MS365-Benutzer und lokale AD-Benutzer nachträglich verknüpfen

  1. Home
  2. Microsoft
  3. Windows Server
  4. Active Directory
  5. MS365-Benutzer und lokale AD-Benutzer nachträglich verknüpfen

OnPremise-Domäne und AzureAD sind verknüpft. Lokal sind die Benutzerkonten vorhanden – in der Cloud blöderweise auch schon. Wir wollen Microsoft nun im Nachgang beibringen, dass das vorhandene lokale Konto X und das vorhandene MS365-Konto Y identisch sind und abgeglichen werden sollen.

Annahmen

Ich gehe davon aus, dass Azure AD Connect ähnlich wie in meiner Anleitung eingerichtet ist. Die lokalen AD-Benutzer sind noch nicht in der Gruppe der Benutzer, die synchronisiert werden sollen. Es sind also noch keine lokalen Benutzer in die Cloud synchronisiert. Falls doch, stop right here, und lösche die aus dem AzureAD (auch aus dem Papierkorb).

Lokal habe ich folgenden Benutzer:

[email protected]

In MS365 ist der UPN des Benutzers folgender:

[email protected]

Vorbereitung – Installation AzureAD-Powershell-Modul

Einmalig müssen wir folgenden Befehl ausführen:

Install-Module -Name AzureAD

Damit haben wir die Möglichkeit, per Powershell das AzureAD zu managen.

Auslesen der ObjectID

Powershell auf dem DC:

$user = Get-ADUser -Filter 'Name -like "*NAME*"'
Write-Host [System.Convert]::ToBase64String($user.ObjectGUID.tobytearray())

Damit bekommen wir einen Base64-String, den Azure AD Connect nutzt, um Benutzer zu identifizieren.

In meinem Beispiel lautet dieser a3ByYW5kb21zdHJpbmc=

Setzen bei Remote-Nutzer

Den String aus dem vorherigen Schritt schreiben wir in das Attribut ImmutableId des MS365-Users.

Connect-AzureAD
Get-AzureADUser

Listet alle ObjectId’s und DisplayName/UPNs auf. Wir suchen uns unseren User; beispielsweise hat der Benutzer [email protected] folgende UUID: 5f86b90d-83b6-4d87-a9fc-3027dea16d8a

Um die beiden nun zu verlinken folgender Befehl:

Set-AzureADUser -ObjectId "5f86b90d-83b6-4d87-a9fc-3027dea16d8a" -ImmutableId "a3ByYW5kb21zdHJpbmc="

Hinzufügen des Benutzers zu der Gruppe

Im lokalen AD packen wir nun den Benutzer in die Gruppe der zu synchronisierenden Benutzer.

Neustart des Sync-Cycles

PowerShell auf dem Rechner, auf dem Azure AD Connect installiert ist:

Start-ADSyncSyncCyclie -PolicyType Delta

Ein paar Sekunden warten – und im MS365 Exchange Admin Center sollte der ehemalige Cloud-Benutzer nun als OnPremise-Benutzer angezeigt werden.

Anmeldeoptionen

Das neue Konto hat ab dem Zeitpunkt für Outlook/Teams/etc nicht mehr den ehemaligen MS365-Anmeldenamen ([email protected]), sondern den lokalen Anmeldenamen ([email protected]).

Postfächer und Lizenzen des MS365-Benutzer bleiben unverändert – die E-Mail-Adresse ändert sich nicht, das Postfach bleibt, die Lizenz bleibt.

Kategorien: Active Directory, Microsoft 365

tino-ruge.de wird tino-kuptz.de

Im Laufe des Jahres 2024 wird dieser Blog umziehen. Alle Inhalte werden 1:1 weitergeleitet, nix geht verloren. Neue Domain, alter Autor, alter Inhalt.