Tags: Active Directory, Azure, Synchronisierung, Passwort
Ist ein benutzerdefinierter Domänenname für die lokale Domäne im Azure AD eingetragen, können Sie Azure AD Connect in Ihrer lokalen Domäne installieren. Das Tool bietet mehrere Optionen zum Synchronisieren lokaler Konten. Dieser Beitrag demonstriert das Verfahren, bei dem auch die Passwort-Hashes übertragen werden.
Wir werden das Tool hier der Einfachheit halber direkt auf einem Domänen-Controller installieren. Voraussetzung dafür ist, dass es sich um genau den DC handelt, dessen öffentlichen Domänennamen Sie zuvor im Azure AD registriert haben. In produktiven Umgebungen wird man stattdessen einen Member-Server für diesen Zweck verwenden.
Wenn Sie an ihrem On-Premise-Standort nur einen lokalen Domänennamen verwenden, dann müssen Sie in Active Directory-Domänen und Vertrauensstellungen ggf. zusätzliche verwendbare öffentliche Domain-Suffixe bei Benutzerprinzipalnamen-Suffixe eintragen. Dies setzt voraus, dass Sie die angegeben Domänen auch besitzen.
Danach können Sie Azure AD Connect von Microsoft kostenlos herunterladen. Alternativ öffnen Sie auf Ihrem Member-Server oder DC einfach das Azure-Portal, suchen nach dem Dienst Azure AD und klicken auf der Übersichtseite auf Azure AD Connect und dort auf den Link Azure AD Connect herunterladen.
Methoden zur Synchronisierung
Schon hier ist zu erkennen, dass es im Prinzip vier Möglichkeiten gibt, ihre lokalen Entitäten zu synchronisieren:
- Azure AD-Cloudsynchronisierung
- Azure AD Connect Kennwort-Hashsynchronisierung
- Passthrough-Authentifizierung
- Verbund (ADFS)
Eine differenzierte Betrachtung der einzelnen Methoden einschließlich deren Vor- und Nachteile sprengt den Rahmen dieses Beitrags. Wir zeigen hier das am einfachsten verwendbare Verfahren, nämlich Kennworthashsynchronisierung, die Microsoft auch als Default vorsieht.
Dies ist außerdem der einzige Modus, bei dem Sie nicht dauerhaft von einer Internet-Verbindung oder der Verfügbarkeit Ihres Domain-Controllers abhängig sind, weil nicht nur die Benutzeridentitäten in die Cloud synchronisiert werden, sondern auch deren Passwort-Hashes.
Letzteres ist aber für viele Unternehmen auch das k.o-Kriterium, weil unternehmenseigene oder gesetzliche Richtlinien verbieten, dass Benutzer-Passwörter - und seien es auch nur deren Hashes - in der Cloud gespeichert werden. Das untenstehende Schaubild von Microsoft verdeutlicht die Arbeitsweise dieses Verfahrens.
Voraussetzungen für AAD Connect
Zum erfolgreichen Einrichten von AAD Connect benötigen Sie ein Azure-AD-Konto mit der Berechtigung Globaler Administrator. Sie sollten dazu nicht ihren regulären AAD-Admin-Account verwenden, zumal ein solcher in der Regel mit MFA verknüpft ist, sondern ein separates Konto wie syncaadmin anlegen.
Für die ADDS-Seite benötigen Sie einen Benutzer mit Enterprise-Berechtigung. Ferner sollten Sie für einen Proof-of-Concept eine separate OU anlegen, in der Sie einen einzigen Benutzer oder eine Gruppe aufnehmen, die später für einen ersten Test synchronisiert werden.
Azure AD Connect installieren
Nun können Sie den Installationsassistenten von Azure AD Connect starten. Unter Express-Einstellungen entscheiden Sie sich unbedingt für eine benutzerdefinierte Konfiguration, indem Sie auf Anpassen klicken.
Das ist schon deshalb wichtig, damit Sie ausschließlich Ihre oben erstelle OU synchronisieren können. Andernfalls würden alle Benutzer aus dem ADDS übertragen, was die Gefahr birgt, dass unnötigerweise auch privilegierte Konten in die Cloud gelangen.
Bei Erforderliche Komponenten installieren klicken Sie auf Weiter, um im Schritt Benutzeranmeldung die gewünschte Anmeldemethode wählen zu können. Übernehmen Sie den Vorschlag Kennwort-Hashsynchronisierung und aktivieren ganz unten zusätzlich Einmaliges Anmelden aktivieren.
