Einrichtung von Microsoft Entra Connect Sync (früher Azure AD Connect)

Die Anleitung beschreibt, wie Microsoft Entra Connect Sync (ehemals Azure AD Connect) installiert und konfiguriert wird, um lokale Active Directory-Benutzerkonten mit Azure AD zu synchronisieren. Der Prozess umfasst die Vorbereitung der lokalen Domäne, die Auswahl einer Synchronisationsmethode, die Einrichtung eines speziellen Azure-AD-Kontos und die benutzerdefinierte Konfiguration des Tools. Der Fokus liegt auf der Kennwort-Hash-Synchronisierung, die einfach zu implementieren ist und keine dauerhafte Internetverbindung erfordert. Tipps zur Verwaltung und Überprüfung der Einrichtung werden ebenfalls gegeben.
Inhaltsverzeichnis

Um Entra Connect Sync erfolgreich in Ihrer Umgebung zu installieren, stellen Sie sicher, dass ein benutzerdefinierter Domänenname für Ihre lokale Domäne in Azure AD registriert ist. Idealerweise wird das Tool auf einem Member-Server installiert; für eine einfache Einrichtung kann es jedoch auch direkt auf einem Domänen-Controller installiert werden.

Schritt 1: Vorbereitung der lokalen Domäne:

Falls Sie nur einen internen Domänennamen verwenden, müssen Sie in "Active Directory-Domänen und Vertrauensstellungen" zusätzliche öffentliche Domain-Suffixe hinzufügen, um sicherzustellen, dass Benutzerprincipalnamen korrekt synchronisiert werden können. Beachten Sie, dass Sie die eingetragenen Domänen besitzen müssen.

Schritt 2: Installation von Entra Connect SyncLaden Sie Entra Connect Sync direkt von Microsoft herunter oder nutzen Sie das Azure-Portal. Öffnen Sie den Dienst "Azure AD" und klicken Sie auf "Azure AD Connect", um den Installationslink zu finden.

Schritt 3: Auswahl der Synchronisierungsmethode:

Während der Installation haben Sie vier Hauptoptionen zur Synchronisation Ihrer lokalen Entitäten:

  1. Azure AD Cloud-Synchronisierung
  2. Kennwort-Hash-Synchronisierung
  3. Passthrough-Authentifizierung
  4. ADFS-Verbund

Wir empfehlen die Kennwort-Hash-Synchronisierung, da sie die einfachste und von Microsoft als Standardverfahren empfohlene Methode ist. Sie ermöglicht eine Synchronisation ohne ständige Abhängigkeit von einer Internetverbindung oder der Verfügbarkeit Ihres Domain-Controllers.

Schritt 4: Einrichtung eines Azure-AD-Kontos:

Für die Einrichtung von Entra Connect benötigen Sie ein separates Azure-AD-Konto mit der Berechtigung „Globaler Administrator“. Verwenden Sie nicht Ihr reguläres Administratorkonto, sondern erstellen Sie ein spezielles Konto, z. B. „syncadmin“, um mögliche MFA-Konflikte zu vermeiden.

Schritt 5: Installation und Konfiguration:

Starten Sie den Installationsassistenten und wählen Sie eine benutzerdefinierte Installation aus, um spezifische OUs (Organisationseinheiten) zu synchronisieren. Dies verhindert, dass unnötigerweise alle Benutzerkonten übertragen werden, was das Risiko minimiert, dass privilegierte Konten in die Cloud gelangen.

Schritt 6: Verbindung mit Azure AD:

Verbinden Sie den Assistenten mit Azure AD und fügen Sie die lokale Gesamtstruktur hinzu. Erstellen Sie ein neues AD-Konto, das für die Synchronisation verwendet wird. Stellen Sie sicher, dass das UPN-Suffix Ihrer lokalen Domäne in Azure AD überprüft wurde.

Schritt 7: Abschluss der Konfiguration:

Wählen Sie die OUs aus, die Sie synchronisieren möchten, und aktivieren Sie ggf. zusätzliche Features wie das Kennwort- oder Geräte-Zurückschreiben. Überprüfen Sie abschließend alle Einstellungen und starten Sie die Synchronisation.

Schritt 8: Überprüfung und Abschluss:

Das erstellte Synchronisationskonto wird als erstes vom lokalen AD in Azure AD übertragen. Sie können dies im Azure-Portal überprüfen, wo die synchronisierten Benutzer in der User-Verwaltung erscheinen.

Vergessen Sie nicht, den ADDS-Papierkorb zu aktivieren, um versehentlich gelöschte Objekte wiederherstellen zu können.