Microsoft Azure Active Directory Connect entfernen

    , 16.01.2020
    Tags: , ,

    Azure AD ConnectAzure Active Directory Connect (AAD Connect) syn­chro­nisiert User und Gruppen zwischen einem lokalen AD und der Microsoft-Cloud. In einigen Fällen kann es not­wendig sein, AAD Connect wieder zu ent­fernen. Dazu muss man es vom lokalen Server de­instal­lieren und in Azure die Synchroni­sierung deaktivieren.

    Das Entfernen von AAD Connect kann beispiels­weise fällig sein, wenn man es auf einem alten Exchange Server on Prem installiert hat und dieser nun abgebaut werden soll. Damit die Synchro­nisation zwischen lokalem Active Directory und Office 365 weiter­laufen kann, wird man es anschließend auf einem anderen Server einrichten.

    Selbst wenn alle Benutzer ihre Postfächer auf Exchange Online (Office 365) haben, behalten Unter­nehmen AAD Connect in der Regel bei, um Passwörter und andere geänderte Attribute weiter mit der Cloud abzugleichen (siehe dazu: AAD Connect installieren, Hybridmodus konfigurieren).

    Statusanzeige für AAD Connect im Microsoft 365 Admin Center

    Anders schaut es aus, wenn sich eine Organisation dazu entschließt, alle Dienste in die Microsoft-Cloud zu migrieren und kein lokales AD mehr vorzuhalten. In diesem Fall wird auch AAD Connect nicht mehr benötigt, weil die gesamte Benutzer­verwaltung dann direkt im AAD erfolgt.

    AAD Connect lokal entfernen

    In der On-Prem-Umgebung (zum Beispiel am alten Exchange Server, welcher abgebaut werden soll), muss man die Software für AAD Connect deinstallieren. Dies erfolgt über die gängigen Methoden, also via System­steuerung oder die App Einstellungen.

    Lokale Software für AAD Connect über die Systemsteuerung deinstallieren

    Danach sollten auf portal.microsoft.com im Dashboard von AAD Connect irgendwann rot markierte Fehler­meldungen auftauchen, zudem meldet Azure per Mail, dass etwas mit der Synchro­nisierung nicht stimmt.

    AAD Connect mit PowerShell deaktivieren

    Auf Seiten von Office 365 bzw. Azure muss man nun PowerShell nutzen, um mit Hilfe des Moduls MSOnline AAD Connect zu deaktivieren.

    Nachdem man mit Connect-MsolService eine Verbindung zum Tenant in Office 365 hergestellt hat, kann AAD Connect mit folgendem Befehl deaktiviert werden:

    Set-MsolDirSyncEnabled -EnableDirSync $false

    AAD Connect mit Hilfe von PowerShell in der Cloud deaktivieren

    Sollte man diese Einstellung aus Versehen im falschen Tenant verändert haben, so ersetzt man das $false auch durch ein $true, um diesen Fehler zu korrigieren.

    Anschließend kann man den Status mit folgendem Befehl überprüfen:

    (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled

    Status der AAD-Synchronisierung abfragen mit Get-MSOLCompanyInformation

    Auch im Microsoft-Portal sollte die Kachel für AAD Connect jetzt verschwunden sein.

    Nach dem Deaktivieren von AAD Connect verschwindet die dafür zuständige Kachel aus dem Portal.

    Synchronisierte User können, während AAD Connect aktiv ist, in Office 365 nicht gelöscht werden, dies geht nur auf der On-Prem-Seite. Nachdem AAD Connect entfernt wurde, entfällt diese Einschränkung.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Roland Eich

    Roland Eich ist gelernter Fach­infor­matiker für System­inte­gration und in der IT seit über 14 Jahren zu Hause. Roland deckt auf­grund seiner Erfah­rungen ein breites Spek­trum der Microsoft-Produkt­palette ab.
    Zudem besitzt er ver­schiedene Zertifi­zierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).

    // Kontakt: E-Mail //

    Verwandte Beiträge

    Weitere Links

    2 Kommentare

    Sebastian (Besucher) sagt:
    5. Oktober 2022 - 13:28

    Werden die User die von Lokal syncronisiert wurden dann auch behalten?

    RolandEich (Besucher) sagt:
    6. Oktober 2022 - 6:45

    Guten Morgen,
    die User bleiben bestehen, ich würde Ihnen aber ggf. empfehlen die User dann ggf. in Clouduser zu migrieren (dazu gibt es hier bei Windowspro ebenfalls eine Anleitung) und/oder ggf. mit Ihrem IT Dienstleister zu sprechen, welche Fallstricke noch beachtet werden müssen.
    Das Problem ist, dass die Cloud sich fast täglich verändert hier wäre es für Ihr Projekt empfehlenswert weitere Hintergrundinfos einzuholen.
    Falls Sie zu den Schraubern gehören, welche alles selbst machen, empfehle ich erst alles mit einem Testteanant ausgiebig zu testen und dann wenn alles so läuft wie Sie es sich vorstellen an die Prod-Umgebung beigehen ;)
    Herzliche Grüße und frohes Schrauben