AADSync - lokale Gruppen

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Moin,

    nicht ganz.

    Kleine Vorinfo: Wir nutzen nur Office 365 pro plus (das bekommt jeder Mitarbeiter) und einige ausgewählte Mitarbeiter haben noch Visio 365 und Projekt 365. Inhaltlich lässt sich das ganze aber auch auf jede andere Lizenz übertragen.

    AADSync synchronisert alle User in einer bestimmten OU, die in einem festgelegten Attribute einen bestimmten Wert haben. Dieser Wert wird nur für feste Mitarbeiter (wir haben auch Gäste und Externe) in einem automatischen Prozess eingetragen. Damit erreichen wir, dass wirklich nur Leute, die eine Lizenz benötigen, überhaupt im AzureAD sind. Gruppen, Computer, o.ä. werden nicht synchronisert.

    Filter auf OU und auf Attribute sind Standard-Features von AzureAD Sync.

    Ein PowerShell-Script prüft stündlich, ob es synchronisierte Online-User gibt, die keine Lizenz haben (die sind dann neu) und weist denen eine Office 365 pro plus Lizenz zu. Im Prinzip ist das ein Zweizeiler, da Get-MsolUser bereits entsprechende Schalter für die Suche besitzt.

    Leute, die Visio oder Project benötigen, müssen dies explizit beauftragen. Sobald die Kostenfrage geklärt ist, werden diese Benutzer in einer bestimmten Gruppe aufgenommen. Das gleiche Script prüft die Gruppen-Mitglieder ab und weist zu oder entfernt die entsprechenden Lizenzen.

    Für ausscheidende MA muss gar nichts explizit gemacht werden. Durch den automatischen Prozess werden die User in eine andere OE verschoben. Danach werden Sie von AzureAD Sync "wegsychronisiert" und verlieren alle zugewiesenen Lizenzen ganz automatisch.
    Grüße aus Berlin schickt Robert
  • Hi Robert,

    kannst du mir noch kurz erklären wo du im AADSync Tool die Einstellung mit dem festgelegten Attribute einstellst?

    Unter Synchronisierungsoptionen anpassen kann ich ja nur einstellen dass nur bestimmte Attribute gesynct werden, aber ich kann nicht einstellen dass nur die Objekte mit einem bestimmten Attribut gesynct werden.

    Muss dies evtl. im Synchronization Rules Editor eingestellt werden? Hier hab ich leider "noch" keine Erfahrung damit :)

    Vielen Dank hierfür.

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Maier ()