ADSync, DirSync, FIM, MIM, CloudSync - Ihre Wahl
Wer immer ein lokale AD hat und dort seine Anwender verwaltet, wird einen Abgleich mit dem AzureAD-Verzeichnis anstreben. Diese Seite beschreibt die verschiedenen Ansätze. Es gibt nämlich nicht genau den einen Verzeichnisabgleich, sondern gleich mehrere Optionen mit individuellen Vor/Nachteilen.
| Lösung | Beschreibung | ExHybrid | ReadOnly | Password | Device |
|---|---|---|---|---|---|
AzureAD Sync |
Diese Lösung ist seit vielen Jahren der "Standard" zur Synchronisation lokaler AD-Konten in die Cloud und liefern den vollen Funktionsumfang, d.h. Exchange Hybrid, Password HashSync Password WriteBack, Groups Writeback, DeviceSync etc. Allerdings benötigen Sie dazu einen lokalen Server und sehr große Umgebungen eventuell einen eigenen SQL-Server. Bitte setzen sie immer die aktuellste Version von ADSync ein. Version 1.x ist nicht mehr supportet |
Ja |
Ja |
PHS PTA Federated Writeback |
Ja |
AzureAD Cloud Sync |
Laut Microsoft ist AzureAD Cloud Sync der Nachfolger von ADSync, bei der die komplette Logik in der Cloud von Microsoft gestellt und verwaltet wird, während lokale Agenten nur die Kommunikation aufbauen. Wenn Sie mit den Einschränkungen von AzureAD Cloud Sync leben können, ist dies meine |
Eingeschränkt |
Ja |
PHS Federated |
Nein |
MIM |
ADSync nutzt als Unterbau eine reduzierte Version des "Microsoft Identity Managers" (MIM), die sich natürlich auch als Vollversion nutzen können. Dies ist für Firmen interessant, die heute schon mit MIM oder den Vorgängern (FIM, ILM, MIIS) gearbeitet haben und das AzureAD als zusätzliches Verzeichnis mit einbinden wollen. Die MIM-Lizenz ist in AzureAD P1 sogar enthalten, nicht aber der SQL-Server. |
Ja |
Ja |
? |
? |
DirSync |
Nur zur Vollständigkeit führe ich den alten "DirSync" noch mit auf. So war der Name vor ADSync auf einer älteren Basis und sollte heute wie auch ADSYNC V1.x nirgendwo mehr laufen. "End of support: DirSync and Azure AD Sync on 13th of April
2017" |
|
|
|
|
SDS |
Für das Provisioning von Schülern und Lehrern gibt es von Microsoft mit SDS eine eigene Schnittstelle zur Anbindung von |
Nein |
Nein |
Setzen |
Nein |
AzureAD Only |
Ohne ein lokales AD können sich auch mit AzureAD Only einen Abgleich herstellen. Diverse HR-Programme können auch Identitäten im Tenant direkt verwalten. Teilweise sogar mit Rückschreiben ins lokale AD, damit dann ADSync wieder die Daten abgleichen kann |
Ja |
Ja |
Setzen |
Nein |
Cross Tenant |
Auch für den Abgleich von Identitäten hat Microsoft mittlerweile eine Lösung wenn sie nicht zwei Tenants mit ADSync und einer lokalen Synchronisation bedienen wollen. Cross-tenant Sync kann aber nur Benutzer übertragen aber keine Gruppen oder Geräte. |
Kontakte |
Nein |
Entfällt |
Entfällt |
Selbst |
Sie müssen die Objekte im AzureAD nicht zwingend per ADSync verwalten. Über Microsoft Graph können Sie per Skript fast alle Änderungen an Objekten vornehmen und einen eigenen Abgleich schreiben. Bei einer Schule habe ich so eine Lösung mit per PowerShell entwickelt, die dann die Schule per Perl produktiv genommen hat. |
Manuell |
Nein |
Setzen |
Manuell |
Die Bedeutung der hinteren Spalten ist
- ExHybrid
Unterstützt den Betrieb von Exchange im Hybrid Mode, d.h. Abgleich dere relevanten Properties aus dem AD zu AzureAD und Exchange Online - ReadOnly
Die Objekte im AzureAD werden auf "DirSynced" und damit weitgehend "ReadOnly" gesetzt, - Password
Verfügbare Optionen für Kennwortabgleich u.a. (Password Sync) - Device
Synchronisation von Geräten für AzureAD Join
Es gibt natürlich noch weitere Unterscheidungsmerkmale, z.B. inwieweit sie in der Quelle filtern können, welche Topologien aus mehrere Forests und Domains unterstützt werden oder wie flexible Sie Transformation-Rules einsetzen können, etc. Vielleicht brauchen Sie auch keines der Lösungen, z.B. weil Sie über ein eigenes Provisioning die Werte setzen wollen.
