8. August 2013

Office 365, DirSync, MIIS-Client und Filterung

Erst Anfang des Jahres hat Microsoft seinen Online Dienst Office 365 wieder neu überarbeitet bzw. um neue Funktionen erweitert. Kein Wunder also, dass Office 365 bei Firmen immer beliebter wird. Denn schließlich liegen die Vorteile klar auf der Hand: Der Kunde kann mit sehr geringem Aufwand stets die neusten Technologien von Microsoft einsetzen. Zudem muss sich der Kunde im Bereich Exchange, SharePoint oder Lync keine Gedanken mehr um seine Hardware, um Verfügbarkeiten oder seine Sicherungen zu machen. Obendrein spart er Strom und Supportkosten. Was er hierzu tun muss ist lediglich die Microsoft Dienste Exchange Online, SharePoint Online oder Lync Online zu abonnieren.

Diese Dienste gibt es in verschiedenen Paketvarianten, so dass mit Sicherheit für jeden ein interessantes Angebot dabei ist. Zusätzlich zu dieser vielfältigen und sehr kostengünstigen Auswahl an Paketen, die jeden Monat vom Kunden selbst verändert oder angepasst werden kann, bezahlt der Kunde bei Office 365 nur nach User/Monat.
Entscheidet sich der Kunde für ein Office 365 Paket, kommt es gerade bei einer größeren Useranzahl in der Regel auch zu sogenannten hybriden Umgebungen. Das bedeutet, dass für eine komfortablere Nutzung oder für erweiterte Funktionen von Office 365 lokale Systeme vor Ort bzw. in einem gehosteten Rechenzentrum benötigt werden.

Ein Beispiel ist die Nutzung des Single Sign On, also das einmalige Anmelden für alle Systeme. Das hat den Vorteil, dass sich die User nicht bei jedem Office 365 Dienst separat neu anmelden müssen. Hierzu ist natürlich ein Abgleich von Office 365 mit dem lokalen Active Directory notwendig.
Hierbei gibt es jedoch in der Praxis ein paar Dinge die vorab zu bedenken und zu beachten sind:
Je nach Useranzahl und Ausfallkonzept sind für eine korrekte Kopplung des Active Directory an Office 365 zwei bis fünf Server einzuplanen. Die Minimalkonfiguration ist ein ADFS- und ein ADFS-Proxy-Server. ADFS steht für Active Directory Federation Services. Der Server dient dazu, dass die User sich später automatisiert mit Active Directory Daten an Office 365 anmelden können. Der ADFS-Proxy-Server dient dabei zur Absicherung nach außen.
Bei der Minimalkonfiguration kann auf dem ADFS-Server zusätzlich der DirSync Dienst installiert werden. Dieser Dienst synchronisiert die Benutzerkonten und Gruppen des lokalen Active Directory mit den Benutzer- / Gruppenlisten in Office 365.

Wer sich mit einer solchen Konfiguration bzw. Umgebung bereits einmal beschäftigt hat, kennt das Problem, dass ohne eine weitere Konfiguration sämtliche Objekte aus dem Active Directory zu Office 365 synchronisiert werden. Hierzu zählen z.B. Service Accounts die man u. U. nur in der lokalen Umgebung benötigt, allerdings nicht in Office 365.

Um dieses Problem zu lösen, kann man sich den von Microsoft mitgelieferten jedoch etwas versteckten MIIS-Client zu Nutze machen,  hinter dem der Forefront Identity Manager steckt.

Finden können Sie den Client unter:
C:\Program Files\Microsoft Online Directory Sync\SYNCBUS\Synchronization Service\UIShell\miisclient.exe

Mit diesem Programm hat man nun die Möglichkeit, Verbindungsfilter zu setzen, um z.B. ungewünschte Objekte bei der Synchronisation herauszufiltern.

Filtern kann man mit dem MIIS-Client auf zwei Arten:
  1. Zum einen kann man mit der Domänen-basierten Filterung ganz gezielte Regeln setzen, die auf jedes Objekt geprüft werden. 
  2. Zum anderen kann mit der Organisationseinheit-basierten Filterung bestimmt werden, dass nur ausgewählte Organisationseinheiten synchronisiert werden sollen.

1. Domänen-basierte Filterung

Hierzu klickt man in der Navigationsleiste auf Management Agents, klickt mit rechts auf SourceAD und Properties…
Im nächsten Fenster kann man nun unter Configure Connector Filter und User die aktuellen Standardfilter anpassen oder neue Filter über New… hinzufügen. Diese Filter greifen für sämtliche Objekte aus dem Active Directory.
Verfügt die Domäne beispielsweise über mehrere Domänennamen, bei denen einzelne nicht synchronisiert werden sollen, kann ein Filter gesetzt werden, der nur die Domänen aufzählt die auch tatsächlich synchronisiert werden. Andere oder neue Domänen werden solange nicht synchronisiert, bis man Sie in diese Liste mit aufnimmt. Eine Möglichkeit dieses Ziel zu erreichen ist beispielsweise die folgende:
Alle Objekte die nicht auf die in dieser Regel aufgeführten Domänen zutreffen, werden nicht synchronisiert.

2. Organisationseinheit basierte Filterung

Für die Organisationseinheit basierte Filterung klickt man wieder in der Navigationsleiste auf Management Agents, klickt mit rechts auf SourceAD und dann auf Properties…
Nun kann man über Configure Directory Partitions und Containers die Organisationseinheiten auswählen, die für eine Synchronisation mit Office 365 berücksichtigt werden sollen.
Zuvor müssen jedoch gültige Administrator Credentials eingegeben werden:
Im Anschluss können die Organisationseinheiten der Domäne ausgewählt werden:
Bestätigen Sie die Fenster mit OK, wenn sie alle OU’s ausgewählt haben.

Synchronisation mit Office 365

Haben Sie alle Regeln gesetzt, können Sie auch eine direkte Synchronisation auslösen. Hierzu klicken Sie wieder unter Management Agents, klickt mit rechts auf SourceAD und dann auf Run…
In diesem Fenster haben Sie nun die Möglichkeit einen vollen Import und eine volle Synchronisation zwischen Ihrem lokalen Active Directory und dem DirSync Server durchzuführen (Full Import Full Sync).
Alternativ können Sie auch nur die Objekte importieren und synchronisieren, die sich seit der letzten Synchronisation verändert haben (Delta Import Delta Sync).
Haben Sie diese Synchronisation durchgeführt, verfügt allerdings lediglich Ihr DirSync Server über die aktuellen Informationen. Nun müssen diese Informationen noch an Office 365 weitergegeben werden.

Hierzu klicken Sie unter Management Agents, mit rechts auf TargetWebService und dann auf Run…
Im nächsten Fenster können Sie wählen, welche Synchronisation zwischen DirSync Server und Office 365 durchgeführt werden soll. Beispielsweise Full Confirming Sync für eine volle Synchronisation zwischen dem DirSync Server und Office 365.
Alternativ können Sie diesen Sync auch über den folgenden Weg ausführen.
Geben Sie hierzu über Ausführen folgendes ein:
%programfiles%\Microsoft Online Directory Sync\DirSyncConfigShell.psc1
Anschließend starten Sie in der PowerShell den Sync mit dem Befehl:
Start-OnlineCoexistenceSync
Ob eine Synchronisation erfolgreich war, können Sie am einfachsten über die Eventlogs des Servers prüfen. Ist der Export abgeschlossen, wurde die Synchronisation durchgeführt:


0 Kommentare: