Microsoft 365 Identity Management

Jeder Dienst in einer Cloud erfordert eine Authentifizierung, um Zugriffe anhand von Berechtigungen zu gewähren. Hierfür ist es neben der Authentifizierung natürlich erst einmal erforderlich, dass die Dienste in der Cloud entsprechende Identitäten, also Benutzer und Gruppen, können. Anhand dieser Identitäten können erst Berechtigungen vergeben und damit auch angewendet werden. Dieser Abschnitt beschäftigt sich daher mit der Verwaltung von Identitäten. Wenn wir die ganz kleinen Firmen einmal außen vor lassen, und sie zumindest einen Server als Domain Controller betreiben, dann pflegen Sie hier schon Benutzer, Gruppen, deren Stammdaten und Kennworte. Auch in der Cloud müssen Sie natürlich Identitäten anlegen, ansonsten könnten Sie die Zugriffe auf Dienst in der Cloud nicht steuern. Natürlich wollen Sie nicht die gleichen Stammdaten in der Cloud erneut von Hand pflegen. Daher ist ein Verzeichnisabgleich eine wichtige und nützliche Funktion.

Bis zum 7. April müssen Sie ADSync auf die Version 2.4.18  (Released 7. Okt 2024) mit NET 4.7.2 (besser 4.8.1) und TLS 1.2 aktualisiert haben. Die Funktion wird erst einmal nicht gestört aber die können mit der alten Version keine Konfiguration mehr ändern.
Hardening update to Microsoft Entra Connect Sync from April 7, 2025
https://learn.microsoft.com/en-us/entra/identity/hybrid/connect/harden-update-ad-fs-pingfederate#minimum-versions

Der Verzeichnisabgleich mit Office 365 hieß ursprünglich DirSync und ist nun unter dem Paket AADConnect als ADSync verborgen. Sie finden aber alle Schreibweisen im Internet und auch die Umstellung auf der MSXFAQ braucht seine Zeit.

Hinweis: Seit März 2025 bietet Microsoft Consulting ein Sync-Framework aus der Cloud an.
ADMS: Active Directory Migration Service - Oberbegriff für verschiedene MIgrationsbausteine
ADSS: Active Directory Synchronization Service - Abgleich zwischen OnPremises Domains als Nachfolger von ADMT
TSYNC: Azure AD Tenant-to-Tenant Synchronization.
ADGMS: Active Directory Group Modernization Service - Umzugshilfe von Verteiler zu Cloud Only

• ADSS TSync vs Entra Cross-Tenant Sync: A Comprehensive Comparison
  https://techcommunity.microsoft.com/blog/microsoft-security-blog/adss-tsync-vs-entra-cross-tenant-sync-a-comprehensive-comparison/4389881
• (ADMS, ADSS, ADGMS), and a glance at the New Release OF (IMS) Identity Migration Service.
  https://techcommunity.microsoft.com/blog/microsoft-security-blog/exploring-the-use-cases-of-adxs-services/4373299

Beachten Sie auch den Abschnitt AzureAD Cloud Sync, einer ADSync-Version aus der Cloud.

MC333227 Retirement of superseded Azure AD (Azure Active Directory) Connect Sync versions (17 Feb 2022)
"In mid-March 2023, this policy will go into effect, and all versions prior to the last released version (latest version prior to mid-March 2022) will retire."
https://learn.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#retiring-azure-ad-connect-2x-versions

