• Identity Management
    • Benutzerverwaltung
    • Delegation
    • Self Service
    • Abwesenheitsassistent
    • Password Reset
    • Telefonbuch
  • Authorization
    • Berechtigungsverwaltung
    • Genehmigungs-Workflow
    • Rollenbasierter Zugriff
    • Single Sign-on
    • Automation
  • IAM Compliance
  • Systeme
    • Active Directory
    • M365
    • HR-System
    • PowerShell
  • Lösung
    • Warum IDM-Portal
    • Editionen & Preise
    • Weitere Services
  • Referenzen
    • Unsere Kunden
    • Unsere Projekte
    • Partnerschaft
    • Presse
  • Kontakt
    • Über uns
    • News
    • Kontakt
  • Deutsch
FirstWare IDM-PortalFirstWare IDM-Portal
FirstWare IDM-PortalFirstWare IDM-Portal
User Driven
Identity Management
  • Identity Management
    • Benutzerverwaltung
    • Delegation
    • Self Service
    • Abwesenheitsassistent
    • Password Reset
    • Telefonbuch
  • Authorization
    • Berechtigungsverwaltung
    • Genehmigungs-Workflow
    • Rollenbasierter Zugriff
    • Single Sign-on
    • Automation
  • IAM Compliance
  • Systeme
    • Active Directory
    • M365
    • HR-System
    • PowerShell
  • Lösung
    • Warum IDM-Portal
    • Editionen & Preise
    • Weitere Services
  • Referenzen
    • Unsere Kunden
    • Unsere Projekte
    • Partnerschaft
    • Presse
  • Kontakt
    • Über uns
    • News
    • Kontakt
  • Deutsch

Unterschiede in den Nutzerattributen von Active Directory und Azure Active Directory

Jan 18, 2023 (Letztes Update) | Allgemeines, Identity Management |

 

In Active Directory (AD) sind Attribute die wichtigsten Eigenschaften von Objekten wie Benutzern, Computern oder Drucker.  Im Rahmen der Synchronisierung zwischen Active Directory und Azure Active Directory können identische Attribute zwischen den Verzeichnissen synchronisiert werden. Dabei gibt es einiges zu beachten.

Index

  • 1 Nutzerattribute, die sich synchronisieren lassen
  • 2 Diese Unterschiede in den Nutzerattributen gilt es zu beachten
  • 3 Synchronisierung veränderter Attribute
  • 4 Zentrale und automatisierte Attributpflege 

Nutzerattribute, die sich synchronisieren lassen

Für die Synchronisierung von Active Directory mit Azure Active Directory (Azure AD) spielen Attribute eine wichtige Rolle. Hier gibt es Attribute, die sich teilweise stark unterscheiden. Aus diesem Grund ist wichtig zu wissen, welche Attribute sich unterscheiden und welche Attribute identisch sind. 

Attribute können bereits Werte enthalten. Es ist aber auch möglich, eigene Werte in die Attribute zu schreiben. Beispiele für Attribute sind accountExpires, userAccountControl oder auch userPrincipalName, der aus Anmeldenamen und Domänensuffix besteht. Es gibt zahlreiche weitere Attribute wie Display-Name, Last-Logon oder auch Managed-by.

Unterschiede in den Nutzerattributen: Attribute lassen sich zwischen Active Directory und Azure Active Directory synchronisieren (Bild: Microsoft)

Nutzerattribute lassen sich zwischen Active Directory und Azure Active Directory synchronisieren (Bild: Microsoft)

Beispiele für Attribute, die sich zwischen Active Directory und Azure Active Directory synchronisieren lassen sind commonName, countryCode, displayName und givenName. Natürlich gibt es noch eine Vielzahl weiterer Attribute. Das zeigt, dass sich Admins mit dem Thema beschäftigen müssen, wenn sie Attribute zwischen Active Directory und Azure Active Directory synchronisieren. 

Bei identischen Attributen müssen Admins darauf achten, dass sie nicht verschiedene Werte von gleichen Attributen durch eine falsch eingerichtete Synchronisierung zwischen den Objekten in AD und Azure AD falsch setzen. 

Welche Attribute aus lokalen AD-Umgebungen Azure AD Connect synchronisiert, zeigt Microsoft auf der „Azure AD Connect-Synchronisierung: Mit Azure Active Directory synchronisierte Attribute“ Webseite (Link).

Diese Unterschiede in den Nutzerattributen gilt es zu beachten

Microsoft empfiehlt, möglichst auf Standardattribute zu setzen und diese korrekt zu pflegen. Diese Standardattribute lassen sich normalerweise unproblematisch zwischen AD und Azure AD synchronisieren. In Active Directory gibt es auch benutzerdefinierte Attribute, die sich mit eigenen Werten füllen lassen. Kommen diese zum Einsatz, muss geprüft werden, ob eine Synchronisierung dieser Objekte überhaupt sinnvoll ist.

Handelt es sich bei den Werten der Attribute um personenbezogene Daten, die unter Umständen auch unter den Datenschutz fallen und relevant für die DSGVO sind, sollte die Synchronisierung gut geplant und wenn möglich sogar unterlassen werden. Wir haben uns mit dem Thema auch im Beitrag „DSGVO und GoBD mit dem IDM-Portal berücksichtigen“ befasst. 

