Unterstützte Topologien und Szenarien für die Microsoft Entra-Cloudsynchronisierung

In diesem Artikel werden verschiedene lokale und Microsoft Entra-Topologien beschrieben, die Microsoft Entra-Cloudsynchronisierung verwenden. In diesem Artikel werden nur unterstützte Konfigurationen und Szenarien erörtert.

Wichtig

Microsoft unterstützt die Änderung oder den Einsatz der Microsoft Entra-Cloudsynchronisierung außerhalb dieser formal dokumentierten Konfigurationen oder Aktionen nicht. Diese Konfigurationen oder Aktionen können zu einem inkonsistenten oder nicht unterstützten Status der Microsoft Entra-Cloudsynchronisierung führen. Folglich kann Microsoft auch keinen technischen Support für solche Bereitstellungen leisten.

Weitere Informationen finden Sie im folgenden Video.

Für alle Szenarien und Topologien zu berücksichtigende Aspekte

Die nachstehenden Informationen sollten bei der Auswahl einer Lösung beachtet werden.

  • Benutzer und Gruppen müssen in allen Gesamtstrukturen eindeutig identifiziert werden.
  • Bei der Cloudsynchronisierung gibt es keinen gesamtstrukturübergreifenden Abgleich.
  • Der Quellanker für Objekte wird automatisch ausgewählt. Er verwendet das „ms-DS-ConsistencyGuid“-Attribut (sofern vorhanden). Andernfalls wird „ObjectGUID“ verwendet.
  • Sie können das für den Quellanker verwendete Attribut nicht ändern.

Unterstützte Topologien zwischen Active Directory und Microsoft Entra ID

Die folgenden Topologien werden für die Bereitstellung aus Active Directory in Microsoft Entra ID unterstützt.

Einzelne Gesamtstruktur, einzelner Microsoft Entra-Mandant

Diagramm der Topologie für eine einzelne Gesamtstruktur und einen einzelnen Mandanten.

Die einfachste Topologie ist eine einzelne lokale Gesamtstruktur mit einer oder mehreren Domänen und einem einzelnen Microsoft Entra-Mandanten. Ein Beispiel für dieses Szenario finden Sie unter Tutorial:{}Integrieren einer einzelnen Gesamtstruktur mit einem einzelnen Microsoft Entra-Mandanten

Mehrere Gesamtstrukturen, einzelner Microsoft Entra-Mandant

Topologie für mehrere Gesamtstrukturen und einen einzelnen Mandanten

Eine häufig verwendete Topologie besteht aus mehreren AD-Gesamtstrukturen mit einer oder mehreren Domänen und einem einzelnen Microsoft Entra-Mandanten.

Vorhandene Gesamtstruktur mit Microsoft Entra Connect, neue Gesamtstruktur mit Cloudbereitstellung

Diagramm der Topologie für eine vorhandene Gesamtstruktur und eine neue Gesamtstruktur.

Diese Szenario-Topologie ähnelt dem Szenario mit mehreren Gesamtstrukturen, allerdings wird hier eine vorhandene Microsoft Entra Connect-Umgebung verwendet und anschließend mithilfe von Microsoft Entra-Cloudsynchronisierung eine neue Gesamtstruktur hinzugefügt. Ein Beispiel für dieses Szenario finden Sie unter Tutorial: Integrieren einer vorhandenen Gesamtstruktur in eine neue Gesamtstruktur mit einem einzelnen Microsoft Entra-Mandanten.

Testen der Microsoft Entra-Cloudsynchronisierung in einer vorhandenen Hybrid-AD-Gesamtstruktur

Topologie für eine einzelne Gesamtstruktur und einen einzelnen Mandanten

Im Pilottestszenario sind sowohl Microsoft Entra Connect als auch die Microsoft Entra-Cloudsynchronisierung in derselben Gesamtstruktur enthalten, und die Benutzerinnen und Benutzer sowie Gruppen werden entsprechend festgelegt. HINWEIS: Ein Objekt darf sich nur in einem der Tools im Gültigkeitsbereich befinden.

Ein Beispiel für dieses Szenario finden Sie unter Tutorial: Testen der Microsoft Entra-Cloudsynchronisierung für eine vorhandene synchronisierte AD-Gesamtstruktur.

Zusammenführen von Objekten aus getrennten Quellen

(Öffentliche Vorschau)

Diagramm zum Zusammenführen von Objekten aus getrennten Quellen

In diesem Szenario werden die Attribute einer Benutzerin bzw. eines Benutzers durch zwei getrennte Active Directory-Gesamtstrukturen beigetragen.

Beispiel:

  • Eine Gesamtstruktur (1) enthält die meisten der Attribute.
  • Eine zweite Gesamtstruktur (2) enthält einige Attribute.

Da es bei der zweiten Gesamtstruktur keine Netzwerkkonnektivität mit dem Microsoft Entra Connect-Server gibt, kann das Objekt über Microsoft Entra Connect nicht zusammengeführt werden. Die Cloudsynchronisierung in der zweiten Gesamtstruktur ermöglicht es, den Attributwert daraus abzurufen. Der Wert kann dann mit dem Objekt in Microsoft Entra ID zusammengeführt werden, das von Microsoft Entra Connect synchronisiert wird.

