Azure AD Connect-Synchronisierung: Ändern der Standardkonfiguration - Microsoft Entra (2023)

In diesem Artikel wird Schritt für Schritt erläutert, wie Sie Änderungen an der Standardkonfiguration in der Azure AD Connect-Synchronisierung (Azure Active Directory) vornehmen. Es enthält Schrittanleitungen für einige allgemeinen Szenarien. Mit diesem Wissen sollten Sie in der Lage sein, basierend auf Ihren eigenen Geschäftsregeln einfache Änderungen an Ihrer eigenen Konfiguration vorzunehmen.

Synchronisierungsregel-Editor

Der Synchronisierungsregel-Editor dient zum Anzeigen und Ändern der Standardkonfiguration. Sie finden ihn im Menü Start in der Gruppe Azure AD Connect.

Wenn Sie den Editor öffnen, sehen Sie die vordefinierten Standardregeln.

Navigation im Editor

Mithilfe der Dropdownmenüs am oberen Rand des Editors können Sie schnell nach einer bestimmten Regel suchen. Wenn Sie z.B. die Regeln mit dem Attribut „proxyAddresses“ anzeigen möchten, ändern Sie die Einstellungen in den Dropdownmenüs wie folgt:

Drücken Sie zum Zurücksetzen des Filters und zum Laden einer neuen Konfiguration die Taste F5 auf der Tastatur.

Im oberen rechten Bereich finden Sie die Schaltfläche Neue Regel hinzufügen. Mit dieser Schaltfläche können Sie eigene benutzerdefinierte Regeln erstellen.

Unten im Fenster befinden sich Schaltflächen, mit denen Sie Aktionen für eine ausgewählte Synchronisierungsregel ausführen können. Die Schaltflächen Bearbeiten und Löschen sind selbsterklärend. Exportieren erzeugt ein PowerShell-Skript zur erneuten Erstellung der Synchronisierungsregel. Mit diesem Verfahren können Sie eine Synchronisierungsregel von einem Server zu einem anderen verschieben.

Erstellen Ihrer ersten benutzerdefinierten Regel

Änderungen an den Attributflüssen zählen zu den häufigsten Änderungen. Die Daten in Ihrem Quellverzeichnis weichen möglicherweise von denen in Azure AD ab. Stellen Sie im Beispiel in diesem Abschnitt sicher, dass der Vorname eines Benutzers immer die richtige Groß-/Kleinschreibungaufweist.

Deaktivieren des Schedulers

Der Scheduler wird standardmäßig alle 30 Minuten ausgeführt. Stellen Sie sicher, dass er nicht gestartet wird, während Sie Änderungen vornehmen und Probleme in Ihren neuen Regeln beheben. Um den Scheduler vorübergehend zu deaktivieren, starten Sie PowerShell, und führen Sie den Befehl Set-ADSyncScheduler -SyncCycleEnabled $false aus.

Erstellen der Regel

1. Klicken Sie auf Neue Regel hinzufügen.
2. Geben Sie auf der Seite Beschreibung Folgendes ein:
   
   • Name: Geben Sie einen beschreibenden Namen für die Regel ein.
   • Beschreibung: Fügen Sie Informationen hinzu, damit andere Benutzer wissen, wozu die Regel dient.
   • Verbundenes System: Das System, in dem sich das Objekt befindet. Wählen Sie in diesem Fall Active Directory Connector aus.
   • Verbundenes System/Metaverse-Objekttyp: Wählen Sie Benutzer bzw. Person aus.
   • Verknüpfungstyp: Ändern Sie diesen Wert in Join.
   • Rangfolge: Geben Sie einen Wert an, der im System eindeutig ist. Ein niedrigerer numerischer Wert steht für eine höhere Rangfolge.
   • Tag: Lassen Sie dieses Feld leer. Dieses Feld sollte nur bei vordefinierten Regeln von Microsoft einen Wert enthalten.
3. Geben Sie auf der Seite Bereichsfilter den Wert givenName ISNOTNULL ein.
   
   Dieser Abschnitt wird verwendet, um zu definieren, auf welche Objekte die Regel angewendet werden soll. Wenn Sie den Abschnitt leer lassen, gilt die Regel für alle Benutzerobjekte. Damit würden jedoch auch Konferenzräume, Dienstkonten und andere nicht personenbezogene Benutzerobjekte einbezogen.
4. Lassen Sie das Feld auf der Seite Verknüpfungsregeln leer.
5. Ändern Sie auf der Seite Transformationen den FlowType zu Ausdruck. Wählen Sie als Zielattribut die Option givenName aus. Als Quelle geben Sie PCase([givenName]) ein.
   In der Synchronisierungsengine wird sowohl beim Funktions- als auch beim Attributnamen die Groß-/Kleinschreibung beachtet. Im Fall einer fehlerhaften Eingabe wird beim Hinzufügen der Regel eine Warnung angezeigt. Sie können speichern und fortfahren, müssen die Regel jedoch erneut öffnen und korrigieren.
6. Klicken Sie auf Hinzufügen , um die Regel zu speichern.

Die neue benutzerdefinierte Regel sollte zusammen mit den anderen Synchronisierungsregeln im System angezeigt werden.

Überprüfen der Änderung

Nachdem Sie diese Änderung vorgenommen haben, möchten Sie sicherstellen, dass die Regel wie erwartet funktioniert und nicht zu Fehlern führt. Hierzu stehen Ihnen abhängig von der Anzahl von Objekten zwei Methoden zur Auswahl:

• Führen Sie vollständige Synchronisierung aller Objekte aus.
• Führen Sie eine Vorschau und eine vollständige Synchronisierung eines einzelnen Objekts aus.

Öffnen Sie über das Startmenü den Synchronisierungsdienst. Alle Schritte in diesem Abschnitt werden in diesem Tool ausgeführt.

Vollständige Synchronisierung aller Objekte

1. Klicken Sie im Menü „Aktionen“ auf Connectors aus. Suchen Sie nach dem Connector, den Sie im vorherigen Abschnitt geändert haben (in diesem Fall die Active Directory Domain Services), und wählen Sie ihn aus.
2. Wählen Sie unter Aktionen die Option Ausführen aus.
3. Wählen Sie Vollständige Synchronisierung und danach OK aus.
   Die Objekte sind jetzt in der Metaverse aktualisiert. Überprüfen Sie Ihre Änderungen, indem Sie sich das Objekt in der Metaverse ansehen.

Vorschau und vollständige Synchronisierung eines einzelnen Objekts

1. Klicken Sie im Menü „Aktionen“ auf Connectors aus. Suchen Sie nach dem Connector, den Sie im vorherigen Abschnitt geändert haben (in diesem Fall die Active Directory Domain Services), und wählen Sie ihn aus.
2. Wählen Sie Search Connector Space(Connectorbereich durchsuchen) aus.
3. Verwenden Sie den Bereich, um nach einem Objekt zu suchen, das Sie zum Testen der Änderung verwenden möchten. Wählen Sie das Objekt aus, und klicken Sie auf Vorschau.
4. Wählen Sie auf dem neuen Bildschirm Commitvorschau aus.
   
   Die Änderung wird jetzt an die Metaverse übergeben.

Anzeigen des Objekts in der Metaverse

1. Wählen Sie einige Beispielobjekte aus, um sicherzustellen, dass der Wert wie erwartet ist und die Regel angewendet wird.
2. Wählen Sie oben im Fenster Metaverse Search (Metaversesuche) aus. Fügen Sie beliebige Filter hinzu, die Sie zur Suche nach den entsprechenden Objekten benötigen.
3. Öffnen Sie im Suchergebnis ein Objekt. Sehen Sie sich die Attributwerte an, und überprüfen Sie in der Spalte Synchronisierungsregeln, ob die Regel wie erwartet angewendet wurde.
   

Deaktivieren des Schedulers

Wenn alles wie erwartet funktioniert, können Sie den Scheduler wieder aktivieren. Führen Sie in PowerShell Set-ADSyncScheduler -SyncCycleEnabled $trueaus.

Andere häufige Änderungen am Attributfluss

Im vorherigen Abschnitt wurde beschrieben, wie Sie Änderungen an einem Attributfluss vornehmen. In diesem Abschnitt werden einige weitere Beispiele vorgestellt. Die Schritte zum Erstellen der Synchronisierungsregel werden hier in gekürzter Form wiedergegeben. Die vollständigen Schritte finden Sie bei Bedarf im vorherigen Abschnitt.

Verwenden eines vom Standardwert abweichenden Attributs

In diesem Fabrikam-Szenario wird in einer Gesamtstruktur das lokale Alphabet für Vorname, Nachname und Anzeigename verwendet. Die lateinische Zeichenfolgendarstellung dieser Attribute ist in den Erweiterungsattributen zu finden. Zum Erstellen einer globalen Adressliste in Azure AD und Microsoft365 möchte die Organisation stattdessen diese Attribute verwenden.

