Freigeben über

Microsoft Entra Connect Sync: Konfigurieren des bevorzugten Datenspeicherorts für Microsoft 365-Ressourcen

Der Zweck dieses Artikels besteht darin, Sie durch die Konfiguration des Attributs für den bevorzugten Datenspeicherort in Microsoft Entra Connect Sync zu führen. Wenn jemand Multi-Geo-Funktionen in Microsoft 365 verwendet, verwenden Sie dieses Attribut, um den geografischen Standort der Microsoft 365-Daten des Benutzers festzulegen. (Die Begriffe Region und Geo werden synonym verwendet.)

Unterstützte Multi-Geo-Standorte

Eine Liste aller von Microsoft Entra Connect unterstützten geografischen Gebiete finden Sie unter Microsoft 365 Multi-Geo-Verfügbarkeit

Aktivieren der Synchronisierung des bevorzugten Datenspeicherorts

Standardmäßig befinden sich die Microsoft 365-Ressourcen für Ihre Benutzer im selben geografischen Raum wie Ihr Microsoft Entra-Mandant. Wenn sich der Mandant beispielsweise in Nordamerika befindet, befinden sich die Exchange-Postfächer der Benutzer ebenfalls in Nordamerika. Für eine multinationale Organisation ist dies möglicherweise nicht optimal.

Durch Festlegen des Attributs preferredDataLocation-können Sie den geografischen Standort eines Benutzers definieren. Sie können über die Microsoft 365-Ressourcen des Benutzers verfügen, z. B. das Postfach und OneDrive, in demselben geografischen Bereich wie der Benutzer und dennoch über einen Mandanten für Ihre gesamte Organisation verfügen.

Wichtig

Ab dem 1. Juni 2023 können CSP-Partner Multi-Geo für mindestens 5 % der gesamten Microsoft 365-Abonnementplätze für ihre Kunden erwerben.

Multi-Geo ist auch für Kunden mit einem aktiven Enterprise Agreement verfügbar. Bitte wenden Sie sich an Ihren Microsoft-Vertreter, um Details zu erhalten.

Eine Liste aller Geos, die von Microsoft Entra Connect unterstützt werden, finden Sie unter Microsoft 365 Multi-Geo-Verfügbarkeit.

Microsoft Entra Connect-Unterstützung für die Synchronisierung

Microsoft Entra Connect unterstützt in Version 1.1.524.0 und höher die Synchronisierung des Attributs preferredDataLocation für Benutzerobjekte. Genauer gesagt:

  • Das Schema des Objekttyps Benutzer im Microsoft Entra-Connector wird zum Einbeziehen des preferredDataLocation-Attributs erweitert. Das Attribut ist vom Typ „einwertige Zeichenfolge“.
  • Das Schema des Objekttyps Person im Metaverse wird erweitert, um das preferredDataLocation-Attribut einzuschließen. Das Attribut ist vom Typ „einwertige Zeichenfolge“.

Standardmäßig ist das preferredDataLocation-Attribut nicht für die Synchronisierung aktiviert. Dieses Feature ist für größere Organisationen vorgesehen. Das Active Directory-Schema in Windows Server 2019 verfügt über ein Attribut msDS-preferredDataLocation, das Sie zu diesem Zweck verwenden sollten. Wenn Sie das Active Directory-Schema nicht aktualisiert haben und dies nicht tun können, müssen Sie ein Attribut identifizieren, das die Microsoft 365-Geo für Ihre Benutzer enthält. Dies wird für jede Organisation unterschiedlich sein.

Wichtig

Microsoft Entra erlaubt die direkte Konfiguration des preferredDataLocation-Attributs in Cloudbenutzerobjekten mithilfe von Microsoft Graph PowerShell. Um dieses Attribut für die synchronisierten Benutzerobjekte zu konfigurieren, müssen Sie Microsoft Entra Connect verwenden.

Vor dem Aktivieren der Synchronisierung:

  • Wenn Sie das Active Directory-Schema nicht auf 2019 aktualisiert haben, entscheiden Sie, welches lokale Active Directory-Attribut als Quellattribute verwendet werden soll. Dieses muss vom Typ einwertige Zeichenfolge sein.

  • Wenn Sie das preferredDataLocation-Attribut zuvor mithilfe von Microsoft Graph PowerShell für vorhandene synchronisierte Benutzerobjekte in Microsoft Entra ID konfiguriert haben, müssen Sie die Attributwerte in die entsprechenden Benutzerobjekte im lokalen Active Directory zurückportieren.

    Wichtig

    Wenn Sie diese Werte nicht zurückportieren und die Synchronisierung ist für das preferredDataLocation-Attribut aktiviert, entfernt Microsoft Entra Connect die vorhandenen Attributwerte in Microsoft Entra ID.

  • Konfigurieren Sie das Quellattribute für mindestens ein paar lokale Active Directory-Benutzerobjekte jetzt. Sie können dies später zur Überprüfung verwenden.

Die folgenden Abschnitte enthalten die Schritte zum Aktivieren der Synchronisierung des preferredDataLocation-Attributs.

Anmerkung

Die Schritte werden im Kontext einer Microsoft Entra-Bereitstellung mit einer Topologie mit einer einzelnen Gesamtstruktur und ohne benutzerdefinierte Synchronisierungsregeln beschrieben. Wenn Sie über eine Topologie mit mehreren Gesamtstrukturen verfügen, benutzerdefinierte Synchronisierungsregeln konfiguriert haben oder einen Stagingserver verwenden, sollten Sie die Schritte entsprechend anpassen.

Schritt 1: Deaktivieren des Synchronisierungszeitplans und Überprüfen, ob keine Synchronisierung ausgeführt wird

Um unbeabsichtigte Änderungen zu vermeiden, die in die Microsoft Entra-ID exportiert werden, stellen Sie sicher, dass keine Synchronisierung stattfindet, während Sie sich in der Mitte der Aktualisierung von Synchronisierungsregeln befinden. So deaktivieren Sie den integrierten Synchronisierungszeitplaner:

  1. Starten Sie eine PowerShell-Sitzung auf dem Microsoft Entra Connect-Server.
  2. Deaktivieren Sie die geplante Synchronisierung, indem Sie dieses Cmdlet ausführen: Set-ADSyncScheduler -SyncCycleEnabled $false.
  3. Starten Sie den Synchronization Service Manager, indem Sie zu START>Synchronization Service navigieren.
  4. Wählen Sie die Registerkarte Vorgänge aus, und vergewissern Sie sich, dass kein Vorgang mit dem Status In Arbeit angezeigt wird.

Screenshot des Synchronisierungsdienst-Managers

Schritt 2: Aktualisieren des Schemas für Active Directory

Wenn Sie das Active Directory-Schema auf 2019 aktualisiert haben und Connect vor der Schemaerweiterung installiert wurde, verfügt der Connect-Schemacache nicht über das aktualisierte Schema. Sie müssen das Schema anschließend im Assistenten aktualisieren, damit es auf der Benutzeroberfläche angezeigt wird.

  1. Starten Sie den Microsoft Entra Connect-Assistenten vom Desktop aus.
  2. Wählen Sie zunächst die Option Verzeichnisschema aktualisieren und dann Weiter aus.
  3. Geben Sie Ihre Microsoft Entra-Anmeldeinformationen ein, und wählen Sie Weiter aus.
  4. Stellen Sie auf der Seite Verzeichnisschema aktualisieren sicher, dass alle Gesamtstrukturen ausgewählt sind, und wählen Sie die Option Weiteraus.
  5. Wenn Sie fertig sind, schließen Sie den Assistenten.

Screenshot der Aktualisierung des Verzeichnisschemas im Connect-Assistenten

Schritt 3: Hinzufügen des Quellattributes zum lokalen Active Directory Connector-Schema

Dieser Schritt ist nur erforderlich, wenn Sie Connect, Version 1.3.21 oder älter, ausführen. Wenn Sie Version 1.4.18 oder höher verwenden, überspringen Sie die Schritte bis zu Schritt 5.
Nicht alle Microsoft Entra-Attribute werden in den lokalen Active Directory-Connectorbereich importiert. Wenn Sie ein Attribut verwenden möchten, das nicht standardmäßig synchronisiert wird, müssen Sie es importieren. So fügen Sie das Quellattribut zur Liste der importierten Attribute hinzu:

  1. Wählen Sie in Synchronization Service Manager die Registerkarte Connectors aus.
  2. Klicken Sie mit der rechten Maustaste auf den lokalen Active Directory Connector, und wählen Sie Eigenschaften aus.
  3. Navigieren Sie im Popupdialogfeld zur Registerkarte Attribute auswählen.
  4. Stellen Sie sicher, dass das ausgewählte Quellattribut in der Attributliste markiert ist. Falls das Attribut nicht angezeigt wird, aktivieren Sie das Kontrollkästchen Alle anzeigen.
  5. Zum Speichern wählen Sie OKaus.

Screenshot: Synchronization Service Manager und Dialogfeld „Eigenschaften“, in dem die Liste „Attribute“ hervorgehoben ist

Schritt 4: Hinzufügen des preferredDataLocation-Attributs zum Microsoft Entra Connector-Schema

Dieser Schritt ist nur erforderlich, wenn Sie Connect, Version 1.3.21 oder älter, ausführen. Wenn Sie Version 1.4.18 oder höher verwenden, überspringen Sie die Schritte bis zu Schritt 5.
Standardmäßig wird das preferredDataLocation-Attribut nicht in den Microsoft Entra Connector-Bereich importiert. So fügen Sie sie der Liste der importierten Attribute hinzu:

  1. Wählen Sie in Synchronization Service Manager die Registerkarte Connectors aus.
  2. Klicken Sie mit der rechten Maustaste auf den Microsoft Entra-Connector, und wählen Sie Eigenschaften aus.
  3. Navigieren Sie im Popupdialogfeld zur Registerkarte Attribute auswählen.
  4. Wählen Sie das preferredDataLocation-Attribut in der Liste aus.
  5. Zum Speichern wählen Sie OKaus.

Screenshot des Synchronisierungsdienst-Managers und des Eigenschaften-Dialogfelds

Schritt 5: Erstellen einer Synchronisierungsregel für eingehende Daten

Die Synchronisierungsregel für eingehende Daten ermöglicht die Übertragung des Attributwerts aus dem Quellattribut im lokalen Active Directory in die Metaverse.

  1. Starten Sie den Synchronisierungsregel-Editor, indem Sie zu START>Synchronisierungsregel-Editor navigieren.

  2. Legen Sie den Suchfilter Richtung auf Eingehend fest.

  3. Um eine neue Regel für eingehende Daten zu erstellen, wählen Sie Neue Regel hinzufügen.

  4. Geben Sie auf der Registerkarte Beschreibung die folgende Konfiguration an:

    Attribut value Einzelheiten
    Name Geben Sie einen Namen Zum Beispiel: „In from AD – User preferredDataLocation“
    Beschreibung Geben Sie eine benutzerdefinierte Beschreibung an.
    Verbundenes System Wählen Sie den lokalen Active Directory Connector aus.
    Objekttyp des verbundenen Systems User
    Metaverse-Objekttyp Person
    Verknüpfungstyp Tritt bei
    Vorrang Wählen Sie eine Zahl zwischen 1 und 99 1 bis 99 ist für benutzerdefinierte Synchronisierungsregeln reserviert. Wählen Sie keinen Wert aus, der von einer anderen Synchronisierungsregel verwendet wird.

  5. Lassen Sie die Bereichsfilter leer, um alle Objekte einzubeziehen. Möglicherweise müssen Sie den Bereichsfilter entsprechend Ihrer Microsoft Entra Connect-Bereitstellung optimieren.

  6. Navigieren Sie zur Registerkarte „Transformation“, und implementieren Sie folgende Transformationsregel:

    Flusstyp Zielattribut Quelle Einmal anwenden Mergetyp
    Direkt BevorzugterDatenspeicherort Auswählen des Quellattributes Deaktiviert Aktualisieren

  7. Wählen Sie Hinzufügen, um die Regel für eingehende Daten zu erstellen.

Screenshot des Erstellens einer Synchronisierungsregel für eingehende Daten "Erstellen einer eingehenden Synchronisierungsregel"

Schritt 6: Erstellen einer ausgehenden Synchronisierungsregel

Die Synchronisierungsregel für ausgehende Daten ermöglicht die Übertragung des Attributwerts aus dem Metaverse auf das preferredDataLocation-Attribut Microsoft Entra ID:

