Sie können Workspace ONE Access in Ihre Active Directory-Bereitstellung integrieren, um Benutzer und Gruppen aus Active Directory mit dem Workspace ONE Access-Dienst zu synchronisieren. Welche Art von Verzeichnis Sie im Workspace ONE Access-Dienst erstellen können, hängt davon ab, über welche Art von Active Directory-Umgebung Sie verfügen.
Active Directory-Umgebungen
Sie können den Workspace ONE Access-Dienst in eine Active Directory-Umgebung integrieren, die aus einer einzelnen Active Directory-Domäne, mehreren Domänen in einer einzelnen Active Directory-Gesamtstruktur oder mehreren Domänen in mehreren Active Directory-Gesamtstrukturen besteht.
Active Directory-Umgebung mit einer einzelnen Domäne
Bei der Bereitstellung einer einzelnen Active Directory-Domäne können Sie Benutzer und Gruppen aus einer einzelnen Active Directory-Domäne heraus synchronisieren.
Für diese Umgebung können Sie ein Verzeichnis entweder vom Typ „Active Directory über LDAP“ oder vom Typ „Active Directory über integrierte Windows-Authentifizierung“ im Workspace ONE Access-Dienst erstellen.
Weitere Informationen finden Sie unter:
Active Directory-Umgebung mit mehreren Domänen in einer einzelnen Struktur
In einer Active Directory-Bereitstellung mit mehreren Domänen in einer einzelnen Gesamtstruktur können Sie Benutzer und Gruppen aus mehreren Active Directory-Domänen in einer einzelnen Gesamtstruktur heraus synchronisieren.
- Empfohlen wird die Erstellung eines einzelnen Verzeichnisses vom Typ „Active Directory über integrierte Windows-Authentifizierung“.
Wenn Sie ein Verzeichnis für diese Umgebung hinzufügen, wählen Sie die Option „Active Directory über integrierte Windows-Authentifizierung“ aus. Stellen Sie sicher, dass eine direkte (nicht transitive) bidirektionale Vertrauensstellung zwischen Domänen im Verzeichnis und der Domäne eingerichtet ist, in der der Bind-Benutzer des Verzeichnisses Mitglied ist.
Weitere Informationen finden Sie unter:
- Falls die integrierte Windows-Authentifizierung in Ihrer Active Directory-Umgebung nicht funktioniert, erstellen Sie ein Verzeichnis vom Typ „Active Directory über LDAP“ und wählen Sie die Option „Globaler Katalog“ aus.
Die Aktivierung der Option „Globaler Katalog“ ist unter anderem mit folgenden Einschränkungen verbunden:
- Die Active Directory-Objektattribute, die im globalen Katalog repliziert werden, werden im Active Directory-Schema als Teilattributsatz identifiziert. Nur diese Attribute können vom Dienst zur Attributzuordnung verwendet werden. Bearbeiten Sie das Schema bei Bedarf, um im globalen Katalog gespeicherte Attribute hinzuzufügen oder zu entfernen.
- Im globalen Katalog wird nur die Gruppenmitgliedschaft (das Attribut „member“) von universellen Gruppen gespeichert. Nur universelle Gruppen werden mit dem Dienst synchronisiert. Ändern Sie bei Bedarf den Geltungsbereich einer Gruppe von „lokale Domäne“ oder „global“ in „universell“.
- Das Bind-DN-Konto, das Sie beim Konfigurieren eines Verzeichnisses im Dienst definieren, muss über Berechtigungen zum Lesen des Token-Groups-Global-And-Universal (TGGAU)-Attributs verfügen.
- Benutzer können eine Synchronisierung mit dem Workspace ONE Access-Verzeichnis „Globaler Katalog“ von mehreren Active Directory-Domänen aus durchführen, entweder direkt oder über Gruppenmitgliedschaften. Sie müssen sicherstellen, dass kein anderes Verzeichnis im Workspace ONE Access-Mandanten Benutzer aus denselben Domänen synchronisiert. Andernfalls kann der Konflikt zu Synchronisierungsfehlern führen.
- Wenn Workspace ONE UEM in Workspace ONE Access integriert ist und mehrere Workspace ONE UEM-Organisationsgruppen konfiguriert sind, kann die Option „Globaler Katalog von Active Directory“ nicht verwendet werden.
Active Directory verwendet die Ports 389 und 636 für standardmäßige LDAP -Abfragen. Für globale Katalogabfragen werden die Ports 3268 und 3269 verwendet.
Active Directory-Umgebung mit mehreren Strukturen und Vertrauensbeziehungen
In einer Active Directory-Bereitstellung mit mehreren Gesamtstrukturen und Vertrauensbeziehungen können Sie Benutzer und Gruppen aus mehreren Active Directory-Domänen in Gesamtstrukturen heraus synchronisieren, bei denen zwischen den Domänen gegenseitige Vertrauensbeziehungen bestehen. Erstellen Sie im Workspace ONE Access-Dienst für diese Active Directory-Umgebung ein einzelnes Verzeichnis vom Typ „Active Directory über integrierte Windows-Authentifizierung“.
Wenn Sie ein Verzeichnis für diese Umgebung hinzufügen, wählen Sie die Option „Active Directory über integrierte Windows-Authentifizierung“ aus. Stellen Sie sicher, dass eine direkte (nicht transitive) bidirektionale Vertrauensstellung zwischen Domänen im Verzeichnis und der Domäne eingerichtet ist, in der der Bind-Benutzer des Verzeichnisses Mitglied ist.
Weitere Informationen finden Sie unter:
Active Directory-Umgebung mit mehreren Strukturen, aber ohne Vertrauensbeziehungen
In einer Active Directory-Bereitstellung mit mehreren Gesamtstrukturen, aber ohne Vertrauensbeziehungen können Sie Benutzer und Gruppen aus mehreren Active Directory-Domänen in mehreren Gesamtstrukturen heraus synchronisieren, bei denen zwischen den Domänen keine gegenseitigen Vertrauensbeziehungen bestehen. In dieser Umgebung erstellen Sie mehrere Verzeichnisse im Workspace ONE Access-Dienst, und zwar ein Verzeichnis für jede Gesamtstruktur.
Weitere Informationen finden Sie unter: