Azure AD Connect einrichten
Vorwort
Ich dachte erst AD Connect funktioniert nur, wenn man in seiner lokalen Domain auch einen echten Domainnamen verwendet, aber hier wurde ich damals seitens der Telekom wohl falsch informiert.
Heute nehme ich an (ohne es nochmal getestet zu haben), dass man auch eine lokale AD, die sich zum Beispiel test.local nennt, nach Office 365 synchronisieren kann. In diesem Fall sollten die User in der Cloud nur als Loginname und xxx.onmicrosoft.com enden.
Hat man bereits eine Domain in Office 365 hinterlegt, so kann man in der lokalen AD beim User unter „userPrincipalName“ die echte E-Mail-Adresse eingeben und der User wird dann auch mit dieser Einstellung in der Cloud aufgelistet.
Die Synchronisierung ist zeit gesteuert und erfolgt aus meiner Sicht nicht immer in einem festen Rhythmus. So kann eine lokale AD-Änderung einige Zeit benötigen, bis diese in der Cloud zu erkennen ist.
Anleitung
Azure AD Sync bzw . AD Connect ist hilfreich, wenn man eine eigene lokale Domain pflegt und die User von dort in Office 365 anlegen möchte.
Hierfür muss „AD Connect“ auf dem lokalen AD installiert und eingerichtet werden.
Bevor man damit beginnt, empfehle ich eine Gruppe namens „ADSyncOfficeUsers“ anzulegen und in diese Gruppe nur die User hinzuzufügen, welche mit Office 365 synchronisiert werden sollen.
Beim installieren von „AD Connect“ würde ich NIE die Express-Einstellungen verwenden! Wer das macht, synchronisiert seine ganze Lokale Domain mit allen Benutzern, Gruppen und Geräten nach Office 365 und das wäre mir zu viel.
Beim Einrichten muss man den Dialogen folgen und seine Domain (Verzeichnis) hinzufügen. Danach wählt man aus was synchronisiert werden soll, hier habe ich mich bewusst nur für „Users“ entschieden und im nächsten Schritt auch auf die oben angelegte neue Gruppe den Filter beschränkt. So werden nur die User mit Office 365 synchronisiert, welche auch in dieser Gruppe aufgeführt werden.
Beim Einstellen kann man festlegen wie sich Authentifiziert werden soll, hier habe ich nur die Kennworthash-Funktion aktiviert. Hierbei wird das Passwort des Users verschlüsselt an Office 365 übergeben. Meldet sich nun jemand an Office 365 an, dann wird nur der verschlüsselte Teil verglichen. Es erfolgt kein echtes Anmelden an die lokale Domain. Wer das möchte kann dies aber auch so einrichten, aber so muss ständig bei jeder Anmeldung die lokale Domain bzw. die Anmelde-Prozesse von extern erreichbar sein.
ACHTUNG:
Das Kennwort-/Gruppen-Rückschreiben funktioniert nur, wenn man die passende Azure P1 oder P2 Lizenz für jeden User wo das möglich sein soll hat.
Sobald das Setup erfolgreich zu Ende gebracht wurde, werden in Office 365 alle User aus der Gruppe „ADSyncOfficeUsers“ aufgelistet und haben das Kennwort aus der lokalen Domain. Man kann das Kennwort in Office 365 ändern, aber es wird immer wieder mit dem Kennwort aus der lokalen AD überschrieben.
Ordnet man lokale Gruppen zur neue Gruppe „ADSyncOfficeUsers“ hinzu, so werden auch diese Gruppen als „E-Mail aktivierte Sicherheitsgruppe“ in der Cloud angelegt. Die Gruppe kann aber nur über die lokale AD bearbeitet werden.
Nachdem die User in der Cloud angelegt wurden, weißt man diesen noch die passenden Lizenzen zu und der User kann mit Office 365 anfangen zu arbeiten.
Umfasst die zugewiesene Lizenz auch Exchange Online, so wird auch gleich ein E-Mail-Postfach eingerichtet.
Normalerweise soll man so erstellte Users in Office 365 nicht löschen können, aber irgendwie klappte das bei mir dennoch.
Richtig wäre wohl der Weg, den User aus der lokalen Gruppe „ADSyncOfficeUsers“ zu entfernen. Der User wird auf der Seite von Office 365 gelöscht und ist für 30 Tage dort noch zu finden. Den User kann man nun in Office 365 wiederherstellen und schon ist der User nur noch in der Cloud.
Verhalten
Synchronisiert man aus der lokalen AD die User zu Office 365, so werden bestimmte Merkmale dort übergeben und überschrieben. Werden diese Merkmale in Office 365 geändert, so können diese Merkmale beim nächsten Durchlauf durch die Einstellungen der lokalen AD überschreiben werden.
z.B. Ein User wird in der lokalen AD gesperrt -> in Office 365 wird dieser nun ebenso für den Login gesperrt. Ändert man dieses Einstellung in Office 365, so hält diese Einstellung nicht lange an und wird von der lokalen AD wieder als gesperrt Überschrieben.
Im Default wird der „userPrincipalName“ vom lokalen AD zur Cloud synchronisiert. Dieser Eintrag enthält in der Regel die E-Mail-Adresse zusammengesetzt aus dem User- und lokalen Domainnamen. Dieser Name wird, wenn diese Domain in Office 365 bereits hinzugefügt wurde, als Loginname für die Cloud verwendet. Existiert diese Domain aber nicht, so wird nur der Benutzername + des Tenant-Domainnamen xxx.onmicrosoft.com verwendet.
Erweiterte Einrichtungen
Da User-Eigenschaften über AD Connect aus der lokalen Domain stammen, kann man bestimmte Eigenschaften zum User in der Cloud nicht ändern. Man muss diese Änderungen in der lokalen Domain umsetzen und diese werden dann zur Cloud synchronisiert.
Aliases Einrichten
In lokaler Domain in den User-Eigenschaften über Attribut-Editor das Attribut „proxyAdresses“ aufrufen und durch „smpt:[zusätzlicherAliases]@meineDomain.de“ erweitern.