• Identity Basics
  Grundlagen des Verzeichnisabgleich
• Azure AD
  Ein Verzeichnisdienst, oder zwei oder mehr?
• AzureAD Identitäten
  Ein AzureAD kann verschiedene Benutzer mit Links zu anderen Verzeichnisdiensten verwalten.
• DirSync Auswahl
  Welche DirSync Software passt auf ihre Office 365 Anforderungen?
• AzureAD Connect V2
  Version 2.0 erzwingt TLS 1.2 und beim Update geht SSO verloren?
• ADSync Funktion
  Was bedeuten Connectorspace, Metaverse etc.
• ADSync Ports
  Welche Verbindungen nutzt ADSync und warum ein Ort in der MZ keine gute Wahl ist.
• AzureADConnect und HTTP-Proxy
  So spricht AADConnect mit Office 365 über ihren HTTP-Proxy
• ADSync Topologien
  Identity-Verwaltung mit mehreren Forests und Tenants
• ADSync Multi Forest
  Zwei und mehr Forests mit ADSync einrichten und zurückbauen
• ADSync GALSync
  Kann ADSync Benutzer aus einem anderen Forest als Kontakte direkt im Tenant anlegen?
• ADSync T2T-Migration
  Ein AD-Objekte wird von zwei ADSync-Instanzen in zwei Tenants repliziert. T2T Migration?
• Hybrid Ressource Forest
  Ressource Forest On-Prem und Hybrid-Mode geht nicht mehr oder doch ?
• AADConnect Preflight Check
  Erst mal prüfen und bereinigen erspart spätere Fehler
• IDFix
  Kleines Programm zum ersten Check des lokalen AD
• OnRamp Tool
  Noch ein Helfer zum Check der Office 365 Bereitschaft
• AADConnect
  Eine neue Version eines Assistenten, der nicht nur ADSync sondern auch ADFS u.a. einrichten kann
• ADSync
  Die zweite Version des Verzeichnisabgleich für Office 365
• ADSync Staging Mode
  Ein Standby-Server für Notfälle und geregelte Updates
• AzureAD Cloud Sync
  Verzeichnisabgleich und Provisioning aus der Cloud
• ADSync Filterung
  Filtern von Objekten zur ADSync Replikation
• SyncM365 Filterung
  Sinnvolle Checks wenn Sie die Identitäten für Exchange Hybrid und ADSync mit einem AD-Feld filtern
• ADSync Join
  So fügt ADSync mehrere Quell-Objekte zu einem Metaverse-Identity zusammen
• ADSync und MFA
  Was passiert, wenn das ADSync Konto durch MFA geschützt wird?
• AADConnect und Exchange Health Mailboxen
  Wenn Exchange Systempostfächer in Office 365 erscheinen
• ADSync PowerShell
  Ein sofortiger Sync wird bei ADSync per Commandlet gestartet
• UPN / Anmeldename
  Die Bedeutung des "UPN" bei der Verwaltung von Identitäten
• UPNChange und Applikationen
  Wie wirkt sich eine UPN-Änderung bei Cloud-Diensten aus?
• ADSync und UPN
  Synchronisation von UPNs ist nicht immer gegeben.
• ADSync UserMatching
  Wie findet ADSync die passenden vorhandenen Cloud-Usern zu On-Prem Usern beim Sync
• ADSync Softmatch Adminkonten
  Sonderfall: ADSync macht kein SoftMatch mit Admin-CloudOnly-Konten
• ADSync CloudOnlyUser
  Wenn Sie mit Teams und "Cloud-Only"-Benutzern angefangen haben aber nun doch ADSync mit lokalem AD installieren wollen
• ADSync Deletion
  AADConnect: Löschen und Wiederherstellen von Konten. So gelingt es
• ADSync Orphaned Objects
  Korrektur von Unstimmigkeiten im Verzeichnisabgleich
• SourceAnchor
  Details über die ADSync-Verbindung zwischen AD-Objekt und AzureAD-Objekt
• SourceAnchor User
  Details zur Verbindung der ImmutableID bei AzureAD-Benutzern
• SourceAnchor Gruppen
  So verbindet ADSync lokale AD-Gruppen mit dem AzureAD
• SourceAnchor Kontakt
