Alternative zu AAD Connect: Azure Active Directory Connect Cloud Provisioning

    Agent für Azure AD Bereitstellung installierenAls Alternative zu AAD Connect Sync hat Micro­soft vor kurzem AAD Connect Cloud Provisioning als Preview vorgestellt. Es benötigt weniger Ressourcen für die Synchro­nisation des lokalen Active Directory mit Azure AD und bietet höhere Ausfall­sicherheit. Das Tool bietet aber nicht alle Funk­tionen von AAD Connect Sync.

    Das altbekannte AAD Connect Sync ist eine On-prem-Anwendung und benötigt einen eigenen Server inklusive SQL-Datenbank. Dabei darf es nur einen aktiven Server geben, welcher die Verzeichnisse synchronisiert. Für die Ausfall­sicherheit kann man einen Ersatz-Server einrichten, den man aber im Staging-Modus betreiben muss.

    AAD Connect Cloud Provisioning bietet nicht nur eine bessere Option für die Verfügbarkeit, sondern reduziert auch die Anforderungen im eigenen Rechen­zentrum. Hier benötigt es nämlich nur die Installation eines Agents.

    Agent installieren

    Zu finden sind die Einstellungen für Cloud Provisioning im Azure Active Directory unter Azure AD Connect.

    Die Verwaltung von  Azure Active Directory Connect Cloud Provisioning erfolgt über das Azure-Portal.

    Über den Link Bereitstellung verwalten kann man den Agent herunterladen. Er lässt sich auf einem beliebigen Server, zum Beispiel auch auf einem Domänen-Controller installieren. Das Setup des Agents läuft von alleine durch und ist in wenigen Minuten erledigt.

    Hinweis: Bei der Installation des Agents auf dem lokalen Server werden die Dienste Microsoft Azure AD Connect Agent Updater und Microsoft Azure AD Connect Provisioning Agent erstellt. Diese sollten ggf. ins Monitoring aufgenommen werden.

    Der Agent von  AAD Connect Cloud Provisioning installiert zwei Windows-Dienste.

    Bevor man loslegt, sollte man aber unbedingt die Voraussetzungen beachten. Das gilt besonders für die unterstützten Betriebs­systeme. Diese sind Windows Server ab 2012 R2 in englischer Sprache. Wird versucht, den Agent auf einem deutsch­sprachigen System zu installieren, so bricht der Vorgang beim Starten der Dienste ab. Zudem wird das .NET-Framework ab der Version 7.2.1 benötigt.

    Konfiguration des Agents für AAD Connect Cloud Provisioning über einen Wizard

    Nach der Agent-Installation kommt ein kleiner Wizard hoch, der Daten zu Microsoft 365 und für die Verbindung zum lokalen Active Directory abfragt.

    Hinweis: Aktuell scheint es hier noch möglich zu sein, den lokalen AD-Administrator zu verwenden. Dies geht bei AAD Connect Sync nicht und sollte auch hier vermieden werden.

    Cloud Provisioning konfigurieren

    Nachdem der Wizard geschlossen wurde, ist der Agent einsatzbereit. Die weitere Konfiguration erfolgt im Azure AD unter Azure AD Connect => Azure AD Bereitstellung, da lokal auf dem Server, auf dem der Agent läuft, keine Instrumente zur Agent-Konfiguration zur Verfügung stehen (anders als beim alten AAD Connect).

    Nach dem Klick auf Neue Konfiguration kann man die Azure AD Bereitstellung anpassen.

    Neue Konfiguration für AAD Connect Cloud Provisioning erstellen

    Unter Alle Agents überprüfen lassen sich die mit Azure AD verbundenen Agenten anzeigen.

    Die mit der AAD Connect Cloud Provisioning verbundenen Agents im Azure-Portal anzeigen

    Im Abschnitt 1 der neuen Konfiguration legt man die lokale Domäne und die Filter für Benutzer, welche synchronisiert werden sollen, fest.

    AD-Domäne angeben, deren Objekte synchronisiert werden sollen

    Anders als bei AAD Connect, wo man Konten anhand von Attributen filtern kann, lässt sich die Synchronisierung auf Sicherheits­gruppen oder Organisations­einheiten einschränken (Gruppen werden von AAD Connect Sync in einer Produktiv­umgebung nicht unterstützt).

    Umgekehrt lässt sich in der aktuellen Preview nicht einstellen, welche Attribute des Benutzers in die Cloud synchronisiert werden. Hier wird es in naher Zukunft aber bestimmt noch Nachbesserungen von Seiten Microsofts geben.

    Nur Benutzer bestimmter AD-Gruppen synchronisieren

    Unter  Punkt 2 wird der Sync von Kennwort-Hashes aktiviert, was auch im herkömmlichen AAD Connect möglich ist. Für den Fall, dass beim Abgleich zwischen den Verzeichnissen ein Fehler auftritt, kann man sich per E-Mail an eine Adresse benach­richtigen lassen, die man unter Punkt 3 hinterlegt.

    Sync von Hashes aktivieren und Mail-Adresse für Benachrichtigungen hinterlegen

    Unter Punkt 4 aktiviert man schließlich die Bereitstellung und speichern ihre Einstellungen.

    Nun stellt sich die Frage, woher weiß ich, welcher Agent nun den Sync durchführt? Dies ist direkt in der Bereitstellung unter Agent => Anzeigen zu sehen.

    Die Übersicht zeigt an, dass der Agent Objekte fehlerfrei zwischen den Verzeichnissen synchronsiert.

    In meinem Fall sind zwei Server mit jeweils einem Agent verbunden.

    Der Agent ist in unserem Beispiel mit zwei Servern verbunden

    Protokollierung

    Auch hier wird wie in der On-prem-Variante einiges an Logs geschrieben, so dass man sehen kann, was gerade so passiert. Unter dem Reiter Protokolle sind die Logs zu finden, welche für die jeweilige Bereit­stellung aufgezeichnet wurden.

    Die Logs von AAD Connect Cloud Provisioning können im Azure-Portal eingesehen werden.

    Bestimmte Einträge kann man über die Suchfunktion recherchieren und dann per Doppelklick in der Detailansicht öffnen.

    Detailansicht eines Log-Eintrags von AAD Connect Cloud Provisioning

    Aktuell ergibt sich durch das Neben­einander der beiden Synchronisierungs-Tools die Situation, dass keines von beiden alle Funktionen des jeweils anderen beherrscht. Bei der Wahl zwischen den zwei Werkzeugen muss man daher auch abwägen, welche Funktionen für die geplanten Aufgaben besonders wichtig sind.

    Der folgende Funktionsvergleich stammt von Microsoft Doc.

    FunktionAAD Connect-Synchro­nisierungAAD Connect-Cloud-Bereit­stellung
    Herstellen einer Verbindung mit einer einzelnen lokalen AD-Gesamtstruktur
    Herstellen einer Verbindung mit mehreren lokalen AD-Gesamtstrukturen
    Herstellen einer Verbindung mit mehreren getrennten lokalen AD-Gesamtstrukturen  
    Installationsmodell mit einfachen Agents  
    Mehrere aktive Agents für Hochverfügbarkeit  
    Herstellen einer Verbindung mit LDAP-Verzeichnissen  
    Unterstützung für Benutzerobjekte
    Unterstützung für Gruppenobjekte
    Unterstützung für Kontaktobjekte
    Unterstützung für Geräteobjekte  
    Zulassen grundlegender Anpassungen von Attributflüssen
    Synchronisieren von Exchange Online-Attributen
    Synchronisieren der Erweiterungsattribute 1–15
    Synchronisieren von benutzerdefinierten AD-Attributen (Verzeichnis­erweiterungen)  
    Unterstützung der Kennwort-Hash-Synchronisierung
    Unterstützung der Passthrough-Authentifizierung  
    Verbundunterstützung
    Nahtloses einmaliges Anmelden
    Unterstützt die Installation auf einem Domänencontroller
    Unterstützung für Windows Server 2012 und Windows Server 2012 R2
    Filtern nach Domänen, Organisations­einheiten, Gruppen
    Filterung nach den Attributwerten eines Objekts  
    Zulassen eines minimalen Attributsatzes für die Synchronisierung (MinSync)
    Zulassen der Entfernung von Attributen aus dem Attributfluss von AD nach Azure AD
    Zulassen einer erweiterten Anpassung des Attributflusses  
    Unterstützung für Writeback (Kennwörter, Geräte, Gruppen)  
    Azure AD Domain Services-Unterstützung  
    Exchange-Hybrid-Writeback  
    Unterstützung für mehr als 50.000 Objekte pro AD-Domäne  

    Keine Kommentare