Die Situation ist, dass wir mehrere Sites (AWS VPCs) haben, jede mit ihren eigenen selbstverwalteten ADDS-Domänen ohne Netzwerkverbindung zwischen ihnen (absichtlich). Wir müssen die ADDS-Benutzer jeder Site automatisch aus AzureAD-Identitäten bereitstellen, einschließlich Kennwortrückschreiben (Kennwörter sollten nur von Azure aus geändert werden).
Eine mögliche Lösung (glaube ich) besteht darin, einen Cron (geplante Aufgabe) zu verwenden, um die Azure GraphAPI nach einer Benutzerliste abzufragen und Benutzer mithilfe der Powershell-Cmdlets „new-aduser“ bereitzustellen. Dabei werden Benutzerattribute festgelegt, um das Zurückschreiben von Azure AD Connect-Kennwörtern zu ermöglichen und so die Kennwortsynchronisierung sicherzustellen.
Das oben Genannte bedarf jedoch erheblich weiterer Untersuchung und scheint eine individuelle, selbst erstellte Lösung zu sein, die überwacht werden muss.
Gibt es eine sofort einsatzbereite Lösung (einschließlich Drittanbieter?), die eine Synchronisierung von AzureAD --> AD-Benutzern vor Ort ermöglicht?
Antwort1
Es gibt keine Standardlösung, die Ihren Anforderungen gerecht wird. Sie haben folgende Möglichkeiten: Sie können Ihr Design überdenken, eine benutzerdefinierte Entwicklung (Skripting) durchführen oder eine Drittanbieterlösung erwerben.
Lösungen von Drittanbietern, die Ihre Bedürfnisse abdecken könnten, fallen inIdentitätsmanagement (IDM)oderIdentitätsverwaltung und -administration (IGA)Kategorien. Sie können Produkte ganz einfach mit Ihrer bevorzugten Suchmaschine finden
Übrigens
Festlegen von Benutzerattributen, um das Zurückschreiben von Azure AD Connect-Kennwörtern zu ermöglichen und so die Kennwortsynchronisierung sicherzustellen
Das funktioniert nicht, da Azure AD Connect Benutzer und Passwörter von AD nach Azure AD synchronisiert, aber nicht umgekehrt. Daher funktioniert das Zurückschreiben von Passwörtern nur, wenn die Quelle des Kontos AD ist.