Im letzten Beitrag habe ich eine Demo über die Verwendung des neuen Azure AD connect-Tools zur Integration Ihrer lokalen Domäne mit Azure Active Directory vorgestellt. Der Prozess ist ziemlich einfach, aber eine Frage, die ich erhielt, lautete: Wie integriere ich mein Office 365-Abonnement und meine Benutzer in meine lokale Domäne? Nun, dank des Tools ist dieser Prozess recht einfach, wenn Sie sicherstellen, dass Ihre Office 365-Benutzerkonten genau mit Ihren bestehenden Domänenkonten übereinstimmen. Wenn dies nicht der Fall ist, müssen Sie wahrscheinlich vor der Integration einige manuelle Bereinigungen vornehmen. Ich werde einige dieser manuellen Schritte später in diesem Beitrag behandeln.
Details
Wenn Sie ein Office 365-Abonnement erstellen, wird Microsoft im Hintergrund eine Azure Active Directory-Instanz für Sie bereitstellen. Wenn Sie ein Azure-Abonnement haben, können Sie die beiden miteinander verbinden, so dass Sie Ihre O365-Domäne über das Azure-Verwaltungsportal verwalten können. Im Wesentlichen ist der Prozess also sehr ähnlich wie der letzte Prozess, abgesehen von ein paar kleinen Konfigurationsänderungen. Die erste Änderung betrifft den Schritt Identifizieren von Benutzern. Hier müssen Sie ein Active Directory-Attribut auswählen, das die Konten vor Ort und online abgleicht. In meinem Fall war das sehr einfach, da die E-Mail-Adressen identisch waren, also wählte ich das Attribut Mail. Für Exchange-Szenarien können Sie auch SIDs wählen.
Als Nächstes können Sie im Schritt „Optionale Funktionen“ das Kontrollkästchen neben „Azure AD app and attribute filtering“ aktivieren, um das Connect-Tool über andere Anwendungen zu informieren, die synchronisiert werden sollen.
Wenn Sie die Option „Apps“ markieren, aktiviert das Tool einen neuen Abschnitt, in dem Sie explizitere Optionen für Anwendungen und Attribute festlegen können. Das Tool ist intelligent genug, um zusätzliche AD-Attribute zuzuordnen, um die Anwendungen korrekt mit Ihren Domänenbenutzern zu integrieren.
Ich habe alle Standardanwendungen ausgewählt, für den Fall, dass ich in Zukunft Microsoft Online Tools hinzufügen möchte. Sie können auch bestimmte AD-Attribute genauer festlegen, aber ich habe sie so belassen, wie sie sind. Nachdem Sie den Assistenten und die erste Synchronisierung abgeschlossen haben, sollten Ihre Benutzer in O365 angezeigt werden.
Das ist der einfache Teil, wenn Ihre Benutzer und Ihre Struktur relativ einfach sind. Produktionsumgebungen sind jedoch oft alles andere als einfach. Hier sind ein paar Dinge, die Sie beachten sollten:
- Active Directory muss über bestimmte Einstellungen verfügen, damit Single Sign-On richtig funktioniert. Insbesondere muss der User Principal Name (UPN), also der Anmeldename, für jeden Benutzer auf eine bestimmte Art und Weise eingerichtet werden. Verwenden Sie das Microsoft Deployment Readiness Tool, um Ihre Active Directory-Umgebung zu überprüfen und einen Bericht zu erstellen, der Informationen darüber enthält, ob Sie bereit sind, Single Sign-on einzurichten, und welche Änderungen Sie vornehmen müssen, um Single Sign-on vorzubereiten.
- Die Domäne, die Sie für den Verbund auswählen, muss als öffentliche Domäne bei einer Domänenregistrierungsstelle oder auf Ihren eigenen öffentlichen DNS-Servern registriert sein.
- Wenn Sie die Active Directory-Synchronisierung bereits eingerichtet haben, stimmt der UPN des Benutzers möglicherweise nicht mit dem in Active Directory definierten UPN des Benutzers vor Ort überein. Um dies zu beheben, benennen Sie den UPN des Benutzers mit dem Cmdlet Set-MsolUserPrincipalName im Microsoft Azure Active Directory-Modul für Windows PowerShell um.