von Redaktion IT-A…
Lesezeit
3 Minuten
Seite 2 - Vorbereitungen für den Office-365-Betrieb
Synchronisation aktivieren
Eine weitere anstehende Vorarbeit ist das Aktivieren der Verzeichnissynchronisation. Bevor Azure AD Connect seine Arbeit verrichten kann, müssen Sie die Synchronisierung erlauben. Die PowerShell im Admin-Modus ist hierfür die einfachste Methode:
Lokale Identitäten bereinigen
Microsoft empfiehlt, vor der Synchronisation von Benutzer-, Gruppen- und Kontaktobjekten ein paar Bereinigungsmaßnahmen durchzuführen. Aus Erfahrung mit bisherigen Office-365-Kunden weiß Microsoft, dass die Datenreinheit in Windows-ADs nicht allerorts die Qualität hat, die die Cloudsysteme gerne hätten. So benötigt Exchange Online beispielsweise eindeutige E-Mail-Adressen und kann Dubletten in einigen Attributen nur schwer verdauen.
Für das Windows-AD sind diese Doppelungen kein Problem, da das Verzeichnis bis auf wenige Attribute keine Einzigartigkeitsprüfung oder Syntaxprüfung durchführt. Überhaupt wird die Mehrzahl der Attribute im AD bei Objekterstellung nicht überprüft. Alles, was Betriebslogik darstellt und speziell formatierte Daten wie etwa Büroplatz, Telefonnummer oder E-Mail-Adresse darstellt, muss separat eingepflegt und erzwungen werden.
Mit steigender Anzahl an Objekten, die in die Cloud synchronisiert werden, bietet es sich an, zuvor eine Überprüfung der Objekte durchzuführen. Gerade bei Unternehmen, in denen die Objekterstellung nicht automatisiert stattfindet oder in denen Identity-Management-Systeme existieren, gibt es erfahrungsgemäß etwas mehr zu tun. Falls nichteindeutige Daten gefunden werden, lassen sich diese einfach vor dem Sync bereinigen. Das geht zwar später immer noch, aber wenn die Synchronisation Fehler um Fehler auswirft und einige Benutzer bereits in der Cloud arbeiten, andere wiederum nicht, kann das zur Unzufriedenheit beitragen. Zudem können Sie Ihre Cloudbereinigungen besser planen, wenn Sie möglichst frühzeitig wissen, welche und wie viele Objekte betroffen sind.
Microsoft stellt hierfür das Tool IdFix [1] zur Verfügung, das sich ohne Installation starten lässt. Generell ist das Werkzeug sowohl bei der Erkennung möglicher Probleme hilfreich als auch – falls gewünscht – bei der Bereinigung. Das Tool liest das Verzeichnis aus und erstellt eine Übersicht, die dann exportiert und zur Weiterverarbeitung in einem anderen Tool genutzt werden kann.
Ist IdFix gestartet, überprüfen Sie die automatisch geladenen Einstellungen über das Zahnrad-Icon in der rechten, oberen Ecke. Wichtig ist, dass die Option "Multi-Tenant" und der richtige Active-Directory-Forest ausgewählt sind. Haben Sie das Tool als AD-Administrator gestartet, müssen Sie keine besonderen Benutzerdetails mehr angeben. Ansonsten geben Sie noch die nötigen Anmeldedaten an, wenn Sie das Tool auch zur Bereinigung und nicht nur zur Erstellung eines Berichts nutzen möchten.
Der Klick auf "Query" lädt Daten aus dem AD und analysiert die Objekte entsprechend der Regeln für Office 365. Die Ergebnisse in Form von potenziellen Fehlern sehen Sie direkt im Tool angezeigt. Die Statistik ist im unteren, linken Fensterrand abzulesen: die Anzahl der gelesenen Objekte und die gefundenen Probleme.
Problematische Objekte werden tabellarisch dargestellt. Neben dem Objektnamen, der Objektklasse und welches Attribut als Problem anerkannt wurde, schlägt IdFix auch gleich die mögliche Bereinigung vor – und wie das Attribut dann aussehen könnte. Mit einem Klick auf "Export" überführen Sie den Ergebnissatz in eine CSV-Datei.
In der letzten Spalte "Action" bestimmen Sie, was mit den einzelnen Ergebnissätzen passieren soll. Die vorgeschlagenen Änderungen von IdFix können Sie via "EDIT"-Auswahl aus der Auswahlliste markieren und später mit dem Schalter "Apply" übernehmen. "DELETE" löscht das Objekt aus dem Verzeichnis und sollte nur verwendet werden, wenn der Account nicht weiter zum Einsatz kommt.
