Dies ist der dritte Teil der Serie „Exchange 2016 Hybrid Modus mit Office 365”. In diesem Teil geht es um die Synchronisation der lokalen Benutzerkonten zu Office 365 bzw. Azure Active Directory.
Hier noch die Links zu den vorherigen Artikeln:
- Exchange 2016: Hybrid Modus mit Office 365 (Teil 1)
- Exchange 2016: Hybrid Modus mit Office 365 (Teil 2)
IDFix
Um vorab Probleme zu erkennen, die die erfolgreiche Synchronisation der lokalen Benutzerkonten mit Azure AD verhindern, kann das Tool IDFix verwendet werden. IDFix kann hier kostenlos runtergeladen werden:
IDFix erfordert keine Installation und kann direkt ausgeführt werden:
Mit einem Klick auf “Query” sucht IDFix Probleme und schlägt auch direkt eine Lösung vor:
In meiner frischen Testumgebung wurden keine Probleme erkannt. Falls es hier zu Problemen kommt, können diese mittels IDFix auch direkt behoben werden. Hier ist allerdings etwas Vorsicht geboten.
Azure AD Connect
Damit der Hybrid Modus genutzt werden kann, müssen die Benutzerkonten des lokalen Active Directory mit Azure Active Directory synchronisiert werden. Die Synchronisation erledigt das Tool “Azure AD Connect”. Azure AD Connect ist zwar nicht zwingend nötig, erleichtert aber die Administration deutlich.
Die aktuelle Version von Azure AD Connect kann hier runtergeladen werden:
Die Installation ist mit wenigen Klicks erledigt, danach startet der Assistent zur Konfiguration:
Ich wähle hier die “angepasste” Installation, da hier direkt einige Anpassungen durchgeführt werden können:
Die Komponenten können in diesem Fall mit den Standard-Einstellungen installiert werden, ggf. macht es Sinn den Installationsort auf eine andere Partition zu verschieben:
Nachdem auf “Installieren” geklickt wurde, erfolgt die Installation der SQL Express Datenbank und der weiteren Komponenten:
Direkt nach der Installation der Komponenten, erfolgt die Basis Konfiguration von Azure AD Connect. Damit sich Benutzer mit gleichen Benutzer/Passwort an Office 365 und an lokalen Ressourcen anmelden können, wird hier die Kennworthashsynchronisierung ausgewählt.
Der Vorteil der Kennworthashsynchronisierung ist, dass keine zusätzliche lokale Infrastruktur wie ADFS erforderlich ist, Azure AD Connect synchronisiert dazu die Passworthashes in beide Richtungen:
Im nächsten Schritt werden die Office 365 Anmeldeinformationen angegeben, damit Azure AD Connect eine Verbindung zum Azure Active Directory herstellen kann:
Da Azure AD Connect auf einem Server der Mitglied des lokalen Active Directory ist installiert wurde, ist die lokale Gesamtstruktur schon vorgeschlagen:
Unter dem Punkt “Verzeichnis hinzufügen” müssen allerdings noch die Anmeldeinformationen angegeben werden.
Bei mir war im folgenden Dialog das Kennwortfeld nicht sichtbar, wenn man aber einmal die Tab-Taste drückt, kommt man in das Feld.
Nachdem die Anmeldeinformationen angegeben wurden, ist das lokale Active Directory in der Liste der „Konfigurierten Verzeichnisse” zu sehen:
Der nächste Dialog zeigt die Azure Anmeldungskonfiguration für die Benutzer. Die Benutzer können sich in diesem Fall mit ihren UPN sowohl am lokalen AD, sowie auch an Office 365 anmelden:
Hier zeigt sich einer der Hauptgründe weshalb die “Angepasste Konfiguration” ausgewählt wurde. In diesem Schritt lassen sich gezielt OUs auswählen die mit Azure AD synchronisiert werden sollen. Auf diesem Weg lässt sich recht einfach einschränken, welche Benutzer und Gruppen mit AzureAD synchronisiert werden:
Der nächste Dialog kann mit den Standardeinstellungen fortgesetzt werden, die Identifizierung anhand der E-Mail Adresse ist meistens eindeutig, denn diese kann es nur einmal geben:
Die Filterung welche Benutzer und Geräte synchronisiert werden sollen, wurde in diesem Fall bereits aus OU-Ebene durchgeführt. Wenn die Synchronisation noch weiter eingeschränkt werden soll, kann hier zusätzlich eine AD-Gruppe genutzt werden:
Als Optionales Feature wird im nächsten Dialog “Exchange Hybridbereitstellung” ausgewählt:
Im nächsten Schritt kann die Synchronisation aktiviert werden. Nach der Konfiguration startet Azure AD Connect direkt mit der Synchronisierung der lokalen AD-Konten mit AzureAD:
Die Einrichtung und Synchronisation dauert nun etwas:
Der letzte Dialog zeigt eine Zusammenfassung:
Sobald die erste Synchronisation abgeschlossen wurde, sind die lokalen Benutzerkonten auch im Office 365 Portal zu sehen:
Im nächsten Teil geht es dann um die Exchange Konfiguration.