11
Azure AD Connect und lokale Applikation
Hallo zusammen,
wir haben aktuell Microsoft 365 Business Basic mit 12 Lizenzen im Einsatz. Die Anmeldung an unseren Unternehmensrechnern erfolgt mit dem Microsoft 365 Account mittels Azure AD. Viele unserer Mitarbeiter arbeiten mobil, aber wir haben noch ein kleine Büro, wo eine On Premise Lösung von Datev läuft. Datev benötigt für die Authentifizierung einen AD Server. Dieser läuft bislang lokal auf dem Datev Server. Die Rechner, welche mit Datev arbeiten wollen, sind in der lokalen Domäne. Alle anderen nutzen Azure AD. Ich würde dies gern vereinheitlichen, damit alle Rechner im Azure AD sind und auch mit Datev arbeiten könnten.
Ist dies mit Azure AD Connect möglich?
Wie ich gelesen habe, würde ich meine Domäne von Microsoft 365 auf dem lokalen Server anlegen und für diese dann Azure AD Connect installieren und konfigurieren. Anschließend würde ich den Datev Server auf die neue Domäne umziehen.
Kann sich ein Nutzer, welcher vor Ort im Büro ist und mit einem Azure AD Account auf seinem Rechner angemeldet ist, dann auch am Datev-Server anmelden?
wir haben aktuell Microsoft 365 Business Basic mit 12 Lizenzen im Einsatz. Die Anmeldung an unseren Unternehmensrechnern erfolgt mit dem Microsoft 365 Account mittels Azure AD. Viele unserer Mitarbeiter arbeiten mobil, aber wir haben noch ein kleine Büro, wo eine On Premise Lösung von Datev läuft. Datev benötigt für die Authentifizierung einen AD Server. Dieser läuft bislang lokal auf dem Datev Server. Die Rechner, welche mit Datev arbeiten wollen, sind in der lokalen Domäne. Alle anderen nutzen Azure AD. Ich würde dies gern vereinheitlichen, damit alle Rechner im Azure AD sind und auch mit Datev arbeiten könnten.
Ist dies mit Azure AD Connect möglich?
Wie ich gelesen habe, würde ich meine Domäne von Microsoft 365 auf dem lokalen Server anlegen und für diese dann Azure AD Connect installieren und konfigurieren. Anschließend würde ich den Datev Server auf die neue Domäne umziehen.
Kann sich ein Nutzer, welcher vor Ort im Büro ist und mit einem Azure AD Account auf seinem Rechner angemeldet ist, dann auch am Datev-Server anmelden?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1717898127
Url: https://administrator.de/contentid/1717898127
Printed on: April 24, 2024 at 01:04 o'clock
11 Comments
Latest comment
Moin,
Gruß
Doskias
Zitat von @bfschmlan:
wir haben aktuell Microsoft 365 Business Basic mit 12 Lizenzen im Einsatz. Die Anmeldung an unseren Unternehmensrechnern erfolgt mit dem Microsoft 365 Account mittels Azure AD. Viele unserer Mitarbeiter arbeiten mobil, aber wir haben noch ein kleine Büro, wo eine On Premise Lösung von Datev läuft. Datev benötigt für die Authentifizierung einen AD Server. Dieser läuft bislang lokal auf dem Datev Server.
Auf einem AD sollte nichts weiter laufen, außer einem AD. Schritt 1: Trenne AD und Datev (wirst gleich sehen warum),wir haben aktuell Microsoft 365 Business Basic mit 12 Lizenzen im Einsatz. Die Anmeldung an unseren Unternehmensrechnern erfolgt mit dem Microsoft 365 Account mittels Azure AD. Viele unserer Mitarbeiter arbeiten mobil, aber wir haben noch ein kleine Büro, wo eine On Premise Lösung von Datev läuft. Datev benötigt für die Authentifizierung einen AD Server. Dieser läuft bislang lokal auf dem Datev Server.
Die Rechner, welche mit Datev arbeiten wollen, sind in der lokalen Domäne. Alle anderen nutzen Azure AD. Ich würde dies gern vereinheitlichen, damit alle Rechner im Azure AD sind und auch mit Datev arbeiten könnten.
Kein ProblemIst dies mit Azure AD Connect möglich?
Theoretisch ja, praktisch kommt gleich was dazu.Wie ich gelesen habe, würde ich meine Domäne von Microsoft 365 auf dem lokalen Server anlegen und für diese dann Azure AD Connect installieren und konfigurieren. Anschließend würde ich den Datev Server auf die neue Domäne umziehen.
