Lokale Benutzer / Azure AD

Hallo ITNoob96,

Die Syncrhonisation läuft in der Richtung vom lokalen AD Server zu Office 365 Cloud. Du kannst alle existierenden Benutzern mit PowerShell exportieren (Get-MsolUser) und dann erstelle diese Benutzern im lokalen AD. Du kannst aber keine Kennwörter vom Azure
AD exporieren. Wenn alle Benutzer im lokalen AD sind, dann kannst du diese mit sogenannten Soft match verschmelzen wie du gesagt hast. Mehr Details findest du im

Artikel.

Mit freundlichen Grüssen
Galin Karlov
Microsoft Support Engineer

Hallo Bernd,

"remove-msoluser -userprincipalname" löscht den Benutzer nicht wirklich. Das Objekt wird in den "AzureAD-Papierkorb" verschoben und erst nach 30 Tagen wirklich gelöscht, wenn Du nicht zusätzlich etwas unternimmst.

Da am gelöschten Objekt die ImmutableID durch ADConnect basierend auf dem Attribut ConsistencyGUID oder bei älteren ADConnect Installationen dem Attribut ObjectGUID befüllt wurde, stellt ohne permanentes Löschen ADConnect das vermeintlich gelöschte Objekt
wieder her.

Also

Schritt1: Remove-MsolUser –UserPrincipalName *** Die E-Mail-Adresse wurde aus Datenschutzgründen entfernt. ***

Schritt2: Remove-MsolUser –UserPrincipalName *** Die E-Mail-Adresse wurde aus Datenschutzgründen entfernt. *** -RemoveFromRecycleBin

Erst jetzt ist das Objekt wirklich gelöscht und Du kannst das lokale AD-Konto mittels ADConnect erneut synchronisieren.

Für das matchen von lokalen AD Konten auf bereits vorhandene Cloud Konten stehen mehrere Möglichkeiten zur Verfügung:

Softmatching und Hardmatching

Frank hat das auf seiner Website beschrieben: https://www.msxfaq.de/cloud/identity/adsync_matching.htm, daher spare ich mir mal die komplette Beschreibung.

Viele Grüße Malte

Hallo Bernd,



Wie du schon geschrieben hast, wird die lokale nicht routingfähige Domäne .local zu der .onmicrosoft.com Domäne synchronisiert. Mehr Information findest du im

Artikel.

Bevor du eine
Verzeichnissynchronisation in Office 365 machst, sollst du dich vorbereiten.



Die Synchronisation läuft immer in der Richtung lokaler Server zu Office 365.d.h. die Änderungen, die du im lokalen AD machst werden in Office 365 Azure AD replikieren und umgekehrt nicht. Nachdem du die Attributte ProxyAdresses geändert hast, sollst du
nach der Syncrhonisation warten oder selbst eine erzwingen. Bitte prüf die Information in der

Einleitung.

Ich kann dir empfehlen, dass du die Synchronisation mit dem
PowerShell Befehl beendest Set-ADSyncScheduler -SyncCycleEnabled $False. Dann mache die Änderungen bei den beiden Benutzern im lokalen AD und dann starte die Synchronisation wieder mitSet-ADSyncScheduler -SyncCycleEnabled $True.



Wenn es wieder nicht funktioniert, bitte prüf für beide Benutzer, ob
anchor vom lokalen AD existiert und eine immutable ID im Office 365 erstellt wurde.





Mit freundlichen Grüßen,

Galin Karlov

Microsoft Office 365 Support Engineer

Danke Galin für die Antwort.

Soweit hat alles funktioniert bis auf das, dass zwei User aus dem lokalen AD weiterhin in der Cloud nicht erkannt werden und doppelt angelegt werden.

Ich habe die User mit

Remove-MsolUser –UserPrincipalName *** Die E-Mail-Adresse wurde aus Datenschutzgründen entfernt. *** in der Powershell

aus der Cloud gelöscht und die Synchronisierung wieder gestartet. Es gab wieder keinen Match und die Benutzer wurden wieder neu angelegt. Kannst du mir verraten was und wo ich welche ID..... eintragen muss, damit die beiden User im Azure AD erkannt und zu
ihrem Postfach zugeordnet werden? Danke!

Mit besten Grüßen

Bernd

Hallo ChristianBergknecht,

Vielen Dank für schnelle Antwort.

Wir verwenden kein DirSync, sondern Azure AD Connect.

Nach der Synchronisation sollte nicht nur der eine Benutzer in O365 erscheinen. Die bereits vorhandenen Benutzer in O365 sollen erhalten bleiben, und nur um den einen speziellen Benutzer aus dem lokalen AD erweitert werden.

Vielen Dank