Installationsroadmap für Microsoft Entra Connect und Microsoft Entra Connect Health

Installieren von Microsoft Entra Connect

Wichtig

Microsoft unterstützt die Änderung oder den Einsatz der Microsoft Entra Connect-Synchronisierung außerhalb dieser formal dokumentierten Aktionen nicht. Eine dieser Aktionen kann zu einem inkonsistenten oder nicht unterstützten Status der Microsoft Entra Connect-Synchronisierung führen. Folglich kann Microsoft auch keinen technischen Support für solche Bereitstellungen leisten.

Den Download für Microsoft Entra Connect finden Sie im Microsoft Download Center.

Lösung Szenario
Vorbereitung: Hardware und Voraussetzungen
  • Hier erfahren Sie mehr zu den Schritten, die vor dem Installieren von Microsoft Entra Connect ausgeführt werden müssen.
  • Express-Einstellungen
  • Wenn Sie über eine einzelne Gesamtstruktur-AD-Instanz verfügen, ist dies die empfohlene Option.
  • Benutzer melden Sie sich mit dem gleichen Kennwort mithilfe der Kennwortsynchronisierung an.
  • Benutzerdefinierte Einstellungen
  • Wird bei mehreren Gesamtstrukturen verwendet. Unterstützt viele lokale Topologien.
  • Passen Sie die Anmeldeoption an, z.B. Pass-Through-Authentifizierung, ADFS für den Verbund, oder verwenden Sie einen Identitätsanbieter eines Drittanbieters.
  • Passen Sie Synchronisierungsfunktionen an, wie das Filtern und Rückschreiben.
  • Upgrade von DirSync
  • Wird bei einem vorhandenen DirSync-Server verwendet, der bereits ausgeführt wird.
  • Upgrade von Azure AD Sync oder Microsoft Entra Connect
  • Je nach Bedarf gibt es verschiedene Methoden.
  • Nach der Installation sollten Sie überprüfen, ob es wie erwartet funktioniert und den Benutzern Lizenzen zuweisen.

    Nächste Schritte zum Installieren Microsoft Entra Connect

    Thema Link
    Laden Sie Microsoft Entra Connect herunter Laden Sie Microsoft Entra Connect herunter
    Installieren mit den Express-Einstellungen Expressinstallation von Microsoft Entra Connect
    Installieren mit benutzerdefinierten Einstellungen Benutzerdefinierte Installation von Microsoft Entra Connect
    Upgrade von DirSync Upgrade von Azure AD-Synchronisierungsdienstetools (DirSync)
    Nach der Installation Überprüfen der Installation und Zuweisen von Lizenzen

    Weitere Informationen zum Installieren Microsoft Entra Connect

    Sie sollten sich auch auf betriebliche Probleme vorbereiten. Verwenden Sie ggf. einen Standbyserver, um im Notfall problemlos ein Failover ausführen zu können. Wenn Sie häufig Konfigurationsänderungen vornehmen möchten, sollten Sie einen Stagingmodus -Server einplanen.

    Thema Link
    Unterstützte Topologien Topologien für Microsoft Entra Connect
    Entwurfskonzepte Microsoft Entra Connect: Entwurfskonzepte
    Für die Installation verwendete Konten Weitere Informationen zu den Anmeldeinformationen und Berechtigungen von Microsoft Entra
    Operative Planung Microsoft Entra Connect Sync: Operative Aufgaben und Überlegungen
    Optionen für die Benutzeranmeldung Microsoft Entra Connect-Optionen für die Benutzeranmeldung

    Konfigurieren der Synchronisierungsfunktionen

    Microsoft Entra Connect verfügt über mehrere Funktionen, die Sie optional aktivieren können oder die standardmäßig aktiviert sind. Einige Funktionen benötigen möglicherweise eine zusätzliche Konfiguration in bestimmten Szenarien und Topologien.

    Filtern wird verwendet, wenn Sie begrenzen möchten, welche Objekte mit Microsoft Entra ID synchronisiert werden. Standardmäßig werden alle Benutzer, Kontakte, Gruppen und Windows 10-Computer synchronisiert. Sie können die Filterung ausgehend von Domänen, Organisationseinheiten oder Attributen ändern.

    Kennworthashsynchronisierung synchronisiert das Kennworthash in Active Directory mit Microsoft Entra ID. So kann der Endbenutzer das gleiche Kennwort lokal und in der Cloud verwenden, es jedoch nur an einem Ort verwalten. Da es das lokale Active Directory als Autorität verwendet, können Sie auch Ihre eigene Kennwortrichtlinie verwenden.

    Kennwortrückschreiben ermöglicht es den Benutzern, ihre Kennwörter in der Cloud zu ändern und zurückzusetzen und die lokale Kennwortrichtlinie anzuwenden.

    Geräterückschreiben ermöglicht es Ihnen, ein in Microsoft Entra ID registriertes Gerät wieder in das lokale Active Directory zurückzuschreiben, damit es für bedingten Zugriff verwendet werden kann.

    Die Funktion zum Verhindern eines versehentlichen Löschvorgangs ist standardmäßig aktiviert und schützt Ihr Cloudverzeichnis vor mehreren gleichzeitigen Löschvorgängen. Standardmäßig sind 500 Löschvorgänge pro Durchlauf zulässig. Diese Einstellung kann abhängig von der Größe Ihres Unternehmens geändert werden.

    automatische Upgrade ist für Installationen mit Expresseinstellungen standardmäßig aktiviert und stellt sicher, dass Ihre Microsoft Entra Connect-Instanz immer mit der neuesten Version aktualisiert wird.

    Nächste Schritte zum Konfigurieren der Synchronisierungsfunktionen

    Thema Link
    Konfigurieren der Filterung Microsoft Entra Connect-Synchronisierung: Konfigurieren der Filterung
    Kennworthashsynchronisierung Kennworthashsynchronisierung
    Passthrough-Authentifizierung Passthrough-Authentifizierung
    Kennwortrückschreiben Erste Schritte mit der Kennwortverwaltung
    Geräterückschreiben Microsoft Entra Connect: Aktivieren des Geräterückschreibens
    Verhindern eines versehentlichen Löschvorgangs Microsoft Entra Connect-Synchronisierung: Verhindern von versehentlichen Löschvorgängen
    automatische Upgrade Microsoft Entra Connect: Automatisches Upgrade

    Anpassen der Microsoft Entra Connect-Synchronisierung

    Microsoft Entra Connect-Synchronisierung ist eine Standardkonfiguration vorgegeben, die für die meisten Kunden und Topologien konzipiert wurde. Es gibt jedoch immer Situationen, in denen die Standardkonfiguration nicht funktioniert und angepasst werden muss. Sie können Änderungen wie in diesem Abschnitt und in den verknüpften Themen beschrieben vornehmen.

    Wenn Sie noch nicht mit einer Synchronisierungstopologie gearbeitet haben, sollten Sie sich zunächst mit den Grundlagen und verwendeten Begriffen vertraut machen, die unter Technische Konzeptebeschrieben werden. Selbst wenn einige Dinge ähnlich sind, hat sich doch auch eine Menge verändert.

    Bei der Standardkonfiguration wird davon ausgegangen, dass die Konfiguration möglicherweise mehrere Gesamtstrukturen umfasst. In diesen Topologien kann ein Benutzerobjekt möglicherweise in einer anderen Gesamtstruktur als Kontakt dargestellt werden. Der Benutzer kann in einer anderen Ressourcengesamtstruktur auch über ein verknüpftes Postfach verfügen. Das Verhalten der Standardkonfiguration wird unter Benutzer und Kontaktebeschrieben.