Sind alle Vorschläge von IdFix in Ordnung und erscheinen nach einer manuellen Kontrolle akzeptabel, beschleunigt der Knopf "Accept" die Aufräumarbeiten. "Accept" übernimmt alle Änderungsvorschläge, die IdFix anzeigt und markiert alle Zeilen mit "EDIT", sodass der Admin nur noch auf "Apply" klicken muss. Nach Änderung der problematischen AD-Objektdaten sollte ein erneutes Ausführen von IdFix mit "Query" schnell Besserungen zeigen – natürlich nach Abwarten der AD-Replikation.
Saubere Datenhaltung
Mit steigender Anzahl der Nutzer, die vom Windows-AD ins Azure AD synchronisiert werden, wächst auch die Bedeutung eines guten Datenmanagements dieser Benutzerobjekte. Ganz klassisch regeln das die Identity-Management-Systeme, die in unterschiedlicher Ausprägung und Komplexität in Unternehmen existieren.
Welches Produkt eingesetzt wird, ist zweitranging – wichtig ist, dass im Windows-AD letztlich nur Änderungen aus bekannten Quellen auftauchen – und irgendwie sowohl die Geschäftslogik zu den wichtigen Attributen als auch die Delegation und Verwaltbarkeit im Tool abgebildet werden kann. Schließlich sollen trotz aller Datenreinheit weiterhin wichtige Operationen möglich sein.
Wichtig ist all das deshalb, weil Azure AD und dort integrierte Systeme die lokalen Objekte, sowohl Benutzer als auch Computer, für den Zugriff auf Daten und Ressourcen nutzen. Azure AD erkennt synchronisierte Objekte und erlaubt die Änderung einzelner Daten zu diesen Objekten nicht in der Cloud. Das gilt auch für einzelne Attribute, spätestens wenn die Delegation und Administration mit "Administrative Units" über Benutzer- oder Gruppenattribute aus dem Verzeichnis eingerichtet wird.
Fazit
Bevor Sie mit Office 365 und Co. loslegen können, sind ein paar Vorarbeiten zu erledigen. Zunächst sorgen Sie dafür, dass der Cloud-Dienst auf die passende Domäne zugreifen kann. Anschließend bereinigen Sie noch Ihren Verzeichnisdienst, denn Azure AD und integrierte Systeme sind auf korrekt formatierte und sinnvolle Daten aus dem Windows-AD angewiesen. Es ist sinnvoll, die Daten bereits im Windows-AD zu bereinigen und erst dann in die Cloud zu synchronisieren.
Seite 2: Synchronisation aktivieren und lokale Identitäten bereinigen
ln/Florian Frommherz
Eine weitere anstehende Vorarbeit ist das Aktivieren der Verzeichnissynchronisation. Bevor Azure AD Connect seine Arbeit verrichten kann, müssen Sie die Synchronisierung erlauben. Die PowerShell im Admin-Modus ist hierfür die einfachste Methode:
Set-MsolDirSyncEnabled -EnableDirSync $trueUnabhängig von der Zielkonfiguration für Azure AD Connect verwenden Sie das genannte Kommando, um das Verzeichnis für die Synchronisation zu aktivieren. Die Details der Synchronisierung definieren Sie später. Die Verzeichnissynchronisation wird mit demselben Kommando wieder deaktiviert – allerdings mit dem Wert "$false" als Parameter.
Lokale Identitäten bereinigen
Microsoft empfiehlt, vor der Synchronisation von Benutzer-, Gruppen- und Kontaktobjekten ein paar Bereinigungsmaßnahmen durchzuführen. Aus Erfahrung mit bisherigen Office-365-Kunden weiß Microsoft, dass die Datenreinheit in Windows-ADs nicht allerorts die Qualität hat, die die Cloudsysteme gerne hätten. So benötigt Exchange Online beispielsweise eindeutige E-Mail-Adressen und kann Dubletten in einigen Attributen nur schwer verdauen.
Für das Windows-AD sind diese Doppelungen kein Problem, da das Verzeichnis bis auf wenige Attribute keine Einzigartigkeitsprüfung oder Syntaxprüfung durchführt. Überhaupt wird die Mehrzahl der Attribute im AD bei Objekterstellung nicht überprüft. Alles, was Betriebslogik darstellt und speziell formatierte Daten wie etwa Büroplatz, Telefonnummer oder E-Mail-Adresse darstellt, muss separat eingepflegt und erzwungen werden.
Mit steigender Anzahl an Objekten, die in die Cloud synchronisiert werden, bietet es sich an, zuvor eine Überprüfung der Objekte durchzuführen. Gerade bei Unternehmen, in denen die Objekterstellung nicht automatisiert stattfindet oder in denen Identity-Management-Systeme existieren, gibt es erfahrungsgemäß etwas mehr zu tun. Falls nichteindeutige Daten gefunden werden, lassen sich diese einfach vor dem Sync bereinigen. Das geht zwar später immer noch, aber wenn die Synchronisation Fehler um Fehler auswirft und einige Benutzer bereits in der Cloud arbeiten, andere wiederum nicht, kann das zur Unzufriedenheit beitragen. Zudem können Sie Ihre Cloudbereinigungen besser planen, wenn Sie möglichst frühzeitig wissen, welche und wie viele Objekte betroffen sind.