- Hosting Provisioning
- Azure Active Directory Sync
(ADSync)
https://msdn.microsoft.com/en-us/library/azure/dn790204.aspx
Dies ist der Nachfolger des "DirSync" und unterstützt z.B. mehrere Forests und Exchange Organisationen. Aber es gibt noch Einschränkungen - Vergleich von Tools für die Verzeichnisintegration für Hybrid-Identitäten
https://learn.microsoft.com/de-de/azure/active-directory/hybrid/connect/plan-hybrid-identity-design-considerations-tools-comparison - Forefront Identity Manager
2010 R2 (bzw. Nachfolger)
https://technet.microsoft.com/en-us/library/hh322910(v=ws.10).aspx
Mit einem passenden Azure Connector kann eine bestehende FIM-Installation auch Office 365 integrieren. Sicher eher etwas für Firmen, die schon FIM einsetzen. - Azure Active Directory
Synchronization Tool (DirSync)
https://msdn.microsoft.com/en-us/library/azure/dn790211.aspx
Dieses Tool wurde (Stand Apr 2015) immer noch im Office 365 Portal dem Administrator zum Download angeboten und gleich einen Forest mit Office 365 ab.
Es ist aber mittlerweile abgekündigt und durch AADConnect mit ADSync ersetzt - Am 1 April 2024 wird der Support für ADSync 1.1.751.0 (1.
Mai 2018) eingestellt.
Quelle: https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#retiring-azure-ad-connect-1x-versions
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#retiring-azure-ad-connect-2x-versions - Microsoft Directory
Synchronization Tool 9.1
http://www.microsoft.com/en-us/download/details.aspx?id=22042
Dieses schon 2009 veröffentlichte Tool ist nicht für Office 365 einsetzbar, sondern war eine "kleine Version" für die Microsoft Hosting Angebote "Forefront Online Security für Exchange (FOSE)" und "Exchange Hosted Archive (EHA) services"
- Directory Integration Tools
https://msdn.microsoft.com/en-us/library/azure/dn757582.aspx
Eine alte Gegenüberstellung der Tools - https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#retiring-azure-ad-connect-1x-versions
- https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#retiring-azure-ad-connect-2x-versions
- ADSync ProxyAddresses Not Syncing to Office
365
http://www.msexchange.org/kbase/ExchangeServerTips/MicrosoftOffice365/ExchangeOnline/ADSync-proxyaddresses-not-syncing-office-365.html
Version 1.0.4.19.911 hat z.B. schlicht vergessen die ProxyAddresses zu übertragen. Schlimmer noch: Sie wurden in der Cloud wohl sogar gelöscht. Dies durfte ich aber zum Glück noch nicht selbst erleben. Seit der Version 1.0.470.1023 ist das Problem gelöst.
Weitere Links
- ADSync / AADConnect
- AzureAD Cloud Sync
- ADSync Bidirektional
- Directory Integration Tools
https://msdn.microsoft.com/en-us/library/azure/dn757582.aspx - AADConnect, ADSync, and
DirSync. Oh, my.
http://blogs.msdn.com/b/ryansize/archive/2014/09/12/aad-connect-aad-sync-and-DirSync-oh-my.aspx - Connecting AD and Azure AD:
Only 4 clicks with Azure AD
Connect
http://blogs.technet.com/b/ad/archive/2014/08/04/connecting-ad-and-azure-ad-only-4-clicks-with-azure-ad-connect.aspx - Vergleich von Tools für die Verzeichnisintegration für Hybrid-Identitäten
https://learn.microsoft.com/de-de/azure/active-directory/hybrid/connect/plan-hybrid-identity-design-considerations-tools-comparison
