Verwenden der neuen DirSync-Version zum Synchronisieren von Kennwörtern in Office 365

Die Verwendung Ihrer lokalen Anmeldeinformationen mit Microsoft Office 365 war traditionell eine komplexe Aufgabe. Benutzer müssen mit ihrem AD-Benutzernamen und -Kennwort auf Active Directory-Verbunddienste (AD FS) zugreifen. Eine Bereitstellung mit diesen Tools ist zwar für größere Unternehmen geeignet, weist jedoch einige Nachteile auf: Sie erfordert mehrere AD FS-Server, AD FS-Proxyserver und eine Verzeichnissynchronisierungsinfrastruktur. Die neue Version von DirSync, bekannt als Windows Azure Active Directory-Synchronisierung, verfügt über eine neue Funktion namens Kennwortsynchronisierung, mit der diese Kopfschmerzen gelindert werden können.

So funktioniert die Passwortsynchronisierung

Die Kennwortsynchronisierung verwendet nicht die herkömmlichen Token-Sharing-Mechanismen AD FS Verwendet; Stattdessen wird ein Digest des lokalen Active Directory-Kennwort-Hash gesendet. Obwohl Anmeldeinformationen in das Back-End von Office 365 übertragen werden Azure Active Directoryist das Klartext-Passwort nie. Sie können den Digest des Kennwort-Hash nicht verwenden, um auf lokale Ressourcen zuzugreifen. Kennwörter werden sicher aufbewahrt, sodass Unternehmen die Vorteile haben, eine Abhängigkeit von AD FS zu entfernen, ohne die Sicherheit zu beeinträchtigen.
Forefront Identity Manager (FIM) erfordert traditionell die Verwendung des PCNS (Password Sync Notification Service). DirSync verwendet weder PCNS noch ist es auf Agenten angewiesen, die auf Domänencontrollern installiert sind. Daher müssen Benutzer ihr Kennwort nicht ändern, um Änderungen in die Cloud zu übertragen. Darüber hinaus werden Kennwortänderungen außerhalb des standardmäßigen dreistündigen DirSync-Zeitplans in die Cloud übertragen, was bedeutet, dass ein geändertes Kennwort erreicht wird Büro 365 in Minuten.

Einschränkungen für die Kennwortsynchronisierung mit Office 365

Wie bei vielen großartigen neuen Funktionen ist die Passwortsynchronisierung nicht ohne Einschränkungen.
Wenn Sie Active Directory-Verbunddienste und Verbundidentitäten verwenden, hat das Aktivieren der Kennwortsynchronisierung keine Auswirkungen auf die AD-Konten mit AD FS. Sie müssen die Domänen mithilfe von in verwaltete Standarddomänen konvertieren Convert-MSOLDomainToStandard Cmdlet, das die Anmeldefunktion vorübergehend unterbricht, bis eine vollständige Kennwortsynchronisierung erfolgt ist.
Wenn Ihr Mandant mehrere Domänen enthält, können Sie die Kennwortsynchronisierung für eine Teilmenge dieser Benutzer implementieren, indem Sie eine Alternative angeben Benutzerhauptnummer für diese Benutzer.
Wenn Sie in Ihrem lokalen Active Directory Kennwortablauffunktionen verwenden, um den Zugriff auf Konten einzuschränken, sollten Sie auch die Kennwortrichtlinie für mit Office 365 synchronisierte Konten kennen. Ein lokales Konto mit einem abgelaufenen Kennwort wird dies nicht tun Sie können sich anmelden, bis der Benutzer das Kennwort ändert. Der Benutzer kann sich jedoch weiterhin anmelden, um Office 365-Dienste zu verwenden.

Aktivieren Sie DirSync

Abbildung 1. Der Bildschirm, den Sie sehen, wenn Sie mit der Aktivierung von DirSync beginnen.

Voraussetzungen für die Aktivierung der Passwortsynchronisation

Wenn Sie DirSync derzeit nicht für Ihren Office 365-Mandanten verwenden, müssen Sie ihn aktivieren, um die DirSync-Funktionen nutzen zu können. Um es zu aktivieren, besuchen Sie die Office 365-Portal und navigieren zu Benutzer und Gruppen. Klicken Sie unter der Überschrift Active Directory-Synchronisierung auf wählen Einrichten und dann aktivieren Sie unter Abschnitt 3 (Abbildung 1).

Windows Azure-Verzeichnissynchronisierung

Abbildung 2. Die neue Version von Windows Azure Directory Sync.

