Office 365 - DirSync Basics

O365Check
Bitte prüfen Sie zuerst ihr lokales Active Directory, ehe Sie den Office 365 DirSync aktivieren!

Diese Seite beschreibt den Office 365 DirSync. der DirSync für Yammer ist eine eigene Software. Siehe auch Synchronize and authenticate Users from your On-Premises Active Directory to Yammer and Office 365 ( http://technet.microsoft.com/EN-US/library/dn457819.aspx)

Diese Entscheidung ist aktuell (Stand Anfang 2012) nicht umkehrbar. Der DirSync ist also eine Dauereinrichtung"

Der DirSync repliziert ALLE Benutzerkonten, Kontakte und Gruppen in die Cloud. Es gibt aktuell (Jan 2012) keine Möglichkeit diese Datenmenge zu filtern. Wer also intensiv mit Dienstkonten oder Sicherheitsgruppen für Delegierung von Rechten arbeitet, wird in Office 365 viele Konten sehen, die aber nicht "aktiviert" werden müssen und damit keine Lizenz kosten. Dennoch mag der ein oder andere Firmeninhaber hier ein Problem damit haben, da so eine komplette Liste gültiger Anmeldeadressen, Mailadressen, Rufnummern und Gruppenmitgliedschaften extern repliziert wird.

Exchange Virtual Conference: Office 365 Identities and Federation
http://exchangevirtualconference.com/evc-2013-session-5/

In der Oberfläche sieht das dann z.B.: wie folgt aus.

In dem alten Admin Center war der DirSync gerade mal bei den Benutzern oben als keiner Punkt zu sehen:

Wer seinen Tenant schon sehr lange hat,, kennt vielleicht auch noch die folgende Ansicht:

Es ist kein Geheimnis, dass Microsoft seine eigenen funktionierenden Produkte gerne wieder verwendet. Das war schon beim IIFP für den Abgleich von zwei Forests so und ist mit Office 365 nicht anders. Nur dass diesmal keine abgespeckte Version des MIIS, sondern die aktuelle Version des FIM (Forefront Identity Manager) zum Einsatz kommt. Natürlich wieder in einer gekapselten Version, bei der ein Assistent dem Anwender die Arbeit abnimmt.

Objekte durch ADSync im Tenant

Nach Sie den DirSync eingerichtet haben, werden Sie in ihrem Admin Center scher schnell die Objekte aus dem lokalen AD finden. Manuell angelegte Benutzer und per DirSync am Doppelpfeil verwaltete Benutzer sind einträchtig nebeneinander ist der Liste aufgeführt. Schaue ich mir dann mein "Cloudkonto" an, dann sehen Sie aber einige Felder nur "grau", weil diese von dem lokalen Active Directory über den DirSync verwaltet werden:

Benutzer

Beim Blick auf die Benutzer im Tenant ist sehr einfach zu erkennen, welche durch den ADSync kommen:

Benutzer, die nicht durch den DirSync angelegt werden, sind anhand des "Synchronisationstyp" sofort als "In Cloud" zu erkennen.

Gruppen

Auch Gruppen aus dem lokalen Active Directory sind nach kurzer Zeit auch im Azure AD angelegt worden.

Ich habe in meinem On-Prem Active Directory alle Gruppen mit einem Prefix versehen, so dass ich sofort erkennen kann, woher diese kommen. Und hier sehen Sie schon, dass es durchaus Gruppen gibt, die ich im Tenant manuell angelegt habe. Dies gilt aber auch für die "O365-DL" und die "O365-SG". Sie können hier gut sehen, dass der Typ kein guter Indikator für die Quelle der Gruppe ist.

Kontakte

Das Admin Center zeigt ihnen aber auch nur Benutzer und Gruppen an. Durch den DirSync kommen aber durchaus weitre Objekte mit in das Azure AD. Das ist z.B. der Funktion von Exchange geschuldet, bei der in der Cloud alle Exchange Empfänger angelegt werden müssen. damit diese auch erreichbar sind. Räume und Ressourcen sind im Admin Center ebenso sichtbar wie die "Office 365 Groups" (Siehe Office 365 Groups) Allerdings sind z.B. Kontakte und mailaktivierte öffentliche Ordner im Admin Center nicht zu sehen. Sie sind aber sehr wohl im Exchange Control Panel sichtbar. Es gibt diese Objekte also und per Powershell sind diese auch auflistbar.

PS C:\> Get-MsolContact

EmailAddress                              DisplayName
------------                              -----------
contact1@example.com                      Contact1

Für eine komplette Liste aller Exchange Empfänger ist es besser die Exchange Powershell gegen Exchange Online zu nutzen.

Objekte und Abgleich

Abgeglichen werden durch den DirSync, der durch eine angepasste Version von FIM bereit gestellt wird, immer die komplette Domäne mit allen Benutzern und Gruppen. Das Standardsetup filtert nur ein paar wenige Systemkonten aus. Wundern sie sich bitte nicht, wenn Sie nach dem ersten Abgleich in der Office 365-Umgebung alle Gruppen und Benutzer, d.h. auch Dienstkonten und vielleicht Berechtigungsgruppen, wiederfinden.

Ich finde dieses Standardverhalten höchst rücksichtslos. Ich möchte vielleicht gar nicht meine gesamte Gruppen und Anmeldedaten in der Office 365-Umgebung veröffentlichen. Natürlich ist eine umfangreiche Veröffentlichung z.B.: für die Koexistenz mit Exchange (Stichwort "Globale Addressliste") erforderlich, aber Dienstkonten und administrative Gruppen würde ich gerne ausschließen.

Wenn ein Konto so in der Cloud angelegt wurden, dann kostet dies aber noch keine Lizenz. Sie müssen das jeweilige Konto also per PowerShell oder Browser erst noch die entsprechende Funktion verpassen, z.B.: ein Lync Konto, ein Exchange Postfach oder eine Office 2010 Lizenz.

Mein letzter Kenntnisstand war, dass die Zuweisung von Lizenzen ebenso wenig durch den DirSync mit erfolgen kann als eine Filterung der Objekte möglich wäre. Allerdings habe ich für meine Office 365-Projekte und die Net at Work-eigene Cloud natürlich eine Lösung geschafften, um FIM entsprechend zu filtern und die Lizenzen per PowerShell und Skript zu verwalten.

Weitere Links