Office 365 - DirSync Basics
O365Check
Bitte prüfen Sie zuerst ihr lokales Active
Directory, ehe Sie den Office 365 DirSync
aktivieren!
Diese Seite beschreibt den Office 365 DirSync. der DirSync für Yammer ist eine eigene Software. Siehe auch Synchronize and authenticate Users from your On-Premises Active Directory to Yammer and Office 365 ( http://technet.microsoft.com/EN-US/library/dn457819.aspx)
Diese Entscheidung ist aktuell (Stand Anfang 2012) nicht umkehrbar. Der DirSync ist also eine Dauereinrichtung"
Der DirSync repliziert ALLE Benutzerkonten, Kontakte und Gruppen in die Cloud. Es gibt aktuell (Jan 2012) keine Möglichkeit diese Datenmenge zu filtern. Wer also intensiv mit Dienstkonten oder Sicherheitsgruppen für Delegierung von Rechten arbeitet, wird in Office 365 viele Konten sehen, die aber nicht "aktiviert" werden müssen und damit keine Lizenz kosten. Dennoch mag der ein oder andere Firmeninhaber hier ein Problem damit haben, da so eine komplette Liste gültiger Anmeldeadressen, Mailadressen, Rufnummern und Gruppenmitgliedschaften extern repliziert wird.
Exchange Virtual Conference:
Office 365 Identities and Federation
http://exchangevirtualconference.com/evc-2013-session-5/
In der Oberfläche sieht das dann z.B.: wie folgt aus.
In dem alten Admin Center war der DirSync gerade mal bei den Benutzern oben als keiner Punkt zu sehen:
Wer seinen Tenant schon sehr lange hat,, kennt vielleicht auch noch die folgende Ansicht:
Es ist kein Geheimnis, dass Microsoft seine eigenen funktionierenden Produkte gerne wieder verwendet. Das war schon beim IIFP für den Abgleich von zwei Forests so und ist mit Office 365 nicht anders. Nur dass diesmal keine abgespeckte Version des MIIS, sondern die aktuelle Version des FIM (Forefront Identity Manager) zum Einsatz kommt. Natürlich wieder in einer gekapselten Version, bei der ein Assistent dem Anwender die Arbeit abnimmt.
Objekte durch ADSync im Tenant
Nach Sie den DirSync eingerichtet haben, werden Sie in ihrem Admin Center scher schnell die Objekte aus dem lokalen AD finden. Manuell angelegte Benutzer und per DirSync am Doppelpfeil verwaltete Benutzer sind einträchtig nebeneinander ist der Liste aufgeführt. Schaue ich mir dann mein "Cloudkonto" an, dann sehen Sie aber einige Felder nur "grau", weil diese von dem lokalen Active Directory über den DirSync verwaltet werden:
Benutzer
Beim Blick auf die Benutzer im Tenant ist sehr einfach zu erkennen, welche durch den ADSync kommen:
Benutzer, die nicht durch den DirSync angelegt werden, sind anhand des "Synchronisationstyp" sofort als "In Cloud" zu erkennen.
Gruppen
Auch Gruppen aus dem lokalen Active Directory sind nach kurzer Zeit auch im Azure AD angelegt worden.
Ich habe in meinem On-Prem Active Directory alle Gruppen mit einem Prefix versehen, so dass ich sofort erkennen kann, woher diese kommen. Und hier sehen Sie schon, dass es durchaus Gruppen gibt, die ich im Tenant manuell angelegt habe. Dies gilt aber auch für die "O365-DL" und die "O365-SG". Sie können hier gut sehen, dass der Typ kein guter Indikator für die Quelle der Gruppe ist.
Kontakte
Das Admin Center zeigt ihnen aber auch nur Benutzer und Gruppen an. Durch den DirSync kommen aber durchaus weitre Objekte mit in das Azure AD. Das ist z.B. der Funktion von Exchange geschuldet, bei der in der Cloud alle Exchange Empfänger angelegt werden müssen. damit diese auch erreichbar sind. Räume und Ressourcen sind im Admin Center ebenso sichtbar wie die "Office 365 Groups" (Siehe Office 365 Groups) Allerdings sind z.B. Kontakte und mailaktivierte öffentliche Ordner im Admin Center nicht zu sehen. Sie sind aber sehr wohl im Exchange Control Panel sichtbar. Es gibt diese Objekte also und per Powershell sind diese auch auflistbar.
PS C:\> Get-MsolContact EmailAddress DisplayName ------------ ----------- contact1@example.com Contact1
Für eine komplette Liste aller Exchange Empfänger ist es besser die Exchange Powershell gegen Exchange Online zu nutzen.
Objekte und Abgleich
Abgeglichen werden durch den DirSync, der durch eine angepasste Version von FIM bereit gestellt wird, immer die komplette Domäne mit allen Benutzern und Gruppen. Das Standardsetup filtert nur ein paar wenige Systemkonten aus. Wundern sie sich bitte nicht, wenn Sie nach dem ersten Abgleich in der Office 365-Umgebung alle Gruppen und Benutzer, d.h. auch Dienstkonten und vielleicht Berechtigungsgruppen, wiederfinden.
