Was ist neu in Azure Active Directory Connect?

Mit Azure Active Directory Connect erhalten Unternehmen mit Hybridumgebungen ein einziges Tool zum Verbinden lokaler Verzeichnisse mit Azure Active Directory.

Die Verzeichnissynchronisierung (DirSync) wurde 2008 veröffentlicht und von Kunden in Einzelstrukturbereitstellungen verwendet. Um den Anforderungen größerer Unternehmen gerecht zu werden, die mehrere AD-Gesamtstrukturen mit der Cloud synchronisieren möchten, hat Microsoft das AAD-Synchronisierungstool (Azure Active Directory) veröffentlicht. Dieses Tool integriert die Funktionen von DirSync und ADD und kann verwendet werden, um:

  • Synchronisieren Sie einzelne oder mehrere AD-Gesamtstrukturen mit Azure AD
  • Synchronisieren Sie LDAP-Verzeichnisse mit Azure AD
  • Synchronisieren Sie andere Identitätsspeicher mit Azure AD

Installation von Azure Active Directory Connect

Es gibt zwei Möglichkeiten, Azure Active Directory Connect zu installieren und zu konfigurieren: Express-Einstellungen und benutzerdefinierte Installation. Die Express-Einstellung ist die häufigste Methode zum Bereitstellen der Synchronisierungstools. Dieser Modus ist für Organisationen gedacht, die eine einzelne AD-Gesamtstruktur mit Azure AD synchronisieren möchten. es funktioniert mit nur wenigen Klicks. Wenn Sie mehrere Gesamtstrukturen synchronisieren möchten, ist die benutzerdefinierte Installationsoption die bessere Wahl.
Der Express-Einstellungsmodus installiert alle Voraussetzungen auf dem Server, legt die korrekten Zugriffssteuerungsgrenzen, die Zuweisung von Benutzerrechten für die Kennwortsynchronisierung und AD-Konnektoren zur und von der Cloud fest (Abbildung 1). Anstatt das globale Administratorkonto zu verwenden, das Sie als Azure-Anmeldeinformationen für die Synchronisierung angeben, wird mit den Express-Einstellungen ein neuer Synchronisierungsbenutzer mit den richtigen Berechtigungen erstellt.

Abbildung 1. Expresseinstellungen für Azure Active Directory Connect.

In dem neuen Tool bietet die Pilotierung jetzt eine Option zum Synchronisieren von Benutzern, die Mitglieder einer bestimmten Gruppe sind. In früheren Versionen des Tools basierte die Filterung auf Organisationseinheiten (OUs), und Administratoren mussten Benutzer in die richtige OU verschieben, um eine Synchronisierung mit Azure AD durchzuführen. Daher war mehr Arbeit erforderlich, um sicherzustellen, dass für Pilotbenutzer immer noch alle korrekten lokalen Gruppenrichtlinien festgelegt wurden.
In Azure AD Connect muss ein Administrator eine neue Gruppe erstellen und Pilotbenutzer als Mitglieder dieser Gruppe hinzufügen. In Azure AD sind nur die Objekte vorhanden, die direkte Mitglieder der Gruppe sind (Abbildung 2).

Abbildung 2. Mit Azure AD Connect können Administratoren Benutzer filtern.

Wenn Sie bereits über DirSync oder Azure AD Sync verfügen, können Sie problemlos auf Azure AD Connect aktualisieren. Bei der Installation werden alle vorhandenen Tools erkannt, und Sie können wählen, ob Sie die Konfiguration aktualisieren oder auf einen neuen Azure AD Connect-Server migrieren möchten. Es ist am besten, auf das neue Tool zu aktualisieren, wenn Sie während der Verwendung von DirSync weniger als 50.000 Objekte haben. Für größere Organisationen mit mehr als 50.000 Objekten empfiehlt es sich, einen neuen Azure AD Connect-Server einzurichten und die Konfiguration aus DirSync zu importieren (Abbildung 3).

Abbildung 3. Importieren Sie Konfigurationen aus Directory Sync.

Steuern Sie den Zugriff und die Berechtigungen mit Azure AD Connect

Azure AD Connect enthält mehrere Funktionen, die die Identitäts- und Zugriffsverwaltung, Self-Service-Funktionen und die bedingte Zugriffssteuerung in der lokalen und Azure-Cloud ermöglichen. Die benutzerdefinierte Installationsoption bietet zahlreiche Synchronisierungs- und Rückschreibfunktionen. Diese Funktionen umfassen Folgendes:
Azure AD-App- und Attributfilterung ist eine optionale Funktion, die in die benutzerdefinierte Installation aufgenommen werden kann. Mit der Azure AD-App- und Attributfilterung können Administratoren Objektattribute filtern, die mit Azure AD synchronisiert sind, basierend auf den Anwendungen, die Unternehmen mit sehr strengen Sicherheitsrichtlinien in der Cloud verwenden. Administratoren können die Auswahl von Apps aufheben, die sie nicht verwenden, z. B. Dynamics CRM sowie von Apps, die in Azure AD nicht verfügbar sind (Abbildung 4).

Abbildung 4. Sicherheitseinstellungen für Azure Active Directory Connect

Passwort zurückschreiben ermöglicht Benutzern das Ändern von Kennwörtern in Azure AD. Das neue Kennwort wird mit AD überprüft, um sicherzustellen, dass es den lokalen Kennwortrichtlinien entspricht.
Benutzer zurückschreiben Ermöglicht Administratoren das Erstellen von Endbenutzern in Azure AD über das Portal oder eine HR-Anwendung. Objekte werden in das lokale AD zurückgeschrieben.
Gruppe zurückschreiben Derzeit ist eine Option für Office 365-Gruppen verfügbar. Neu erstellte Office 365-Gruppen in Exchange Online können in das lokale AD zurückgeschrieben werden, damit sie den lokalen Benutzern zur Verfügung stehen. Diese Gruppen werden jedoch in Azure AD gemastert. Microsoft arbeitet daran, diesen Funktionsumfang für Sicherheitsgruppen zu erweitern.
Synchronisierung der Verzeichniserweiterungsattribute Ermöglicht die Erweiterung des Azure AD-Schemas basierend auf den lokal verfügbaren Attributen. Mit anderen Worten, Sie können die Verzeichniserweiterungsattribute lokal mit Azure AD synchronisieren, damit Cloud-basierte Anwendungen sie verwenden können (Abbildung 5).

Abbildung 5. Synchroninze-Verzeichniserweiterungsattribute für Azure AD.

Unternehmen können nur einwertige Benutzer- und Gruppenattribute in die Cloud bringen. Derzeit gibt es einige Grenzwerte – einen Grenzwert von 100 Erweiterungswerten, die in ein einzelnes Objekt geschrieben werden, 256 Zeichen pro Zeichenfolgenerweiterungswert und 256 Bytes pro binärem Erweiterungswert.
Benutzerdefinierte Einstellungen Geben Sie Administratoren die Option, die einmalige Anmeldung anzugeben, die Sie mit –password sync oder einer Active Directory Federation Services-Infrastruktur durchführen möchten.

Similar Posts

Leave a Reply