Vorbereiten von Benutzern auf die Bereitstellung in Office 365 über die Verzeichnissynchronisierung

Die Bereitstellung von Benutzern über die Verzeichnissynchronisierung erfordert mehr Planung und Vorbereitung als die einfache Verwaltung Ihres Firmen- oder Schulkontos direkt in Office 365. Diese zusätzlichen Planungs- und Vorbereitungsaufgaben sind erforderlich, um sicherzustellen, dass das lokale Active Directory ordnungsgemäß mit Azure Active Directory synchronisiert wird. Für Ihre Organisation ergeben sich hieraus die folgenden Vorteile:

  • Weniger Verwaltungsprogramme in Ihrer Organisation

  • Optional Aktivierung von SSO-Szenarien (Einmaliges Anmelden, Single Sign-on, SSO)

  • Automatisierung von Kontoänderungen in Office 365

Weitere Informationen zu den Vorteilen der Verzeichnissynchronisierung finden Sie unter Verzeichnissynchronisierung: Wegweiser und unter Grundlegendes zur Office 365-Identität und zu Azure Active Directory.

Wenn Sie ermitteln möchten, welches Szenario für Ihre Organisation am besten geeignet ist, lesen Sie den Vergleich der Tools für die Verzeichnisintegration.

Aufgaben zum Bereinigen des Verzeichnisses

Bevor Sie mit der Synchronisierung des Verzeichnisses beginnen, müssen Sie es zuerst bereinigen.

Lesen Sie außerdem Attribute, die von Azure AD Connect mit Azure Active Directory synchronisiert werden.

Warnung : Wenn Sie das Verzeichnis vor der Synchronisierung nicht bereinigen, kann dies erhebliche negative Auswirkungen auf den Bereitstellungsprozess haben. Es kann Tage oder sogar Wochen dauern, um die Verzeichnissynchronisierung zu durchlaufen, Fehler zu erkennen und dann eine erneute Synchronisierung durchzuführen.

Führen Sie im lokalen Verzeichnis die folgenden Bereinigungsaufgaben durch:

  • Vergewissern Sie sich, dass jeder Benutzer, dem ein Office 365-Dienstangebot zugewiesen werden soll, unter proxyAddresses über eine gültige und eindeutige E-Mail-Adresse verfügt.

  • Entfernen Sie alle doppelten Werte im proxyAddresses-Attribut.

  • Stellen Sie wenn möglich sicher, dass jeder Benutzer, dem Office 365-Dienstangebote zugewiesen werden sollen, über einen gültigen und eindeutigen Wert für das userPrincipalName-Attribut im user-Objekt des Benutzers verfügt. Vergewissern Sie sich für eine optimale Synchronisierung, dass die lokale Active Directory-UPN der Cloud-UPN entspricht. Wenn es für einen Benutzer keinen Wert im userPrincipalName-Attribut gibt, muss das user-Objekt einen gültigen und eindeutigen Wert für das sAMAccountName-Attribut enthalten. Entfernen Sie alle doppelten Werte im userPrincipalName-Attribut.

  • Vergewissern Sie sich für eine optimale Nutzung der GAL (Global Address List, globale Adressliste), dass die Informationen in den folgenden Attributen korrekt sind:

    • Vorname

    • Nachname

    • Anzeigename

    • Position

    • Abteilung

    • Büro

    • Rufnummer

    • Mobiltelefon

    • Faxnummer

    • Straße

    • Ort

    • Bundesland oder Kanton

    • PLZ

    • Land oder Region

Verzeichnisobjekt und Attributvorbereitung

Eine erfolgreiche Verzeichnissynchronisierung zwischen dem lokalen Verzeichnis und Office 365 setzt voraus, dass die lokalen Verzeichnisattribute ordnungsgemäß vorbereitet wurden. So müssen Sie beispielsweise sicherstellen, dass spezielle Zeichen nicht in bestimmten Attributen verwendet werden, die mit der Office 365-Umgebung synchronisiert werden sollen. Unerwartete Zeichen bewirken nicht, dass die Verzeichnissynchronisierung fehlschlägt, es wird möglicherweise jedoch eine Warnung ausgegeben. Ungültige Zeichen führen dazu, dass die Verzeichnissynchronisierung fehlschlägt.

Die Verzeichnissynchronisierung schlägt ebenfalls fehl, wenn einige der Active Directory-Benutzer über ein oder mehrere doppelte Attribute verfügen. Jeder Benutzer muss eindeutige Attribute aufweisen.

Im Folgenden sind die Attribute aufgeführt, die Sie vorbereiten müssen:

HINWEIS: Sie können auch das IdFix-Tool verwenden, um diesen Vorgang einfacher zu gestalten.

  • displayName

    • Wenn das Attribut im Benutzerobjekt vorhanden ist, wird es mit Office 365 synchronisiert.

    • Wenn das Attribut im Benutzerobjekt vorhanden ist, muss es einen Wert hierfür geben. Dies bedeutet, dass der Attributwert nicht leer sein darf.

    • Maximale Anzahl von Zeichen: 255

  • givenName

    • Wenn das Attribut im Benutzerobjekt vorhanden ist, wird es mit Office 365 synchronisiert, es wird von Office 365 möglicherweise jedoch nicht angefordert oder verwendet.

    • Maximale Anzahl von Zeichen: 63

  • mail

    • Der Attributwert muss im Verzeichnis eindeutig sein.

      Hinweis : Wenn es doppelte Werte gibt, wird der erste Benutzer mit diesem Wert synchronisiert. Nachfolgende Benutzer werden in Office 365 nicht angezeigt. Sie müssen entweder den Wert in Office 365 ändern, oder Sie müssen die Werte im lokalen Verzeichnis ändern, damit beide Benutzer in Office 365 angezeigt werden.

  • mailNickname (Exchange-Alias)

    • Der Attributwert darf nicht mit einem Punkt (.) beginnen.

    • Der Attributwert muss im Verzeichnis eindeutig sein.

  • proxyAddresses

    • Mehrwertige Attribute

    • Maximale Anzahl von Zeichen pro Wert: 256

    • Der Attributwert darf kein Leerzeichen enthalten.

    • Der Attributwert muss im Verzeichnis eindeutig sein.

    • Ungültige Zeichen: < > ( ) ; , [ ] “

      Beachten Sie, dass die ungültigen Zeichen für die Zeichen gelten, die dem Trennzeichen und ":" folgen, sodass "SMTP:User@contso.com" zulässig ist, "SMTP:user:M@contoso.com" jedoch nicht.

      Wichtig : Alle SMTP-Adressen (Simple Mail Transport Protocol) müssen den E-Mail-Übertragungsstandards entsprechen. Wenn es doppelte oder unerwünschte Adressen gibt, lesen Sie das Hilfethema Entfernen von doppelten oder unerwünschten Proxyadressen in Exchange.

  • sAMAccountName

    • Maximale Anzahl von Zeichen: 20

    • Der Attributwert muss im Verzeichnis eindeutig sein.

    • Ungültige Zeichen: [ \ “ | , / : < > + = ; ? * ]

    • Wenn ein Benutzer über ein ungültiges sAMAccountName-Attribut, aber über ein gültiges userPrincipalName-Attribut verfügt, wird das Benutzerkonto in Office 365 erstellt.

    • Wenn sowohl der sAMAccountName als auch der userPrincipalName ungültig sind, muss das lokale Active Directory-userPrincipalName-Attribut aktualisiert werden.

  • sn (Nachname)

    • Wenn das Attribut im Benutzerobjekt vorhanden ist, wird es mit Office 365 synchronisiert, es wird von Office 365 möglicherweise jedoch nicht angefordert oder verwendet.

