Alternative zu AAD Connect: Azure Active Directory Connect Cloud Provisioning

AAD Connect Cloud Provisioning bietet nicht nur eine bessere Option für die Verfügbarkeit, sondern reduziert auch die Anforderungen im eigenen Rechen­zentrum. Hier benötigt es nämlich nur die Installation eines Agents.

Agent installieren

Zu finden sind die Einstellungen für Cloud Provisioning im Azure Active Directory unter Azure AD Connect.

Über den Link Bereitstellung verwalten kann man den Agent herunterladen. Er lässt sich auf einem beliebigen Server, zum Beispiel auch auf einem Domänen-Controller installieren. Das Setup des Agents läuft von alleine durch und ist in wenigen Minuten erledigt.

Hinweis: Bei der Installation des Agents auf dem lokalen Server werden die Dienste Microsoft Azure AD Connect Agent Updater und Microsoft Azure AD Connect Provisioning Agent erstellt. Diese sollten ggf. ins Monitoring aufgenommen werden.

Bevor man loslegt, sollte man aber unbedingt die Voraussetzungen beachten. Das gilt besonders für die unterstützten Betriebs­systeme. Diese sind Windows Server ab 2012 R2 in englischer Sprache. Wird versucht, den Agent auf einem deutsch­sprachigen System zu installieren, so bricht der Vorgang beim Starten der Dienste ab. Zudem wird das .NET-Framework ab der Version 7.2.1 benötigt.

Nach der Agent-Installation kommt ein kleiner Wizard hoch, der Daten zu Microsoft 365 und für die Verbindung zum lokalen Active Directory abfragt.

Hinweis: Aktuell scheint es hier noch möglich zu sein, den lokalen AD-Administrator zu verwenden. Dies geht bei AAD Connect Sync nicht und sollte auch hier vermieden werden.

Cloud Provisioning konfigurieren

Nachdem der Wizard geschlossen wurde, ist der Agent einsatzbereit. Die weitere Konfiguration erfolgt im Azure AD unter Azure AD Connect => Azure AD Bereitstellung, da lokal auf dem Server, auf dem der Agent läuft, keine Instrumente zur Agent-Konfiguration zur Verfügung stehen (anders als beim alten AAD Connect).

Nach dem Klick auf Neue Konfiguration kann man die Azure AD Bereitstellung anpassen.

Unter Alle Agents überprüfen lassen sich die mit Azure AD verbundenen Agenten anzeigen.

Im Abschnitt 1 der neuen Konfiguration legt man die lokale Domäne und die Filter für Benutzer, welche synchronisiert werden sollen, fest.

Anders als bei AAD Connect, wo man Konten anhand von Attributen filtern kann, lässt sich die Synchronisierung auf Sicherheits­gruppen oder Organisations­einheiten einschränken (Gruppen werden von AAD Connect Sync in einer Produktiv­umgebung nicht unterstützt).

Umgekehrt lässt sich in der aktuellen Preview nicht einstellen, welche Attribute des Benutzers in die Cloud synchronisiert werden. Hier wird es in naher Zukunft aber bestimmt noch Nachbesserungen von Seiten Microsofts geben.

Unter  Punkt 2 wird der Sync von Kennwort-Hashes aktiviert, was auch im herkömmlichen AAD Connect möglich ist. Für den Fall, dass beim Abgleich zwischen den Verzeichnissen ein Fehler auftritt, kann man sich per E-Mail an eine Adresse benach­richtigen lassen, die man unter Punkt 3 hinterlegt.

Unter Punkt 4 aktiviert man schließlich die Bereitstellung und speichern ihre Einstellungen.

Nun stellt sich die Frage, woher weiß ich, welcher Agent nun den Sync durchführt? Dies ist direkt in der Bereitstellung unter Agent => Anzeigen zu sehen.

In meinem Fall sind zwei Server mit jeweils einem Agent verbunden.

Protokollierung

Auch hier wird wie in der On-prem-Variante einiges an Logs geschrieben, so dass man sehen kann, was gerade so passiert. Unter dem Reiter Protokolle sind die Logs zu finden, welche für die jeweilige Bereit­stellung aufgezeichnet wurden.

Bestimmte Einträge kann man über die Suchfunktion recherchieren und dann per Doppelklick in der Detailansicht öffnen.

Aktuell ergibt sich durch das Neben­einander der beiden Synchronisierungs-Tools die Situation, dass keines von beiden alle Funktionen des jeweils anderen beherrscht. Bei der Wahl zwischen den zwei Werkzeugen muss man daher auch abwägen, welche Funktionen für die geplanten Aufgaben besonders wichtig sind.

Der folgende Funktionsvergleich stammt von Microsoft Doc.

Funktion	AAD Connect-Synchro­nisierung	AAD Connect-Cloud-Bereit­stellung
Herstellen einer Verbindung mit einer einzelnen lokalen AD-Gesamtstruktur	●	●
Herstellen einer Verbindung mit mehreren lokalen AD-Gesamtstrukturen	●	●
Herstellen einer Verbindung mit mehreren getrennten lokalen AD-Gesamtstrukturen		●
Installationsmodell mit einfachen Agents		●
Mehrere aktive Agents für Hochverfügbarkeit		●
Herstellen einer Verbindung mit LDAP-Verzeichnissen	●
Unterstützung für Benutzerobjekte	●	●
Unterstützung für Gruppenobjekte	●	●
Unterstützung für Kontaktobjekte	●	●
Unterstützung für Geräteobjekte	●
Zulassen grundlegender Anpassungen von Attributflüssen	●	●
Synchronisieren von Exchange Online-Attributen	●	●
Synchronisieren der Erweiterungsattribute 1–15	●	●
Synchronisieren von benutzerdefinierten AD-Attributen (Verzeichnis­erweiterungen)	●
Unterstützung der Kennwort-Hash-Synchronisierung	●	●
Unterstützung der Passthrough-Authentifizierung	●
Verbundunterstützung	●	●
Nahtloses einmaliges Anmelden	●	●
Unterstützt die Installation auf einem Domänencontroller	●	●
Unterstützung für Windows Server 2012 und Windows Server 2012 R2	●	●
Filtern nach Domänen, Organisations­einheiten, Gruppen	●	●
Filterung nach den Attributwerten eines Objekts	●
Zulassen eines minimalen Attributsatzes für die Synchronisierung (MinSync)	●	●
Zulassen der Entfernung von Attributen aus dem Attributfluss von AD nach Azure AD	●	●
Zulassen einer erweiterten Anpassung des Attributflusses	●
Unterstützung für Writeback (Kennwörter, Geräte, Gruppen)	●
Azure AD Domain Services-Unterstützung	●
Exchange-Hybrid-Writeback	●
Unterstützung für mehr als 50.000 Objekte pro AD-Domäne	●