Wenn Sie mehr als eine Handvoll Benutzer in Office 365 verwalten und diese Benutzer gleichzeitig auch noch über ein Konto in Ihrer lokalen Infrastruktur verfügen, dann kommt sehr schnell der Wunsch auf, die beiden Konten zu synchroniseren und nur noch an einer Stelle zu verwalten.
Azure Active Directory Synchronization Managed Service
Im Rahmen unseres Angebots "Azure Actice Directory Synchronization Managed Service" übernimmt die InSys AG als Full-Service-Angebot die komplette Einrichtung, Betreuung und Überwachung der Kopplung Ihres Active Directories an die Dienste von Microsoft Office 365 inkl. aller Updates und einer Hotline zur Enstörung im Fehlerfall.
Technische Details
Zur Erfüllung dieser Aufgaben verwenden wir ein Microsoft Tool namens Azure Active Directory Synchronization Service (AAD Sync), mit dem lokale Benutzerkonten regelmäßig mit Office 365 und Azure AD in der Cloud abgeglichen werden können. Benutzerkonten werden dann nur noch im lokalen Active Directory angelegt und gepflegt und (in den Standardeinstellungen) alle 3 Stunden mit Office 365 abgeglichen. Dabei wird auf Wunsch auch das lokale Kennwort eines Benutzers für seine Cloudanwendungen übernommen, so daß der User nicht mehr mit unterschiedlichen Kennwörtern hantieren muss. Der Kennwortabgleich erfolgt alle 2 Minuten, bei Änderungen sofort. Per Powershell kann der Synchronisationsvorgang auch jederzeit manuell angestossen werden.
AAD Sync sollte auf einem separaten Server (VM) eingerichtet werden und nicht auf einem Domänencontroller laufen. Den Download von AAD Sync erledigen Sie aus Ihrem Office 365 Serviceportal während der Einrichtung der Active Directory Synchronisation.
Vor der Einrichtung von AAD Sync empfiehlt es sich, das lokale Active Directory auf nicht synchronisierbare Konten zu überprüfen. Dieses sind in der Praxis meist Konten, die Sonderzeichen in wichtigen Systemfeldern enthalten. Diese Konten müssen bereinigt werden, damit AAD Sync sie richtig behandeln kann.
Microsoft hat zu diesem Zweck das IdFix DirSync Error Remediation Tool zur Verfügung gestellt, mit dem sich das lokale AD auf "fehlerhafte" Konten überprüfen lässt.
Sie können in AAD Sync filtern, welche Benutzer (OUs) mit Azure Active Directory synchronisiert werden sollen, so dass nicht pauschal ihr komplettes AD mit der Cloud gesynct wird.
Wenn Sie AAD Sync nicht von Anfang an einsetzen, und bereits einige lokale Benutzer auch schon über Office 365 Accounts verfügen, dann können diese Konten mit einander verbunden (gematcht) werden, ohne dass Daten verloren gehen. Hier gibt es unterschiedliche Verfahren (Hardmatching / Softmatching), die im Vorfeld des Einsatzes von AAD Sync ausführlich besprochen werden sollten.
Aus Erfahrung können wir sagen, dass es früher oder später in jeder Umgebung auf den Einsatz von AAD Sync hinauslaufen wird. Wir können Ihnen daher nur ans Herz legen, von Beginn an AAD Sync einzusetzen und die spätere Problematik "Matching" so von Anfang an zu vermeiden!
Vor dem Einsatz von AAD Sync (und seinem Vorgänger DirSync) sind einige grundsätzliche Überlegungen bezüglich hybrider Office 365-Szenarien anzustellen, da der Einsatz der Sync Tools einige Auswirkungen auf spätere Migrationen z.B. von Exchange hat! Diese Überlegungen sind unbedingt vor dem erstmaligen Einsatz eines Sync-Tools anzustellen!
Wir als InSys AG haben bereits zahlreiche Projekte mit AAD Sync und Dirsync erfolgreich umgesetzt und stehen Ihnen jederzeit gerne unterstützend zur Seite oder führen die Einrichtung von AAD Sync auch gerne vollständig bei Ihnen durch.
Nehmen Sie jetzt Kontakt mit unserem Office 365 Support auf und planen Sie mit uns Ihre professionelle Bereitstellung von Microsoft Office 365.
Active Directory Federation Services (ADFS)
Nach der erfolgreichen Implementierung der Active Directory Synchronisation mit Kennwortreplikation besteht anschließend noch die Möglichkeit, einen Single Sign-On Prozess für Office 365 zu etablieren.
Durch den Einsatz von Active Directory Federation Services (ADFS) entfällt die zusätzliche Anmeldung der Benutzer an Office 365 im Browser und anderen Applikationen - der Benutzer wird im Hintergrund automatisch "durchauthentifiziert".
Bitte wenden Sie sich an uns, um den (redundanten) Einsatz von ADFS in Ihrem Unternehmen zu planen!