ADSync, DirSync, FIM, MIM, CloudSync - Ihre Wahl

Wer immer ein lokale AD hat und dort seine Anwender verwaltet, wird einen Abgleich mit dem AzureAD-Verzeichnis anstreben. Diese Seite beschreibt die verschiedenen Ansätze. Es gibt nämlich nicht genau den einen Verzeichnisabgleich, sondern gleich mehrere Optionen mit individuellen Vor/Nachteilen.

Lösung Beschreibung ExHybrid ReadOnly Password Device

AzureAD Sync

Diese Lösung ist seit vielen Jahren der "Standard" zur Synchronisation lokaler AD-Konten in die Cloud und liefern den vollen Funktionsumfang, d.h. Exchange Hybrid, Password HashSync Password WriteBack, Groups Writeback, DeviceSync etc. Allerdings benötigen Sie dazu einen lokalen Server und sehr große Umgebungen eventuell einen eigenen SQL-Server.

Bitte setzen sie immer die aktuellste Version von ADSync ein. Version 1.x ist nicht mehr supportet
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#retiring-azure-ad-connect-1x-versions

Ja

Ja

PHS

PTA

Federated

Writeback

Ja

AzureAD Cloud Sync

Laut Microsoft ist AzureAD Cloud Sync der Nachfolger von ADSync, bei der die komplette Logik in der Cloud von Microsoft gestellt und verwaltet wird, während lokale Agenten nur die Kommunikation aufbauen. Wenn Sie mit den Einschränkungen von AzureAD Cloud Sync leben können, ist dies meine

Eingeschränkt

Ja

PHS

Federated

Nein

MIM

ADSync nutzt als Unterbau eine reduzierte Version des "Microsoft Identity Managers" (MIM), die sich natürlich auch als Vollversion nutzen können. Dies ist für Firmen interessant, die heute schon mit MIM oder den Vorgängern (FIM, ILM, MIIS) gearbeitet haben und das AzureAD als zusätzliches Verzeichnis mit einbinden wollen. Die MIM-Lizenz ist in AzureAD P1 sogar enthalten, nicht aber der SQL-Server.

Ja

Ja

?

?

DirSync

Nur zur Vollständigkeit führe ich den alten "DirSync" noch mit auf. So war der Name vor ADSync auf einer älteren Basis und sollte heute wie auch ADSYNC V1.x nirgendwo mehr laufen.

"End of support: DirSync and Azure AD Sync on 13th of April 2017"
https://blog.azureandbeyond.com/2017/04/06/dirsync-azure-ad-sync-end-of-support/

 

 

 

 

SDS

Für das Provisioning von Schülern und Lehrern gibt es von Microsoft mit SDS eine eigene Schnittstelle zur Anbindung von

Nein

Nein

Setzen

Nein

AzureAD Only

Ohne ein lokales AD können sich auch mit AzureAD Only einen Abgleich herstellen. Diverse HR-Programme können auch Identitäten im Tenant direkt verwalten. Teilweise sogar mit Rückschreiben ins lokale AD, damit dann ADSync wieder die Daten abgleichen kann

Ja

Ja

Setzen

Nein

Cross Tenant

Auch für den Abgleich von Identitäten hat Microsoft mittlerweile eine Lösung wenn sie nicht zwei Tenants mit ADSync und einer lokalen Synchronisation bedienen wollen. Cross-tenant Sync kann aber nur Benutzer übertragen aber keine Gruppen oder Geräte.

Kontakte

Nein

Entfällt

Entfällt

Selbst

Sie müssen die Objekte im AzureAD nicht zwingend per ADSync verwalten. Über Microsoft Graph können Sie per Skript fast alle Änderungen an Objekten vornehmen und einen eigenen Abgleich schreiben. Bei einer Schule habe ich so eine Lösung mit per PowerShell entwickelt, die dann die Schule per Perl produktiv genommen hat.

Manuell

Nein

Setzen

Manuell

Die Bedeutung der hinteren Spalten ist

  • ExHybrid
    Unterstützt den Betrieb von Exchange im Hybrid Mode, d.h. Abgleich dere relevanten Properties aus dem AD zu AzureAD und Exchange Online
  • ReadOnly
    Die Objekte im AzureAD werden auf "DirSynced" und damit weitgehend "ReadOnly" gesetzt,
  • Password
    Verfügbare Optionen für Kennwortabgleich u.a. (Password Sync)
  • Device
    Synchronisation von Geräten für AzureAD Join

Es gibt natürlich noch weitere Unterscheidungsmerkmale, z.B. inwieweit sie in der Quelle filtern können, welche Topologien aus mehrere Forests und Domains unterstützt werden oder wie flexible Sie Transformation-Rules einsetzen können, etc. Vielleicht brauchen Sie auch keines der Lösungen, z.B. weil Sie über ein eigenes Provisioning die Werte setzen wollen.

Weitere Links