15
AAD-Sync: One-to-Many möglich?
Servus zusammen.
Frage in die Runde:
Ist es möglich, ein lokales AD bzw. ausgewählte User (per Gruppenfilterung) aus diesem AD in mehrere Office365-Tenants zu synchronisieren?
Die MS-Anleitungen beschreiben ein solches Szenario derzeit nur in einer BETA-Version, die nicht produktiv einzusetzen wäre; davon abgesehen, dass sie sich auch nach der dortigen Anleitung nicht konfigurieren lässt.
Hintergrund:
Wir haben einen dedizierten Forest mit genau einem AD, in dem die personalisierten Admin-Accounts "leben". Nun möchte ich diese über verschiedene/multiple Office365-Tenants hinweg gern zur Administration selbiger einsetzen, damit auch dort die Auditierbarkeit etc. gewährleistet bleibt. Aktuell läuft das über einen "Container-Account", d.h. ich kann im Nachhinein nicht (ohne Mühen) sagen, wer "in persona" da Änderungen vorgenommen hat.
Wenn obige Frage mit "Nein" zu beantworten ist - gibt es dann einen anderen Weg? Könnte ich mit Usern aus meinem eigenen Tenant auch andere Tenants administrieren?
Bin für Schubser dankbar und wünsche euch einen guten Rutsch und alles Gute für 2022!
Cheers,
jsysde
Frage in die Runde:
Ist es möglich, ein lokales AD bzw. ausgewählte User (per Gruppenfilterung) aus diesem AD in mehrere Office365-Tenants zu synchronisieren?
Die MS-Anleitungen beschreiben ein solches Szenario derzeit nur in einer BETA-Version, die nicht produktiv einzusetzen wäre; davon abgesehen, dass sie sich auch nach der dortigen Anleitung nicht konfigurieren lässt.
Hintergrund:
Wir haben einen dedizierten Forest mit genau einem AD, in dem die personalisierten Admin-Accounts "leben". Nun möchte ich diese über verschiedene/multiple Office365-Tenants hinweg gern zur Administration selbiger einsetzen, damit auch dort die Auditierbarkeit etc. gewährleistet bleibt. Aktuell läuft das über einen "Container-Account", d.h. ich kann im Nachhinein nicht (ohne Mühen) sagen, wer "in persona" da Änderungen vorgenommen hat.
Wenn obige Frage mit "Nein" zu beantworten ist - gibt es dann einen anderen Weg? Könnte ich mit Usern aus meinem eigenen Tenant auch andere Tenants administrieren?
Bin für Schubser dankbar und wünsche euch einen guten Rutsch und alles Gute für 2022!
Cheers,
jsysde
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1673374692
Url: https://administrator.de/contentid/1673374692
Printed on: April 25, 2024 at 10:04 o'clock
15 Comments
Latest comment
Hallo,
ich hab da jetzt keine OOB-Lösung für dich, aber afaik lässt sich ein AD doch auslesen wie auch LDAP. Wäre sicherlich möglich etwas zu Skripten was ein Export/Import nutzt um Admin-Accounts von A nach B,C,D zu synchronisieren.
Nur so als Denkanstoß.
Grüße
bloody
ich hab da jetzt keine OOB-Lösung für dich, aber afaik lässt sich ein AD doch auslesen wie auch LDAP. Wäre sicherlich möglich etwas zu Skripten was ein Export/Import nutzt um Admin-Accounts von A nach B,C,D zu synchronisieren.
Nur so als Denkanstoß.
Grüße
bloody
Hi,
Seid ihr Microsoft partner ?
Mit freundlichen Grüßen
Seid ihr Microsoft partner ?
Mit freundlichen Grüßen
Servus!
Was spricht gegen mehrere Named-Admin Accounts?
Lizenztechnisch ist das kein Problem denke ich - Sicherheitstechnisch sowieso anzuraten, die ganzen Rollen zu trennen.
Gruß
Luigi
Was spricht gegen mehrere Named-Admin Accounts?
Lizenztechnisch ist das kein Problem denke ich - Sicherheitstechnisch sowieso anzuraten, die ganzen Rollen zu trennen.
Gruß
Luigi
N'Abend.
Cheers,
jsysde
Zitat von @bloodstix:
Hallo,
ich hab da jetzt keine OOB-Lösung für dich, aber afaik lässt sich ein AD doch auslesen wie auch LDAP. Wäre sicherlich möglich etwas zu Skripten was ein Export/Import nutzt um Admin-Accounts von A nach B,C,D zu synchronisieren.
Nur so als Denkanstoß.
Grüße
bloody
Danke, aber Ich würde mich schlicht gern auf die Tools stützen, die auch offiziell supported sind und weiterentwickelt werden. Selbst skripten halte ich in diesem Falle für den falschen Ansatz.Hallo,
ich hab da jetzt keine OOB-Lösung für dich, aber afaik lässt sich ein AD doch auslesen wie auch LDAP. Wäre sicherlich möglich etwas zu Skripten was ein Export/Import nutzt um Admin-Accounts von A nach B,C,D zu synchronisieren.
Nur so als Denkanstoß.
Grüße
bloody
Cheers,
jsysde
N'Abend.
Ja - aber was soll mir das sagen? Microsoft interessiert sich, trotz Partnerstatus, nach wie vor nicht für "kleine" Systemhäuser, wie wir nun mal eines sind (aus der Sicht von MS).
Cheers,
jsysde
Ja - aber was soll mir das sagen? Microsoft interessiert sich, trotz Partnerstatus, nach wie vor nicht für "kleine" Systemhäuser, wie wir nun mal eines sind (aus der Sicht von MS).
Cheers,
jsysde
N'Abend.
Cheers,
jsysde
Zitat von @papa-luigi:
[...]Was spricht gegen mehrere Named-Admin Accounts?
Viel. Sehr viel. Aber das ist gar nicht das Thema, meine Frage war doch sehr klar formuliert?[...]Was spricht gegen mehrere Named-Admin Accounts?
[...]Sicherheitstechnisch sowieso anzuraten, die ganzen Rollen zu trennen.
Aha. Interessante Meinung. Habe ich schon erwogen - und bin zu dem Schluss gekommen, dass es genau das ist, was ich _nicht!_ machen/haben will. Ich suche schlicht nach der Möglichkeit, die personalisierten Admin-Accounts, die sowieso existieren, an möglichst vielen Stellen auch entsprechend zu nutzen. Siehe meine Eingangsfrage.Cheers,
jsysde
N'Abend.
Danke - der Teil "Single Forest, mehrere Tenants gleiches Object" ist genau das, auf was ich mich eingangs bezogen habe: Nur als BETA, nicht produktiv einzusetzen und die verlinkten Artikel und Anleitung lassen sich leider nicht umsetzen. Beim Versuch der Umsetzung entstehen die merkwürdigsten Fehler.
Aus dieser ^^ Erfahrung entstand meine Frage: Gibt es eine Möglichkeit, dass irgendwie _produktiv nutzbar!_ hinzubekommen?
Cheers,
jsysde
Danke - der Teil "Single Forest, mehrere Tenants gleiches Object" ist genau das, auf was ich mich eingangs bezogen habe: Nur als BETA, nicht produktiv einzusetzen und die verlinkten Artikel und Anleitung lassen sich leider nicht umsetzen. Beim Versuch der Umsetzung entstehen die merkwürdigsten Fehler.
Aus dieser ^^ Erfahrung entstand meine Frage: Gibt es eine Möglichkeit, dass irgendwie _produktiv nutzbar!_ hinzubekommen?
Cheers,
jsysde
Zitat von @jsysde:
N'Abend.
Ja - aber was soll mir das sagen? Microsoft interessiert sich, trotz Partnerstatus, nach wie vor nicht für "kleine" Systemhäuser, wie wir nun mal eines sind (aus der Sicht von MS).
Cheers,
jsysde
N'Abend.
Ja - aber was soll mir das sagen? Microsoft interessiert sich, trotz Partnerstatus, nach wie vor nicht für "kleine" Systemhäuser, wie wir nun mal eines sind (aus der Sicht von MS).
Cheers,
jsysde
Hi,
schon jahrelang bietet Microsoft für Partner die delegierte Administration von anderen Tenants an.
https://support.microsoft.com/de-de/topic/partner-anbieten-von-delegiert ...
https://www.msxfaq.de/cloud/marketing/delegate_admin.htm
https://docs.microsoft.com/de-de/microsoft-365/admin/multi-tenant/manage ...
Mit freundlichen Grüßen
1
Servus.
Ist erstmal ein akzeptabler Workaround, mich würde aber dennoch interessieren, ob ich das nicht auch anders lösen kann...
Cheers,
jsysde
Zitat von @7Gizmo7:
[...]schon jahrelang bietet Microsoft für Partner die delegierte Administration von anderen Tenants an.
Danke. Manchmal sieht man vor lauter Wald die Bäume nicht. [...]schon jahrelang bietet Microsoft für Partner die delegierte Administration von anderen Tenants an.
Ist erstmal ein akzeptabler Workaround, mich würde aber dennoch interessieren, ob ich das nicht auch anders lösen kann...
Cheers,
jsysde
Moin moin.
Bin für weitere Ideen dankbar.
Cheers,
jsysde
Zitat von @7Gizmo7:
[...]schon jahrelang bietet Microsoft für Partner die delegierte Administration von anderen Tenants an.
Hmm... Hat einen Nachteil: Ich muss den Leuten Zugang zum Partnerportal einräumen, damit sie über diesen Weg auf die anderen Tenants zugreifen können. Das ist eigentlich nicht im Sinne des Erfinders.[...]schon jahrelang bietet Microsoft für Partner die delegierte Administration von anderen Tenants an.
Bin für weitere Ideen dankbar.
Cheers,
jsysde
Hi,
Es reicht ja nur die Rolle MPN-Partneradministrator und dann stehen die Mandanten im admincenter zur Verfügung und kann zum admincenter des Mandanten Wechsel .
https://docs.microsoft.com/de-de/partner-center/permissions-overview
Es reicht ja nur die Rolle MPN-Partneradministrator und dann stehen die Mandanten im admincenter zur Verfügung und kann zum admincenter des Mandanten Wechsel .
https://docs.microsoft.com/de-de/partner-center/permissions-overview
N'Abend.
Danke @7Gizmo7 - jetzt muss ich die Rolle nur noch finden. Vielleicht brauch' ich ja ne neue Brille.
Cheers,
jsysde
Danke @7Gizmo7 - jetzt muss ich die Rolle nur noch finden. Vielleicht brauch' ich ja ne neue Brille.
Cheers,
jsysde
Diese hier
Moin.
Die "AdminAgents" haben das Thema gelöst - so funktioniert es (mittlerweile) tadellos.
Danke.
Cheers,
jsysde
Die "AdminAgents" haben das Thema gelöst - so funktioniert es (mittlerweile) tadellos.
Danke.
Cheers,
jsysde
