Unterschiede in den Nutzerattributen von Active Directory und Entra ID
In Active Directory (AD) sind Attribute die wichtigsten Eigenschaften von Objekten wie Benutzern, Computern oder Drucker. Im Rahmen der Synchronisierung zwischen Active Directory und Entra ID können identische Attribute zwischen den Verzeichnissen synchronisiert werden. Dabei gibt es einiges zu beachten.
Index
Nutzerattribute, die sich synchronisieren lassen
Für die Synchronisierung von Active Directory mit Entra ID spielen Attribute eine wichtige Rolle. Hier gibt es Attribute, die sich teilweise stark unterscheiden. Aus diesem Grund ist wichtig zu wissen, welche Attribute sich unterscheiden und welche Attribute identisch sind.
Attribute können bereits Werte enthalten. Es ist aber auch möglich, eigene Werte in die Attribute zu schreiben. Beispiele für Attribute sind accountExpires, userAccountControl oder auch userPrincipalName, der aus Anmeldenamen und Domänensuffix besteht. Es gibt zahlreiche weitere Attribute wie Display-Name, Last-Logon oder auch Managed-by.
Nutzerattribute lassen sich zwischen Active Directory und Entra ID synchronisieren (Bild: Microsoft)
Beispiele für Attribute, die sich zwischen Active Directory und Entra ID synchronisieren lassen sind commonName, countryCode, displayName und givenName. Natürlich gibt es noch eine Vielzahl weiterer Attribute. Das zeigt, dass sich Admins mit dem Thema beschäftigen müssen, wenn sie Attribute zwischen Active Directory und Entra ID synchronisieren.
Bei identischen Attributen müssen Admins darauf achten, dass sie nicht verschiedene Werte von gleichen Attributen durch eine falsch eingerichtete Synchronisierung zwischen den Objekten in AD und Entra ID falsch setzen.
Welche Attribute aus lokalen AD-Umgebungen Microsoft Entra Connect synchronisiert, zeigt Microsoft auf der „Microsoft Entra Connect-Synchronisierung: Mit Entra ID synchronisierte Attribute“ Webseite (Link).
Diese Unterschiede in den Nutzerattributen gilt es zu beachten
Microsoft empfiehlt, möglichst auf Standardattribute zu setzen und diese korrekt zu pflegen. Diese Standardattribute lassen sich normalerweise unproblematisch zwischen AD und Entra ID synchronisieren. In Active Directory gibt es auch benutzerdefinierte Attribute, die sich mit eigenen Werten füllen lassen. Kommen diese zum Einsatz, muss geprüft werden, ob eine Synchronisierung dieser Objekte überhaupt sinnvoll ist.
Handelt es sich bei den Werten der Attribute um personenbezogene Daten, die unter Umständen auch unter den Datenschutz fallen und relevant für die DSGVO sind, sollte die Synchronisierung gut geplant und wenn möglich sogar unterlassen werden. Wir haben uns mit dem Thema auch im Beitrag „DSGVO und GoBD mit dem IDM-Portal berücksichtigen“ befasst.
Anpassen der Attribute in Microsoft Entra Connect
Im Rahmen der Installation und Einrichtung von Microsoft Entra Connect kann auch festgelegt werden, welche lokalen Attribute das Tool nicht synchronisieren soll. Hier sollten Sie natürlich sehr vorsichtig sein. Deaktivieren Sie nicht versehentlich die Synchronisierung von Attributen, die für den Betrieb von Entra ID notwendig sind. Deren Fehlen hat unter Umständen negative Auswirkungen auf andere Cloud-Dienste wie Microsoft 365.
Sollen lokale Attribute mit Entra ID synchronisiert werden, spielt die Attributzuordnung eine wesentliche Rolle. Microsoft zeigt die verschiedenen Attribute auf der Webseite „Attributzuordnung bei der Microsoft Entra Connect-Cloud-Synchronisierung“ (Link). Welche Attribute zwischen Active Directory und Entra ID synchronisiert werden, ist wiederum auf der „Microsoft Entra Connect-Synchronisierung: Mit Entra ID synchronisierte Attribute“ Seite (Link) zu sehen.
Synchronisierung veränderter Attribute
Wenn in Entra ID ein Benutzerkonto angelegt wird, das für das Abteilungs-Attribut den Wert „Marketing“ erhält, bleibt der Wert bei der Synchronisierung erhalten. Wechselt der Benutzer aber die Abteilung, zum Beispiel zu „Vertrieb“, tragen das Admins oder der Support im lokalen Active Directory ein. Durch die Synchronisierung der Benutzerkonten erkennt Microsoft Entra Connect, dass das Attribut in Active Directory sich geändert hat und synchronisiert den neuen Wert in Entra ID.
Für die Pflege der Attribute in Entra ID sollten Sie darüber hinaus die Anweisungen auf der Seite „Referenz zum Schreiben von Ausdrücken für Attributzuordnungen in Entra ID“ (Link) beachten.
Zentrale und automatisierte Attributpflege
Attribute sind in Active Directory gespeichert und lassen sich mit verschiedenen Werkzeugen pflegen:
- Active Directory Benutzer und Computer Konsole
- Active Directory Administrative Center
- Optionen in der PowerShell, zum Beispiel New-ADUser oder Set-ADUser
Fokussierter ist es, die Pflege von Attributen und anderen Einstellungen des Benutzerkontos zentral durchzuführen, am besten mit einem einheitlichen Tool. Hier bietet sich eine nutzerfreundliche Weboberfläche an, so wie sie das FirstWare IDM-Portal bietet.
Das FirstWare IDM-Portal ermöglicht die zentrale Pflege aller Nutzerattribute im AD.
Dazu kommt, dass in dieser Lösung die Pflege von Attributen auch automatisiert werden kann. Parallel kommen noch PowerShell-Skripte zum Einsatz. Dadurch lässt sich garantieren, dass alle Attribute in AD richtig gesetzt sind, sodass diese auch problemlos zu Entra ID synchronisiert werden können.
Wir haben im Beitrag „Nutzerattribute in Active Directory und Entra ID zentral pflegen“ ausführlich behandelt, wie sich die Attribute in Entra ID und AD verwalten und auch synchronisieren lassen.
Gerne beraten wir Sie zur korrekten Synchronisierung der Nutzerattribute zwischen Ihrem Active Directory und Entra ID. Als Experten im Bereich Identity & Access Management für On-Premise und Cloud-Umgebungen wissen wir, worauf es bei der Benutzer- und Berechtigungsverwaltung ankommt. Kontaktieren Sie unser freundliches Team.