Microsoft stellt hierfür das Tool IdFix [1] zur Verfügung, das sich ohne Installation starten lässt. Generell ist das Werkzeug sowohl bei der Erkennung möglicher Probleme hilfreich als auch – falls gewünscht – bei der Bereinigung. Das Tool liest das Verzeichnis aus und erstellt eine Übersicht, die dann exportiert und zur Weiterverarbeitung in einem anderen Tool genutzt werden kann.
Ist IdFix gestartet, überprüfen Sie die automatisch geladenen Einstellungen über das Zahnrad-Icon in der rechten, oberen Ecke. Wichtig ist, dass die Option "Multi-Tenant" und der richtige Active-Directory-Forest ausgewählt sind. Haben Sie das Tool als AD-Administrator gestartet, müssen Sie keine besonderen Benutzerdetails mehr angeben. Ansonsten geben Sie noch die nötigen Anmeldedaten an, wenn Sie das Tool auch zur Bereinigung und nicht nur zur Erstellung eines Berichts nutzen möchten.
Das IdFix-Bereinigungstool liest und prüft die AD-Daten auf Fehler vor der Synchronisation in die Cloud.
Problematische Objekte werden tabellarisch dargestellt. Neben dem Objektnamen, der Objektklasse und welches Attribut als Problem anerkannt wurde, schlägt IdFix auch gleich die mögliche Bereinigung vor – und wie das Attribut dann aussehen könnte. Mit einem Klick auf "Export" überführen Sie den Ergebnissatz in eine CSV-Datei.
In der letzten Spalte "Action" bestimmen Sie, was mit den einzelnen Ergebnissätzen passieren soll. Die vorgeschlagenen Änderungen von IdFix können Sie via "EDIT"-Auswahl aus der Auswahlliste markieren und später mit dem Schalter "Apply" übernehmen. "DELETE" löscht das Objekt aus dem Verzeichnis und sollte nur verwendet werden, wenn der Account nicht weiter zum Einsatz kommt.
Sind alle Vorschläge von IdFix in Ordnung und erscheinen nach einer manuellen Kontrolle akzeptabel, beschleunigt der Knopf "Accept" die Aufräumarbeiten. "Accept" übernimmt alle Änderungsvorschläge, die IdFix anzeigt und markiert alle Zeilen mit "EDIT", sodass der Admin nur noch auf "Apply" klicken muss. Nach Änderung der problematischen AD-Objektdaten sollte ein erneutes Ausführen von IdFix mit "Query" schnell Besserungen zeigen – natürlich nach Abwarten der AD-Replikation.
Saubere Datenhaltung
Mit steigender Anzahl der Nutzer, die vom Windows-AD ins Azure AD synchronisiert werden, wächst auch die Bedeutung eines guten Datenmanagements dieser Benutzerobjekte. Ganz klassisch regeln das die Identity-Management-Systeme, die in unterschiedlicher Ausprägung und Komplexität in Unternehmen existieren.
Welches Produkt eingesetzt wird, ist zweitranging – wichtig ist, dass im Windows-AD letztlich nur Änderungen aus bekannten Quellen auftauchen – und irgendwie sowohl die Geschäftslogik zu den wichtigen Attributen als auch die Delegation und Verwaltbarkeit im Tool abgebildet werden kann. Schließlich sollen trotz aller Datenreinheit weiterhin wichtige Operationen möglich sein.
Wichtig ist all das deshalb, weil Azure AD und dort integrierte Systeme die lokalen Objekte, sowohl Benutzer als auch Computer, für den Zugriff auf Daten und Ressourcen nutzen. Azure AD erkennt synchronisierte Objekte und erlaubt die Änderung einzelner Daten zu diesen Objekten nicht in der Cloud. Das gilt auch für einzelne Attribute, spätestens wenn die Delegation und Administration mit "Administrative Units" über Benutzer- oder Gruppenattribute aus dem Verzeichnis eingerichtet wird.
Fazit
Bevor Sie mit Office 365 und Co. loslegen können, sind ein paar Vorarbeiten zu erledigen. Zunächst sorgen Sie dafür, dass der Cloud-Dienst auf die passende Domäne zugreifen kann. Anschließend bereinigen Sie noch Ihren Verzeichnisdienst, denn Azure AD und integrierte Systeme sind auf korrekt formatierte und sinnvolle Daten aus dem Windows-AD angewiesen. Es ist sinnvoll, die Daten bereits im Windows-AD zu bereinigen und erst dann in die Cloud zu synchronisieren.
Seite 2: Synchronisation aktivieren und lokale Identitäten bereinigen
| << Vorherige Seite | Seite 2 von 2 |
ln/Florian Frommherz
