Entra Connect Sync - OU- oder attributbasiert?
Krähe mit HutViele Organisationen verwenden ein Active Directory für eine zentrale Benutzerverwaltung innerhalb ihrer IT-Infrastruktur. Führt ein solches Unternehmen Microsoft 365 ein, entsteht irgendwann die Frage, ob und wie Objekte aus dem Active Directory nach Entra ID synchronisiert werden sollen (mittlerweile ist es möglich, Identitäten auch cloudbasiert, d.h. nur in Entra ID zu verwalten. Dies wird jedoch in einem anderen Beitrag behandelt).
Die Vorteile einer Synchronisation liegen auf der Hand:
- Die zentrale Basis für alle Objekte stellt weiterhin Active Directory dar.
- Für die Anmeldung an Microsoft 365- (und auch Azure-) Diensten kann eine einmalige Anmeldung verwendet werden.
Methoden
OU-basierte Synchronisation
Standardmäßig verwendet Microsoft Entra Connect Sync (MECS) die Organisationseinheiten-basierte Synchronisation. Hier werden innerhalb des Entra Connect-Konfigurationsassistenten die zu synchronisierenden OUs in Active Directory ausgewählt. Alle Objekte (Typ: Benutzer, Gruppe, Kontakt, Computer), die sich in der/den OUs befinden, werden nach Entra ID synchronisiert.
Attributbasierte Synchronisation
MECS verwendet unabhängig vom Synchronisationstyp immer Synchronisationsregeln, um zu bestimmen, welche Objekte und Attribute nach Entra ID synchronisiert werden. Diese Regeln können bei Bedarf über den Synchronization Rule Editor ergänzt werden (die Standardregeln dürfen nicht angepasst werden; Änderungen würden bei jeder Aktualisierung von ECS überschrieben).
Auf diese Weise ist es möglich, Objekte anhand eines bestimmten Attributs zu filtern und nur solche Objekte nach Entra ID zu synchronisieren.
Gegenüberstellung
Beide Methoden haben jeweils Vor- und Nachteile. Diese werden in der folgenden Tabelle beschrieben:
| OU-basiert | Attribut-basiert | |
|---|---|---|
| Vorteil(e) | - Objekte werden direkt in die Synchronisation aufgenommen - Einfacher in der Handhabung | - Objekte müssen nicht in bestimmter OU liegen, sondern können flexibel synchronisiert werden - Objekte können nicht versehentlich synchronisiert werden (z.B. AD-Systemgruppen und -Benutzer) |
| Nachteil(e) | - Zusätzliche OUs erforderlich, wenn einzelne Objekte nicht synchronisiert - werden sollen - Anpassung der MECS-Konfiguration erforderlich, wenn weitere OUs synchronisiert werden sollen | - Zusätzlicher Anpassungsbedarf für Objekte erforderlich (setzen des Attributs, z.B. per Skript) - Synchronisationsregeln könnten bei einer Aktualisierung verloren gehen - Nicht bei Verwendung des Cloud-Synchronisierungsagenten verfügbar |
Fazit
Im Sinne einer flexiblen Steuerbarkeit unabhängig von der OU-Struktur ist die attributbasierte Synchronisation vorzuziehen. Überdies trägt dieser Ansatz zum Prinzip einer möglichst zentralisierten Administrierbarkeit bei, da Änderungen nur im Active Directory vorgenommen werden müssen (und nicht ggf. zusätzlich in den Gruppenrichtlinien und in MECS).
Idealerweise ist die Bereitstellung neuer Objekte in AD bereits automatisiert, so dass das Hinzufügen des notwendigen Attributs einfach dort mit aufgenommen werden kann. Ansonsten kann auch ein automatisch ablaufendes Skript implementiert werden, welches das Sync-Attribut für Objekte setzt, die nicht per Skript angelegt werden (z.B. Computerkonten).