Mit einer Standardkonfiguration sieht ein Objekt aus der lokalen Gesamtstruktur wie folgt aus:

Führen Sie folgende Schritte aus, um eine Regel mit anderen Attributflüssen zu erstellen:

1. Starten Sie den Synchronisierungsregel-Editor über das Menü Start.
2. Lassen Sie auf der linken Seite Eingehend ausgewählt, und klicken Sie auf die Schaltfläche Neue Regel hinzufügen.
3. Benennen Sie die Regel und fügen Sie eine Beschreibung hinzu. Wählen Sie die lokale Active Directory-Instanz und die entsprechenden Objekttypen aus. Wählen Sie als Verknüpfungstyp die Option Join aus. Wählen Sie als Rangfolge eine Zahl, die nicht von einer anderen Regel verwendet wird. Die vordefinierten Regeln beginnen mit 100. In diesem Beispiel kann also der Wert50 verwendet werden.
4. Lassen Sie Bereichsfilter leer. (Das bedeutet, dass die Regel für alle Benutzerobjekte in der Gesamtstruktur gelten soll.)
5. Lassen Sie Verknüpfungsregeln leer. (Das bedeutet, dass alle Verknüpfungen von der Standardregel behandelt werden sollen.)
6. Erstellen Sie unter Transformationen die folgenden Attributflüsse:
   
7. Klicken Sie auf Hinzufügen , um die Regel zu speichern.
8. Wechseln Sie zu Synchronization Service Manager. Wählen Sie unter Connectorsden Connector aus, für den Sie die Regel hinzugefügt haben. Wählen Sie Ausführen und danach Vollständige Synchronisierung aus. Bei einer vollständigen Synchronisierung werden alle Objekte anhand der aktuellen Regeln neu berechnet.

Dies ist das Ergebnis für dasselbe Objekt mit dieser benutzerdefinierten Regel:

Länge der Attribute

Zeichenfolgenattribute sind standardmäßig indizierbar, die maximale Länge beträgt 448 Zeichen. Wenn Sie mit Zeichenfolgenattributen arbeiten, die möglicherweise mehr Zeichen enthalten, müssen Sie Folgendes in den Attributfluss einschließen:
attributeName<- Left([attributeName],448).

Ändern von "userPrincipalSuffix"

Das userPrincipalName-Attribut in Active Directory ist den Benutzern nicht immer bekannt und eignet sich möglicherweise nicht als Anmelde-ID. Mit dem Installations-Assistenten für die Azure AD Connect-Synchronisierung können Sie ein anderes Attribut auswählen, z.B. mail. In einigen Fällen muss das Attribut jedoch berechnet werden.

Das Unternehmen Contoso verfügt beispielsweise über zwei AzureAD-Verzeichnisse, eins für die Produktion und eins für Testzwecke. Benutzer im Testmandanten sollen ein anderes Suffix in der Anmelde-ID verwenden:
userPrincipalName<- Word([userPrincipalName],1,"@") & "@contosotest.com".

In diesem Ausdruck wird alles, was sich links vom ersten @-Zeichen (Wort) befindet, mit einer festen Zeichenfolge verkettet.

Konvertieren eines mehrwertigen Attributs in einen einzelnen Wert

Einige Attribute in Active Directory weisen im Schema mehrere Werte auf, obwohl sie in „Active Directory-Benutzer und -Computer“ wie einwertige Attribute aussehen. Das Attribut „description“ ist ein Beispiel hierfür:
description<- IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448)).

Falls das Attribut einen Wert besitzt, wird in diesem Ausdruck das erste Element (Item) im Attribut genommen, die voran- und nachgestellten Leerzeichen (Trim) werden entfernt, und die ersten 448 Zeichen (Left) der Zeichenfolge werden beibehalten.

Verhindern des „Fließens“ eines Attributs

Hintergrundinformationen zum Szenario in diesem Abschnitt finden Sie unter Steuern des Attributflussprozesses.

Es gibt zwei Möglichkeiten, wie Sie dafür sorgen, dass ein Attribut nicht „fließt“ (also nicht übertragen wird). Die erste Option besteht darin, den Installations-Assistenten zu verwenden, um ausgewählte Attribute zu entfernen. Diese Option funktioniert, wenn Sie das Attribut vorher noch nie synchronisiert haben. Falls Sie bereits mit der Synchronisierung dieses Attributs begonnen haben und es danach mit diesem Funktion entfernen, beendet die Synchronisierungsengine die Verwaltung des Attributs, und die vorhandenen Werte verbleiben in Azure AD.