Unterschiede in den Nutzerattributen: Auswahl der zu exportierenden Attribute

Anpassen der Attribute in Azure AD Connect

Im Rahmen der Installation und Einrichtung von Azure AD Connect kann auch festgelegt werden, welche lokalen Attribute das Tool nicht synchronisieren soll. Hier sollten Sie natürlich sehr vorsichtig sein. Deaktivieren Sie nicht versehentlich die Synchronisierung von Attributen, die für den Betrieb von Azure AD notwendig sind. Deren Fehlen hat unter Umständen negative Auswirkungen auf andere Cloud-Dienste wie Microsoft 365.

Sollen lokale Attribute mit Azure AD synchronisiert werden, spielt die Attributzuordnung eine wesentliche Rolle. Microsoft zeigt die verschiedenen Attribute auf der Webseite „Attributzuordnung bei der Azure AD Connect-Cloud-Synchronisierung“ (Link). Welche Attribute zwischen Active Directory und Azure Active Directory synchronisiert werden, ist wiederum auf der „Azure AD Connect-Synchronisierung: Mit Azure Active Directory synchronisierte Attribute“ Seite (Link) zu sehen.

Synchronisierung veränderter Attribute

Wenn in Azure AD ein Benutzerkonto angelegt wird, das für das Abteilungs-Attribut den Wert „Marketing“ erhält, bleibt der Wert bei der Synchronisierung erhalten. Wechselt der Benutzer aber die Abteilung, zum Beispiel zu „Vertrieb“, tragen das Admins oder der Support im lokalen Active Directory ein. Durch die Synchronisierung der Benutzerkonten erkennt Azure AD Connect, dass das Attribut in Active Directory sich geändert hat und synchronisiert den neuen Wert in Azure AD.

Für die Pflege der Attribute in Azure Active Directory sollten Sie darüber hinaus die Anweisungen auf der Seite „Referenz zum Schreiben von Ausdrücken für Attributzuordnungen in Azure Active Directory“ (Link) beachten.

Zentrale und automatisierte Attributpflege 

Attribute sind in Active Directory gespeichert und lassen sich mit verschiedenen Werkzeugen pflegen:

  • Active Directory Benutzer und Computer Konsole
  • Active Directory Administrative Center
  • Optionen in der PowerShell, zum Beispiel New-ADUser oder Set-ADUser

Fokussierter ist es, die Pflege von Attributen und anderen Einstellungen des Benutzerkontos zentral durchzuführen, am besten mit einem einheitlichen Tool. Hier bietet sich eine nutzerfreundliche Weboberfläche an, so wie sie das FirstWare IDM-Portal bietet.

Das FirstWare IDM-Portal ermöglicht die zentrale Pflege aller Nutzerattribute im AD.

Das FirstWare IDM-Portal ermöglicht die zentrale Pflege aller Nutzerattribute im AD.

Dazu kommt, dass in dieser Lösung die Pflege von Attributen auch automatisiert werden kann. Parallel kommen noch PowerShell-Skripte zum Einsatz. Dadurch lässt sich garantieren, dass alle Attribute in AD richtig gesetzt sind, sodass diese auch problemlos zu Azure AD synchronisiert werden können.

Wir haben im Beitrag „Nutzerattribute in Active Directory und Azure AD zentral pflegen“ ausführlich behandelt, wie sich die Attribute in Azure AD und AD verwalten und auch synchronisieren lassen.

Gerne beraten wir Sie zur korrekten Synchronisierung der Nutzerattribute zwischen Ihrem Active Directory und Azure AD. Als Experten im Bereich Identity & Access Management für On-Premise und Cloud-Umgebungen wissen wir, worauf es bei der Benutzer- und Berechtigungsverwaltung ankommt. Kontaktieren Sie unser freundliches Team.  

Artikel erstellt am: 13.01.2023
Teilen

Folgendes könnte Sie ebenfalls interessieren

Benutzerverwaltung mit PowerShell in Active Directory

Mai 5, 2021

Die Benutzerverwaltung in Active Directory kann mit PowerShell automatisiert werden.[...]

10 Tipps für den Einsatz von Azure Active Directory

Jun 1, 2021

Die Anwendung der folgenden 10 Tipps erleichtert die Verwaltung von[...]

IDM-Portal ProEdition 2020.1 – Exchange Abwesenheitsassistent delegieren

Jul 1, 2020

Die FirstAttribute veröffentlicht ein neues Release des IDM-Portal ProEdition. In[...]

Suche

Neueste Beiträge

  • Unterschiede in den Nutzerattributen von Active Directory und Azure Active Directory
  • IT-Administrator bewertet FirstWare IDM-Portal
  • Gruppen in Azure AD richtig organisieren, da es keine OUs gibt
  • Mitarbeiterverzeichnis für große Kliniken
  • Nutzerattribute in Active Directory und Azure AD zentral pflegen

Kategorien

  • Allgemeines
  • Authorization Management
  • Compliance
  • Identity Management
  • Projekte
  • Systeme


FirstAttribute

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 40
  • https://www.firstattribute.com

Themen

  • AGBs und EULA
  • Datenschutzerklärung
  • Impressum
  • Kontakt

News

  • Unterschiede in den Nutzerattributen von Active Directory und Azure Active Directory
  • IT-Administrator bewertet FirstWare IDM-Portal
  • Gruppen in Azure AD richtig organisieren, da es keine OUs gibt
  • Mitarbeiterverzeichnis für große Kliniken
  • Nutzerattribute in Active Directory und Azure AD zentral pflegen
  • User-Onboarding im AD und HR-System automatisieren

© 2023 · FirstAttribute AG.

Prev