The estimated reading time 5 minutes
Viele Unternehmen nutzen eine hybride IT-Struktur mit Active Directory (AD) und Entra ID. Während die Synchronisierung von Active Directory (AD) Gruppen mit Entra ID (Azure AD) viele Vorteile bietet, gibt es einige Einschränkungen, die mit synchronisierten AD-Gruppen in Entra ID nicht möglich sind.
Wir testen heute den my-IAM DynamicSync Service von der FirstAttribute AG Unternehmen, die Active Directory und Entra ID nutzen, können ihre AD-Gruppen mit DynamicSync gezielt in der Cloud einsetzen. my-IAM DynamicSync ermöglicht auch die Synchronisierung von Entra ID Gruppen und dynamischen Mitgliedschaften.
Einschränkungen bei der Synchronisierung von AD-Gruppen in Entra ID
Da Active Directory in zahlreichen Unternehmen als zentraler Verzeichnisdienst für die Verwaltung von Benutzern, Gruppen und Geräten dient, ist es sinnvoll, diese Datenquelle auch in Entra ID zu integrieren.
Die Synchronisierung von AD-Gruppen in Entra ID ist mit Microsoft Entra Connect möglich. Es gibt allerdings einige Einschränkungen:
- Eingeschränkte Verwaltungsmöglichkeiten: Die Gruppenrichtlinien von AD synchronisierten Gruppen sind in Entra ID beschränkt. Beispielsweise gibt es im Azure AD keine Gruppenrichtlinienobjekte.
- Fehlende Unterstützung für dynamische Gruppen: Die dynamische Gruppenverwaltung von synchronisierten Gruppen ist nicht möglich.
- Keine Berechtigung auf Cloud-spezifische Ressourcen möglich: Einige Cloud-Dienste wie Teams, PowerAutomate, SharePoint bieten spezifische Funktionen oder Integrationen, die nur mit reinen Entra ID-Gruppen kompatibel sind. Dies bedeutet, dass bestimmte erweiterte Funktionen oder Integrationen nicht verfügbar sind, wenn AD-synchronisierte Gruppen verwendet werden.
- Unterschiede bei Berechtigungen und Zugriffskontrollen: Die Unterschiede zwischen synchronisierten AD-Gruppen und reinen Entra ID-Gruppen bestehen darin, dass Entra ID-Gruppen mehr Funktionen und Flexibilität bieten, um Zugriffskontrollen genauer und effizienter zu verwalten. Beispielsweise die Berechtigungsvergabe von AD-Gruppen auf lokale Datei werden beim Synchronisieren nicht automatisch in Entra ID übertragen. Entra ID bietet komplexere Gruppenrichtlinien.
DynamicSync bietet verschiedene Möglichkeiten, diese Einschränkungen zu vermeiden.
AD Gruppenmitglieder in M365 Gruppen hinzufügen
In unserem Beispiel möchten wir, dass die Mitglieder einer AD-Gruppe, Berechtigungen auf Microsoft Teams erhalten. Wir möchten, dass die Gruppenmitglieder der M365-Gruppe sich automatisch aktualisieren, wenn die AD-Gruppe aktualisiert wird.
Es heißt, die Mitglieder der AD-Gruppe „AD Univice-AG-Marketing“ sollen in die M365-Gruppe „M365 Univice-AG-Marketing“ hinzugefügt werden.
Wenn Sie die AD-Gruppe „AD Univice-Marketing“ mit Microsoft Entra Connect synchronisieren, dann können Sie mit den Microsoft-Bordmitteln keine M365-Berechtigungen vergeben. Diese Gruppe ist zwar in Entra ID verfügbar, aber statisch und nicht weiter nutzbar.
Mitglieder von einer AD-Gruppe in eine M365-Gruppe hinzufügen
Mit DynamicSync nutzen Sie Ihre AD-Gruppe in der Cloud einfach weiter.
In einem ersten Schritt erstellen wir eine M365-Gruppe „M365 Univice-AG-Marketing“ in Entra ID, welche unsere Zielgruppe sein soll.
Dann öffnen wir DynamicSync.
Wir gehen auf „New dynamic group“ und wählen für den Synchronisierungs-Job einen Namen, eine Beschreibung und eine Quellgruppe (in dem Fall die synchronisierte „AD Univice-AG-Marketing“).
