • Eigentlich selbstverständlich: Ein Office 365 Mandant muss für die Firma angelegt und vorhanden sein.
  • Die Installation der Synchronisations-Software selbst muss auf einem Member Server innerhalb des Active Directory erfolgen. Die Installation auf einem Domain Controller ist zwar prinzipiell möglich wird aber nicht empfohlen.
  • Der Server auf dem Azure Directory Sync installiert wird, muss ein 64-bit Betriebssystem haben(Windows 2008 R2, Windows Server 2012 oder 2016)
  • Auf dem Server sollten min 70 GB Platz vorhanden sein. Als Mindestanforderung für den Hauptspeicher gibt Microsoft 4 GB RAM an.
  • Ein administrativer (d.h. privilegierter) Account im lokalen Active Directory
  • Ein administrativer Account im Office 365 Tenant (Mandant) bei Microsoft Azure

Eine gern übersehene Voraussetzung für die  erfolgreiche Verbindung zur Office 365 ist, daß die interne Domain des Active Directory (im Internet) routing-fähig ist.

In anderen Worten: keine domain.local oder .intra sondern „domain.com“ oder „domain.de“. Sofern Sie eine (bereits seit Jahre) bestehende interne Domain in ihrem AD haben, die auf eine nicht routing-fähige Endung hört (bspw. *.local), so kann mit einem so genannten Benutzerprinzipalname-Suffix dieser „Fehler“ behoben werden. Mehr dazu am Ende.

Hinweis: Was mit Azure AD Sync nicht geht

Der Wunsch manches Firmenchefs oder IT-Verantwortlichen zum Trotz: Das kostenfreie Verzeichnis von Benutzern bei Office 365 ersetzt nicht ein echtes Active-Directory im eigenen Rechenzentrum bzw. in den Räumen des eigenen Unternehmens. Mit dem reinen Office 365 kann man also keine lokalen Benutzer am heimischen PC authentifizieren.

Wer also den Wunsch nach einer vereinfachten Verwaltung von Computern und Ressourcen im Unternehmens-eigenen Windows Netz hat, der kommt auch weiterhin nicht um ein funktionierendes Active Directory herum.

Übrigens: Der Active Directory Sync muss schon aus Firewall-Gründen ein Push Mechanismus sein, der also vom bestehenden AD aus eine Synchronisation zu Office 365 hin anstößt. Wollte man aus Office 365 heraus einen Sync betreiben (was aber eben nicht geht), so müsste die Firewall des Unternehmens „aufgebohrt“ werden. Das ist aber in 99% aller Fälle weder gewollt noch sinnvoll.

Klappt der Sync denn auch?

Um bei der ersten – hoffentlich erfolgreichen Synchronisation direkt in Office 365 prüfen zu können, ob der Abgleich der Konto einwandfrei funktioniert, haben wir in unserem Active Directory einen Test-Benutzer angelegt, für den es in unserem Office 365 Mandanten noch kein Konto gibt.

In unserem Beispiel habe ich den Anwender „Peter Testmann“ angelegt und ihm ein Passwort vergeben.

Wichtig dabei. Das Feld E-Mail sollte ausgefüllt sein. Es wird später für die Synchronisation und eindeutige Zuordnung benötigt.

Installation von Azure Directory Sync

Nach dem wir nun alle Voraussetzungen geprüft haben und die Kontodaten der beiden notwendigen Accounts (einmal Office365 und einmal Admin aus dem lokalen Active Directory) beisammen haben, können wir auch loslegen.

Das Azure Directory Sync Tool kennt bei zwei Installationsarten:

  • Express und
  • Benutzerdefiniert mit angepassten Einstellungen

Die Express-Installation des Sync-Tools erfragt im wesentlichen „nur“ die Zugangsdaten der beiden Accounts für Office 365 und das lokale AD. Wer mehr Kontrolle über die Einrichtung und die Definition der Synchronisation haben möchte, sollte unbedingt die angepasste Einrichtung wählen. Im nachfolgenden beschreibe ich die benutzer-definierte Installation des Tools.

Starten der Installatoin von Azure Directory Sync

Starten der Azure AD Installation

Starten der Azure AD Installation

Zunächst laden wir das Programmpaket für den Directory Sync herunter:

https://www.microsoft.com/en-us/download/details.aspx?id=47594

Die Installation starten Sie als Administrator mit einem Doppelklick, akzeptieren die Lizenzbedingungen und klicken anschließend unten rechts auf „Weiter“.

 

 

Erforderliche Komponenten für Azure Directory Sync

Die erforderlichen Bestandteile des AC Sync

Die erforderlichen Bestandteile des AC Sync

In der nächsten Maske, können Sie folgende Dinge ändern:

– anderer Installationsort (Default: „C:\Program Files\Microsoft Azure AD Sync“)

– ein bestehender SQL Server (sonst wir ein SQL Express installiert)

– bestehender Account in der AD

– benutzerdefinierte Synchronisierungsgruppen Gruppen (statt Administratoren, Benutzer etc.)

 

Sofern Sie eine der Optionen anpassen möchten, setzen Sie den entsprechenden Haken.

Anschließend klicken Sie unten rechts auf „Installieren“.

 

Azure Sync: Benutzeranmeldung

Die Optionen für „Benutzeranmeldung“ steuert, wie im zukünftigen Sync die Passwörter synchronisiert werden.

Standardmäßig ist die „Kennworthashsynchronisierung“ ausgewählt. Dabei werden die verschlüsselten Hash-Werte der Passwörter vom lokalen AD nach Office 365 übertragen – umgekehrt allerdings nicht.

Für die meisten Anwendungsfälle wird dies allerdings vollkommen ausreichen.

Wer seinen Anwendern die Möglichkeit eines Single-Sign-On (SSO) zur Verfügung stellen möchte, der setzt ganz unten den Haken bei „Einmaliges Anmelden aktivieren“.

Anschließend klicken Sie wieder unten rechts auf „Weiter“.

Sync: Mit Azure AD verbinden

In der nächsten Maske geben Sie die Zugangsdaten eines administrativen Benutzers ihres Office 365 Mandanten an.

Bspw.: admin@<ihr-mandant>.onmicrosoft.com

Bei „Kennwort“ tragen Sie das Passwort ein.

 

Azure Sync: Verzeichnisse verbinden

Azure mit dem lokalen active Directory verbinden

Sofern Ihr Kennwort richtig war, erscheint nun die folgende Übersicht:

Als Verzeichnistyp sollte „Active Directory“ ausgewählt sein.

Darunter können Sie im Dropdown „Gesamtstruktur“ das Verzeichnis auswählen, das Sie synchronisieren möchten.

Klicken Sie dazu auf den günen Button „Verzeichnis hinzufügen“.

 

 

 

Danach sollte die Maske so aussehen:

Klicken Sie nun wieder unten rechts auf „Weiter“.

 

 

 

AD-Gesamtstrutkturkonto in der lokalen Domain

In der Übersicht „AD-Gesamtstrukturkonto“ werden Sie nun nach dem weiter oben erwähnten administrativen Account aus ihrem Active-Directory gefragt.

Dabei können Sie wählen ob für die Synchronisation ein neues Konto in ihrem AD angelegt wird oder ob Sie einen bestehenden Account (AD-Konto) nutzen möchten.

Ich empfehle hier das Programm ein neues AD-Konto anlegen zu lassen. Das dann angelegte Konto sollte wirklich nur zum Zweck der Synchronisierung verwendet werden.

Achtung: Um ein Konto durch das Sync-Tool anlegen zu lassen, müssen Sie um Feld „Benutzername des Unternehmensadministrators“ den Namen des Admin-Kontos in der Form „DOMAIN\Benutzer“ angeben. Das darunter liegende Feld für das Passwort war in unserem Fall mit der Maus nicht zu erreichen. Nur mittels TAB und „blindem“ Eingeben klappte es dann doch. – Klicken Sie anschließend auf „OK“.