    Das synchronisierte Konfigurationsmodell wird als deklarative Bereitstellungbezeichnet. Die erweiterten Attributflüsse verwenden Funktionen , um Attributtransformationen auszudrücken. Sie können die gesamte Konfiguration mithilfe von Tools, die im Lieferumfang von Microsoft Entra Connect enthalten sind, anzeigen und überprüfen. Wenn Sie Änderungen an der Konfiguration vornehmen müssen, sollten Sie sicherstellen, dass Sie die bewährten Methoden befolgen, damit neue Versionen leichter übernommen werden.

    Die nächsten Schritte der Microsoft Entra Connect-Synchronisierung

    Thema Link
    Alle Artikel zur Microsoft Entra Connect Synchronisierung Microsoft Entra Connect Sync
    Technische Konzepte Technische Konzepte der Microsoft Entra Connect-Synchronisierung
    Grundlegendes zur Standardkonfiguration Microsoft Entra Connect-Synchronisierung: Grundlegendes zur Standardkonfiguration
    Grundlegendes zu Benutzern und Kontakten Microsoft Entra Connect-Synchronisierung: Grundlegendes zu Benutzer*innen und Kontakten
    deklarative Bereitstellung Microsoft Entra Connect-Synchronisierung: Grundlegendes zu Ausdrücken für die deklarative Bereitstellung
    Ändern der Standardkonfiguration Bewährte Methoden zum Ändern der Standardkonfiguration

    Konfigurieren von Verbundfunktionen

    Microsoft Entra Connect bietet mehrere Features, die die Verbunderstellung mit Microsoft Entra unter Verwendung von AD FS sowie die Verwaltung Ihrer Verbundvertrauensstellung vereinfachen. Microsoft Entra Connect unterstützt AD FS ab Windows Server 2012 R2.

    Aktualisieren Sie das TLS/SSL-Zertifikat der AD FS-Farm, auch wenn Sie Microsoft Entra Connect nicht für die Verwaltung Ihrer Verbundvertrauensstellung verwenden.

    Fügen Sie Ihrer Farm einen AD FS-Server hinzu, um die Farm nach Bedarf zu erweitern.

    Reparieren Sie die Vertrauensstellung mit Microsoft Entra mit einigen wenigen Klicks.

    AD FS kann für die Unterstützung von mehreren Domänenkonfiguriert werden. Beispiel: Sie besitzen mehrere Domänen der obersten Ebene, die Sie für den Verbund verwenden müssen.

    Wenn Ihr AD FS-Server nicht für die automatische Aktualisierung von Zertifikaten in Microsoft Entra konfiguriert wurde oder wenn Sie eine Lösung ohne AD FS nutzen, werden Sie benachrichtigt, wenn Sie Zertifikate aktualisieren müssen.

    Nächste Schritte zum Konfigurieren der Verbundfunktionen

    Thema Link
    Alle AD FS-Artikel Microsoft Entra Connect und Verbund
    Konfigurieren von AD FS mit Unterdomänen Unterstützung mehrerer Domänen für den Verbund mit Microsoft Entra ID
    Verwalten der AD FS-Farm Verwalten und Anpassen von AD FS mit Microsoft Entra Connect
    Manuelles Aktualisieren von Verbundzertifikaten Erneuern von Verbundzertifikaten für Microsoft 365 und Microsoft Entra ID

    Erste Schritte mit Microsoft Entra Connect Health

    Der Einstieg in Microsoft Entra Connect Health ist einfach:

    1. Rufen Sie Microsoft Entra ID P1 oder P2 ab, oder starten Sie eine Testversion.
    2. Laden Sie Microsoft Entra Connect Health-Agents herunter, und installieren Sie sie auf Ihren Identitätsservern.
    3. Zeigen Sie das Microsoft Entra Connect Health-Dashboard unter https://aka.ms/aadconnecthealth an.

    Hinweis

    Denken Sie daran, dass Sie die Microsoft Entra Connect Health-Agents auf Ihren Zielservern installieren müssen, um in Ihrem Microsoft Entra Connect Health-Dashboard Daten anzeigen zu können.

