Vorwort

Diese Anleitung dient zur Einrichtung von dem Tool Azure AD Connect von Microsoft.

Beim Befolgen dieser Anleitung wird die eigene Infrastruktur in den Hybrid-Modus gesetzt.

Die Anleitung ist nicht allgemeingültig. Die Anleitung ist lediglich ein Leitfaden. Individuelle Einstellungen müssen sicherlich getätigt werden.

Voraussetzung

  • DC vorhanden
  • VM mit Windows Server 2022 als Sync-VM. Diese befindet sich in der Domäne. Verbindung zum Internet ist eingerichtet.
  • Lokaler Domänen-Admin ist vorhanden

Azure-Tenant anlegen

Im Azure-Portal muss als im ersten Schritt der Mandant angelegt werden. Dieser spiegelt die eigene Firma wider.
Mandantentyp ist dabei Azure Active Directory.  Beim Mandanten wird eine „onmicrosoft.com“-Domain angelegt, welche immer als Standard hinterlegt ist. Eine Einstellung dazu folgt später.

Zudem kann man zu Beginn die MFA auszuschalten. Ein neu erstellter Admin-Account kann für 14 Tage ohne MFA benutzt werden. Unteres Bild zeigt, wie dies deaktiviert wird.

 

Im Portal unter

Einstellungen > Sicherheitsstandards verwalten > Sicherheitsstandards deaktivieren

Azure AD Connect installieren

Mithilfe vom Azure AD Connect Dienst wird die lokale Infrastruktur in die Cloud von Azure gesynced. Dies sorgt für eine sogenannte Hybrid-Bereitstellung. Der Dienst bietet verschiedene Einstellungsmöglichkeiten, wie entsprechend Azure und On-Prem miteinander kommunizieren.

Der Connector muss auf einer alleinigen Server-VM installiert, welche sich in der Firmendomain befinden muss. Diese VM sollte nur mittels speziellen Administratoren-Konto erreichbar sein. Auch muss eine Verbindung zum Internet (Cloud von Azure) bestehen, ohne diese Verbindung erfolgt keine Hybrid-Bereitstellung.

Ferner muss für das Installieren ein Azure-Admin-Konto vorhanden sein. Dieses lässt sich im zuvor erstellten Mandanten einstellen. Wichtig ist die Domain-Endung mit „onmicrosoft.com“!

Das Tool Azure Active Directory kann unter hier heruntergeladen werden.

Einstellungen

Mit einem Doppelklick lässt sich der Dienst starten. Im ersten Fenster fragt der Dienst direkt, ob man die Express-Einstellungen oder die Einstellungen anpassen.

Empfohlen ist immer die Einstellungen anzupassen!

Es können weitere Komponenten ausgewählt werden, diese sind jedoch nicht notwendig. Wenn eine Migration des Sync-Servers ansteht, kann unter dem letzten Punkt die alte Konfiguration importiert werden.
Abschließend wird der Dienst installiert. Die Anpassungen folgen in der nächsten Maske.

In der nächsten Übersicht ist die Benutzeranmeldung zu konfigurieren.

Dabei sind die folgenden Informationen sehr relevant, um die richtige Einstellung zu treffen:

Kennwort-Hashsynchronisierung: Benutzer können sich bei Microsoft Cloud Services wie Microsoft 365 mit demselben Kennwort anmelden, das sie auch in ihrem lokalen Netzwerk verwenden. Benutzerkennwörter werden mit Azure AD als Kennworthash synchronisiert. Die Authentifizierung erfolgt in der Cloud. Wichtig: Die lokalen Passwörter MÜSSEN den Anforderungen von Microsoft entsprechen, sonst werden die Office365-Konten gesperrt. Folgende Komplexität muss mind. gegeben sein: 8 Zeichen!

Passthrough-Authentifizierung (PTA): Benutzer können sich bei Microsoft Cloud Services wie Microsoft 365 mit demselben Kennwort anmelden, das sie auch in ihrem lokalen Netzwerk verwenden. Benutzerkennwörter werden zur Überprüfung an den lokalen Active Directory-Domänencontroller übergeben.

Anschließend erfordert der Installer einen Azure-Administrator und einen Admin der lokalen Infrastruktur. Hierbei geht es darum, dass ein lokaler Nutzer erstellt wird, der für den Sync notwendig ist.

Im nächsten Reiter wird eingestellt, wie der Benutzer sich im AAD anmelden soll. Voreingestellt ist der UserPrincipalName (UPN), sprich die E-Mail des Nutzers. Sollte keine eigene Domain hinterlegt sein, so wird online das Konto unter „onmicrosoft.com“ erstellt.

In der nächsten Übersicht kann man genau auswählen, welche OU gesynced werden soll. Empfehlenswert ist hier eine extra OU für die User.

 

Die weiteren zwei Masken können so bleiben, da muss nicht unbedingt etwas eingestellt werden.

Zuletzt folgen noch die optionalen Features. Hier sollte auf jeden Fall das Kennwortrückschreiben angehakt werden. Dieses sorgt dafür, dass Passwort-Änderungen im Azure ins lokale AD gesynced werden.