Diese Konfiguration ist erweitert, und es gibt einige Vorbehalte für diese Topologie:

  1. Sie müssen ms-DS-ConsistencyGuid als Quellanker in der Cloud-Synchronisierungskonfiguration verwenden.
  2. Der Wert ms-DS-ConsistencyGuid des Benutzerobjekts in der zweiten Gesamtstruktur muss mit dem Wert des entsprechenden Objekts in Microsoft Entra ID übereinstimmen.
  3. Sie müssen das Attribut UserPrincipalName und das Attribut Alias in der zweiten Gesamtstruktur auffüllen, und es muss mit den Attributen übereinstimmen, die aus der ersten Gesamtstruktur synchronisiert werden.
  4. Sie müssen alle Attribute aus der Attributzuordnung in der Cloud-Synchronisierungskonfiguration entfernen, die keinen Wert oder möglicherweise einen anderen Wert in der zweiten Gesamtstruktur haben. Es kann keine überlappenden Attributzuordnungen zwischen der ersten Gesamtstruktur und der zweiten geben.
  5. Wenn die erste Gesamtstruktur kein übereinstimmendes Objekt für ein Objekt enthält, das aus der zweiten Gesamtstruktur synchronisiert wurde, erstellt die Cloud-Synchronisierung das Objekt weiterhin in Microsoft Entra ID. Das Objekt hat nur die Attribute, die in der Zuordnungskonfiguration von der Cloudsynchronisierung für die zweite Gesamtstruktur definiert werden.
  6. Wenn Sie das Objekt aus der zweiten Gesamtstruktur löschen, wird es in Microsoft Entra ID vorübergehend vorläufig gelöscht. Nach dem nächsten Microsoft Entra Connect-Synchronisierungszyklus wird es automatisch wiederhergestellt.
  7. Wenn Sie das Objekt aus der ersten Gesamtstruktur löschen, wird es aus Microsoft Entra ID vorläufig gelöscht. Das Objekt wird erst dann wiederhergestellt, wenn eine Änderung an dem Objekt in der zweiten Gesamtstruktur vorgenommen wird. Nach 30 Tagen wird das Objekt endgültig aus Microsoft Entra gelöscht, und wenn eine Änderung an dem Objekt in der zweiten Gesamtstruktur vorgenommen wird, wird es als neues Objekt in Microsoft Entra erstellt.

Unterstützte Topologien zwischen Microsoft Entra ID und Active Directory

Die folgenden Topologien werden für die Bereitstellung aus Microsoft Entra ID in Active Directory unterstützt.

Gruppenbereitstellung mit einer Gesamtstruktur in Active Directory

Konzeptionelles Diagramm des Rückschreibens einzelner Gesamtstrukturen

Die einfachste Topologie für die Gruppenbereitstellung ist eine einzelne lokale Gesamtstruktur mit einer oder mehreren Domänen und einem einzelnen Microsoft Entra-Mandanten. Ein Beispiel für dieses Szenario finden Sie unter Bereitstellen von Gruppen in Active Directory.

Gruppenbereitstellung mit mehreren Gesamtstrukturen in Active Directory

Konzeptionelles Diagramm des Rückschreibens mehrerer Gesamtstrukturen

Eine komplexere Gruppenbereitstellungstopologie besteht aus mehreren lokalen AD-Gesamtstrukturen, die gemeinsam einen einzelnen Microsoft Entra ID-Mandanten nutzen.

Diese Konfiguration ist erweitert, und bei dieser Topologie sind ein paar Punkte zu berücksichtigen:

  • Über Cloudsynchronisierung in AD bereitgestellte Gruppen können lediglich lokale synchronisierte Benutzer und/oder zusätzliche in der Cloud erstellte Sicherheitsgruppen enthalten.
  • Für alle diese Benutzer muss das onPremisesObjectIdentifier-Attribut für ihr Konto festgelegt werden.
  • onPremisesObjectIdentifier muss mit einer entsprechenden Objekt-GUID (objectGUID) in der AD-Zielumgebung übereinstimmen.
  • Ein objectGUID-Attribut lokaler Benutzer kann entweder mithilfe der Microsoft Entra-Cloudsynchronisierung (1.1.1370.0) oder der Microsoft Entra Connect-Synchronisierung (2.2.8.0) mit dem onPremisesObjectIdentifier-Attribut von Cloudbenutzern synchronisiert werden.
  • Innerhalb Ihres Mandanten können Sie eine gemeinsame Gruppe nutzen, die Benutzer aus beiden Gesamtstrukturen enthält.
  • Benutzer, die in der anderen Gesamtstruktur nicht vorhanden sind, werden jedoch NICHT als Mitglieder der Gruppe bereitgestellt, wenn sie lokal bereitgestellt wird. Wenn Sie also über eine Gruppe in Microsoft Entra ID verfügen, die Benutzer aus contoso.com und fabrikam.com enthält, sind nur die Benutzer aus der contoso.com-Gesamtstruktur Mitglieder der Gruppe, wenn sie für contoso.com bereitgestellt wird. Dasselbe gilt für fabrikam.

Nächste Schritte