Wenn Sie den Wert eines Attributs entfernen und sicherstellen möchten, dass es in Zukunft nicht mehr zum Fluss gehört, müssen Sie eine benutzerdefinierte Regel erstellen.

In diesem Fabrikam-Szenario haben wir festgestellt, dass einige der Attribute, die wir mit der Cloud synchronisieren, nicht vorhanden sein sollten. Wir möchten sicherstellen, dass diese Attribute aus Azure AD entfernt werden.

1. Erstellen Sie eine neue Regel für die eingehende Synchronisierung, und füllen Sie die Beschreibung auf.
2. Erstellen Sie Attributflüsse mit Ausdruck als FlowType und AuthoritativeNull als Source. Das Literal AuthoritativeNull gibt an, dass der Wert in der Metaverse auch dann leer sein sollte, wenn eine Synchronisierungsregel mit geringerer Position in der Rangfolge versucht, den Wert aufzufüllen.
3. Speichern Sie die Synchronisierungsregel. Starten Sie den Synchronisierungsdienst, suchen Sie nach dem Connector, und wählen Sie Ausführen und Vollständige Synchronisierung aus. Dadurch werden alle Attributflüsse neu berechnet.
4. Stellen Sie sicher, dass die beabsichtigten Änderungen exportiert werden, indem Sie den Connectorbereich durchsuchen.

Erstellen von Regeln mit PowerShell

Der Synchronisierungsregel-Editor funktioniert gut, wenn Sie nur wenige Änderungen vornehmen möchten. Wenn viele Änderungen erforderlich sind, ist PowerShell wahrscheinlich besser geeignet. Einige erweiterte Funktionen sind nur über PowerShell verfügbar.

Abrufen des PowerShell-Skripts für eine Standardregel

Um das PowerShell-Skript anzuzeigen, mit dem eine Standardregel erstellt wurde, wählen Sie die Regel im Synchronisierungsregel-Editor aus, und klicken Sie auf Exportieren. Damit erhalten Sie das PowerShell-Skript, mit dem die Regel erstellt wurde.

Erweiterte Rangfolge

Die standardmäßigen Synchronisierungsregeln beginnen mit dem Rangfolgewert 100. Wenn Sie über viele Gesamtstrukturen verfügen und viele benutzerdefinierte Änderungen vornehmen müssen, sind 99 Synchronisierungsregeln möglicherweise nicht ausreichend.

Sie können die Synchronisierungsengine anweisen, dass vor den Standardregeln weitere Regeln eingefügt werden sollen. Führen Sie folgende Schritte aus, um dieses Verhalten festzulegen:

1. Markieren Sie im Synchronisierungsregel-Editor die erste Standardregel (Eingehend von AD – Benutzerverknüpfung), und wählen Sie Exportieren aus. Kopieren Sie den SR-ID-Wert.
   
2. Erstellen Sie die neue Synchronisierungsregel. Hierzu können Sie den Synchronisierungsregel-Editor verwenden. Exportieren Sie die Regel in ein PowerShell-Skript.
3. Fügen Sie den Bezeichnerwert aus der Standardregel in die Eigenschaft PrecedenceBefore ein. Legen Sie die Rangfolge auf 0 fest. Stellen Sie sicher, dass das Bezeichnerattribut eindeutig ist und Sie keine GUID aus einer anderen Regel wiederverwenden. Stellen Sie außerdem sicher, dass die Eigenschaft ImmutableTag nicht festgelegt ist. Diese Eigenschaft sollte nur für eine Standardregel festgelegt sein.
4. Speichern Sie das PowerShell-Skript, und führen Sie es aus. Das Ergebnis dieses Vorgehens: Ihrer benutzerdefinierten Regel wird der Rangfolgewert 100 zugewiesen, und alle anderen Standardregeln erhalten schrittweise ansteigende Werte.
   

Bei Bedarf können Sie eine Vielzahl von benutzerdefinierten Synchronisierungsregeln einrichten, die den gleichen PrecedenceBefore-Wert verwenden.

Synchronisierung des Benutzertyps aktivieren

Azure AD Connect unterstützt ab Version 1.1.524.0 die Synchronisierung des UserType-Attributs für Benutzer-Objekte. Genauer gesagt wurden folgende Änderungen eingeführt:

• Das Schema des Objekttyps Benutzer im Azure AD-Connector wurde um das UserType-Attribut erweitert, das vom Typ „Zeichenfolge“ und einwertig ist.
• Das Schema des Objekttyps Person in der Metaverse wurde um das UserType-Attribut erweitert, das vom Typ „Zeichenfolge“ und einwertig ist.

Standardmäßig ist das UserType-Attribut nicht für die Synchronisierung aktiviert, da kein entsprechendes UserType-Attribut im lokalen Active Directory vorhanden ist. Sie müssen die Synchronisierung manuell aktivieren. Beachten Sie das folgende von Azure AD erzwungene Verhalten:

• Azure AD akzeptiert nur zwei Werte für das UserType-Attribut: Member und Guest.
• Wenn das UserType-Attribut nicht für die Synchronisierung in Azure AD Connect aktiviert ist, ist das UserType-Attribut von Azure AD-Benutzern, die über die Verzeichnissynchronisierung erstellt wurden, auf Member festgelegt.
• Vor Version1.5.30.0 hat Azure AD nicht das Ändern des UserType-Attributs vorhandener Azure AD-Benutzer durch Azure AD Connect erlaubt. In älteren Versionen konnte es nur während der Erstellung des Azure AD-Benutzers festgelegt und über PowerShell geändert werden.

Vor dem Aktivieren der Synchronisierung des UserType-Attributs müssen Sie entscheiden, wie das Attribut vom lokalen Active Directory abgeleitet wird. Folgende Vorgehensweisen sind die gängigsten:

• Legen Sie ein nicht verwendetes lokales AD-Attribut (z.B. „extensionAttribute1“) als Quellattribut fest. Das festgelegte lokale AD-Attribut sollte vom Typ Zeichenfolge und einwertig sein und den Wert Member oder Guest enthalten.

  Wenn Sie sich für diesen Ansatz entscheiden, müssen Sie vor dem Aktivieren der Synchronisierung des UserType-Attributs sicherstellen, dass das ausgewählte Attribut mit dem richtigen Wert für alle vorhandenen Benutzerobjekte im lokalen Active Directory, die mit Azure AD synchronisiert werden, aufgefüllt wird.

• Alternativ können Sie den Wert für das UserType-Attribut auch aus anderen Eigenschaften ableiten. Angenommen, Sie möchten alle Benutzer als Guest synchronisieren, wenn ihr lokales AD-Attribut „userPrincipalName“ mit dem Domänenteil @partners.fabrikam123.org endet.

  Wie bereits erwähnt, erlauben ältere Versionen von Azure AD Connect das Ändern des UserType-Attributs vorhandener Azure AD-Benutzer durch Azure AD Connect nicht. Aus diesem Grund müssen Sie sicherstellen, dass die verwendete Logik mit der bereits vorhandenen Konfiguration des UserType-Attributs für alle vorhandenen Azure AD-Benutzer in Ihrem Mandanten konsistent ist.

Die Schritte zum Aktivieren der Synchronisierung des UserType-Attributs können wie folgt zusammengefasst werden:

1. Deaktivieren Sie den Synchronisierungsplaner, und stellen Sie sicher, dass derzeit keine Synchronisierung ausgeführt wird.
2. Fügen Sie das Quellattribut zum lokalen AD-Connectorschema hinzu.
3. Fügen Sie das UserType-Attribut zum Azure AD-Connectorschema hinzu.
4. Erstellen Sie eine Synchronisierungsregel für eingehende Daten zur Übertragung des Attributwerts aus dem lokalen Active Directory.
5. Erstellen Sie eine Synchronisierungsregel für ausgehende Daten zur Übertragung des Attributwerts an Azure AD.
6. Führen Sie einen vollständigen Synchronisierungszyklus aus.
7. Aktivieren Sie den Synchronisierungsplaner.

Schritt 1: Deaktivieren des Synchronisierungsplaners und Sicherstellen, dass derzeit keine Synchronisierung ausgeführt wird

Um zu vermeiden, dass unbeabsichtigte Änderungen nach Azure AD exportiert werden, stellen Sie sicher, dass keine Synchronisierung ausgeführt wird, während Sie Synchronisierungsregeln aktualisieren. So deaktivieren Sie den integrierten Synchronisierungsplaner:

1. Starten Sie eine PowerShell-Sitzung auf dem Azure AD Connect-Server.
2. Deaktivieren Sie die geplante Synchronisierung durch Ausführung des Cmdlets Set-ADSyncScheduler -SyncCycleEnabled $false.
3. Öffnen Sie den Synchronization Service Manager, indem Sie zu Start>Synchronization Service wechseln.
4. Wechseln Sie zur Registerkarte Vorgänge, und vergewissern Sie sich, dass kein Vorgang mit dem Status Wird ausgeführt angezeigt wird.

