Bereitstellen der Microsoft 365-Verzeichnissynchronisierung in Microsoft Azure
Microsoft Entra Connect (früher als Verzeichnissynchronisierungstool, Verzeichnissynchronisierungstool oder DirSync.exe Tool bezeichnet) ist eine Anwendung, die Sie auf einem in die Domäne eingebundenen Server installieren, um Ihre lokales Active Directory Domain Services(AD DS)-Benutzer mit dem Microsoft Entra Mandant Ihres Microsoft 365-Abonnements. Microsoft 365 verwendet Microsoft Entra ID für den Verzeichnisdienst. Ihr Microsoft 365-Abonnement enthält einen Microsoft Entra Mandanten. Dieser Mandant kann auch für die Verwaltung der Identitäten Ihrer organization mit anderen Cloudworkloads verwendet werden, einschließlich anderer SaaS-Anwendungen und -Apps in Azure.
Sie können Microsoft Entra Connect auf einem lokalen Server installieren, aber sie können aus folgenden Gründen auch auf einem virtuellen Computer in Azure installiert werden:
- Sie können cloudbasierte Server schneller bereitstellen und konfigurieren und so die Dienste Ihren Benutzern schneller zur Verfügung stellen.
- Azure bietet eine bessere Verfügbarkeit von Websites mit weniger Aufwand.
- Sie können die Anzahl der lokalen Server in Ihrer Organisation verringern.
Diese Lösung erfordert Konnektivität zwischen Ihrem lokalen Netzwerk und Ihrem virtuellen Azure-Netzwerk. Weitere Informationen finden Sie unter Verbinden eines lokalen Netzwerks mit einem virtuellen Microsoft Azure-Netzwerk.
Hinweis
In diesem Artikel wird die Synchronisierung einer einzelnen Domäne in einer einzelnen Gesamtstruktur beschrieben. Microsoft Entra Connect synchronisiert alle AD DS-Domänen in Ihrer Active Directory-Gesamtstruktur mit Microsoft 365. Wenn Sie über mehrere Active Directory-Gesamtstrukturen verfügen, die mit Microsoft 365 synchronisiert werden müssen, finden Sie weitere Informationen unter Multi-Forest Directory Sync with Single Sign-On Scenario .If you have multiple-forest directory forests to synchronize with Microsoft 365, see Multi-forest Directory Sync with Single Sign-On Scenario.
Übersicht über die Bereitstellung der Microsoft 365-Verzeichnissynchronisierung in Azure
Das folgende Diagramm zeigt, Microsoft Entra Connect auf einem virtuellen Computer in Azure (verzeichnissynchronisierungsserver) ausgeführt wird, der eine lokale AD DS-Gesamtstruktur mit einem Microsoft 365-Abonnement synchronisiert.
Im Diagramm sind zwei Netzwerke vorhanden, die über eine Site-to-Site-VPN- oder ExpressRoute-Verbindung verbunden sind. Es gibt ein lokales Netzwerk, in dem sich AD DS-Domänencontroller befinden, und es gibt ein virtuelles Azure-Netzwerk mit einem Verzeichnissynchronisierungsserver, bei dem es sich um einen virtuellen Computer handelt, auf dem Microsoft Entra Connect ausgeführt wird. Es gibt zwei Standard Datenverkehrsflüsse, die vom Verzeichnissynchronisierungsserver stammen:
- Microsoft Entra Connect fragt einen Domänencontroller im lokalen Netzwerk nach Änderungen an Konten und Kennwörtern ab.
- Microsoft Entra Connect sendet die Änderungen an Konten und Kennwörtern an die Microsoft Entra instance Ihres Microsoft 365-Abonnements. Da sich der Verzeichnissynchronisierungsserver in einem erweiterten Teil Ihres lokalen Netzwerks befindet, werden diese Änderungen über den Proxyserver des lokalen Netzwerks gesendet.
Hinweis
Diese Lösung beschreibt die Synchronisierung einer einzelnen Active Directory-Domäne in einer einzelnen Active Directory-Gesamtstruktur. Microsoft Entra Connect synchronisiert alle Active Directory-Domänen in Ihrer Active Directory-Gesamtstruktur mit Microsoft 365. Wenn Sie über mehrere Active Directory-Gesamtstrukturen verfügen, die mit Microsoft 365 synchronisiert werden müssen, finden Sie weitere Informationen unter Multi-Forest Directory Sync with Single Sign-On Scenario .If you have multiple-forest directory forests to synchronize with Microsoft 365, see Multi-forest Directory Sync with Single Sign-On Scenario.
Es gibt bei der Bereitstellung dieser Lösung zwei wichtige Schritte:
Erstellen Sie ein virtuelles Azure-Netzwerk, und stellen Sie eine Site-to-Site-VPN-Verbindung mit Ihrem lokalen Netzwerk her. Weitere Informationen finden Sie unter Verbinden eines lokalen Netzwerks mit einem virtuellen Microsoft Azure-Netzwerk.
Installieren Sie Microsoft Entra Connect auf einem in die Domäne eingebundenen virtuellen Computer in Azure, und synchronisieren Sie dann den lokalen AD DS mit Microsoft 365. Dies umfasst:
Erstellen eines virtuellen Azure-Computers zum Ausführen von Microsoft Entra Connect.
Installieren und Konfigurieren von Microsoft Entra Connect.
Zum Konfigurieren von Microsoft Entra Connect sind die Anmeldeinformationen (Benutzername und Kennwort) eines Microsoft Entra Administratorkontos und eines AD DS-Unternehmensadministratorkontos erforderlich. Microsoft Entra Connect wird sofort und fortlaufend ausgeführt, um die lokale AD DS-Gesamtstruktur mit Microsoft 365 zu synchronisieren.
Bevor Sie diese Lösung in der Produktion bereitstellen, können Sie die Anweisungen unter Die simulierte Enterprise-Basiskonfiguration verwenden, um diese Konfiguration als Proof of Concept, für Demonstrationen oder für Experimente einzurichten.
Wichtig
Wenn Microsoft Entra Connect-Konfiguration abgeschlossen ist, werden die Anmeldeinformationen des AD DS-Unternehmensadministratorkontos nicht gespeichert.
Hinweis
Diese Lösung beschreibt die Synchronisierung einer einzelnen AD DS-Gesamtstruktur mit Microsoft 365. Die in diesem Artikel beschriebene Topologie stellt nur eine Möglichkeit zum Implementieren dieser Lösung dar. Die Topologie Ihres organization kann sich je nach Ihren individuellen Netzwerkanforderungen und Sicherheitsüberlegungen unterscheiden.
Planen des Hostens eines Verzeichnissynchronisierungsservers für Microsoft 365 in Azure
Voraussetzungen
Lesen Sie die folgenden Voraussetzungen für diese Lösung, ehe Sie mit diesem Vorgang beginnen:
Überprüfen Sie die dazugehörigen Planungsinhalte in Planen des virtuellen Azure-Netzwerks.
Stellen Sie sicher, dass alle Voraussetzungen für die Konfiguration des virtuellen Azure-Netzwerks erfüllt sind.
Sie verfügen über ein Microsoft 365-Abonnement, das die Active Directory-Integrationsfunktion enthält. Informationen zu Microsoft 365-Abonnements findest du auf der Seite Microsoft 365-Abonnement.
Stellen Sie einen virtuellen Azure-Computer bereit, auf dem Microsoft Entra Connect ausgeführt wird, um Ihre lokale AD DS-Gesamtstruktur mit Microsoft 365 zu synchronisieren.
Sie müssen über die Anmeldeinformationen (Namen und Kennwörter) für ein AD DS-Unternehmensadministratorkonto und ein Microsoft Entra Administratorkonto verfügen.
Entwurfsannahmen für die Lösungsarchitektur
In der folgenden Liste werden die für diese Lösung getroffenen Design-Entscheidungen beschrieben.
Diese Lösung verwendet ein einzelnes virtuelles Azure-Netzwerk mit einer einzelnen Standort-zu-Standort-VPN-Verbindung. Das virtuelle Azure-Netzwerk hostet ein einzelnes Subnetz mit einem Server, dem Verzeichnissynchronisierungsserver, auf dem Microsoft Entra Connect ausgeführt wird.
