Vorbereitung der UPNs für die Synchronisation

Ob im Rahmen einer Office 365-Testphase oder durch bevorstehende Migration: irgendwann müsst ihr euch Gedanken machen, wie sich die Benutzer zukünftig in der Cloud anmelden sollen. Die Vorteile von AD Connect oder ADFS habe ich ja bereits kurz erklärt. Bei sehr kleinen Umgebungen kann man sicherlich darüber nachdenken, ob man die Synchronisation nicht ganz auslässt. Wenn kein Active Directory betrieben wird, macht es ja sowieso keinen Sinn erst ein Active Directory einzurichten. Doch mit Active Directory werden sowohl bei AD Connect als auch bei ADFS die Benutzerkonten aus dem Active Directory exportiert und ins Azure AD synchronisiert. Es gilt also festzulegen, mit welchem Anmeldenamen sich die Benutzer an den Office 365-Diensten authentifizieren werden.

Die klassische Domänenanmeldung (contoso\username oder contoso.local\username) scheidet ja schon mal generell aus, denn der interne Domänenname sollte nicht extern veröffentlicht werden. Außerdem gibt es mit ziemlicher Sicherheit den eigenen Domänennamen mehr als ein Mal auf der Welt. Die zweite Möglichkeit der Anmeldung ist der User Principal Name (UPN). Dieser setzt sich zusammen aus dem Benutzernamen und dem sog. UPN-Suffix (This email address is being protected from spambots. You need JavaScript enabled to view it.).

Der UPN ist bitte nicht mit einer E-Mail-Adresse zu verwechseln, auch wenn es optisch ähnlich aussieht! Dies kann dazu führen, dass der Benutzer denkt, er würde sich mit seiner E-Mail-Adresse anmelden müssen. Dieser Unterschied muss klar kommuniziert werden. Ein Beispiel: Lieschen Müller hat die E-Mail-Adresse „This email address is being protected from spambots. You need JavaScript enabled to view it.“, aber ihr Benutzername als Bestandteil des UPN lautet „lieschen.mueller“. Sie würde sich dann also auf der Office 365 Portal-Seite mit „This email address is being protected from spambots. You need JavaScript enabled to view it.“ anmelden müssen.

Bevor die Synchronisation der Benutzer über AD Connect starten kann, müssen aber einige Dinge geprüft werden. Der Domain-Part des UPN (also „hinter dem @“) muss einer öffentlichen Domain entsprechen, die im Besitz des Unternehmens ist und die vom Unternehmen administriert werden kann (Public-DNS-Verwaltung). Nur im Office 365 hinzugefügte und verifizierte Domains werden als Teil des UPN akzeptiert. Auch das macht Sinn, denn sonst könnte sich Lieschen Müller wohl demnächst mit „This email address is being protected from spambots. You need JavaScript enabled to view it.“ anmelden können, obwohl sie gar nicht bei Amazon arbeitet… Benutzerkonten mit einem UPN, die nicht mit der im Office 365 verifizierten Domain enden, können erst einmal nicht korrekt verarbeitet werden und landen mit der Vanity-Domain „*.onmicrosoft.com“ im Office 365-Portal. Nicht wirklich schön.

Es sind also folgende Schritte notwendig, um seine Benutzer „sauber“ zu synchronisieren:

  1. Festlegen, mit welcher Public-Domain sich die Benutzer zukünftig anmelden sollen (im Regelfall entspricht dies der Domain, unter der sich das Unternehmen auch im Internet mit einer Webseite präsentiert)
  2. Public-Domain im Office 365-Adminbereich hinzufügen
  3. Den von Microsoft generierten TXT-Eintrag zur Inhaberbestätigung kopieren und in der Public-DNS-Verwaltung den TXT-Eintrag anlegen
  4. Nach wenigen Minuten (die weltweite Replikation von DNS-Einträgen dauert länger als ein paar Millisekunden) die Überprüfung des TXT-Eintrags starten und abschließen
  5. Den erfolgreich verifizierten Domainnamen im Active Directory als weiteren UPN-Suffix hinzufügen
  6. Den UPN-Suffix bei den Benutzern, die synchronisiert werden sollen, auf den hinzugefügten UPN-Suffix umstellen
    1. Falls es noch Anwendungen mit Abhängigkeiten zum UPN gibt, diese prüfen und ggf. anpassen
    2. Eine Massenumstellung gelingt mit dem Tool IdFix von Microsoft (Link)
  7. Falls noch nicht geschehen: AAD Connect installieren, einrichten und eine kontrollierte, erste Synchronisierung starten (gefiltert…)

Wenn alles richtig gemacht wurde, dann erscheinen die synchronisierten Benutzer nun im Office 365-Adminbereich genau mit dem Anmeldenamen, der auch im lokalen AD dem UPN entspricht.

Es gibt zwar eine Möglichkeit den Anmeldenamen ein Stück weit zu ändern — im AAD Connect kann man statt des UPN auch die SMTP-ProxyAddress oder andere Attribute nehmen. Das führt dazu, dass der Anmeldename im Office 365 nun doch tatsächlich der E-Mail-Adresse entspricht. Ich werde (und auch Microsoft tut das zwischen den Zeilen) jedem davon abraten, dies zu tun. Am Ende gibt es mehr Probleme als alles andere — die sauberste Lösung ist und bleibt die Verknüpfung mittels UPN. Wenn es zwingend erforderlich sein sollte, dass der UPN der E-Mail-Adresse entspricht, dann denkt darüber nach, den Anmeldenamen im UPN umzustellen.


Print