    Herunterladen und Installieren der Microsoft Entra Connect Health-Agents

    Microsoft Entra Connect Health-Portal

    Das Microsoft Entra Connect Health-Portal zeigt Warnungen, Leistungsüberwachungsdaten und Nutzungsanalysen an. Über die URL https://aka.ms/aadconnecthealth gelangen Sie zum Hauptblatt von Microsoft Entra Connect Health. Sie können es sich wie ein Fenster vorstellen. Auf dem Hauptblatt werden die Option Schnellstart, die Dienste von Microsoft Entra Connect Health und weitere Konfigurationsoptionen angezeigt. Im folgenden Screenshot sehen Sie diese Elemente und darunter finden Sie ihre Beschreibung. Nachdem Sie die Agents bereitgestellt haben, wird der Integritätsdienst für die Dienste automatisch identifiziert, die von Microsoft Entra Connect Health überwacht werden.

    Hinweis

    Lizenzierungsinformationen finden Sie in den häufig gestellten Fragen zu Microsoft Entra Connect Health oder auf der Microsoft Entra-Preisseite.

    Microsoft Entra Connect Health-Portal

    • Schnellstart: Wenn Sie diese Option auswählen, wird das Blatt Schnellstart geöffnet. Sie können Sie den Microsoft Entra Connect Health-Agent herunterladen, indem Sie Tools abrufen auswählen. Sie können auch auf die Dokumentation zugreifen und Feedback geben.
    • Microsoft Entra Connect (Synchronisierung): Diese Option zeigt Ihre Microsoft Entra Connect-Server an, die Microsoft Entra Connect Health derzeit überwacht. Der Eintrag Synchronisierungsfehler zeigt allgemeine Synchronisierungsfehler des ersten integrierten Synchronisierungsdiensts nach Kategorien. Wenn Sie den Eintrag Synchronisierungsdienste auswählen, wird ein Blatt mit Informationen zu Ihren Microsoft Entra Connect-Servern geöffnet. Weitere Informationen zu den Funktionen finden Sie unter Verwenden von Microsoft Entra Connect Health für die Synchronisierung.
    • Active Directory-Verbunddienste: Diese Option zeigt alle AD FS-Dienste, die aktuell von Microsoft Entra Connect Health überwacht werden. Wenn Sie eine Instanz auswählen, wird ein Blatt mit Informationen zu dieser Dienstinstanz geöffnet, darunter beispielsweise eine Übersicht, Eigenschaften, Warnungen, Überwachungsinformationen und eine Nutzungsanalyse. Weitere Informationen zu den Funktionen finden Sie unter Verwenden von Microsoft Entra Connect Health mit AD FS.
    • Active Directory Domain Services: Diese Option zeigt alle AD DS-Gesamtstrukturen, die von Microsoft Entra Connect Health derzeit überwacht werden. Wenn Sie eine Gesamtstruktur auswählen, wird ein Blatt mit Informationen zu dieser Gesamtstruktur geöffnet. Diese Informationen umfassen eine Übersicht mit den wichtigsten Informationen, das Domänencontroller-Dashboard, das Replikationsstatus-Dashboard, Warnungen und Überwachungsdaten. Weitere Informationen zu den Funktionen finden Sie unter Verwenden von Microsoft Entra Connect Health mit AD DS.
    • Konfigurieren: In diesem Abschnitt können Sie folgende Optionen aktivieren oder deaktivieren:
      • Zugriff auf Daten vom Microsoft Entra-Verzeichnisintegritätsdienst durch Microsoft nur zur Problembehandlung: Wenn diese Option aktiviert ist, kann Microsoft auf dieselben Daten zugreifen, die vom Benutzer angezeigt werden. Diese Informationen können bei der Problembehandlung hilfreich sein und die nötige Unterstützung bereitstellen. Diese Option ist standardmäßig deaktiviert.
    • Im Abschnitt Rollenbasierte Zugriffssteuerung (IAM) wird der Zugriff auf Connect Health-Daten auf Rollenbasis verwaltet.

    Nächste Schritte