Im nächsten Abschnitt Mit Azure AD verbinden brauchen Sie dann den oben erwähnten Azure-AD-Account mit der Rolle Globaler Administrator.
Im Dialog Verzeichnis verbinden wählen Sie dann die gewünschte Gesamtstruktur und klicken auf Verzeichnis hinzufügen.
Hier muss nun ein neues AD-Konto erstellt werden. Der Assistent kann das automatisch erledigen, braucht dazu aber dazu ein gültiges Konto vom Typ Unternehmensadministrator.
Im Abschnitt Azure AD-Anmeldungskonfiguration müssen Sie sicherstellen, dass das angegebene Active Directory-UPN-Suffix von der Azure AD-Domäne überprüft wurde, andernfalls wird zwar die eigentliche Synchronisation, nicht aber Single-Sign-on funktionieren. Das lokale Attribut für die Verwendung als Azure-AD-Benutzername sollten Sie auf userPrinzipalName belassen.
Im nächsten Schritt Domänen-/OE-Filterung können Sie dann für den erwähnten Proof-of-Concept ausschließlich die gewünschte OU auswählen.
Im Dialog Ihre Benutzer werden eindeutig identifiziert belassen wir für dieses Beispiel-Setup alle Einstellungen für die Existenz eines Benutzers in mehreren Verzeichnissen sowie den Quellanker auf den Vorgabewerten.
Ferner verzichten wir im Abschnitt Benutzer und Geräte filtern neben dem OU-Filter auf eine weitere Filterung und klicken auf Weiter. Im vorletzten Dialog Optionale Features können Sie dann ggf. noch weitere Funktionen aktivieren, wie etwa Kennwortzurückschreiben oder Gerätezurückschreiben.
Zum Abschluss finden Sie eine Zusammenfassung sämtlicher getätigter Einstellungen und können entscheiden, die Synchronisation sofort im Anschluss zu starten. Alternativ können Sie nur den Stagingmodus aktiveren, falls Sie ein Active/Standby-Setup für AzureAD-Connect planen. Ist alles OK, klicken Sie auf Installieren.
Nun wird zunächst das oben erwähnte Synchronisationskonto im ADDS erstellt.
Es ist übrigens auch das erste, welches ins AAD synchronisiert wird, was Sie dort sofort überprüfen können.
Die Benutzer der synchronisierten OU tauchen dann auch in der User-Verwaltung des Azure AD auf, und auf der Übersichtseite von Azure AD hat Azure AD Connect nun den Status Aktiviert.
Schließlich sollten Sie noch unbedingt daran denken, den ADDS-Papierkorb zu aktivieren.
Täglich Know-how für IT-Pros mit unserem Newsletter
Seine Themenschwerpunkte sind Virtualisierung und Cloud Computing, speziell VMware, Amazon Web Services, Google Cloud und Microsoft Azure. Thomas ist zertifizierter VMware Professional, Advanced Professional und wurde von VMware in den Jahren 2016, 2017, 2018, 2019 und 2020 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas ist außerdem zertifizierter AWS Solutions Architect, Sysops Engineer und Devops Engineer sowie Microsoft Certified Azure Administrator.
Thomas führt aktuell jeden zweiten Montag einen 4-tägigen Grundlagenkurs in Cloud Computing mit AWS via Zoom-Meeting durch. Weitere Informationen und Anmeldung über sein AWS-Blog.
Verwandte Beiträge
- Passwortänderungen und Kennwortschutz von Azure AD in das lokale Active Directory zurückschreiben
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- Geräte über Hybrid Join in Azure AD registrieren
- Azure AD Connect 2.1.15.0: Automatische Updates, Aus für Admin Agent, Sync für zusätzliche Attribute
- Kennwörter in Azure AD zurücksetzen mit Self Service Passwort Reset (SSPR)
Weitere Links
1 Kommentar
Wir haben einen zusätzlichen öffentliche Domain-Suffix bei Benutzerprinzipalnamen-Suffixe eintragen.
Bei der Überprüfung der "Azure AD-Anmeldungskonfiguration" wird die lokale Domain als "nicht hinzugefügt" und die öffentliche Domain als "überprüft" dargestellt.
Hier müssten wir "Ohne Abgleich aller UPN-Suffixe.." weitermachen.
Leider würde am Schluss bei der Zusammenfassung die öffentliche Domain dann in xxxxx.onmicrosoft.com umgewandelt.
Beim Punkt "Verzeichnis verbinden" funktioniert nur die lokale Domain.
Was fehlt hier? Danke!