Sie können den Workspace ONE Access-Dienst in eine Active Directory-Umgebung integrieren, die aus einer einzelnen Active Directory-Domäne, mehreren Domänen in einer einzelnen Active Directory-Gesamtstruktur oder mehreren Domänen in mehreren Active Directory-Gesamtstrukturen besteht.

Active Directory-Umgebung mit einer einzelnen Domäne

Bei der Bereitstellung einer einzelnen Active Directory-Domäne können Sie Benutzer und Gruppen aus einer einzelnen Active Directory-Domäne heraus synchronisieren.

Erstellen Sie für diese Umgebung ein Verzeichnis vom Typ „Active Directory über LDAP“ im Workspace ONE Access-Dienst.

Weitere Informationen finden Sie unter:

Active Directory-Umgebung mit mehreren Domänen in einer einzelnen Struktur

In einer Active Directory-Bereitstellung mit mehreren Domänen in einer einzelnen Gesamtstruktur können Sie Benutzer und Gruppen aus mehreren Active Directory-Domänen in einer einzelnen Gesamtstruktur heraus synchronisieren.

In dieser Umgebung können Sie im Workspace ONE Access-Dienst entweder ein einzelnes „Active Directory über integrierte Windows-Authentifizierung“-Verzeichnis oder ein „Active Directory über LDAP“-Verzeichnis erstellen, das mit der Option „Globaler Katalog“ konfiguriert ist.
  • Empfohlen wird die Erstellung eines einzelnen Verzeichnisses vom Typ „Active Directory über integrierte Windows-Authentifizierung“.

    Wenn Sie ein Verzeichnis für diese Umgebung hinzufügen, wählen Sie die Option „Active Directory über integrierte Windows-Authentifizierung“ aus. Stellen Sie sicher, dass eine direkte (nicht transitive) bidirektionale Vertrauensstellung zwischen Domänen im Verzeichnis und der Domäne eingerichtet ist, in der der Bind-Benutzer des Verzeichnisses Mitglied ist.

    Weitere Informationen finden Sie unter:

  • Falls die integrierte Windows-Authentifizierung in Ihrer Active Directory-Umgebung nicht funktioniert, erstellen Sie ein Verzeichnis vom Typ „Active Directory über LDAP“ und wählen Sie die globale Katalogoption aus.

    Die Aktivierung der globalen Katalogoption ist unter anderem mit folgenden Einschränkungen verbunden:

    • Die Active Directory-Objektattribute, die im globalen Katalog repliziert werden, werden im Active Directory-Schema als Teilattributsatz identifiziert. Nur diese Attribute können vom Dienst zur Attributzuordnung verwendet werden. Bearbeiten Sie das Schema bei Bedarf, um im globalen Katalog gespeicherte Attribute hinzuzufügen oder zu entfernen.
    • Im globalen Katalog wird nur die Gruppenmitgliedschaft (das Attribut „member“) von universellen Gruppen gespeichert. Nur universelle Gruppen werden mit dem Dienst synchronisiert. Ändern Sie bei Bedarf den Geltungsbereich einer Gruppe von „lokale Domäne“ oder „global“ in „universell“.
    • Das Bind-DN-Konto, das Sie beim Konfigurieren eines Verzeichnisses im Dienst definieren, muss über Berechtigungen zum Lesen des Token-Groups-Global-And-Universal (TGGAU)-Attributs verfügen.
    • Wenn Workspace ONE UEM in Workspace ONE Access integriert ist und mehrere Workspace ONE UEM-Organisationsgruppen konfiguriert sind, kann die Option „Globaler Katalog von Active Directory“ nicht verwendet werden.

    Active Directory verwendet die Ports 389 und 636 für standardmäßige LDAP -Abfragen. Für globale Katalogabfragen werden die Ports 3268 und 3269 verwendet.

    Gehen Sie beim Hinzufügen eines Verzeichnisses zur globalen Katalogumgebung während der Konfiguration wie nachfolgend dargestellt vor.

    • Wählen Sie die Option „Active Directory über LDAP“ aus.
    • Deaktivieren Sie das Kontrollkästchen für die Option Dieses Verzeichnis unterstützt den DNS-Dienstspeicherort.
    • Aktivieren Sie die Option Dieses Verzeichnis verfügt über einen globalen Katalog. Nach der Auswahl dieser Option wird die Server-Portnummer automatisch in 3268 geändert. Zudem wird das Testfeld „Basis-DN“ nicht angezeigt, weil die Basis-DN beim Konfigurieren der globalen Katalogoption nicht benötigt wird.
    • Fügen Sie den Active Directory-Serverhostnamen hinzu.
    • Wenn Ihre Active Directory-Umgebung Zugriff über SSL erfordert, aktivieren Sie die Option Dieses Verzeichnis erfordert für alle Verbindungen die Verwendung von SSL und fügen das Zertifikat in das angezeigte Testfeld ein. Nach der Auswahl dieser Option wird die Server-Portnummer automatisch in 3269 geändert.

Active Directory-Umgebung mit mehreren Strukturen und Vertrauensbeziehungen

In einer Active Directory-Bereitstellung mit mehreren Gesamtstrukturen und Vertrauensbeziehungen können Sie Benutzer und Gruppen aus mehreren Active Directory-Domänen in Gesamtstrukturen heraus synchronisieren, bei denen zwischen den Domänen gegenseitige Vertrauensbeziehungen bestehen. Erstellen Sie im Workspace ONE Access-Dienst für diese Active Directory-Umgebung ein einzelnes Verzeichnis vom Typ „Active Directory über integrierte Windows-Authentifizierung“.

Wenn Sie ein Verzeichnis für diese Umgebung hinzufügen, wählen Sie die Option „Active Directory über integrierte Windows-Authentifizierung“ aus. Stellen Sie sicher, dass eine direkte (nicht transitive) bidirektionale Vertrauensstellung zwischen Domänen im Verzeichnis und der Domäne eingerichtet ist, in der der Bind-Benutzer des Verzeichnisses Mitglied ist.

Weitere Informationen finden Sie unter:

Active Directory-Umgebung mit mehreren Strukturen, aber ohne Vertrauensbeziehungen

In einer Active Directory-Bereitstellung mit mehreren Gesamtstrukturen, aber ohne Vertrauensbeziehungen können Sie Benutzer und Gruppen aus mehreren Active Directory-Domänen in mehreren Gesamtstrukturen heraus synchronisieren, bei denen zwischen den Domänen keine gegenseitigen Vertrauensbeziehungen bestehen. In dieser Umgebung erstellen Sie mehrere Verzeichnisse im Workspace ONE Access-Dienst, und zwar ein Verzeichnis für jede Gesamtstruktur.

Welchen Typ von Verzeichnissen Sie im Workspace ONE Access-Dienst erstellen, hängt von der Gesamtstruktur ab. Bei Gesamtstrukturen mit mehreren Domänen wählen Sie die Option „Active Directory über integrierte Windows-Authentifizierung“ aus. Bei einer Gesamtstruktur mit einer einzelnen Domäne wählen Sie die Option „Active Directory über LDAP“.

Weitere Informationen finden Sie unter: