Active Directory-Benutzer in reine Cloud-Konten konvertieren

    , 06.04.2022
    Tags: , ,

    Azure AD ConnectDie meisten Organisationen beginnen ihren Weg in die Cloud mit dem Hybrid­modus. Dabei synchro­nisiert Azure AD Connect die lokalen Benutzer nach Microsoft 365. Möchte eine Firma dann von der hybriden auf eine reine Cloud-Umgebung umsteigen, dann lassen sich die synchro­nisierten Benutzer zu Cloud-Accounts konvertieren.

    Eine typische Anwendung für die Konvertierung von Benutzern sind Administratoren. Sie sollten für die Cloud ein anderes Konto verwenden als in der On-Premises-Welt. Solche Benutzer synchronisiert man daher aus Sicherheits­gründen nicht via AAD Connect, sondern sie sollten eigenständige Cloud-User sein.

    In den meisten Fällen wird aber initial mit einem Cloud-Admin gearbeitet, welcher durch Azure AD Connect synchronisiert wurde. Diesen muss man anschließend von AAD Connect entkoppeln.

    Dabei ist generell zu bedenken, dass die Konten nach dieser Auftrennung in zwei Infrastrukturen separat gepflegt werden müssen. Dies führt unter Umständen auch zu Problemen beim On/Offboarding.

    Das Entkoppeln lässt sich mit zwei verschiedenen Methoden erreichen.

    Entkoppeln durch Löschen und Wiederherstellen

    Erstellen Sie zuerst eine Organisationeinheit (OU) im Active Directory, welche nicht zu M365 synchronisiert wird. In diese OU verschieben Sie alle Benutzer, welche in reine Cloud-User konvertiert werden sollen.

    Durch das Verschieben der Benutzer in eine nicht synchronisierte OU löscht die Synchronisation über den AAD Connector die betreffenden Konten in M365. Sie befinden sich nun im Admin-Portal unter Gelöschte Benutzer.

    Die nicht mehr synchronisierten Konten aus dem AD werden in der Cloud gelöscht.

    Von dort kann man die Benutzer wiederherstellen. Ein Problem dabei ist nur, dass man das Kennwort danach neu setzen muss.

    Gelöschte Benutzer über das M365 Admin Center wiederherstellen

    Die Benutzer tauchen anschließend wieder unter Aktive Benutzer auf. In der Spalte Synchronisations­status werden sie nun mit einer kleinen Wolke markiert. Sie signalisiert, dass es sich von nun an um Cloud-User handelt.

    Gelöschte Benutzer werden nach ihrer Wiederherstellung mit einem Cloud-Symbol versehen

    Als Best Practice aktualisiert man im nächsten Schritt die Immutable ID via PowerShell:

    Set-MSOLUser -UserPrincipalName roland.krueger@re.onmicrosoft.com `
    -ImmutableID "$null"

    Synchronisierung anhalten und ID entfernen

    Die zweite Möglichkeit ist etwas aufwändiger, aber sie ermöglicht dem Benutzer, sein Kennwort zu behalten.

    Zuerst hält man die Verzeichnis­synchroni­sierung an, wodurch alle User kurzzeitig zu reinen Cloud-Benutzern werden. Dies sollte man auf dem Server erledigen, welcher den AAD Connector vorhält, da ein Deltasync vor dem Anhalten notwendig ist:

    Start-ADSyncSyncCycle Delta
    Set-MsolDirSyncEnabled -EnableDirSync $false

    Delta-Synchronisierung ausführen und Abgleich der Verzeichnisse anhalten

    Im Admin-Portal von Microsoft 365 sollten nun alle Benutzer beim Synchroni­sations­status mit einem Wolkensymbol versehen sein.

    Das Anhalten der Synchronisierung konvertiert die Benutzer in Cloud-User

    Jetzt entfernt man bei jedem Benutzer, welcher ein Cloud-User werden soll, auch hier die Immutable ID:

    Set-MSOLUser -UserPrincipalName roland.krueger@re.onmicrosoft.com `
     -ImmutableID "$null"

    Nun verschiebt man diese Benutzer im lokalen AD in eine OU, welche nicht vom AAD Connect erfasst wird. Danach kann man die Verzeichnis­synchronisation wieder aktivieren:

    Set-MsolDirSyncEnabled -EnableDirSync $true

    Synchronisierung über AAD Connect mittels PowerShell neu starten

    Zusätzlich sollte eine initiale Synchronisation angestoßen werden, um die On-Prem-User wieder mit den Cloud-Benutzern zu verbinden:

    Start-ADSyncSyncCycle -PolicyType Initial

    Es kann einige Zeit dauern, bis die Verzeichnis­synchronisation mit M365 abgeschlossen wurde und der Synchronisations­status korrekt ist.

    Die Synchronisierung verbindet die hybriden On-Prem-User wieder mit ihren Cloud-Accounts.

    Nachdem man die Benutzer in eine OU verschoben hat, welche nicht vom AAD Connector synchronisiert wird, sollte man sie auch hier belassen, oder wenn sie im lokalen AD nicht mehr benötigt werden, einfach löschen.

    Verschiebt man die Benutzer nämlich wieder zurück in ihre ursprüngliche OU, dann kann dies zu Synchronisations­problemen führen.

    Das Verschieben von Konten in ihre ursprüngliche OU kann zu Sync-Problemen führen

    Weiterhin wichtig zu erwähnen ist, dass Inhalte und Berechtigungen der Benutzer durch die beschriebene Operation nicht verloren gehen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Roland Eich

    Roland Eich ist gelernter Fach­infor­matiker für System­inte­gration und in der IT seit über 14 Jahren zu Hause. Roland deckt auf­grund seiner Erfah­rungen ein breites Spek­trum der Microsoft-Produkt­palette ab.Zudem besitzt er ver­schiedene Zertifi­zierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
    // Kontakt: E-Mail //

    Verwandte Beiträge

    Weitere Links

    1 Kommentar

    Thomas (Besucher) sagt:
    16. Februar 2023 - 17:03

    Super Anleitung, Dank! Gibt es auf diesem Weg auch die Möglichkeit, ein Cloudkonto mit einem neuen lokalen User zu koppeln? Wir hatten das Problem, dass wir ein defektes Profil ohne Lösung haben, welches wir neu erstellen mussten. Ich hab jetzt den lokalen AD User gelöscht und den Onlineaccount wiederhergestellt. Lokal einen neuen User erstellt, laut MS sollte es ein Hardmatching für den User geben, das passiert aber leider nicht. Da ich jetzt einen weiteren Onlineaccount für den neuen lokalen User hab.

    Danke für einen Tipp!