Wir wählen danach eine Zielgruppe, hier „M365 Univice-AG-Marketing“.
Unter „Information“ sehen wir, WER und WANN die Regel erstellt hat.
Ganz praktisch ist die Vorschauliste („Preview“), um im Voraus zu prüfen, ob die richtigen Mitglieder dabei sind.
Exclude- und Include-Liste
Wir könnten jetzt schon speichern. Es gibt allerdings noch die Möglichkeit, eine Exclude- und Include-Liste zu erstellen.
Hier können wir einfach bestimmte Mitglieder hinzufügen oder exkludieren.
Dynamisches Aktualisieren der Gruppenmitglieder
Nach dem Speichern des Vorgangs synchronisiert DynamicSync alle Mitglieder der AD-Gruppe „AD Univice-AG-Marketing“ in die M365-Gruppe „M365 Univice-AG-Marketing“, die die Basis für ein Team in MS Teams sein kann.
Dank der fortlaufenden, zeitgesteuerten Synchronisierung der Cloud-Gruppen werden die Mitgliedschaften kontinuierlich aktualisiert und auf dem neuesten Stand gehalten.
Die Exclude-/Include-Listen werden bei der Synchronisierung beibehalten, wodurch manuelle Anpassungen überflüssig werden.
Weitere Anwendungsfälle von Gruppen-Synchronisierungen in M365
Es gibt viele Situationen, in denen diese Funktion nützlich sein kann, z.B. für
- Teams-Zugriffe
- Dateiablage in SharePoint
- Lizenz-Zuordnungen
- Mobile Apps
Synchronisierung von M365 Gruppen und Sicherheitsgruppen
Die Gruppen-Synchronisierung ist nicht nur von AD-synchronisierten Gruppen in M365 möglich. Es ist auch möglich, Entra-Sicherheitsgruppen als Quellgruppe zu nehmen. Als Zielgruppen stehen M365 Gruppen, als auch andere Entra-Sicherheitsgruppen zur Auswahl.
Diese flexible Synchronisierung von Cloud-Gruppen ist nur mit DynamicSync realisierbar.
Attributbasierte dynamische Gruppen in Azure
DynamicSync ermöglicht auch die attributbasierte Erstellung von dynamischen Gruppen in Entra.
Beispielweise möchten wir alle Mitarbeiter in Deutschland bzw. im deutschsprachigen Raum in einer M365-Gruppe herausfiltern, um einen Team-Kanal zu erstellen und Informationen und Dokumente über den Standort zu verteilen.
Hier aktivieren wir in DynamicSync die Option „Dynamic Filtering“ und richten unsere Filterabfrage ein. Als Zielgruppe wählen wir die M365-Gruppe „M365-MSTeams-DE“.
Es heißt, alle Mitarbeiter mit dem Attribut „OfficeLocation = DE“ ODER „prefferedlanguage = DE“ sollen automatisch in der M365-Gruppe „DE-Team“ hinzugefügt werden.
DynamicSync bietet bis zu 50 Filteroptionen, inklusive verschachtelter Filterabfragen. Entra ID bietet im Gegensatz nur eine begrenzte Anzahl an linearen Filtern.
Für die attributbasierten dynamischen Gruppen in Entra gelten die gleichen Funktionen, wie bei der Synchronisierung von AD-Gruppenmitgliedern in M365 Gruppen:
- Include-/Exclude-Listen
- Mitglieder-Vorschau
- Custom-attributes
Fazit
DynamicSync ermöglicht die Synchronisierung von Mitgliedern von AD-synchronisierten Gruppen, Sicherheitsgruppen und M365 Gruppen in andere Sicherheitsgruppen und M365 Gruppen. Außerdem können Sie dynamische Gruppen auf der Basis von mehreren verschachtelten Filtern erstellen.
DynamicSync umgeht die Grenzen des hybriden Gruppenmanagements.
Eine kostenlose Online-Demo für DynamicSync können Sie hier buchen: https://www.dynamicgroup.net/de/dynamicsync-demo-buchen/
Dieser Artikel entstand mit der freundlichen Unterstützung von: