Entfernen Sie Azure AD Connect und machen Sie alle AD-Objekte Cloud-verwaltet
In einer hybriden Umgebung ist es für viele Administratoren schwierig, Benutzer und E-Mail-Objekte vor Ort zu verwalten. Berechtigungen in der Cloud. Mitglieder von Gruppen an beiden Orten
Möchten Sie dieses Problem lösen und die komplette Verwaltung aller Benutzerobjekte, Verteilergruppen, Mailboxen und Kontakte in der Cloud verwalten?
Was sind die Vorteile von Azure AD managed objects?
- Einfache Verwaltung in Microsoft 365.
- Gruppen haben Manager und können leicht von Dritten verwaltet werden.
- Die Wolke Die Verlagerung in die Wolke ist klar. Keine Verwirrung mehr.
- Self-Service und MFA sind einfacher zu implementieren.
- Keine Abhängigkeiten in der lokalen Infrastruktur.
- Moderne Infrastrukturen sind für Cybersicherheitsrisiken gewappnet.
- Agiles und dynamisches Umfeld, das nicht an die Systeme des Unternehmens gebunden ist.
Nachteile eines hybriden Durchbruchs?
- Benutzer existieren "doppelt". Sie haben eine Nutzung vor Ort und online mit demselben Benutzernamen.
- Vor-Ort-AD erhält neue Benutzer.
- Passwörter werden nicht mehr mit Ihrem lokalen AD synchronisiert.
- Self-Service mit Passwort-Rückschreibung und andere Funktionen, die Sie in der Cloud nutzen, verschwinden sofort in der On-Premise-Umgebung.
Stellungnahme
Wenn Sie sich für die Voll-Cloud entscheiden, empfiehlt es sich, mehr Dienste zu Microsoft 365 & Azure zu migrieren, damit die Abhängigkeit von Ihren eigenen Systemen abnimmt. Es ist daher am besten, dieses Szenario erst dann umzusetzen, wenn Sie beschlossen haben, Ihr Active Directory und andere Anwendungen auslaufen zu lassen und in der Cloud fortzufahren.
Wie macht man alle AD-Objekte Cloud-only?
Installationsmodul MSOnline'.
Dieser Benutzer ist jetzt synchronisiert. (siehe rechts)
Connect-Msolservice
Geben Sie Ihren Benutzernamen und Ihr Passwort ein.
Sie sind jetzt mit dem MsolService verbunden
Set-MsolDirSyncEnabled -EnableDirsync $False
Es kann bis zu 72 Stunden dauern, bis Sie den Status Ihrer Benutzer sehen. Dies hängt von der Anzahl der Benutzer ab. Weitere Informationen: Microsoft Docs
Synchronisierung gestoppt
Sie können nun azure Ad Verbinden entfernen.
Wenn Sie nicht mit Azure AD Connect fortfahren, deinstallieren Sie auch diese Software.
Wenn Sie mit Sync weit und zurück gehen wollen, führen Sie den Azure AD Verbindungs-Assistenten.
Lesen Sie auch
Windows 10 installieren + Gerät in modernes Management mit Intune bringen
Geräte in Endpoint Manager hinzufügen - Azure AD oder Hybrid Join
Wie installiert man Azure AD preview Modul mit PowerShell?
Mehr Sicherheit für Ihr Unternehmen mit nur einem Klick mit Azure AD Security Defaults
Hallo,
In einem Fall, in dem es mehrere Forests gibt, die mit demselben tenant wie kann man einen Forest entfernen und die Cloud-Objekte behalten?
Hallo! Sie können die Synchronisierung aufheben und alle Objekte in eine Wolke verwandeln, wenn Sie sie auf der tenant Ebene. Multiple Forest ist ein unterstütztes Szenario. https://docs.microsoft.com/en-us/azure/active-directory/hybrid/plan-connect-topologies Ich würde den Microsoft Support um Hilfe bitten. Oder arbeiten Sie mit einem Advanced oder Premier Support Partner zusammen, der Ihnen dabei helfen kann. Mit freundlichen Grüßen, Jasper
Toller Artikel Jasper. Vielen Dank für einen wertvollen Beitrag in der AD-Welt. Ich kämpfe damit, zu verstehen, was nach dem SYNC STOP von onprem AD zu AAD passieren wird. Wenn alle Security Gruppen über ADConnect mit AAD synchronisiert werden, egal ob es sich um E-Mail-aktivierte oder nur security Gruppen handelt, und wenn man dann beschließt, die Synchronisierung für diese Gruppen zu stoppen, was passiert dann? Wie kann ich den Benutzerzugriff wiederherstellen und sicherstellen, dass die Benutzer durch das Stoppen der Synchronisierung nicht beeinträchtigt werden?
Ich wäre Ihnen sehr dankbar, wenn Sie diese Frage klären könnten.
Toller Artikel, vielen Dank!
What happens with all the local AD joined computers? I have for example a domain user with a domain joined PC (and the user is local admin on the PC), that I migrate to cloud only.
As I understand, after the migration, the user will be cloud only and the domain<->cloud sync will be gone, but the computer (and the local domain user) is still connected to the local AD.
Will I need to reinstall the PCs?
Danke Christian für die Antwort! Ich glaube, es ist am besten, die PCs neu zu installieren oder von der Domäne neu zu verbinden und sich bei Microsoft 365 anzumelden. (wie bei Schritt 9 -> https://365tips.be/ windows-10-install-device-in-modern-administration/)
Es gibt einige Tools, die Sie auf Google finden können, die diese Änderung in großem Umfang unterstützen. Aber ich bin eher ein Fan des Zurücksetzens und habe einen schönen sauberen Arbeitsplatz.
Identitäten können im lokalen AD verbleiben, mit Synchronisierung zu Azure AD.
Geräte können aus AD gelöscht werden, nur AAD beigetreten. (mit der gleichen Identität)
Ich bin gespannt, wie es weitergeht!
Jasper
Danke für die rasche Antwort.
Ich denke, ich werde einige Tests durchführen müssen, um zu sehen, wie sich alles entwickelt, bevor ich mit der eigentlichen Migration beginne. Die Organisation, die ich migrieren werde, ist nicht sehr groß, also werde ich der Einfachheit halber wohl nur die Benutzer migrieren und dann die PCs einzeln neu installieren.
Ich werde euch auf dem Laufenden halten 🙂
/Christian