  1. Navigieren Sie zum Synchronisierungsregel-Editor.

  2. Legen Sie die Richtung des Suchfilters auf Ausgehend fest.

  3. Wählen Sie Neue Regel hinzufügen aus.

  4. Geben Sie auf der Registerkarte Beschreibung die folgende Konfiguration an:

    Attribut value Einzelheiten
    Name Geben Sie einen Namen Zum Beispiel: „Out to Microsoft Entra ID – User preferredDataLocation“
    Beschreibung Geben Sie eine Beschreibung
    Verbundenes System Wählen Sie den Microsoft Entra-Connector aus.
    Objekttyp des verbundenen Systems User
    Metaverse-Objekttyp Person
    Verknüpfungstyp Tritt bei
    Vorrang Wählen Sie eine Zahl zwischen 1 und 99 1 bis 99 ist für benutzerdefinierte Synchronisierungsregeln reserviert. Wählen Sie keinen Wert aus, der von einer anderen Synchronisierungsregel verwendet wird.

  5. Navigieren Sie zur Registerkarte Bereichsfilter, und fügen Sie eine einzelne Bereichsfiltergruppe mit zwei Klauseln hinzu:

    Attribut Bediener value
    Quellobjekttyp EQUAL Benutzer
    cloudMastered NOTEQUAL True

    Der Bereichsfilter legt fest, auf welche Microsoft Entra-Objekte diese Synchronisierungsregel für ausgehende Daten angewendet wird. In diesem Beispiel verwenden wir denselben Bereichsfilter aus der OOB-Synchronisierungsregel (out-of-box) „Out to Microsoft Entra ID – User Identity“. Er verhindert, dass die Synchronisierungsregel auf Benutzerobjekte angewendet wird, die nicht über ein lokales Active Directory synchronisiert werden. Möglicherweise müssen Sie den Bereichsfilter entsprechend Ihrer Microsoft Entra Connect-Bereitstellung optimieren.

  6. Navigieren Sie zur Registerkarte Transformation, und implementieren Sie folgende Transformationsregel:

    Flusstyp Zielattribut Quelle Einmal anwenden Mergetyp
    Direkt BevorzugterDatenspeicherort BevorzugterDatenspeicherort Deaktiviert Aktualisieren

  7. Schließen Sie die Option Hinzufügen, um die Ausgangsregel zu erstellen.

Screenshot des Erstellens einer Synchronisierungsregel für ausgehende Daten

Schritt 7: Ausführen des vollständigen Synchronisierungszyklus

Im Allgemeinen ist ein vollständiger Synchronisierungszyklus erforderlich. Dies liegt daran, dass Sie sowohl dem Active Directory- als auch dem Microsoft Entra Connector-Schema neue Attribute hinzugefügt und benutzerdefinierte Synchronisierungsregeln eingeführt haben. Überprüfen Sie die Änderungen, bevor Sie sie in die Microsoft Entra-ID exportieren. Sie können die folgenden Schritte verwenden, um die Änderungen zu überprüfen, während Sie manuell die Schritte ausführen, die einen vollständigen Synchronisierungszyklus bilden.

  1. Führen Sie den vollständigen Import auf dem lokalen Active Directory Connector aus:

    1. Wechseln Sie in Synchronization Service Manager zur Registerkarte Connectors.

    2. Klicken Sie mit der rechten Maustaste auf den lokalen Active Directory Connector, und wählen Sie Ausführen aus.

    3. Wählen Sie im Dialogfeld Vollständiger Import und dann OK aus.

    4. Warten Sie, bis der Vorgang abgeschlossen ist.

      Anmerkung

      Sie können den vollständigen Import für den lokalen Active Directory-Connector überspringen, wenn das Quellattribute bereits in der Liste der importierten Attribute enthalten ist. Mit anderen Worten, Sie mussten in Schritt 2 weiter oben in diesem Artikel keine Änderungen vornehmen.

  2. Führen Sie den vollständigen Import auf dem Microsoft Entra Connector aus:

    1. Klicken Sie mit der rechten Maustaste auf den Microsoft Entra-Connector, und wählen Sie Ausführen aus.
    2. Wählen Sie im Dialogfeld Vollständiger Import und dann OK aus.
    3. Warten Sie, bis der Vorgang abgeschlossen ist.

  3. Überprüfen Sie die Änderungen an den Synchronisierungsregeln zu einem vorhandenen Benutzerobjekt.

    Das Quellattribut aus dem lokalen Active Directory und preferredDataLocation aus Microsoft Entra ID wurden in den jeweiligen Connectorbereich importiert. Bevor Sie mit dem Schritt der vollständigen Synchronisierung fortfahren, sollten Sie eine Vorschau zu einem vorhandenen Benutzerobjekt im lokalen Active Directory Connector-Bereich ausführen. In dem von Ihnen ausgewählten Objekt muss das Quellattribut aufgefüllt sein. Eine erfolgreiche Vorschau, bei der das preferredDataLocation-Attribut im Metaverse aufgefüllt ist, ist ein guter Indikator dafür, dass die Synchronisierungsregeln richtig konfiguriert sind. Informationen zum Durchführen einer Vorschau finden Sie unter Überprüfen der Änderungen.

  4. Führen Sie die vollständige Synchronisierung auf dem lokalen Active Directory Connector aus:

    1. Klicken Sie mit der rechten Maustaste auf den lokalen Active Directory Connector, und wählen Sie Ausführen aus.
    2. Wählen Sie zunächst im Dialogfeld die Option Vollständige Synchronisierung und dann OK aus.
    3. Warten Sie, bis der Vorgang abgeschlossen ist.

  5. Überprüfen Sie ausstehende Exporte in Microsoft Entra ID:

    1. Klicken Sie mit der rechten Maustaste auf den Microsoft Entra-Connector, und wählen Sie Connectorbereich durchsuchen aus.

    2. Gehen Sie im Dialogfeld Suchverbindungsraum wie folgt vor:

      a) Legen Sie den Bereich auf Ausstehender Export fest.
      b. Wählen Sie alle drei Kontrollkästchen aus: „Hinzufügen“, „Ändern“ und „Löschen“ .
      c. Um die Liste der Objekte mit Änderungen, die exportiert werden sollen, anzuzeigen, wählen Sie Suchenaus. Um die Änderungen für ein bestimmtes Objekt zu untersuchen, doppelklicken Sie auf das Objekt.
      d. Überprüfen Sie, ob die Änderungen erwartet werden.

  6. Führen Sie den Export auf dem Microsoft Entra Connector aus

    1. Klicken Sie mit der rechten Maustaste auf den Microsoft Entra-Connector, und wählen Sie Ausführen aus.
    2. Wählen Sie im Dialogfeld Connector ausführen die Option Exportieren und dann OK aus.
    3. Warten Sie, bis der Vorgang abgeschlossen ist.

Anmerkung

Möglicherweise stellen Sie fest, dass die Schritte nicht den vollständigen Synchronisierungsschritt im Microsoft Entra Connector oder den Exportschritt für den Active Directory-Connector enthalten. Die Schritte sind nicht erforderlich, da die Attributwerte von lokalem Active Directory zu Microsoft Entra-only fließen.

Schritt 8: Erneutes Aktivieren des Synchronisierungszeitplans

Aktivieren Sie den integrierten Synchronisierungszeitplaner erneut:

  1. Starten Sie eine PowerShell-Sitzung.
  2. Erneute Aktivierung der geplanten Synchronisierung durch Ausführen dieses Cmdlets: Set-ADSyncScheduler -SyncCycleEnabled $true

Schritt 9: Überprüfen des Ergebnisses

Es ist jetzt an der Zeit, die Konfiguration zu überprüfen und für Ihre Benutzer zu aktivieren.

  1. Fügen Sie dem ausgewählte Attribut für einen Benutzer den Geo hinzu. Die Liste der verfügbaren geografischen Räume finden Sie in dieser Tabelle.
    Screenshot eines einem Benutzer hinzugefügten AD-Attributs
  2. Warten Sie, bis das Attribut mit der Microsoft Entra-ID synchronisiert wird.
  3. Überprüfen Sie mithilfe von Exchange Online PowerShell, ob die Postfachregion ordnungsgemäß festgelegt ist.
    Screenshot von Exchange Online PowerShell
    Sofern Ihr Mandant für die Verwendung dieses Features aktiviert wurde, wird das Postfach in den richtigen geografischen Raum verschoben. Dies kann überprüft werden, indem Sie sich den Servernamen ansehen, in dem sich das Postfach befindet.

Nächste Schritte

Weitere Informationen zu Multi-Geo in Microsoft 365:

Erfahren Sie mehr über das Konfigurationsmodell im Synchronisierungsmodul:

Übersichtsthemen:

  • Last updated on