Viel zu kompliziert. Du kannst das ganze als hybride Umgebung laufen lassen und deinen inhouse AD mit dem Azure-Ad synchronisieren. Der Sync muss laut MS allerdings auf einem Server laufen, der kein AD betreibt. Wenn du also im Schritt 1 erfolgreich deine Server getrennt hast, kannst du den AD-Connector zum Syncen auf dem Datev Server mitlaufen lassen. Die Anmeldung erfolgt dann lokal gegen deinen eigenen Server, mobil gegen das Azure AD. Benutzer und Kennwörter werden im 15 Minuten Intervall abgeglichen. Das reicht, denn eigentlich niemand ändert lokal sein Kennwort und meldet sich sofort mobil wieder an. Kein Domänenumzug erforderlich.Kann sich ein Nutzer, welcher vor Ort im Büro ist und mit einem Azure AD Account auf seinem Rechner angemeldet ist, dann auch am Datev-Server anmelden?
Wenn die Konfiguration stimmt ja. Allerdings solltest du beachten, dass bei einer reinen Cloud-Lösung dein Datev nur dann funktioniert, wenn du online bist. Bricht deine Internetverbindung weg, kann mit Datev nicht mehr gearbeitet werden. HAst du die Hybridlösung mit AD und Datevserver und syncst lediglich mit dem Azure-Ad, dann hat der Datev-Server beim Internetausfall immer noch den lokalen DC zur Verfügung und du kannst offline weiterarbeiten.Gruß
Doskias
2
Zitat von @Doskias:
Der Sync muss laut MS allerdings auf einem Server laufen, der kein AD betreibt. [...]
Gruß
Doskias
Der Sync muss laut MS allerdings auf einem Server laufen, der kein AD betreibt. [...]
Gruß
Doskias
Ähm nö.
Läuft bei mir seit Jahren aufm DC. Ohne Probs.1
Ok, danke für euren Input!
Was ich technisch noch nicht ganz verstehe: Ich kann die Rechner alle ins Azure AD umziehen und sobald ich im lokalen Büro-Netz bin kann ich dann Datev nutzen, obwohl Datev ja voraussetzt, dass ich mit einem lokalen AD-Account am Rechner angemeldet bin?
Zitat von @Doskias:
Wenn die Konfiguration stimmt ja. Allerdings solltest du beachten, dass bei einer reinen Cloud-Lösung dein Datev nur dann funktioniert, wenn du online bist. Bricht deine Internetverbindung weg, kann mit Datev nicht mehr gearbeitet werden. HAst du die Hybridlösung mit AD und Datevserver und syncst lediglich mit dem Azure-Ad, dann hat der Datev-Server beim Internetausfall immer noch den lokalen DC zur Verfügung und du kannst offline weiterarbeiten.
Was ich technisch noch nicht ganz verstehe: Ich kann die Rechner alle ins Azure AD umziehen und sobald ich im lokalen Büro-Netz bin kann ich dann Datev nutzen, obwohl Datev ja voraussetzt, dass ich mit einem lokalen AD-Account am Rechner angemeldet bin?
Zitat von @Ex0r2k16:
Läuft bei mir seit Jahren aufm DC. Ohne Probs.
Zitat von @Doskias:
Der Sync muss laut MS allerdings auf einem Server laufen, der kein AD betreibt. [...]
Gruß
Doskias
Ähm nö. Der Sync muss laut MS allerdings auf einem Server laufen, der kein AD betreibt. [...]
Gruß
Doskias
Läuft bei mir seit Jahren aufm DC. Ohne Probs.Ok stimmt. ich nehme das MUSS zurück. Laut MS bzw. https://www.active-directory-faq.de/2021/01/azure-ad-connect-installiere ... gilt:
Hier empfiehlt Microsoft die Verwendung eines Mitgliedsservers. Die Installation sollte aus Sicherheitsgründen nicht direkt auf einem Domänencontroller erfolgen, ist aber möglich.
Ich glaube ich muss jetzt hier nicht auflisten welche Vorteile es hat, wenn der Connector nicht auf dem AD liegt. Kurz gesagt: ja du hast recht, geht auf dem AD und muss nicht separat laufen, ist aber empfohlen. Aber ich denke, dass Datev und das AD nicht auf einem Server laufen sollten, bedarf keiner Diskussion, oder?
Nachtrag:
Was ich technisch noch nicht ganz verstehe: Ich kann die Rechner alle ins Azure AD umziehen und sobald ich im lokalen Büro-Netz bin kann ich dann Datev nutzen, obwohl Datev ja voraussetzt, dass ich mit einem lokalen AD-Account am Rechner angemeldet bin?
Achte auf die Wortwahl. Du machst keinen Umzug ins Azure Ad sondern einen Sync. Das ist ein unterschied. Die daten werden im lokalen und Azure identich vorgehalten, genau wie wenn du mehrere lokale Ads hast. je nachdem wo du dich dann befindest antwortet der erreichbare AD. Mobil unterwegs wird das Azure sein, lokal einer von beiden.
Gruß
Doskias
1Zitat von @Doskias:
[...] Aber ich denke, dass Datev und das AD nicht auf einem Server laufen sollten, bedarf keiner Diskussion, oder?