  So verbindet ADSync lokale AD-Kontakte mit dem AzureAD
• SourceAnchor Computer
  Wie werden AD-Computer mit AzureAD Devices verbunden
• SourceAnchor und ADMT
  Besonderheiten beim Betrieb von Office 365 mit mehreren Forests und paralleler AD-Kontenmigration mit ADMT o.ä.
• ADSync und Gruppen
  Abgleich von Windowsgruppen mit der Cloud und Konflikte
• ADSync Group Matching
  Übereinstimmende Gruppen finden
• ADSync mit Devices
  Details zur Funktion von ADSync mit Computern und AzureAD Devices
• ADSync Bidirektional
  OneWay in die Cloud ist nicht richtig. ADSync schreibt auch in ihr lokales AD
• Password WriteBack
  So können Anwender ihre Kennwort in der Cloud ändern und das lokal AD folgt
• ADSync und DN-Änderungen
  Wenn ein OU-Rename ihren ADSync aus dem Tritt bringt
• AD Reorg mit ADSync
  So können Sie lokale AD-Konten in OUs, Domänen und Forest verschieben ohne Cloud Identitäten zu gefährden
• ADSync Felder
  Zuordnung und Filtern von Produkten, Feldern und Inhalten
• ADSync Eventlog
  Meldungen und Fehler im Eventlog
• AADConnect Kommunikation
  So spricht AADConnect/ADSync mit AzureAD per HTTP
• ADSync Monitoring
  So überwachen Sie den Office 365 Verzeichnisabgleich in die Cloud
• ADSync mit Exchange
  Besonderheiten mit Exchange Online und ADSync
• ADSync Blockade
  Sobald ADSync konfiguriert ist können Sie per Exchange Online Powershell einige Felder nicht mehr beschreiben
• ADSync und Public Folder
  Bei der Nutzung von Email-aktivierten öffentlichen Ordnern mit Exchange Hybrid gibt es einige Stolperfallen zu beachten
• ADSync mit Ex Online Only
  Exchange Online mit ADSync ohne lokalen Exchange verwalten
• EXO ADSync Provisioning
  So werden Exchange Online Postfächer mit AADConnect korrekt provisioniert
• ADSync und RequireSenderAuthenticationEnabled
  Einige Exchange Attribute sind in der Cloud änderbar - Mit unschönen Effekten
• Doppelpostfach mit Exchange Online
  Wenn Sie falsch provisionieren, hat der Benutzer zwei Postfächer. So lösen Sie das Problem
• ADSync und MailUser
  MailUser sind gültige Exchange Online Objekte, solange sie keine Lizenz bekommen oder Cross Forest migriert werden.
• AzureAD/EXOAD
  AzureAD, Exchange Online Verzeichnis und überzählige Public Folder
• Advanced Provisioning
  Ein New-RemoteLinkedRoomMailbox zeigt die Herausforderungen beim Provisioning
• Group Writeback
  Cloud-Managed Groups ins lokale AD replizieren
• Groups Writeback V2
  Microsoft 365 Gruppen als Empfänger im OnPremises Exchange verwalten
• Group Writeback CloudConnect
  Cloud Gruppen mit Cloud Connect ins AD replizieren
• Dynamische Verteiler und Exchange Hybrid
  Nutzen sie dynamische Verteilerlisten? dann sollten Sie die Probleme mit ADSync, Migration und Mailrouting kennen.
• ADSync und SfB
  Wie pflege ich die SIP-Adresse eines Konto ?
• Deaktivierte ADUser und SfBOnline
  ADSync mit deaktivierten Konten und SfB Control-Panel
• DirSync aus/einschalten
  Fallstricke beim Reaktivieren des DirSync
• ADSync Deinstallation
  So deinstallieren Sie ADSync und bauen den Verzeichnisabgleich zum Tenant  komplett zurück
• DirSync Setup
  Eine Beschreibung des älteren DirSync
• Essentials Provisioning
  Windows Server Essentials enthält eine Office 365 Komponente, die ohne ADSync die Benutzer und Kennworte synchron hält
