Unterschiede in den Nutzerattributen von Active Directory und Azure Active Directory
In Active Directory (AD) sind Attribute die wichtigsten Eigenschaften von Objekten wie Benutzern, Computern oder Drucker. Im Rahmen der Synchronisierung zwischen Active Directory und Azure Active Directory können identische Attribute zwischen den Verzeichnissen synchronisiert werden. Dabei gibt es einiges zu beachten.
Index
Nutzerattribute, die sich synchronisieren lassen
Für die Synchronisierung von Active Directory mit Azure Active Directory (Azure AD) spielen Attribute eine wichtige Rolle. Hier gibt es Attribute, die sich teilweise stark unterscheiden. Aus diesem Grund ist wichtig zu wissen, welche Attribute sich unterscheiden und welche Attribute identisch sind.
Attribute können bereits Werte enthalten. Es ist aber auch möglich, eigene Werte in die Attribute zu schreiben. Beispiele für Attribute sind accountExpires, userAccountControl oder auch userPrincipalName, der aus Anmeldenamen und Domänensuffix besteht. Es gibt zahlreiche weitere Attribute wie Display-Name, Last-Logon oder auch Managed-by.
Nutzerattribute lassen sich zwischen Active Directory und Azure Active Directory synchronisieren (Bild: Microsoft)
Beispiele für Attribute, die sich zwischen Active Directory und Azure Active Directory synchronisieren lassen sind commonName, countryCode, displayName und givenName. Natürlich gibt es noch eine Vielzahl weiterer Attribute. Das zeigt, dass sich Admins mit dem Thema beschäftigen müssen, wenn sie Attribute zwischen Active Directory und Azure Active Directory synchronisieren.
Bei identischen Attributen müssen Admins darauf achten, dass sie nicht verschiedene Werte von gleichen Attributen durch eine falsch eingerichtete Synchronisierung zwischen den Objekten in AD und Azure AD falsch setzen.
Welche Attribute aus lokalen AD-Umgebungen Azure AD Connect synchronisiert, zeigt Microsoft auf der „Azure AD Connect-Synchronisierung: Mit Azure Active Directory synchronisierte Attribute“ Webseite (Link).
Diese Unterschiede in den Nutzerattributen gilt es zu beachten
Microsoft empfiehlt, möglichst auf Standardattribute zu setzen und diese korrekt zu pflegen. Diese Standardattribute lassen sich normalerweise unproblematisch zwischen AD und Azure AD synchronisieren. In Active Directory gibt es auch benutzerdefinierte Attribute, die sich mit eigenen Werten füllen lassen. Kommen diese zum Einsatz, muss geprüft werden, ob eine Synchronisierung dieser Objekte überhaupt sinnvoll ist.
Handelt es sich bei den Werten der Attribute um personenbezogene Daten, die unter Umständen auch unter den Datenschutz fallen und relevant für die DSGVO sind, sollte die Synchronisierung gut geplant und wenn möglich sogar unterlassen werden. Wir haben uns mit dem Thema auch im Beitrag „DSGVO und GoBD mit dem IDM-Portal berücksichtigen“ befasst.
Anpassen der Attribute in Azure AD Connect
Im Rahmen der Installation und Einrichtung von Azure AD Connect kann auch festgelegt werden, welche lokalen Attribute das Tool nicht synchronisieren soll. Hier sollten Sie natürlich sehr vorsichtig sein. Deaktivieren Sie nicht versehentlich die Synchronisierung von Attributen, die für den Betrieb von Azure AD notwendig sind. Deren Fehlen hat unter Umständen negative Auswirkungen auf andere Cloud-Dienste wie Microsoft 365.
Sollen lokale Attribute mit Azure AD synchronisiert werden, spielt die Attributzuordnung eine wesentliche Rolle. Microsoft zeigt die verschiedenen Attribute auf der Webseite „Attributzuordnung bei der Azure AD Connect-Cloud-Synchronisierung“ (Link). Welche Attribute zwischen Active Directory und Azure Active Directory synchronisiert werden, ist wiederum auf der „Azure AD Connect-Synchronisierung: Mit Azure Active Directory synchronisierte Attribute“ Seite (Link) zu sehen.
Synchronisierung veränderter Attribute
Wenn in Azure AD ein Benutzerkonto angelegt wird, das für das Abteilungs-Attribut den Wert „Marketing“ erhält, bleibt der Wert bei der Synchronisierung erhalten. Wechselt der Benutzer aber die Abteilung, zum Beispiel zu „Vertrieb“, tragen das Admins oder der Support im lokalen Active Directory ein. Durch die Synchronisierung der Benutzerkonten erkennt Azure AD Connect, dass das Attribut in Active Directory sich geändert hat und synchronisiert den neuen Wert in Azure AD.
Für die Pflege der Attribute in Azure Active Directory sollten Sie darüber hinaus die Anweisungen auf der Seite „Referenz zum Schreiben von Ausdrücken für Attributzuordnungen in Azure Active Directory“ (Link) beachten.
Zentrale und automatisierte Attributpflege
Attribute sind in Active Directory gespeichert und lassen sich mit verschiedenen Werkzeugen pflegen:
- Active Directory Benutzer und Computer Konsole
- Active Directory Administrative Center
- Optionen in der PowerShell, zum Beispiel New-ADUser oder Set-ADUser
Fokussierter ist es, die Pflege von Attributen und anderen Einstellungen des Benutzerkontos zentral durchzuführen, am besten mit einem einheitlichen Tool. Hier bietet sich eine nutzerfreundliche Weboberfläche an, so wie sie das FirstWare IDM-Portal bietet.
Das FirstWare IDM-Portal ermöglicht die zentrale Pflege aller Nutzerattribute im AD.
Dazu kommt, dass in dieser Lösung die Pflege von Attributen auch automatisiert werden kann. Parallel kommen noch PowerShell-Skripte zum Einsatz. Dadurch lässt sich garantieren, dass alle Attribute in AD richtig gesetzt sind, sodass diese auch problemlos zu Azure AD synchronisiert werden können.
Wir haben im Beitrag „Nutzerattribute in Active Directory und Azure AD zentral pflegen“ ausführlich behandelt, wie sich die Attribute in Azure AD und AD verwalten und auch synchronisieren lassen.
Gerne beraten wir Sie zur korrekten Synchronisierung der Nutzerattribute zwischen Ihrem Active Directory und Azure AD. Als Experten im Bereich Identity & Access Management für On-Premise und Cloud-Umgebungen wissen wir, worauf es bei der Benutzer- und Berechtigungsverwaltung ankommt. Kontaktieren Sie unser freundliches Team.