[...] Aber ich denke, dass Datev und das AD nicht auf einem Server laufen sollten, bedarf keiner Diskussion, oder?
korrekt. Übliches no Go. Aber sind wir ja inzwischen gewöhnt hier ;)
1Zitat von @Doskias:
Achte auf die Wortwahl. Du machst keinen Umzug ins Azure Ad sondern einen Sync. Das ist ein unterschied. Die daten werden im lokalen und Azure identich vorgehalten, genau wie wenn du mehrere lokale Ads hast. je nachdem wo du dich dann befindest antwortet der erreichbare AD. Mobil unterwegs wird das Azure sein, lokal einer von beiden.
Gruß
Doskias
Ok, danke! Wenn ich es richtig verstehe, muss jeder Rechner, welcher die Hybride Infrastruktur verwenden will in die lokale Domäne aufgenommen werden? Derzeit gibt es Rechner, die ausschließlich am Azure AD hängen und wenige, welche an der lokalen Domäne angemeldet sindAchte auf die Wortwahl. Du machst keinen Umzug ins Azure Ad sondern einen Sync. Das ist ein unterschied. Die daten werden im lokalen und Azure identich vorgehalten, genau wie wenn du mehrere lokale Ads hast. je nachdem wo du dich dann befindest antwortet der erreichbare AD. Mobil unterwegs wird das Azure sein, lokal einer von beiden.
Gruß
Doskias
Für meinen Use Case muss ich die Kennwort-Hashsynchronisierung aktivieren?
Moin
Aber wie gesagt: Nur theoretisches Wissen aus verschiedenen Dokumentationen. Keine praktische Erfahrung.
Gruß
Doskias
Zitat von @bfschmlan:
Ok, danke! Wenn ich es richtig verstehe, muss jeder Rechner, welcher die Hybride Infrastruktur verwenden will in die lokale Domäne aufgenommen werden?
Ich kenn die Hybrid-Umgebung leider nur in der Theorie. Praktisch nutzen wir Azure-Ad ausschließlich für M365 Lizenzen, aber nicht für die Verwaltung der Domäne, da wir keine externen Geräte haben.Ok, danke! Wenn ich es richtig verstehe, muss jeder Rechner, welcher die Hybride Infrastruktur verwenden will in die lokale Domäne aufgenommen werden?
Derzeit gibt es Rechner, die ausschließlich am Azure AD hängen und wenige, welche an der lokalen Domäne angemeldet sind
Laut https://frankeisel.de/hybrid-azure-ad-join-konfiguration/ sollte das aber nicht nötig sein. Wenn ich die Konfiguration richtig verstehe kannst du (was auch das einzig sinnvolle bei einer Synchronisation ist) den Connector so konfigurieren, dass er bidirektional arbeitet. In dem Fall musst du also nur den Connector richtig konfigurieren und die Daten aus dem Azure sollen in dein lokales AD übernommen werden.Aber wie gesagt: Nur theoretisches Wissen aus verschiedenen Dokumentationen. Keine praktische Erfahrung.
Gruß
Doskias
1
Ok, danke dir für deine Hinweise. Ich werde mal testen ;)
Vorsicht bitte. Bidirektional würde ich nicht verwenden. Kopiere dein lokales AD einfach in die Cloud und fertig. Ansonsten gibt das schnell Chaos wenn du in der Cloud was änderst und das dann ins AD gespielt wird und anders rum. One Way ist hier deutlich einfacher. Bedenke aber, dass der Kennwortsync nur alle 30min läuft. Das kann je nach User ganz schön lang sein. Die Lösung hierfür heißt ADFS. Damit wird eine Anmeldung über die Cloud in Echtzeit mit deinem AD geprüft. Sind die Credentials ok, gehts weiter.
Zitat von @Ex0r2k16:
Vorsicht bitte. Bidirektional würde ich nicht verwenden. Kopiere dein lokales AD einfach in die Cloud und fertig. Ansonsten gibt das schnell Chaos wenn du in der Cloud was änderst und das dann ins AD gespielt wird und anders rum.
Generell bin ich bei dir. Aber um die jetzigen Cloud-Only-Rechner einmalig mit dem lokalen AD abzugleichen, würde ich hier kein großes Chaos sehen.Vorsicht bitte. Bidirektional würde ich nicht verwenden. Kopiere dein lokales AD einfach in die Cloud und fertig. Ansonsten gibt das schnell Chaos wenn du in der Cloud was änderst und das dann ins AD gespielt wird und anders rum.
One Way ist hier deutlich einfacher.
Das auf jeden Fall. Man sollte sich für ein primären Verwaltungstool entscheiden. Entweder den lokalen AD oder den Azure Ad und von dort zum anderen Syncen.Bedenke aber, dass der Kennwortsync nur alle 30min läuft. Das kann je nach User ganz schön lang sein. Die Lösung hierfür heißt ADFS. Damit wird eine Anmeldung über die Cloud in Echtzeit mit deinem AD geprüft. Sind die Credentials ok, gehts weiter.
Ansonsten für kurzfristige sofortige Syncronisationen:
Start-ADSyncSyncCycle -PolicyType delta