• Office 365 Profilfoto
  Update, Pflege und Sichtbarkeit der Profilbilder
• Office 365 Profilfoto Sync
  Testserie zur Replikation der Profilbilder - Sharepoint Online geht grade nicht?
• Externe Member, Gast, Kontakt
  Einsatzbereiche und Konflikte mit Identitäten
• Office 365 Gast-Konten/Azure B2B
  Wenn ich Dienste für Benutzer außerhalb meines Tenants erreichbar mache
• Gast-Identität
  Stammdatenpflege und Lifecycle mit Gastkonten
• Gast in anderen Tenants
  Wie kann ich ermitteln, in welchem anderen Tenant meine Benutzer als Gast unterwegs sind?
• AzureAD UserType
  Bei Tenants vor 2013 haben einige Objekte keinen UserType
• SCIM - System for Cross-Domain Identity Management
  RFC-Standard zum Provisioning zwischen Systemen auch mit AzureAD
• CloudHR-Identitymanagement
  So können Sie Benutzer anhand von HR-Daten (z.B. Personio) im AD und AzureAD verwalten
• Apple-ID mit Azure
  Identitäten im Apple Business Manager per SCIM und OAUTH verwalten
• ADSync mit Samba
  ADSync kann tatsächlich Benutzer aus einem Samba-AD zum Office 365 Tenant abgleichen
• School Data Sync
  Identitäten aus Schulinformationssystemen in Office 365 nutzen
• School Data Sync im Detail
  Erste Schritte mit SDS zum Verwalten von EDU Tenants mit LuL und SuS und Teams
• Doppelkonto Azure vs. Microsoft
  Bekommen Sie bei der Office 365 Anmeldung die Auswahl geschäftlich/Privat? dann handeln sie!
• HomePhone
  Achtung bei der Pflege von privaten Rufnummern im AD und AzureAD mit Teams Voicemail
• Cloud Konten Risiken
  Google/Microsoft/Apple/Facebook u.a. Identity-Provider haben auch Schattenseiten
• ADSync Webservice
  Eigenbau, um um z.B.: per Provisioning aus der Ferne einfach einen SyncNow anzustoßen oder den Status abzufragen
• Room Provisioning
  Automatische Anlage von Raum-Postfächern mit Hindernissen
• AzureAD ohne ADSync
  Sie haben kein lokales AD für ADSync oder möchten Exchange Online ohne ADSync betreiben?
• Cloud ProxyAddresses
  Die ProxyAddresses dienen nicht nur dem Exchange Mailrouting
• M365 Admin Mailadresse
  Adminkonten ohne Postfach können Benachrichtigungsmails bekommen
• Cloud Gruppen
  Alles über Gruppen, Verteiler, RoleGroups in AzureAD und deren Einsatz
• Gast-Konto oder Kontakt?
  Tenantübergreifende Zusammenarbeit. Der Unterschied zwischen Gast und Kontakte
• ShowinAddressbook und HiddenFromAddressListsEnabled
  Objekte in Exchange Online, EntraID u.a. verbergen. richtige und falsche Wege

Weitere Links

• TLS 1.2 Enforcement
• TLS 1.2 enforcement for Azure AD Connect
  https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-tls-enforcement
• Azure Active Directory TLS 1.0, TLS 1.1, and 3DES deprecation
  https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/whats-new#november-2020
• Configure Azure AD Connect Health agents to use HTTP proxy
  https://learn.microsoft.com/en-re/active-directory/hybrid/how-to-connect-health-agent-install#configure-azure-ad-connect-health-agents-to-use-http-proxy  
  Set-AzureADConnectHealthProxySettings -HttpsProxyAddress "ProxyServer:Port"
  Restart-Service AzureADConnectHealth* Register-AzureADConnectHealthSyncAgent
•  Plan an automatic user provisioning deployment in Microsoft Entra ID
  https://learn.microsoft.com/en-us/entra/identity/app-provisioning/plan-auto-user-provisioning