Ich finde dieses Standardverhalten höchst rücksichtslos. Ich möchte vielleicht gar nicht meine gesamte Gruppen und Anmeldedaten in der Office 365-Umgebung veröffentlichen. Natürlich ist eine umfangreiche Veröffentlichung z.B.: für die Koexistenz mit Exchange (Stichwort "Globale Addressliste") erforderlich, aber Dienstkonten und administrative Gruppen würde ich gerne ausschließen.
Wenn ein Konto so in der Cloud angelegt wurden, dann kostet dies aber noch keine Lizenz. Sie müssen das jeweilige Konto also per PowerShell oder Browser erst noch die entsprechende Funktion verpassen, z.B.: ein Lync Konto, ein Exchange Postfach oder eine Office 2010 Lizenz.
Mein letzter Kenntnisstand war, dass die Zuweisung von Lizenzen ebenso wenig durch den DirSync mit erfolgen kann als eine Filterung der Objekte möglich wäre. Allerdings habe ich für meine Office 365-Projekte und die Net at Work-eigene Cloud natürlich eine Lösung geschafften, um FIM entsprechend zu filtern und die Lizenzen per PowerShell und Skript zu verwalten.
Weitere Links
- Synchronizing your directory
with Office 365 is easy
https://blogs.office.com/2014/04/15/synchronizing-your-directory-with-office-365-is-easy/ - Active Directory
synchronization: Roadmap
http://onlinehelp.microsoft.com/en-us/office365-enterprises/ff652543.aspx - Office 365 DirSync (x64)
Installation Walkthrough
http://mikecrowley.wordpress.com/2011/11/21/office-365-DirSync-x64-installation-walkthrough/ - Office 365 and Delays
Enabling Directory
Synchronization
http://blogs.technet.com/b/msukucc/archive/2011/10/24/office-365-and-delays-enabling-directory-synchronization.aspx - Managing Hybrid Identities
Across Portals
http://blogs.technet.com/b/askpfeplat/archive/2015/08/31/managing-hybrid-identities-across-portals.aspx - Directory Synchronization
tool 64-bit support
http://community.office365.com/en-us/w/sso/555.aspx - Synchronize your directories
http://onlinehelp.microsoft.com/en-us/Office365-enterprises/ff652557.aspx - Prepare für directory
synchronization
http://onlinehelp.microsoft.com/en-us/Office365-enterprises/ff652544.aspx - Install the Microsoft Online
Services Directory
Synchronization tool
http://onlinehelp.microsoft.com/en-us/Office365-enterprises/ff652545.aspx - Manage directory
synchronization
http://onlinehelp.microsoft.com/en-us/Office365-enterprises/ff652533.aspx - Verify directory
synchronization
http://onlinehelp.microsoft.com/en-us/Office365-enterprises/ff652541.aspx - Activate synced Users
http://onlinehelp.microsoft.com/en-us/Office365-enterprises/ff637588.aspx - Directory Synchronization
tool 64-bit support
http://community.office365.com/en-us/w/sso/555.aspx - DirSync: List of Attributes
that are Synced by the Windows
Azure Active Directory Sync Tool
http://social.technet.microsoft.com/wiki/contents/articles/19901.DirSync-list-of-attributes-that-are-synced-by-the-windows-azure-active-directory-sync-tool.aspx - DirSync–Tool jetzt auch in
64 Bit
https://msmvps.com/blogs/wstein/archive/2011/11/18/DirSync-tool-jetzt-auch-in-64-bit.aspx - Office 365 Service Accounts–How
do I stop DirSync from breaking
every 90 days…
http://blogs.technet.com/b/neiljohn/archive/2011/09/05/office-365-service-accounts-how-do-i-stop-DirSync-from-breaking-every-90-days.aspx - Tool zur
Verzeichnissynchronisation
zwischen Office 365 und lokalem
Active Directory jetzt auch in
64-bit
http://blogs.technet.com/b/dmelanchthon/archive/2011/12/07/tool-zur-verzeichnissynchronisation-zwischen-office-365-und-lokalem-active-directory-jetzt-auch-in-64-bit.aspx - Hoe zit dat nu met Office
365, DirSync en de UPN?
(NIederländisch)
http://jetzemellema.blogspot.de/2014/01/hoe-zit-dat-nu-met-office-365-DirSync.html - New Office 365 and AD
FS/DirSync Information Available
http://blogs.technet.com/b/askds/archive/2012/06/08/new-office-365-and-ad-fs-DirSync-information-available.aspx - DirSync: List of attributes
that are synced by the Azure
Active Directory Sync Tool
http://social.technet.microsoft.com/wiki/contents/articles/19901.DirSync-list-of-attributes-that-are-synced-by-the-azure-active-directory-sync-tool.aspx - Office 365 Directory
Synchronization In-Depth
http://www.messageops.com/resources/office-365-documentation/office-365-directory-synchronization-in-depth/