Schritt 2: Hinzufügen des Quellattributs zum lokalen AD-Connectorschema

Nicht alle Azure AD-Attribute werden in den lokalen AD-Connectorbereich importiert. So fügen Sie das Quellattribut zur Liste der importierten Attribute hinzu:

1. Wechseln Sie in Synchronization Service Manager zur Registerkarte Connectors.
2. Klicken Sie mit der rechten Maustaste auf den lokalen AD-Connector, und wählen Sie Eigenschaften aus.
3. Navigieren Sie im Popupdialogfeld zur Registerkarte Attribute auswählen.
4. Stellen Sie sicher, dass das Quellattribut in der Attributliste aktiviert ist.
5. Klicken Sie zum Speichern auf OK.

Schritt 3: Hinzufügen des UserType-Attributs zum Azure AD-Connectorschema

Standardmäßig wird das UserType-Attribut nicht in den Azure AD Connect-Bereich importiert. So fügen Sie das UserType-Attribut der Liste der importierten Attribute hinzu

1. Wechseln Sie in Synchronization Service Manager zur Registerkarte Connectors.
2. Klicken Sie mit der rechten Maustaste auf den Azure AD-Connector, und wählen Sie Eigenschaften aus.
3. Navigieren Sie im Popupdialogfeld zur Registerkarte Attribute auswählen.
4. Stellen Sie sicher, dass das UserType-Attribut in der Attributliste aktiviert ist.
5. Klicken Sie zum Speichern auf OK.

Schritt 4: Erstellen einer Synchronisierungsregel für eingehende Daten zur Übertragung des Attributwerts aus dem lokalen Active Directory

Die Synchronisierungsregel für eingehende Daten ermöglicht die Übertragung des Attributwerts aus dem Quellattribut im lokalen Active Directory in die Metaverse:

1. Öffnen Sie den Synchronisierungsregel-Editor, indem Sie zu Start>Synchronisierungsregel-Editor wechseln.

   (Video) Understanding Azure Virtual Desktop and Windows 365 for hybrid work

2. Legen Sie den Suchfilter Richtung auf Eingehend fest.

3. Klicken Sie auf die Schaltfläche Neue Regel hinzufügen, um eine neue Regel für eingehende Daten zu erstellen.

4. Geben Sie auf der Registerkarte Beschreibung die folgende Konfiguration an:

   attribute	Wert	Details
   Name	Geben Sie einen Namen ein.	Beispiel: Eingehend von AD – UserType „Benutzer“
   BESCHREIBUNG	Geben Sie eine Beschreibung ein.
   Verbundenes System	Wählen Sie den lokalen AD-Connector aus.
   Objekttyp des verbundenen Systems	Benutzer
   Metaverse-Objekttyp	Person
   Verknüpfungstyp	Join
   Rangfolge	Wählen Sie eine Zahl zwischen 1 und 99 aus.	Die Zahlen zwischen 1 und 99 sind für benutzerdefinierte Synchronisierungsregeln reserviert. Wählen Sie keinen Wert aus, der von einer anderen Synchronisierungsregel verwendet wird.

5. Navigieren Sie zur Registerkarte Bereichsfilter, und fügen Sie eine einzelne Bereichsfiltergruppe mit folgender Klausel hinzu:

   attribute	Operator	Wert
   adminDescription	NOTSTARTWITH	User_

   Der Bereichsfilter legt fest, auf welche lokalen AD-Objekte diese Synchronisierungsregel für eingehende Daten angewendet wird. In diesem Beispiel verwenden wir denselben Bereichsfilter wie die Standardsynchronisierungsregel Eingehend von AD – Benutzer „Common“ , die verhindert, dass die Synchronisierungsregel auf Benutzerobjekte angewendet wird, die über die Funktion zum Rückschreiben von Azure AD-Benutzern erstellt wurden. Möglicherweise müssen Sie den Bereichsfilter entsprechend Ihrer Azure AD Connect-Bereitstellung anpassen.