Azure AD-Anmeldekonfiguration

In der nun folgenden Maske „Azure AD-Anmeldungskonfiguration“ legen Sie fest, welches Feld aus ihrem Active-Directory genutzt wird, um sicher zu stellen, dass Benutzer eindeutig sind.

Gemeint ist hier der so genannte „User Principal Name“ (kurz UPN). Sie sollten diesen den Wert auf „userPrincipalName“ belassen.

Damit ist die Langform der Anmeldung in der Form benutzer@domain.tld (also etwa: mark.testmann@beispiel.de“ gemeint

Wichtig: Setzen Sie hier bitte den Haken unten bei „Ohne Abgleich aller UPN-Suffixe …“ und klicken anschließend auf „Weiter“.

 

 

Azure Sync: Filtern von Domänen und Organisationseinheiten

In der Maske „Filtern von Domänen und Organisationseinheiten“ können Sie detailliert festlegen, was Sie genau synchronisiert haben wollen.

Es empfiehlt sich in jedem Fall die Benutzer (Users) zu synchronisieren. Ob Sie weitere Elemente synchronisieren möchten, muss jeweils in Ihrem Anwendungsfall entschieden werden.

Klicken Sie nach dem Anhaken der für Sie passenden Kreuze unten rechts auf „Weiter“.

 

 

Active Directory Sync: Ihre Benutzer werden eindeutig identifiziert

In der nun folgenden Maske „Ihre Benutzer werden eindeutig identifiziert“ können Sie vom Standard abweichende Einstellungen angeben, wo und wie das Sync-Tool sicherstellt, dass die Zuordnung von AD-Benutzern zu Office 365 Accounts korrekt erfolgt.

Sofern Sie ihre AD-Benutzer nur einmal angelegt haben, sollten Sie die Einstellungen im Standard so belassen:

Oben: „Benutzer werden nur ein Mail in allen Verzeichnissen dargestellt“.

Unten: „..Quellanker durch Azure verwalten lassen“.

Sofern Sie davon abweichen sollten Sie sowohl oben (im AD) und unten (in Office 365) einen Feld mit möglichst identischem Inhalt wählen – etwa die E-Mail Adresse (da diese immer eindeutig sein muss).Klicken Sie anschließend wieder unten rechts auf „Weiter“.

 

Directory Sync: Benutzer und Geräte filtern

In der Maske „Benutzer und Geräte filtern“ können Sie entscheiden ob Sie ein Alle Benutzer ihres Active Directory synchronisieren lassen möchten, oder ob Sie eine bestimmte Organisationseinheit (engl. OU) innerhalb ihres Directory auswählen.

Wenn Sie etwa mit Subdomains arbeiten, so können Sie hier die für ihren Anwendungsfall passende OU auswählen.

Klicken Sie anschließend wieder auf Weiter.

 

Azure Sync: Optionale Features

In der vorletzten Eingabemöglichkeit „Optionale Features“ können Sie folgende Einstellungen vornehmen:

Anpassungen zur Synchronisierung von Microsoft-Exchange und öffentlichen Ordnern von MS-Exchange.

Hinweis: Diese Option erscheint nur, wenn Sie vorher bereits einen Exchange Server in ihrem Active Directory in Betrieb haben.

Sofern Sie weiter oben die Standard-Option „Kennworthashsynchronisierung“ aktiviert haben, ist diese bereits angekreuzt und ausgegraut.

Klicken Sie nun noch einmal unten rechts auf Weiter.

 

Azure Active Directory Sync: Bereit zur Konfiguration

Herzlichen Glückwunsch: Sie sind nach diesem Options-Marathon auf der finalen Maske angelangt.

Sofern Sie den Haken bei „Starten Sie den Sychronisierungsvorgang, nach dem die Konfiguration abgeschlossen wurde“ gesetzt lassen, wird direkt nach der Installation des Tools der erste Abgleich zwischen dem Active Directory und ihrem Office 365 Mandanten erfolgen.

 

Klicken Sie (diesmal wirklich zum letzten Mal) unten rechts auf den grünen Button „Installieren“.

 

Sie erhalten die allerletzte Maske als Bestätigung, was nun synchronisiert wird.

Klicken Sie unten rechts auf „Beenden“.

 

 

 

 

 

Klappt die Synchronisation mit Azure Active Directory Sync?

Wenn nun alles richtig funktioniert hat, dann sollten wir den eingangs angelegten Testbenutzer „Peter Testmann“ in Office 365 wieder finden.

Um das zu prüfen loggen Sie sich mit einem administrativen Benutzer unter https://portal.office.com ein und klicken dort anschließend auf => Admin => Users => Active Users

Im Screenshot können Sie erkennen, dass „Peter Testmann“ erfolgreich angelegt wurde.

Melden Sie sich nun wieder von Office 365 ab. Anschließend melden Sie sich direkt wieder unter https://portal.office.com an. Diesmal nutzen Sie allerdings die Zugangsdaten ihres Testbenutzers aus dem lokalen Directory ihres Unternehmens.

Sie sollten sich nun mit dem Benutzernamen und dessen Passwort aus dem lokalen Active-Directory bei Office 365 anmelden können.

Troubleshooting und FAQ

Frage: Meine interne Active Directory Domain  hat eine Endung die im Internet nicht routing-fähig ist (z.B. domain.local) . Wie kann ich trotzdem meine bestehende Domain mit Office 365 verwenden?

Antwort: Sie müssen vor der Installation des Directory Sync ein zusätzliches Benutzerprinzipalnamen-Suffix (zu Deutsch: Domain-Endung) für ihre Domain anlegen.

Das geht so:

Auf einem Domain Controller ihrer internen AD öffnen Sie die Management-Konsole für Active Directory Domänen und Vertrauensstellungen. Im obersten Ast (oberhalb ihrer Domain) klicken Sie mit der rechten Maustaste auf „Active Directory-Domänen und –Vertrauensstellungen“ und dann auf Eigenschaften. Fügen Sie nun im Feld „Alternative Benutzerprinzipalnamen-Suffixe“ eine Routing-fähige Endung hinzu.

Bsp.: Wenn ihre bisherige AD-Domain „domain.local“ heißt, dann gehen Sie hier „domain.com“ oder „domain.de“ ein –also alles nach dem @ . Speichern Sie die Veränderungen mit „OK“ ab.

Bei der Anlage bzw. Bearbeitung eines Benutzerkontos können Sie anschließend statt der Endung @domain.local auch die gerade eingegebene Domain-Endung auswählen, die dann später bei Office 365 zur Anmeldung verwendet werden kann.

Wählen Sie dazu rechts neben dem Feld „Benutzeranmeldename“ die gewünschte Domain-Endung aus. Im Beispiel rechts wurden zwei zusätzliche Domain-Endungen vergeben.

Fazit:

Trotz des etwas länglichen Installations-Dialog bei der ersten Einrichtung von Azure Active Directory Sync kann man ein bestehendes Active Directory relativ einfach an Office 365 anbinden. Auf diese Weise erspart man sich die doppelte Administration der Benutzer (und ihrer Passwörter)  und kann so das vorhandene Directory komfortable zur Benutzer-Administration in beiden Welten verwenden.

Quellen:

Links

https://docs.microsoft.com/de-de/azure/active-directory/connect/active-directory-aadconnect-get-started-custom

Bücher:

Das über 1000 Seiten dicke Buch „Microsoft Office 365 – das umfassende Handbuch“ ist Nachschlagewerk und Einführung in einem.

https://www.amazon.de/Microsoft-Office-365-Administratoren-Deutschland/dp/383624473X/ref=pd_lpo_sbs_14_t_0?_encoding=UTF8&psc=1&refRID=AXJX91RQWZAXF5MWKBNJ