  • targetAddress

    Das targetAddress-Attribut (z. B. SMTP:tom@contoso.com), das für den Benutzer ausgefüllt wurde, muss in der Office 365-GAL vorhanden sein. In Migrationsszenarien, in denen Nachrichtenprogramme von Drittanbietern migriert werden, setzt dies die Office 365-Schemaerweiterung für das lokale Verzeichnis voraus. Mit der Office 365-Schemaerweiterung werden auch andere hilfreiche Attribute für die Verwaltung von Office 365-Objekten hinzugefügt, die mithilfe eines Verzeichnissynchronisierungstools aus dem lokalen Verzeichnis gefüllt werden. So könnte beispielsweise das msExchHideFromAddressLists-Attribut zum Verwalten von ausgeblendeten Postfächern oder Verteilergruppen hinzugefügt werden.

    • Maximale Anzahl von Zeichen: 255

    • Der Attributwert darf kein Leerzeichen enthalten.

    • Der Attributwert muss im Verzeichnis eindeutig sein.

    • Ungültige Zeichen: \ < > ( ) ; , [ ] “

      Alle SMTP-Adressen (Simple Mail Transport Protocol) müssen den E-Mail-Übertragungsstandards entsprechen.

  • userPrincipalName

    • Das userPrincipalName-Attribut muss ein internetkonformes Anmeldeformat sein, d. h., auf den Benutzernamen folgt ein At-Zeichen (@) und ein Domänenname, wie in "benutzer@contoso.com".

      Alle SMTP-Adressen (Simple Mail Transport Protocol) müssen den E-Mail-Übertragungsstandards entsprechen.

    • Die maximale Anzahl Zeichen für das userPrincipalName-Attribut beträgt 113. Vor und nach dem At-Zeichen (@) ist wie nachstehend beschrieben eine bestimmte Anzahl Zeichen zulässig:

      • Maximale Anzahl Zeichen für den Benutzernamen vor dem At-Zeichen (@): 64

      • Maximale Anzahl Zeichen für den Domänennamen nach dem At-Zeichen (@): 48

    • Ungültige Zeichen: \ % & * + / = ?  { } | < > ( ) ; : , [ ] “

      Auch ein Umlaut ist ein ungültiges Zeichen.

    • Das Zeichen @ ist in jedem userPrincipalName-Wert unverzichtbar.

    • Das Zeichen @ darf nicht das erste Zeichen in einem userPrincipalName-Wert sein.

    • Der Benutzername darf nicht mit einem Punkt (.), einem kaufmännischen Und (&), einem Leerzeichen oder einem At-Zeichen (@) enden.

    • Der Benutzername darf keine Leerzeichen enthalten.

    • Es müssen routingfähige Domänen verwenden werden; so können beispielsweise keine lokalen oder internen Domänen verwendet werden.

    • Unicode wird in Unterstrich-Zeichen konvertiert.

    • Der userPrincipalName darf im Verzeichnis keine doppelten Werte enthalten.

Vorbereiten des Attributs "userPrincipalName"

Active Directory ermöglicht den Endbenutzern in Ihrer Organisation, sich entweder mit sAMAccountName oder mit dem userPrincipalName beim Verzeichnis anzumelden. Alternativ können sich die Benutzer auch mit dem UPN (User Prinzipal Name) ihres Firmen- oder Schulkontos bei Office 365 anmelden. Die Verzeichnissynchronisierung versucht, neue Benutzer in Azure Active Directory unter Verwendung des gleichen UPNs zu erstellen, der auch im lokalen Verzeichnis verwendet wird. Der UPN wird wie eine E-Mail-Adresse formatiert. In Office 365 ist der UPN das Standardattribut, das zum Erstellen der E-Mail-Adresse verwendet wird. Es kann schnell passieren, dass der userPrincipalName (lokal und in Azure Active Directory) und die primäre E-Mail-Adresse in proxyAddresses auf unterschiedliche Werte festgelegt werden. Das Vorhandensein von unterschiedlichen Werten kann zu Verwirrung bei Administratoren und Endbenutzern führen.