6. Navigieren Sie zur Registerkarte Transformation, und implementieren Sie die gewünschte Transformationsregel. Wenn Sie beispielsweise ein nicht verwendetes lokales AD-Attribut (z.B. „extensionAttribute1“) als Quellattribut für „UserType“ festgelegt haben, können Sie einen direkten Attributfluss implementieren:

   Attributflusstyp	Zielattribut	`Source`	Einmal anwenden	Mergetyp
   Direkt	UserType	extensionAttribute1	Deaktiviert	Aktualisieren

   Ein weiteres Beispiel: Sie möchten den Wert für das UserType-Attribut aus anderen Eigenschaften ableiten. Angenommen, Sie möchten alle Benutzer als „Guest“ synchronisieren, wenn ihr lokales AD-Attribut „UserPrincipalName“ mit dem Domänenteil @partners.fabrikam123.org endet. Sie können einen Ausdruck wie den folgenden implementieren:

   Attributflusstyp	Zielattribut	`Source`	Einmal anwenden	Mergetyp
   Ausdruck	UserType	IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0),"Member","Guest"),Error("UserPrincipalName is not present to determine UserType"))	Deaktiviert	Aktualisieren

7. Klicken Sie auf Hinzufügen, um die Regel für eingehende Daten zu erstellen.

Schritt 5: Erstellen einer Synchronisierungsregel für ausgehende Daten zur Übertragung des Attributwerts an Azure AD

Die Synchronisierungsregel für ausgehende Daten ermöglicht die Übertragung des Attributwerts aus der Metaverse auf das UserType-Attribut in Azure AD:

1. Navigieren Sie zum Synchronisierungsregel-Editor.

2. Legen Sie den Suchfilter Richtung auf Ausgehend fest.

3. Klicken Sie auf die Schaltfläche Neue Regel hinzufügen.

4. Geben Sie auf der Registerkarte Beschreibung die folgende Konfiguration an:

   attribute	Wert	Details
   Name	Geben Sie einen Namen ein.	Beispiel: Ausgehend nach AAD – UserType „Benutzer“
   BESCHREIBUNG	Geben Sie eine Beschreibung ein.
   Verbundenes System	Wählen Sie den AAD-Connector aus.
   Objekttyp des verbundenen Systems	Benutzer
   Metaverse-Objekttyp	Person
   Verknüpfungstyp	Join
   Rangfolge	Wählen Sie eine Zahl zwischen 1 und 99 aus.	Die Zahlen zwischen 1 und 99 sind für benutzerdefinierte Synchronisierungsregeln reserviert. Wählen Sie keinen Wert aus, der von einer anderen Synchronisierungsregel verwendet wird.

5. Navigieren Sie zur Registerkarte Bereichsfilter, und fügen Sie eine einzelne Bereichsfiltergruppe mit zwei Klauseln hinzu:

   attribute	Operator	Wert
   sourceObjectType	EQUAL	Benutzer
   cloudMastered	NOTEQUAL	True

   Der Bereichsfilter legt fest, auf welche Azure AD-Objekte diese Synchronisierungsregel für ausgehende Daten angewendet wird. In diesem Beispiel verwenden wir den Bereichsfilter aus der Standardsynchronisierungsregel Ausgehend nach – Benutzeridentität. Er verhindert, dass die Synchronisierungsregel auf Benutzerobjekte angewendet wird, die nicht über das lokale Active Directory synchronisiert werden. Möglicherweise müssen Sie den Bereichsfilter entsprechend Ihrer Azure AD Connect-Bereitstellung anpassen.

6. Navigieren Sie zur Registerkarte Transformation, und implementieren Sie folgende Transformationsregel:

   Attributflusstyp	Zielattribut	`Source`	Einmal anwenden	Mergetyp
   Direkt	UserType	UserType	Deaktiviert	Aktualisieren

7. Klicken Sie auf Hinzufügen, um die Regel für ausgehende Daten zu erstellen.

   See Also

   Attributes synchronized by Azure AD Connect - Microsoft EntraTroubleshoot OneDrive for Business sync issues - SharePointHow to troubleshoot password synchronization when using an Azure AD sync appliance - Active DirectoryImplement password hash synchronization with Azure AD Connect sync - Microsoft Entra

Schritt 6: Ausführen eines vollständigen Synchronisierungszyklus

Im Allgemeinen ist ein vollständiger Synchronisierungszyklus erforderlich, weil wir sowohl dem Active Directory- als auch dem Azure AD-Connectorschema neue Attribute hinzugefügt und benutzerdefinierte Synchronisierungsregeln eingeführt haben. Es empfiehlt sich, die Änderungen vor dem Export nach Azure AD zu überprüfen.

Anhand der folgenden Schritte können Sie die Änderungen überprüfen, während Sie die Schritte des vollständigen Synchronisierungszyklus manuell ausführen.

1. Führen Sie im lokalen AD-Connector einen vollständigen Import aus:

   1. Wechseln Sie in Synchronization Service Manager zur Registerkarte Connectors.

   2. Klicken Sie mit der rechten Maustaste auf den lokalen AD-Connector, und wählen Sie Ausführen aus.

   3. Wählen Sie im Popupdialogfeld Vollständiger Import aus, und klicken Sie auf OK.

   4. Warten Sie, bis der Vorgang abgeschlossen wurde.

      Hinweis

      Sie können den vollständigen Import im lokalen AD-Connector überspringen, wenn das Quellattribut bereits in der Liste der importierten Attribute enthalten ist. Anders gesagt: Sie mussten in Schritt 2: Hinzufügen des Quellattributs zum lokalen AD-Connectorschema keine Änderungen vornehmen.

2. Führen Sie im AzureAD-Connector einen vollständigen Import aus:

   1. Klicken Sie mit der rechten Maustaste auf den Azure AD-Connector, und wählen Sie Ausführen aus.
   2. Wählen Sie im Popupdialogfeld Vollständiger Import aus, und klicken Sie auf OK.
   3. Warten Sie, bis der Vorgang abgeschlossen wurde.

3. Überprüfen Sie die Änderungen an den Synchronisierungsregeln zu einem vorhandenen Benutzerobjekt:

   Das Quellattribut aus dem lokalen Active Directory und das UserType-Attribut aus Azure AD wurden in ihre jeweiligen Connectorbereiche importiert. Bevor Sie mit einer vollständigen Synchronisierung fortfahren, führen Sie eine Vorschau für ein vorhandenes Benutzerobjekt im lokalen AD-Connectorbereich aus. In dem von Ihnen ausgewählten Objekt muss das Quellattribut aufgefüllt sein.

   Eine erfolgreiche Vorschau, bei der das UserType-Attribut in der Metaverse aufgefüllt ist, ist ein guter Indikator dafür, dass die Synchronisierungsregeln richtig konfiguriert wurden. Informationen zum Ausführen einer Vorschau finden Sie im Abschnitt Überprüfen der Änderungen.

4. Führen Sie im lokalen AD-Connector eine vollständige Synchronisierung aus:

   1. Klicken Sie mit der rechten Maustaste auf den lokalen AD-Connector, und wählen Sie Ausführen aus.
   2. Wählen Sie im Popupdialogfeld Vollständige Synchronisierung aus, und klicken Sie auf OK.
   3. Warten Sie, bis der Vorgang abgeschlossen wurde.

5. Stellen Sie sicher, dass Ausstehende Exporte in Azure AD festgelegt ist, indem Sie wie folgt vorgehen:

   1. Klicken Sie mit der rechten Maustaste auf den Azure AD-Connector, und wählen Sie Search Connector Space (Connectorbereich durchsuchen) aus.

   2. Gehen Sie im Popupdialogfeld Connectorbereich durchsuchen wie folgt vor:

      • Legen Sie den Bereich auf Ausstehender Export fest.
      • Aktivieren Sie alle drei Kontrollkästchen: Hinzufügen, Ändern und Löschen.
      • Klicken Sie auf die Schaltfläche Durchsuchen, um die Liste von Objekten mit Änderungen, die exportiert werden sollen, abzurufen. Um die Änderungen für ein bestimmtes Objekt zu untersuchen, doppelklicken Sie auf das Objekt.
      • Stellen Sie sicher, dass die Änderungen Ihren Erwartungen entsprechen.

6. Führen Sie Export im Azure AD-Connector aus:

   1. Klicken Sie mit der rechten Maustaste auf den Azure AD-Connector, und wählen Sie Ausführen aus.
   2. Wählen Sie im Popupdialogfeld Connector ausführen die Option Exportieren aus, und klicken Sie auf OK.
   3. Warten Sie, bis der Export nach Azure AD abgeschlossen ist.

Schritt 7: Erneutes Aktivieren des Synchronisierungsplaners

So aktivieren Sie erneut den integrierten Synchronisierungsplaner:

1. Starten Sie eine PowerShell-Sitzung.
2. Aktivieren Sie die geplante Synchronisierung erneut, indem Sie das Cmdlet Set-ADSyncScheduler -SyncCycleEnabled $true ausführen.

Nächste Schritte

• Weitere Informationen zum Konfigurationsmodell finden Sie unter Understanding Declarative Provisioning(Grundlegendes zur deklarativen Bereitstellung).
• Weitere Informationen zur Ausdruckssprache finden Sie unter Grundlegendes zu Ausdrücken für die deklarative Bereitstellung.

Übersichtsthemen

• Azure AD Connect-Synchronisierung: Grundlagen und Anpassung der Synchronisierung
• Integrieren lokaler Identitäten in Azure Active Directory