Dies kann auch ein erster Ansatz sein, um eine Automatisierung für On- und Offboarding-Prozesse zu entwickeln.
Einrichtung der attributbasierten Synchronisation
Auswahl der Variante
Die Standard-Synchronisationsregeln verfügen bereits über eine Möglichkeit, Objekte anhand des Attributs adminDescription zu filtern. Hierbei sind jedoch die folgenden Punkte zu beachten:
- Über die Standardregeln lassen sich nur Benutzer und Gruppen über das Attribut filtern. Die Regeln für Computer und Kontakte bspw. verfügen nicht über diese Filtermöglichkeit (obwohl die AD-Objekte über dieses Attribut verfügen)
- Dieses Verfahren stellt einen Blacklisting-Ansatz dar - es werden die Objekte mit dem Attribut ausgestattet, die NICHT synchronisiert werden sollen.
Aus diesem Grund wird in der Folge eine andere Variante beschrieben, die auch die Filterung von Computern und Kontakten ermöglicht und nach dem Whitelisting-Ansatz vorgeht (es werden die Objekte konfiguriert, die synchronisiert werden sollen).
Hinweise vor Durchführung
Falls MECS neu eingerichtet wird, so ist bei der Einrichtung auszuwählen, dass sämtliche Organisationseinheiten synchronisiert werden (Bild 1).
Bei Fertigstellung der Einrichtung ist die Synchronisation zunächst zu deaktivieren, ansonsten würden sofort sämtliche Objekte synchronisiert werden (Bild 2).
Wenn die attributbasierte Synchronisation nachträglich in einer Umgebung eingeführt wird, so muss das gewählte Attribut unbedingt VOR Erstellung der Regeln für alle bereits synchronisierten Objekte gesetzt werden. Ansonsten werden Objekte ohne gesetztes Attribut aus der Synchronisation entfernt.
Vorgehensweise
Zusammengefasst müssen die folgenden Schritte durchgeführt werden:
- Hinzufügen des Synchronisations-Attributs bei allen zu synchronisierenden/synchronisierten Objekten (Benutzer, Computer, Kontakte, Gruppen)
- Einrichtung der zusätzlichen Synchronisationsregeln
- Funktionstest
Hinzufügen des Synchronisations-Attributs
Als Synchronisationsattribut sollte ein Attribut ausgewählt werden, welches aktuell nicht in Verwendung ist und idealerweise auch in Zukunft nicht verwendet wird. Sofern ein lokaler Exchange Server eingesetzt wird bzw. wurde, eignet sich hierfür eines der Erweiterungsattribute von Exchange. Dieses ist mit einem nachvollziehbaren Wert zu befüllen, bspw. EntraSync oder MSCloud. Falls sehr viele Objekte zu konfigurieren sind, sollte hierfür PowerShell zum Einsatz kommen. Hierfür muss auf dem System das Active Directory-PowerShell-Modul installiert sein.
Je nachdem, ob bereits eine Synchronisation im Einsatz ist oder nicht, ist die Vorgehensweise etwas unterschiedlich:
Neuinstallation, noch keine Synchronisation
Das Skript ermittelt alle Objekte in einer spezifischen Organisationseinheit und konfiguriert das gewählte Attribut mit dem definierten Wert.
# Suchpfad für zu synchronisierende Objekte definieren - beispielhafte Vorgabe, an eigene Bedingungen anzupassen
$OUPath = 'OU=<Name der OU>,...,DC=CONTOSO,DC=COM'
# Attributwert definieren
$Attribute = 'EntraSync'
# Alle zu konfigurierenden Objekte ermitteln und Attribut befüllen - exemplarisch das extensionAttribute1
Get-ADObject -SearchBase $OUPath -Filter * -Properties DistinguishedName | ForEach {Set-ADObject -Identity $_.DistinguishedName -Add @{extensionAttribute1=$Attribute}}Nachträgliche Anpassung der Synchronisation
Das Skript ermittelt alle Objekte, für die das Attribut ms-DS-ConsistencyGuid konfiguriert ist (dieses wird standardmäßig von MECS befüllt) und konfiguriert das gewählte Attribut mit dem definierten Wert.
