Tags: Active Directory, Microsoft 365, Synchronisierung
Die meisten Organisationen beginnen ihren Weg in die Cloud mit dem Hybridmodus. Dabei synchronisiert Azure AD Connect die lokalen Benutzer nach Microsoft 365. Möchte eine Firma dann von der hybriden auf eine reine Cloud-Umgebung umsteigen, dann lassen sich die synchronisierten Benutzer zu Cloud-Accounts konvertieren.
Eine typische Anwendung für die Konvertierung von Benutzern sind Administratoren. Sie sollten für die Cloud ein anderes Konto verwenden als in der On-Premises-Welt. Solche Benutzer synchronisiert man daher aus Sicherheitsgründen nicht via AAD Connect, sondern sie sollten eigenständige Cloud-User sein.
In den meisten Fällen wird aber initial mit einem Cloud-Admin gearbeitet, welcher durch Azure AD Connect synchronisiert wurde. Diesen muss man anschließend von AAD Connect entkoppeln.
Dabei ist generell zu bedenken, dass die Konten nach dieser Auftrennung in zwei Infrastrukturen separat gepflegt werden müssen. Dies führt unter Umständen auch zu Problemen beim On/Offboarding.
Das Entkoppeln lässt sich mit zwei verschiedenen Methoden erreichen.
Entkoppeln durch Löschen und Wiederherstellen
Erstellen Sie zuerst eine Organisationeinheit (OU) im Active Directory, welche nicht zu M365 synchronisiert wird. In diese OU verschieben Sie alle Benutzer, welche in reine Cloud-User konvertiert werden sollen.
Durch das Verschieben der Benutzer in eine nicht synchronisierte OU löscht die Synchronisation über den AAD Connector die betreffenden Konten in M365. Sie befinden sich nun im Admin-Portal unter Gelöschte Benutzer.
Von dort kann man die Benutzer wiederherstellen. Ein Problem dabei ist nur, dass man das Kennwort danach neu setzen muss.
Die Benutzer tauchen anschließend wieder unter Aktive Benutzer auf. In der Spalte Synchronisationsstatus werden sie nun mit einer kleinen Wolke markiert. Sie signalisiert, dass es sich von nun an um Cloud-User handelt.
Als Best Practice aktualisiert man im nächsten Schritt die Immutable ID via PowerShell:
Set-MSOLUser -UserPrincipalName roland.krueger@re.onmicrosoft.com `
-ImmutableID "$null"
Synchronisierung anhalten und ID entfernen
Die zweite Möglichkeit ist etwas aufwändiger, aber sie ermöglicht dem Benutzer, sein Kennwort zu behalten.
Zuerst hält man die Verzeichnissynchronisierung an, wodurch alle User kurzzeitig zu reinen Cloud-Benutzern werden. Dies sollte man auf dem Server erledigen, welcher den AAD Connector vorhält, da ein Deltasync vor dem Anhalten notwendig ist:
Start-ADSyncSyncCycle Delta
Set-MsolDirSyncEnabled -EnableDirSync $false
Im Admin-Portal von Microsoft 365 sollten nun alle Benutzer beim Synchronisationsstatus mit einem Wolkensymbol versehen sein.
Jetzt entfernt man bei jedem Benutzer, welcher ein Cloud-User werden soll, auch hier die Immutable ID:
Set-MSOLUser -UserPrincipalName roland.krueger@re.onmicrosoft.com `
-ImmutableID "$null"
Nun verschiebt man diese Benutzer im lokalen AD in eine OU, welche nicht vom AAD Connect erfasst wird. Danach kann man die Verzeichnissynchronisation wieder aktivieren:
Set-MsolDirSyncEnabled -EnableDirSync $true
Zusätzlich sollte eine initiale Synchronisation angestoßen werden, um die On-Prem-User wieder mit den Cloud-Benutzern zu verbinden:
Start-ADSyncSyncCycle -PolicyType Initial
Es kann einige Zeit dauern, bis die Verzeichnissynchronisation mit M365 abgeschlossen wurde und der Synchronisationsstatus korrekt ist.
Nachdem man die Benutzer in eine OU verschoben hat, welche nicht vom AAD Connector synchronisiert wird, sollte man sie auch hier belassen, oder wenn sie im lokalen AD nicht mehr benötigt werden, einfach löschen.
Verschiebt man die Benutzer nämlich wieder zurück in ihre ursprüngliche OU, dann kann dies zu Synchronisationsproblemen führen.
Weiterhin wichtig zu erwähnen ist, dass Inhalte und Berechtigungen der Benutzer durch die beschriebene Operation nicht verloren gehen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Roland Eich ist gelernter Fachinformatiker für Systemintegration und in der IT seit über 14 Jahren zu Hause. Roland deckt aufgrund seiner Erfahrungen ein breites Spektrum der Microsoft-Produktpalette ab.Zudem besitzt er verschiedene Zertifizierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
// Kontakt: E-Mail //
Verwandte Beiträge
- Identitäten für Microsoft 365: nur Cloud, synchronisiert oder föderiert
- Mehrere Active Directory-Forests zu einem Microsoft-365-Tenant migrieren
- Exchange Server und Office 365 parallel: AAD Connect installieren, Hybridmodus konfigurieren
- IdFix: Fehler im Active Directory finden, Sync mit Azure AD vorbereiten
- Geräte über Hybrid Join in Azure AD registrieren
Weitere Links
1 Kommentar
Super Anleitung, Dank! Gibt es auf diesem Weg auch die Möglichkeit, ein Cloudkonto mit einem neuen lokalen User zu koppeln? Wir hatten das Problem, dass wir ein defektes Profil ohne Lösung haben, welches wir neu erstellen mussten. Ich hab jetzt den lokalen AD User gelöscht und den Onlineaccount wiederhergestellt. Lokal einen neuen User erstellt, laut MS sollte es ein Hardmatching für den User geben, das passiert aber leider nicht. Da ich jetzt einen weiteren Onlineaccount für den neuen lokalen User hab.
Danke für einen Tipp!