AzureAD Connect Health Sync

Mit der Installation AzureADConnect landen zwei weitere Dienste auf ihrem ADSync Server, welche die lokale AzureADConnect-Installation überwachen und die Daten in ihren Office 365 Tenant kopieren. Dies ist Teil der Überwachungslösung, die mit Office 365 verfügbar ist. Viele Kunden haben immer noch Defizite bei der Überwachung.

AzureAD Connect Health gibt es für ADSync, ADFS und ADDS. Siehe dazu auch AzureAD Connect Health.

Lizenz

Ehe sie die ganze Seite komplett lesen, sollte ich sie darauf hinweisen, dass die Funktion "Connect Health" nur mit einer Azure Premium P1/P2 Lizenz nutzbar ist. Dies ist nicht Bestandteil der normalen AzureAD Basic-Lizenz, die jeder Office 365 Lizenz beiliegt. Aber es gibt durchaus Argumente für AzureAD P1. Hier ein paar Links zu Connect Health vorab:

Aber allein wegen dieser Funktion werden sich natürlich nicht Azure AD Premium P1 für jeden Benutzer lizenzieren.

Interessant sin z.B. Funktionen wie Self-Service der Anwender mit Azure AD Connect Writeback, MFA Funktionen, Conditional Access über Subnetze, Vergabe von Lizenzen über Gruppen u.a. Da müssen sie schon das Gesamtpaket betrachten.

Installation

Die Installation von Azure Connect Health passiert für die meisten Personen eher unsichtbar. Wenn Sie AADConnect nutzen, um den Verzeichnisabgleich mit Office 365 oder die Authentifizierung mit ADFS einzurichten, dann wird auch Connect Health mit installiert. Auf meinem kleinen DC, der zugleich auch Azure ADSync betreibt, finde ich die beiden Dienste.

Eine GUI oder Konfiguration gibt es nicht. Die Dienste verbinden sich mit meinem AzureAD Tenant und melden alles an die Cloud-Instanz.

Daten auswerten

Da die Daten all in der Cloud landen, ist das Azure Portal auch der Platz um die Berichte einzusehen, die von Microsoft ihnen zur Verfügung gestellt werden. Die URL ist:

http:aka.ms/aadconnecthealth
https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/AzureADConnect

Sie können natürlich auch einfach über das AzureAD Portal unter "Azure Active Directory" auf "Azure AD Connect" klicken und dann unter "Health and Analytics" den Link aufrufen:

Ich habe absichtlich einen Fehler eingebaut, der hier dann auch unter "Sync Errors" sichtbar wird.

https://portal.azure.com/#blade/Microsoft_Azure_ADHybridHealth/AadHealthMenuBlade/SyncErros (Stand Juli 2020)
ich bin gespannt, wann Microsoft aus dem "SyncErros" ein SyncErrors macht. Immerhin ist es kein SyncEros

Interessanterweise ist der Fehler aus Sicht von ADSync nicht vorhanden.

Es war ja aber nur eine absichtlich falsch gesetzte doppelte ProxyAddresses. Beim Klick im Azure-Portal auf "Duplicate Attribute" sehe ich auch die betroffenen Objekte:

Wenn Sie den jeweiligen Eintrag weiter betrachten dann liefert das AzureAD eine sehe ausführlich Beschreibung samt Gegenüberstellung der Werte:

Auf der anderen Seite bedeutet das für mich aber auch, dass Microsoft im Backend etwas verändert hat. Früher hat ADSync direkt die Daten geschrieben und in so einem Fall konnte ADSync den Eintrag nicht schreiben und hat eine Fehlermeldung geliefert. Nun scheint es aber so zu laufen, das ADSync seine Änderungen quasi in einen Connector Space in einen Speicher in der Cloud schreibt und ein anderer Prozess diese Änderungen dann an die Ziele übernimmt. Eine Bestätigung für diese Funktion habe ich aber nicht.

Ich kann aber auch noch die Details zu dem Anwender mit anschauen. Über den Punkt "Audit Log" sehe ich alle Veränderungen an diesem Benutzer und hier auch die fehlerhaften Schreibzugriffe:

Aus meiner Sicht ist Azure AD Connect Health eine sehr elegante Möglichkeit aus Sicht des Tenant die Funktion und Fehler beim Verzeichnisabgleich zu analysieren.

Nachricht per Mail

Fast versteckt ist die Konfiguration einer Mail-Benachrichtigung. Das ist hilfreich, wenn ADSync monatelang ohne Problem im Hintergrund arbeitet und niemand proaktiv sich die "Sync Errors" anschaut.

 

Durch einen Kick auf die "Notification Settings" sehen Sie, dass per Default eine Fehlermeldung per Mail an alle "Global Administratoren" geht. Genau genommen geht Sie Mail an die alternative Mailadresse, die aber auch erst gelesen werden will.

Sie können aber weitere Adressen einfach angeben und die "Global Admins" sogar deaktivieren.

Tipp: Nutzen Sie hier keine persönliche Mailadressen von Personen, die irgendwann ihren Arbeitsbereichs ändern oder das Unternehmen verlassen. Eine Mailadresse des "Support" ist hier zweckmäßiger.

Eine Mail sieht dann wie folgt aus

Sie verrät nicht viel aber enthält Links zum Portal, in dem Sie dann nach erfolgter Anmeldung die Details sehen können. 

Berechtigungen

Auf den ersten Blick sieht es so aus, als wenn nur "Globale Administratoren" diese Daten einsehen können. Das ist aber nicht der Fall. Sie können z.B. das "Reader"-Recht an Personen delegieren und so diesen auch einen Einblick in die Fehler von ADSync geben. Das ist durchaus z.B. für Exchange Administratoren interessant, die nicht Domain Admin oder ADSync-Admin oder Global Administrator sind.

Tipp: Wenn Exchange Administratoren Probleme mit Empfängern haben, dann sollten Sie das "Reader"-Recht bekommen

Details dazu finden Sie auf AzureAD Connect Health

Weitere Links

Azure AD Connect Health monitors onpremises AD Domain Services
https://channel9.msdn.com/Series/Azure-Active-Directory-Videos-Demos/Azure-AD-Connect-Health-monitors-on-premises-AD-Domain-Services