Im lokalen Netzwerk sind ein Domänencontroller und DNS-Server vorhanden.
Microsoft Entra Connect führt die Kennworthashsynchronisierung anstelle des einmaligen Anmeldens durch. Sie müssen keine Active Directory-Verbunddienste (AD FS) -Infrastruktur (AD FS) bereitstellen. Weitere Informationen zur Kennworthashsynchronisierung und zum einmaligen Anmelden finden Sie unter Auswählen der richtigen Authentifizierungsmethode für Ihre Microsoft Entra Hybrididentitätslösung.
Es gibt weitere Entwurfsoptionen, die Sie beim Bereitstellen dieser Lösung in Ihrer Umgebung in Betracht ziehen können. Hierzu gehören:
Wenn es in einem vorhandenen virtuellen Azure-Netzwerk DNS-Server gibt, bestimmen Sie, ob der Verzeichnissynchronisierungsserver diese für die Namensauflösung anstelle der DNS-Server im lokalen Netzwerk verwenden soll.
Wenn in einem vorhandenen virtuellen Azure-Netzwerk Domänencontroller vorhanden sind, bestimmen Sie, ob die Konfiguration von Active Directory-Standorten und -Diensten für Sie die bessere Option ist. Der Verzeichnissynchronisierungsserver kann die Domänencontroller im virtuellen Azure-Netzwerk nach Änderungen an Konten und Kennwörtern anstelle von Domänencontrollern im lokalen Netzwerk abfragen.
Fahrplan für die Bereitstellung
Die Bereitstellung von Microsoft Entra Connect auf einem virtuellen Computer in Azure besteht aus drei Phasen:
Phase 1: Erstellen und Konfigurieren des virtuellen Azure-Netzwerks
Phase 2: Erstellen und Konfigurieren des virtuellen Azure-Computers
Phase 3: Installieren und Konfigurieren von Microsoft Entra Connect
Nach der Bereitstellung müssen Sie auch Standorte und Lizenzen für die neuen Benutzerkonten in Microsoft 365 zuweisen.
Phase 1: Erstellen und Konfigurieren des virtuellen Azure-Netzwerks
Zum Erstellen und Konfigurieren des virtuellen Azure-Netzwerks durchlaufen Sie Phase 1: Vorbereitung Ihres lokalen Netzwerks und Phase 2: Erstellen des standortübergreifenden virtuellen Azure-Netzwerks im Fahrplan für die Bereitstellung von Verbinden eines lokalen Netzwerks mit einem virtuellen Microsoft Azure-Netzwerk.
Nachfolgend sehen Sie die daraus resultierende Konfiguration.
Diese Abbildung zeigt ein lokales Netzwerk, das über eine Standort-zu-Standort-VPN- oder ExpressRoute-Verbindung mit einem virtuellen Azure-Netzwerk verbunden ist.
Phase 2: Erstellen und Konfigurieren des virtuellen Azure-Computers
Erstellen Sie den virtuellen Computer in Azure mithilfe der Anweisungen Erstellen Sie Ihren ersten virtuellen Windows-Computer im Azure-Portal. Verwenden Sie die folgenden Einstellungen:
Wählen Sie im Bereich Grundlagen dasselbe Abonnement, denselben Standort und dieselbe Ressourcengruppe wie Ihr virtuelles Netzwerk aus. Bewahren Sie den Benutzernamen und das Kennwort an einem sicheren Ort auf. Sie benötigen diese später, um eine Verbindung mit dem virtuellen Computer herzustellen.
Wählen Sie im Bereich zum Auswählen einer Größe die Größe A2 Standard aus.
Wählen Sie im Bereich Einstellungen im Abschnitt Speicher den Speichertyp Standard aus. Wählen Sie im Abschnitt Netzwerk den Namen Ihres virtuellen Netzwerks und das Subnetz zum Hosten des Verzeichnissynchronisierungsservers (nicht gatewaySubnet) aus. Alle anderen Einstellungen bleiben bei ihren Standardwerten.