# Attributwert definieren
$Attribute = 'EntraSync'
# Ermittlung aller bereits synchronisierten Objekte und Befüllung des Attributs- exemplarisch das extensionAttribute1
Get-ADObject -Filter 'ms-DS-ConsistencyGuid -ne "$Null"' | Set-ADObject -Identity $_.DistinguishedName -Add @{extensionAttribute1=$Attribute}Einrichtung der zusätzlichen Synchronisationsregeln
Anschließend können die Synchronisationsregeln für MECS erweitert werden. Hier sollte ebenfalls ein PowerShell-Skript verwendet werden. Ein Beispiel ist in meinem Skript-Nest verfügbar. Das PowerShell-Skript führt die folgenden Schritte durch:
- Abfrage des Unternehmenskürzels (damit die Regeln eindeutig zugeordnet werden können)
- Abfrage des zu verwendenden Attributs (vordefinierte Liste, diese kann beliebig erweitert werden)
- Wert/Inhalt des Attributs
- Erstellung der Regeln im Synchronization Rules Editor
Anhand der Eingaben werden die folgenden Regeln erstellt:
- Jew. eine Synchronisationsregel pro Objekttyp (Benutzer, Gruppe, Kontakt, Computer)
- Jew. eine Filterregel pro Objekttyp (Benutzer, Gruppe, Kontakt, Computer; filtert alle Objekte aus, bei denen das Attribut nicht gesetzt ist)
Funktionstests
Nach Durchführung der Änderungen ist es empfehlenswert, diese zu testen. Je nachdem, ob MECS neu eingerichtet oder nachträglich angepasst wurde, sind die Schritte hierfür unterschiedlich.
Neuinstallation, noch keine Synchronisation
Im Rahmen der Installation von MECS wurde die Erstsynchronisation deaktiviert. Diese muss nun aktiviert werden:
# Entra-Synchronisation aktivieren
Set-AdSyncScheduler -SyncCycleEnabled:$trueAnschließend wird automatisch eine Synchronisation gestartet. Wenn alles richtig konfiguriert wurde, sollten im Entra Admin Center nur die Objekte zu finden sein, bei denen das Synchronisations-Attribut gesetzt wurde.
Nachträgliche Anpassung der Synchronisation
Wurde das Synchronisations-Attribut nachträglich aktiviert, sollte zunächst der Schwellenwert für Löschungen herabgesetzt werden. Dieser liegt standardmäßig bei 500 Objekten. Sofern alles richtig konfiguriert wurde, sollte es keine Löschungen geben. Für den Fall einer Fehlkonfiguration wird durch das Herabsetzen verhindert, dass versehentlich Objekte gelöscht und dadurch ggf. Benutzer beeinträchtigt werden.
# Benutzernamen mit Rolle 'Hybrididentititäts-Administrator' oder höher angeben
$AADUserName = Read-Host 'Bitte Benutzerkonto mit den notwendigen Berechtigungen angeben'
# Schwellenwert für Objektlöschungen herabsetzen
Enable-ADSyncExportDeletionThreshold -DeletionThreshold 5 -AADUserName $AADUserName
# Synchronisation durchführen
Start-ADSyncSyncCycle -PolicyType DeltaIm Synchronization Service ist anschließend zu prüfen, ob alle Objekte weiterhin synchronisiert werden oder es zu (ungeplanten) Löschungen gekommen ist. In letzterem Fall muss die Konfiguration noch einmal geprüft werden. Falls keine Löschungen vorhanden sind, so kann der Schwellenwert bei Bedarf über den gleichen Befehl wie oben gezeigt wieder erhöht werden.
Hat Dir der Beitrag gefallen? Lass es andere wissen!