Laden Sie nach der Aktivierung von Directory Sync oder wenn Sie sich auf ein Upgrade vorbereiten, das Directory Sync-Tool unter Abschnitt 4 herunter (Abbildung 2).
Wenn Sie Directory Sync bereits verwenden, müssen Sie die aktuelle Version deinstallieren. Die aktualisierte Version verwendet ein neues Datenbankschema für die zugrunde liegende FIM-Instanz, sodass ein direktes Upgrade nicht möglich ist.
Wenn Sie benutzerdefinierte Änderungen vorgenommen haben, z. B. das Filtern nach Organisationseinheiten, stellen Sie sicher, dass Sie diese Änderungen aufgezeichnet haben, bevor Sie die Microsoft Online Services-Verzeichnissynchronisierung über Programme und Funktionen auf dem lokalen Server deinstallieren.

Installieren der neuen Version von DirSync

Wenn Sie derzeit DirSync unter Windows Server 2008 R2 ausführen, ist dies ein guter Zeitpunkt, um den Server durch Windows Server 2012 zu ersetzen, das DirSync vollständig unterstützt. Wenn nicht, stellen Sie sicher, dass Sie beide .NET Framework 3.5-Versionen installieren und .NET Framework 4.0 auf dem DirSync-Server. Eine neue Voraussetzung ist die Version 4.0 des Frameworks.
Sie sollten auch ein Upgrade auf die neueste Version des Windows Azure Active Directory-Moduls für PowerShell in Betracht ziehen, das offiziell als Microsoft Online Service Module für PowerShell bezeichnet wird. Sie können diese und die Voraussetzung für Version 7.0 des Online Services-Anmeldeassistenten hier herunterladen und installieren:

Passwortsynchronisierung aktiviert

Abbildung 3. Aktivieren der Kennwortsynchronisierung

Installieren Sie für weitere Organisationen DirSync mit den Standardeinstellungen am Ende des Installationsassistenten und wählen Sie Starten Sie jetzt den Konfigurationsassistenten. Sie werden aufgefordert, die globalen Administratoranmeldeinformationen des Office 365-Mandanten, die lokalen Active Directory-Anmeldeinformationen und die Optionen einzugeben, um eine Hybridbereitstellung zu aktivieren.
Insbesondere interessiert uns die Passwortsynchronisation Seite des Assistenten (Abbildung 3). Wählen Aktivieren Sie die Kennwortsynchronisierung und schließen Sie dann die Konfiguration ab.

Aktivieren Sie eine Kennwortsynchronisierung

Abbildung 4. Aktivieren einer vollständigen Kennwortsynchronisierung

Stellen Sie nach der Installation der neuen Version von DirSync sicher, dass vorhandene Kennwörter während einer vollständigen Synchronisierung synchronisiert werden. Andernfalls müssen Benutzer möglicherweise ihre Kennwörter ändern, um die Synchronisierung auszulösen.
Öffnen Sie, um eine vollständige Synchronisierung zu aktivieren regedit Navigieren Sie auf dem DirSync-Server zu HKLM SOFTWARE Microsoft MSOLCoExistence PasswordSync. Suchen Sie den Schlüssel FullSyncRequired und ändern Sie den DWORD-Wert in 1 (Figur 4).

Starten Sie FIM neu

Abbildung 5. Was Sie sehen, wenn Sie den FIM-Dienst neu starten.

Starten Sie nach dem Ändern des Registrierungswerts den Forefront Identity Manager-Synchronisierungsdienst neu (Abbildung 5).

Ereignis-ID 656

Abbildung 6. Die Ereignis-ID 656 zeigt einen mit Office 365 synchronisierten Kennwort-Hash an.

Öffnen Sie die Ereignisanzeige und suchen Sie nach Ereignis-IDs mit der Nummer 656 (Abbildung 6), um zu überprüfen, ob Kennwort-Hashes in den Azure-Verzeichnisdienst von Office 365 hochgeladen wurden.
DirSync, das neue Azure AD Sync-Tool von Office 365, verfügt über neue Funktionen, die die Bereitstellung von Hybrid-Exchange vereinfachen. DirSync macht Active Directory Federation Services für viele Kunden überflüssig.
Über den Autor
Steve Goodman ist ein Exchange MVP und arbeitet als technischer Architekt für einen der führenden britischen Microsoft Gold-Partner, die Phoenix IT Group. Goodman ist seit 14 Jahren in der IT-Branche tätig und arbeitet seit Version 5.5 intensiv mit Microsoft Exchange zusammen.

Similar Posts

Leave a Reply