Stellen Sie sicher, dass der Verzeichnissynchronisierungsserver DNS ordnungsgemäß verwendet. Überprüfen Sie dazu Ihr internes DNS, und vergewissern Sie sich, dass für den virtuellen Computer ein Adresseintrag (A-Datensatz) mit seiner IP-Adresse hinzugefügt wurde.
Befolgen Sie die Anweisungen unter Herstellen einer Verbindung mit dem virtuellen Computer und Anmelden , um eine Verbindung mit dem Verzeichnissynchronisierungsserver über eine Remotedesktopverbindung herzustellen. Nachdem Sie sich angemeldet haben, fügen Sie den virtuellen Computer der lokalen AD DS-Domäne hinzu.
Damit Microsoft Entra Connect zugriff auf Internetressourcen erhält, müssen Sie den Verzeichnissynchronisierungsserver so konfigurieren, dass er den Proxyserver des lokalen Netzwerks verwendet. Wenden Sie sich an Ihren Netzwerkadministrator, um weitere Konfigurationsschritte auszuführen.
Nachfolgend sehen Sie die daraus resultierende Konfiguration.
Diese Abbildung zeigt den virtuellen Computer des Verzeichnissynchronisierungsservers im lokalen virtuellen Azure-Netzwerk.
Phase 3: Installieren und Konfigurieren von Microsoft Entra Connect
Gehen Sie wie folgt vor:
Stellen Sie über eine Remotedesktopverbindung mit einem AD DS-Domänenkonto, das über lokale Administratorrechte verfügt, eine Verbindung mit dem Verzeichnissynchronisierungsserver her. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit dem virtuellen Computer und Anmelden.
Öffnen Sie auf dem Verzeichnissynchronisierungsserver den Artikel Verzeichnissynchronisierung für Microsoft 365 einrichten , und befolgen Sie die Anweisungen für die Verzeichnissynchronisierung mit Kennworthashsynchronisierung.
Achtung
Setup erstellt das AAD_xxxxxxxxxxxx-Konto in der Organisationseinheit "Lokale Benutzer". Wenn Sie dieses Konto nicht verschieben oder entfernen, tritt bei der Synchronisierung ein Fehler auf.
Nachfolgend sehen Sie die daraus resultierende Konfiguration.
Diese Abbildung zeigt den Verzeichnissynchronisierungsserver mit Microsoft Entra Connect im standortübergreifenden virtuellen Azure-Netzwerk.
Zuweisen von Standorten und Lizenzen zu Benutzern in Microsoft 365
Microsoft Entra Connect Ihrem Microsoft 365-Abonnement Konten aus dem lokalen AD DS hinzufügt, aber damit sich Benutzer bei Microsoft 365 anmelden und die zugehörigen Dienste verwenden können, müssen die Konten mit einem Standort und Lizenzen konfiguriert werden. Führen Sie die folgenden Schritte aus, um den Standort hinzuzufügen und Lizenzen für die entsprechenden Benutzerkonten zu aktivieren:
Melden Sie sich beim Microsoft 365 Admin Center an, und klicken Sie dann auf Admin.
Klicken Sie im linken Navigationsbereich auf Benutzer>Aktive Benutzer.
Aktivieren Sie in der Liste der Benutzerkonten das Kontrollkästchen neben dem zu aktivierenden Benutzer.
Klicken Sie auf der Seite für den Benutzer auf Bearbeiten für Produktlizenzen.
Wählen Sie auf der Seite Produktlizenzen unter Speicherort einen Speicherort für den Benutzer aus, und aktivieren Sie dann die entsprechenden Lizenzen für den Benutzer.
Wenn Sie fertig sind, klicken Sie auf Speichern, und klicken Sie dann zweimal auf Schließen.
Kehren Sie zu Schritt 3 zurück, um weitere Benutzer zu bearbeiten.
Siehe auch
Microsoft 365-Lösungs- und Architekturcenter
Verbinden eines lokalen Netzwerks mit einem virtuellen Microsoft Azure-Netzwerk
Microsoft Entra Connect herunterladen
Einrichten der Verzeichnissynchronisierung für Microsoft 365