Office 365: Kennwortsynchronisierung mit lokalem Active Directory

Eine Exchange-Hybrid-Konfiguration zeichnet sich unter anderem dadurch aus, dass zwei Systeme – eine On-Prem-Installation und Office 365 – zentral verwaltet werden können. Mit dem Tool DirSync von Microsoft lassen sich Anwenderdaten aus der Lokalumgebung in die Cloud laden. Dazu gehören auch Anwenderkennwörter. Demzufolge muss sich der Anwender nur ein Kennwort merken, anstelle von zwei.

Kennwortsynchronisation zwischen lokalem AD und Office 365

Der nachfolgende Beitrag erläutert, wie die Kennwortsynchronisierung eingerichtet wird und wie man dabei unnötige Daten aussortiert.

Einrichtung von DirSync

DirSync kann man direkt von Microsofts Website herunterladen. Das Programm erfordert eine 64-Bit-Umgebung und vorzugsweise einen Server innerhalb der Domain, mit Ausnahme von Domain Controllern. Vorausgesetzt werden zudem die Bibliotheken .NET 3.5 SP1 und .NET 4.0.

Als Nächstes melden Sie sich zu Ihrem Office 365-Administrator-Account an. Dort gehen Sie auf Users, Active Users und klicken Sie auf den Link Active Directory synchronization Setup oben. In der angezeigten Liste klicken Sie unter Punkt 3 auf den Button Activate. Daraufhin erscheint die Meldung Active Directory synchronization is activated, wie in der nachstehenden Abb. dargestellt:

Office 365: Aktivierung der AD-SynchronisierungZum Herunterladen des DirSync-Tools kann der Button Download unter Punkt 4 genutzt werden.

Nun kann die Set-up-Datei ausgeführt werden. Bevor Sie den Installations-Wizard schließen, checken Sie die Option Start Configuration Wizard now ein und gehen Sie auf Finish.

DirSync-Set-up

Im Wizard geben Sie Ihre Office 365-Admin-Zugangsdaten ein und gehen Sie auf Next:

DirSync-Set-up - Eingabe der Zugangsdaten

Im nächsten Schritt tragen Sie die Zugangsdaten des On-Prem-Admins ein. Klicken Sie auf Next bis Sie bei Password Synchronization ankommen (der Schritt Hybrid Deployment ist für den Vorgang irrelevant, daher überspringen Sie ihn einfach). Checken Sie die Option Enable Password Sync ein und klicken Sie auf Next.

DirSync-Set-up - Kennwortsynchronisierung

Abschließend checken Sie die Option Synchronize your directories now aus, denn zuerst müssen ein paar andere Dinge angepasst werden. Klicken Sie auf Finish, um den Wizard zu schließen.

DirSync-Set-up - Abschließender Schritt

Ausschluß der AD-Attribute

Da in unserem Beispiel nur die Kennwörter synchronisiert werden sollen, müssen alle anderen Anwenderattribute von der Synchronisierung ausgeschlossen werden. Dazu starten Sie die Konsole Synchronization Service Manager, indem Sie diesen Pfad öffnen:

C:\Program Files\Windows Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell

und miisclient.exe ausführen. In der Konsole klicken Sie auf den Tab Management Agents.

Konsole Synchronization Service Manager

Mit der rechten Maustaste klicken Sie auf Active Directory Connector und gehen Sie auf Properties. In dem neuen Fenster markieren Sie Select Attrbutes.

Auswahl der Attribute

In der Liste Select Attributes checken Sie all die Attribute aus, die nicht kopiert werden sollen, z.B. Kontakt- und Firmendaten etc. Ihre Auswahl bestätigen Sie mit OK. Diese Einstellung erweist sich als praktisch, wenn einige Daten in der Cloud in dem lokalen AD nicht vorhanden sind. Die Synchronisation erfolgt nämlich in eine Richtung, von On-Prem-Server in die Cloud, und sie überschreibt Daten in Office 365.

Abschließend starten Sie die Synchronisation. Dazu klicken Sie mit der rechten Maustaste auf Active Directory Connector und im Tab Management Agents gehen Sie auf Run.

Start der Synchronisation von AD-Attributen

Wählen Sie Full Import Full Sync aus und bestätigen Sie mit OK.

Option Full Import Full Sync für AD-Attribute in Office 365

Das war’s – Ihre Kennwörter werden zwischen dem On-Prem-Server und der Office 365-Organisation abgeglichen.

Was ist zu beachten?

Es gibt einige Optionen und Einschränkungen, deren Sie sich bewusst sein sollten, wenn Sie mit DirSync Kennwörter synchronisieren:

  • Alle Kennwörter, kopiert in die Cloud, werden auf Password never expires gesetzt. Demzufolge können Kennwörter, die lokal abgelaufen sind. in Office 365 weiterhin gültig bleiben.
  • Beim Ändern von Kennwörtern in dem lokalen AD checken Sie die Option User must change passwort at next login aus. Sonst wird sich der Anwender u.U. nicht mehr zu seinem Office 365-Account anmelden können.
  • Beim Deaktivieren von Kennwörtern in dem lokalen AD bedenken Sie, dass diese Änderung erst beim nächsten Abgleich (standardmäßig alle 3 Stunden) greift. Der User wird sich lokal nicht mehr einloggen können, in sein Office 365-Account kommt er aber doch noch rein.

Empfohlene Links:

In Office 365 mehrere User auf einmal erstellen und lizenzieren

Lokales Active Directory mit Office 365 synchronisieren

Office 365 – Administration über PowerShell

Leave a Reply

Your email address will not be published.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*