Diese Attribute sollten gleich sein, um Verwirrung zu vermeiden. Um den Anforderungen von SSO (Single Sign-On, einmaliges Anmelden) in Active Directory-Verbunddienste (AD FS) 2.0 zu entsprechen, müssen Sie sicherstellen, dass die UPNs in Azure Active Directory und im lokalen Active Directory gleich sind und dass ein gültiger Domänennamespace verwendet wird.

Hinzufügen eines alternativen UPN-Suffix zu AD DS

Möglicherweise müssen Sie ein alternatives UPN-Suffix hinzufügen, um die Unternehmensanmeldeinformationen des Benutzers mit der Office 365-Umgebung zu verknüpfen. Ein UPN-Suffix ist der Teil des UPNs auf der rechten Seite des @-Zeichens. UPNs, die für die einmalige Anmeldung verwendet werden, dürfen Buchstaben, Zahlen, Punkte, Bindestriche und Unterstriche enthalten, jedoch keine anderen Arten von Zeichen.

Weitere Informationen zum Hinzufügen eines alternativen UPN-Suffixes zu Active Directory finden Sie unter Vorbereiten der Verzeichnissynchronisierung.

Zuordnen des lokalen UPNs zum Office 365-UPN

Wenn Sie die Verzeichnissynchronisierung bereits eingerichtet haben, entspricht der UPN des Benutzers für Office 365 möglicherweise nicht dem lokalen UPN des Benutzers, der im lokalen Verzeichnisdienst definiert ist. Dies kann vorkommen, wenn dem Benutzer eine Lizenz zugewiesen wurde, bevor die Domäne überprüft wurde. Um dieses Problem zu beheben, verwenden Sie PowerShell zum Reparieren von doppelten UPNs, um die UPN des Benutzers zu aktualisieren und damit sicherzustellen, dass der Office 365-UPN dem Benutzernamen und der Domäne des Unternehmens entspricht. Wenn Sie den UPN im lokalen Verzeichnisdienst aktualisieren und ihn mit der Azure Active Directory-Identität synchronisieren möchten, müssen Sie die Lizenz des Benutzers in Office 365 entfernen, bevor Sie lokal Änderungen vornehmen.

Siehe auch Vorbereiten einer nicht routbaren Domäne (wie z. B. der Domäne ".local") für die Verzeichnissynchronisierung.

Tools für Verzeichnisintegration

Die Verzeichnissynchronisierung ist die Synchronisierung von Verzeichnisobjekten (Benutzern, Gruppen und Kontakten) aus der lokalen Active Directory-Umgebung mit der Office 365-Verzeichnisinfrastruktur, Azure Active Directory. Lesen Sie hierzu Tools für die Verzeichnissynchronisierung, um eine Liste der verfügbaren Tools und deren Funktionen anzuzeigen. Das empfohlene Tool ist Microsoft Azure Active Directory Connect. Weitere Informationen zu Azure Active Directory Connect finden Sie unter Integrieren Ihrer lokalen Identitäten in Azure Active Directory.

Wenn Benutzerkonten zum ersten Mal mit dem Office 365-Verzeichnis synchronisiert werden, werden sie als "Nicht aktiviert" gekennzeichnet. Es können keine E-Mails gesendet oder empfangen werden, und es werden keine Abonnementlizenzen angefordert. Wenn Sie bereit für die Zuweisung von Office 365-Abonnements zu bestimmten Benutzern sind, müssen Sie diese auswählen und aktivieren, indem Sie ihnen eine gültige Lizenz zuweisen.

Sie können auch PowerShell zum Zuweisen von Lizenzen verwenden. Informationen zur automatisierten Lösung finden Sie unter Verwenden von PowerShell zum automatischen Zuweisen von Lizenzen zu Office 365-Benutzern.

Symbol für LinkedIn Learning Neu bei Office 365?
Entdecken Sie kostenlose Videokurse für Office 365-Administratoren und IT-Experten, bereitgestellt von LinkedIn Learning.

Verwandte Themen

Office 365-Integration in lokale Umgebungen
Behandeln von Problemen mit der Verzeichnissynchronisierung für Office 365

Ihre Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×