Fachartikel

Seite 2 - Vorbereitungen für den Office-365-Betrieb

Synchronisation aktivieren
Eine weitere anstehende Vorarbeit ist das Aktivieren der Verzeichnissynchronisation. Bevor Azure AD Connect seine Arbeit verrichten kann, müssen Sie die Synchronisierung erlauben. Die PowerShell im Admin-Modus ist hierfür die einfachste Methode:
Set-MsolDirSyncEnabled -EnableDirSync $true
Unabhängig von der Zielkonfiguration für Azure AD Connect verwenden Sie das genannte Kommando, um das Verzeichnis für die Synchronisation zu aktivieren. Die Details der Synchronisierung definieren Sie später. Die Verzeichnissynchronisation wird mit demselben Kommando wieder deaktiviert – allerdings mit dem Wert "$false" als Parameter.

Lokale Identitäten bereinigen
Microsoft empfiehlt, vor der Synchronisation von Benutzer-, Gruppen- und Kontaktobjekten ein paar Bereinigungsmaßnahmen durchzuführen. Aus Erfahrung mit bisherigen Office-365-Kunden weiß Microsoft, dass die Datenreinheit in Windows-ADs nicht allerorts die Qualität hat, die die Cloudsysteme gerne hätten. So benötigt Exchange Online beispielsweise eindeutige E-Mail-Adressen und kann Dubletten in einigen Attributen nur schwer verdauen.

Für das Windows-AD sind diese Doppelungen kein Problem, da das Verzeichnis bis auf wenige Attribute keine Einzigartigkeitsprüfung oder Syntaxprüfung durchführt. Überhaupt wird die Mehrzahl der Attribute im AD bei Objekterstellung nicht überprüft. Alles, was Betriebslogik darstellt und speziell formatierte Daten wie etwa Büroplatz, Telefonnummer oder E-Mail-Adresse darstellt, muss separat eingepflegt und erzwungen werden.
Mit steigender Anzahl an Objekten, die in die Cloud synchronisiert werden, bietet es sich an, zuvor eine Überprüfung der Objekte durchzuführen. Gerade bei Unternehmen, in denen die Objekterstellung nicht automatisiert stattfindet oder in denen Identity-Management-Systeme existieren, gibt es erfahrungsgemäß etwas mehr zu tun. Falls nichteindeutige Daten gefunden werden, lassen sich diese einfach vor dem Sync bereinigen. Das geht zwar später immer noch, aber wenn die Synchronisation Fehler um Fehler auswirft und einige Benutzer bereits in der Cloud arbeiten, andere wiederum nicht, kann das zur Unzufriedenheit beitragen. Zudem können Sie Ihre Cloudbereinigungen besser planen, wenn Sie möglichst frühzeitig wissen, welche und wie viele Objekte betroffen sind.

Microsoft stellt hierfür das Tool IdFix [1] zur Verfügung, das sich ohne Installation starten lässt. Generell ist das Werkzeug sowohl bei der Erkennung möglicher Probleme hilfreich als auch – falls gewünscht – bei der Bereinigung. Das Tool liest das Verzeichnis aus und erstellt eine Übersicht, die dann exportiert und zur Weiterverarbeitung in einem anderen Tool genutzt werden kann.

Ist IdFix gestartet, überprüfen Sie die automatisch geladenen Einstellungen über das Zahnrad-Icon in der rechten, oberen Ecke. Wichtig ist, dass die Option "Multi-Tenant" und der richtige Active-Directory-Forest ausgewählt sind. Haben Sie das Tool als AD-Administrator gestartet, müssen Sie keine besonderen Benutzerdetails mehr angeben. Ansonsten geben Sie noch die nötigen Anmeldedaten an, wenn Sie das Tool auch zur Bereinigung und nicht nur zur Erstellung eines Berichts nutzen möchten.

Das IdFix-Bereinigungstool liest und prüft die AD-Daten auf Fehler vor der Synchronisation in die Cloud.

Der Klick auf "Query" lädt Daten aus dem AD und analysiert die Objekte entsprechend der Regeln für Office 365. Die Ergebnisse in Form von potenziellen Fehlern sehen Sie direkt im Tool angezeigt. Die Statistik ist im unteren, linken Fensterrand abzulesen: die Anzahl der gelesenen Objekte und die gefundenen Probleme.

Problematische Objekte werden tabellarisch dargestellt. Neben dem Objektnamen, der Objektklasse und welches Attribut als Problem anerkannt wurde, schlägt IdFix auch gleich die mögliche Bereinigung vor – und wie das Attribut dann aussehen könnte. Mit einem Klick auf "Export" überführen Sie den Ergebnissatz in eine CSV-Datei.

In der letzten Spalte "Action" bestimmen Sie, was mit den einzelnen Ergebnissätzen passieren soll. Die vorgeschlagenen Änderungen von IdFix können Sie via "EDIT"-Auswahl aus der Auswahlliste markieren und später mit dem Schalter "Apply" übernehmen. "DELETE" löscht das Objekt aus dem Verzeichnis und sollte nur verwendet werden, wenn der Account nicht weiter zum Einsatz kommt.

Sind alle Vorschläge von IdFix in Ordnung und erscheinen nach einer manuellen Kontrolle akzeptabel, beschleunigt der Knopf "Accept" die Aufräumarbeiten. "Accept" übernimmt alle Änderungsvorschläge, die IdFix anzeigt und markiert alle Zeilen mit "EDIT", sodass der Admin nur noch auf "Apply" klicken muss. Nach Änderung der problematischen AD-Objektdaten sollte ein erneutes Ausführen von IdFix mit "Query" schnell Besserungen zeigen – natürlich nach Abwarten der AD-Replikation.

Saubere Datenhaltung
Mit steigender Anzahl der Nutzer, die vom Windows-AD ins Azure AD synchronisiert werden, wächst auch die Bedeutung eines guten Datenmanagements dieser Benutzerobjekte. Ganz klassisch regeln das die Identity-Management-Systeme, die in unterschiedlicher Ausprägung und Komplexität in Unternehmen existieren.

Welches Produkt eingesetzt wird, ist zweitranging – wichtig ist, dass im Windows-AD letztlich nur Änderungen aus bekannten Quellen auftauchen – und irgendwie sowohl die Geschäftslogik zu den wichtigen Attributen als auch die Delegation und Verwaltbarkeit im Tool abgebildet werden kann. Schließlich sollen trotz aller Datenreinheit weiterhin wichtige Operationen möglich sein.

Wichtig ist all das deshalb, weil Azure AD und dort integrierte Systeme die lokalen Objekte, sowohl Benutzer als auch Computer, für den Zugriff auf Daten und Ressourcen nutzen. Azure AD erkennt synchronisierte Objekte und erlaubt die Änderung einzelner Daten zu diesen Objekten nicht in der Cloud. Das gilt auch für einzelne Attribute, spätestens wenn die Delegation und Administration mit "Administrative Units" über Benutzer- oder Gruppenattribute aus dem Verzeichnis eingerichtet wird.

Fazit
Bevor Sie mit Office 365 und Co. loslegen können, sind ein paar Vorarbeiten zu erledigen. Zunächst sorgen Sie dafür, dass der Cloud-Dienst auf die passende Domäne zugreifen kann. Anschließend bereinigen Sie noch Ihren Verzeichnisdienst, denn Azure AD und integrierte Systeme sind auf korrekt formatierte und sinnvolle Daten aus dem Windows-AD angewiesen. Es ist sinnvoll, die Daten bereits im Windows-AD zu bereinigen und erst dann in die Cloud zu synchronisieren.
5.08.2019/ln/Florian Frommherz

Nachrichten

Fedora 31 gibt Gas [5.12.2019]

Fedora ist in Version 31 verfügbar. Diese beinhaltet zahlreiche neue Features für den Aufbau und Betrieb cloudnativer Applikationen. Fedora 31 ist weiterhin in mehreren Editionen erhältlich: Neben Fedora Workstation und Fedora Server enthalten auch die Editionen Fedora CoreOS, Fedora IoT und Fedora Silverblue zahlreiche Optimierungen und neue Leistungsmerkmale. [mehr]

Bayerisches Blockchain-Linux [3.12.2019]

Ein neues Open-Source-Betriebssystem namens LibertyOS richtet sich an Blockchain-Nutzer. Das Linux-basierte System ging Ende Oktober als Betaversion an den Start und verfügt über einige Besonderheiten. So befinden sich verschiedene Wallet-Anwendungen an Bord, in denen Nutzer ihre Token aufbewahren können. [mehr]

Tipps & Tools

Bedrohungsprotokoll entleeren [5.12.2019]

Unter Windows 10 legt der Defender einen sogenannten Schutzverlauf im System an. Bis zur Version 1809 war in den Sicherheitseinstellungen ein Button vorhanden, um den gesamten Verlauf zu löschen. In der Version 1903 ist diese Option nicht mehr enthalten. Unser Tipp zeigt Ihnen wie Sie den Schutzverlauf in ein paar Schritten manuell bereinigen können. [mehr]

Große Bildauswahl für den Desktop [4.12.2019]

Vor allem Naturbilder wie ein idyllischer Wasserfall im Wald oder ein blühendes Lavendelfeld eignen sich gut als Desktophintergrund. So kann der Admin bei der vielen Arbeit auch immer wieder entspannen. Dabei ist es wichtig, die passende Auflösung für den Bildschirm zu finden. Die Webseite "interfacelift.com" bietet das richtige Format für fast jedes Gerät, ob Computer, Handy oder Tablet. [mehr]

Ladekabel in Leder [30.11.2019]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen