Bezieht sich auf: Upgrade von Live@edu auf Office 365

In Microsoft Office 365 ist einmaliges Anmelden anders implementiert als in Microsoft Live@edu. In Office 365 wird für einmaliges Anmelden nicht das SSO-Toolkit für Live@edu, sondern ein Identitätsverbund verwendet.

  • Sie müssen das SSO-Toolkit aktualisieren, um sicherzustellen, dass Ihre Benutzer während und nach dem Upgrade auf Office 365 über einmaliges Anmelden auf Outlook Web App zugreifen können.
  • Da das SSO-Toolkit nur bis 31. Dezember 2014 in Office 365 unterstützt wird, müssen Sie vor diesem Datum einen Verbund einrichten.

Es gibt zwei Möglichkeiten, einen Verbund zu implementieren:

  • Active Directory-Verbunddienste 2.0 (Active Directory Federation Services, AD FS)
  • Shibboleth Identity Provider (IDP) mit SAML 2.0   

Wichtig: Wenn Sie einen Identitätsverbund in Office 365 einrichten möchten, halten Sie sich an die Vorgehensweise in diesem Thema und nicht an die allgemeinen Office 365-Anweisungen. Die Tools werden in einer anderen Reihenfolge installiert, da in der aktualisierten Domäne bereits Benutzer vorhanden sind.

In diesem Artikel:

Aktualisieren des SSO-Toolkits zur Erhaltung des Zugriffs über einmaliges Anmelden Implementieren eines Verbunds

Aktualisieren des SSO-Toolkits zur Erhaltung des Zugriffs über einmaliges Anmelden

Als Zwischenlösung für einmaliges Anmelden in Office 365 ist ein Update für das Live@edu-SSO-Toolkit verfügbar. Das aktualisierte SSO-Toolkit wird bis 31. Dezember 2014 unterstützt. Anschließend müssen Sie einen Verbund implementieren, damit Ihnen das einmalige Anmelden weiterhin zur Verfügung steht.

Wichtig: Wenn Sie nicht auf Version 4.5 aktualisiert haben, wird das SSO-Toolkit während des Upgrade auf Office 365 nicht mehr funktionieren. Führen Sie die Aktualisierung vor dem Upgrade durch, um zu verhindern, dass es während und nach dem Upgrade bei Ihren Benutzern zu Unterbrechungen beim einmaligen Anmelden in Outlook Web App kommt und um den Zugriff auf Office 365-Dienste über einmaliges Anmelden zu ermöglichen.

Die folgende Tabelle liefert eine Zusammenfassung der Art der Anmeldung nach dem Aktualisieren des SSO-Toolkits. Beachten Sie, dass nach dem Upgrade der Zugriff über einmaliges Anmelden in einigen Fällen selbst nach der Aktualisierung des SSO-Toolkits verfügbar ist. Dies gilt für:

  • Persönliche Microsoft-Konten. Nach der Aktualisierung werden diese Konten nicht mehr von Ihrer Einrichtung verwaltet. Benutzer müssen den Benutzernamen und das Kennwort ihres Microsoft-Kontos verwenden.
  • Desktop-Clients und E-Mail-Clients auf Smartphones und anderen Geräten. Benutzer müssen weiterhin ihren Benutzernamen und ihr Kennwort für Office 365 angeben.
  • Lync-Client. Wenn Sie nach dem Upgrade einen Academic-Plan für Office 365 abonnieren, müssen Benutzer ihren Benutzernamen und ihr Kennwort für Office 365 angeben, um den Lync-Client verwenden zu können.
Anmeldung Vor dem Upgrade Während des Upgrades**  Nach dem Upgrade
Zugriff über einmaliges Anmelden verfügbar
  • Outlook Web App
  • Microsoft-Dienste wie SkyDrive
  •  Outlook Web App
  • Outlook Web App
  • Administratorseiten für Office 365, Exchange Online, SharePoint Online*, Lync Online*
  • SharePoint Online*
Benutzername und Kennwort erforderlich
  • E-Mail-Clients auf Smartphones und anderen Geräten
  • Desktop-Anwendungen wie Outlook und Thunderbird
  • Microsoft-Dienste wie SkyDrive
  • E-Mail-Clients auf Smartphones und anderen Geräten
  • Desktop-Anwendungen wie Outlook und Thunderbird
  • Microsoft-Dienste wie SkyDrive
  • E-Mail-Clients auf Smartphones und anderen Geräten
  • Desktop-Anwendungen wie Outlook und Thunderbird
  • Lync-Client*

* SharePoint Online und Lync Online stehen in Plan A2 oder höher zur Verfügung.

** Die Änderungen erfolgen beim Schritt „Lizenz zuweisen“. Während des Upgrades können Sie prüfen, bei welchem Schritt des Upgrades Sie sich momentan befinden. Rufen Sie dazu das Live@edu Service Management Portal auf.

Vor dem Upgrade

1. Aktualisieren des SSO-Toolkits

Führen Sie folgende Schritte aus, um Ihre lokale SSO-Toolkit-Installation zu aktualisieren:
  1. Laden Sie das Update „Live@edu SSO Toolkit 4.5“ für das Office 365-Upgradepaket herunter.
  2. Fertigen Sie eine Sicherheitskopie der aktuellen Lösung an.
  3. Folgen Sie den Schritten des im Downloadpaket enthaltenen Dokuments „Aktualisieren des Live@edu-SSO-Toolkit auf Version 4.5“, um das SSO-Toolkit zu aktualisieren und den Zugriff über einmaliges Anmelden zu verifizieren.

2. Information an Benutzer, wie sie schon vorher auf ihr persönliches Microsoft-Konto zugreifen können.

Während des Upgrades werden aus jedem Live@edu-Konto zwei getrennte Konten: Da die Microsoft-Konten beim Upgrade in persönliche Konten umgewandelt werden, die nicht der Bildungseinrichtung zugeordnet sind, können Sie danach weder den Zugriff auf SkyDrive über einmaliges Anmelden noch die Kennwörter für die Microsoft-Konten der Benutzer festlegen.

Wenn Sie Ihren Benutzern ihr Live@edu-Kennwort nicht mitgeteilt haben, stellen Sie ihnen folgende Anweisungen zur Verfügung:

  1. Fügen Sie Ihrem Live@edu-Konto vor dem Upgrade eine alternative E-Mail-Adresse hinzu, indem Sie den Anweisungen unter Warum muss ich Sicherheitsinformationen hinzufügen?folgen.
  2. Melden Sie sich während des Upgrades bei einer Microsoft-Website an, beispielsweise https://skydrive.live.com/.
    1. Klicken Sie auf des Anmeldeseite auf Können Sie nicht auf Ihr Konto zugreifen?
    2. Folgen Sie den Anweisungen auf der Seite Kennwort zurücksetzen.
Wenn ein Benutzer das Kennwort seines Microsoft-Kontos während des Upgrades zurücksetzen muss und keine alternative E-Mail-Adresse festgelegt hat, muss er  https://account.live.com/acsr  aufrufen und eine Kennwortzurücksetzung anfordern.

Nach dem Upgrade

1. Kennwortsperre vermeiden

Ähnlich wie bei Live@edu laufen Kennwörter in Office 365 standardmäßig nach 90 Tagen ab. Außerdem müssen neu erstellte Benutzer ihr Kennwort bei der ersten Anmeldung standardmäßig zurücksetzen.

  • Wenn Sie Ihren Benutzern ihr Live@edu-Kennwort nicht mitgeteilt haben, können diese Benutzer nicht auf Outlook Web App oder andere Office 365-Dienste zugreifen, wenn Sie 90 Tage nach dem Upgrade dazu aufgefordert werden, ihr Kennwort zurückzusetzen.
  • Je nachdem, wie Sie Benutzer in Office 365 erstellen möchten, werden neue Benutzer nicht auf Outlook Web App oder andere Office 365-Dienste zugreifen können, wenn sie bei der erstmaligen Anmeldung oder 90 Tage nach der Erstellung aufgefordert werden, ihr Kennwort zurückzusetzen.

Wichtig Um zu verhindern, dass Ihre Benutzer nicht auf Office 365-Dienste zugreifen können, empfehlen wir Ihnen für folgende Szenarien Windows Azure Active Directory PowerShell zu verwenden:

    Benutzer, für die ein Upgrade von Live@edu durchgeführt wurde

    Konfigurieren Sie die Kennwörter von Benutzern, für die ein Upgrade von Live@edu durchgeführt wurde, so, dass sie niemals ablaufen. Verwenden Sie dazu das Windows Azure Active Directory-Cmdlt Set-MsolUser.

  • Diese Aktion muss für jeden Benutzer ausgeführt werden.
  • Weitere Informationen finden Sie unter Benutzerkennwörter so konfigurieren, dass sie niemals ablaufen.
  • Beispiel: Führen Sie das folgende Cmdlet aus, um festzulegen, dass die Kennwörter aller Benutzer einer bestimmten Domäne niemals ablaufen:
    Get-MsolUser -DomainName fineartschool.net -All | Set-MsolUser -PasswordNeverExpires $true

    Zurücksetzen eines Benutzerkennworts

    Wenn Sie ein Benutzerkennwort zurücksetzen möchten, verwenden Sie das Windows Azure Active Directory-Cmdlet Set-MsolUserPassword.

  • Sie können verhindern, dass Benutzer bei der erstmaligen Anmeldung zum Ändern ihres Kennworts aufgefordert werden, indem Sie den Parameter-ForceChangePassword festlegen.
  • Diese Option ist nützlich für Einrichtungen, die ihren Benutzern Kennwörter für den Zugriff auf E-Mails über Smartphones und Desktop-Anwendungen festlegen.
  • Beispiel:
    Set-MsolUserPassword –UserPrincipleName dina@fineartschool.net -NewPassword "P@ssw0rd!" -ForceChangePassword $false

    Erstellen eines neuen Benutzers in Office 365

    Verwenden Sie zum Erstellen eines neuen Benutzers in Office 365 das Windows Azure Active Directory-Cmdlet New-MsolUser.

  • Sie können sowohl verhindern, dass Benutzer bei der ersten Anmeldung zum Ändern des Kennworts aufgefordert werden, als auch, dass ihr Kennwort abläuft, indem Sie den Parameter -ForceChangePassword bzw. -PasswordNeverExpires angeben.
  • Wenn Sie einen Benutzer über die Administratorseite von Office 365, die Exchange-Systemsteuerung oder die Exchange Online-Cmdlets erstellen, können Sie sein Kennwort zurücksetzen und so konfigurieren, dass es nach der Erstellung niemals abläuft.
  • Beispiel:
    New-MsolUser -UserPrincipalName rowena@fineartschool.net –DisplayName “Rowena Berry” –FirstName “Rowena” –LastName “Berry” –UsageLocation “US” -LicenseAssignment “FineArtSchool:EXCHANGESTANDARD_STUDENT” –Password “P@ssw0rd!” –ForceChangePassword $false –PasswordNeverExpires $true

Weitere Informationen zu Unterschieden bei der Verwendung von Windows PowerShell in Live@edu und Office 365 finden Sie unter Windows PowerShell.

2. Implementieren eines Verbunds

Da das SSO-Toolkit nur bis 31. Dezember 2014 in Office 365 unterstützt wird, müssen Sie vor diesem Datum einen Verbund implementieren.

Es gibt zwei Möglichkeiten zum Implementieren eines Verbunds:

Implementieren eines Verbunds

Egal ob Sie den Verbund sofort nach dem Upgrade von Live@edu verwenden oder es später implementieren möchten, empfehlen wir Ihnen, dass Sie den Verbund vorab mit einer Office 365-Testdomäne einrichten und testen. Nachdem Sie den Verbund mit einer Testdomäne getestet haben, können Sie ihn einfach und schnell auf Ihre Produktionsdomäne umstellen.

Wenn Sie sofort zu einem Verbund wechseln möchten, müssen Sie vor und nach dem Upgrade von Live@edu auf Office 365 eine Reihe von Aufgaben ausführen. Wenn Sie das SSO-Toolkit aktualisiert haben, können sämtliche Schritte zum Einrichten des Verbunds nach dem Upgrade auf Office 365 durchgeführt werden.

Einrichten eines AD FS 2.0-Verbunds für Office 365

Beachten Sie vor Beginn Folgendes:

Vor dem Upgrade

Führen Sie das Bereitstellungsvorbereitungstool aus.
  1. Führen Sie das Bereitstellungsvorbereitungstool aus.
Erstellen und testen Sie AD FS 2.0 und das Windows Azure Active Directory-Synchronisierungstool auf einem Office 365-Testmandanten.
  1. Erstellen Sie den Office 365-Testmandanten.
    1. Rufen Sie Pläne und Preise für Office 365 für Bildungseinrichtungen auf, und klicken Sie auf  30-TÄGIGE TESTVERSION. Daraufhin wird ein 30-Tage-Testmandant erstellt.
      • Beachten Sie, dass diese Testdomäne nicht mit Ihrer Produktionsdomäne zusammengeführt werden kann.
      • Diese Office 365-Testversion enthält das Office 365-Dienstupgrade, das Ihre Einrichtung nach dem Upgrade von Live@edu erhält. Dieser Unterschied spielt keine Rolle bei der Überprüfung des Identitätsverbunds. Weitere Informationen zum Dienstupgrade für Office 365 finden Sie unter häufig gestellte Fragen zu Upgrades.

    2. Fügen Sie dem Office 365-Testmandanten eine Testdomäne hinzu, die keine Subdomäne des Produktionsmandanten ist.
    3. Erstellen Sie in der lokalen Active Directory-Installation Testbenutzer.
    4. Erstellen Sie über die Verwaltungsseite in Office 365 oder über Windows PowerShell neue Benutzer in Office 365 mit den gleichen Benutzerprinzipalnamen, die Sie im vorherigen Schritt lokal erstellt haben, und weisen Sie allen Benutzern Exchange Online-Lizenzen zu. Informationen zum Erstellen von Benutzern finden Sie unter Erstellen oder Bearbeiten von Benutzern oder Erstellen von E-Mail-Benutzern.
    5. Melden Sie sich bei den Testpostfächern an, um ihre Funktionsfähigkeit zu überprüfen.
  2. Richten Sie AD FS 2.0 ein.
    1. Führen Sie alle Schritte unter Planen und Bereitstellen von Active Directory-Verbunddienste 2.0 für die Verwendung beim einmaligen Anmelden aus.
    2. Führen Sie die Schritte unter Install Windows PowerShell for single sign-on (Installieren von Windows PowerShell für einmaliges Anmelden) (möglicherweise in englischer Sprache) aus.
      • Folgen Sie den Anweisungen zum „Konvertieren der Domäne“ beim Einrichten einer Vertrauensstellung zwischen AD FS 2.0 und Office 365.
    3. Vergewissern Sie sich, dass Sie sich über den Verbund anmelden können, wenn Sie sich lokal und bei Office 365 anmelden.
  3. (Optional) Installieren Sie das Verzeichnissynchronisierungstool, und richten Sie es ein.
    Wichtig:
    • Das Verzeichnissynchronisierungstool kann nicht auf dem gleichen Server installiert werden wie OLSync, Identity Lifecycle Manager (ILM) 2007 oder Forefront Identity Manager (FIM) 2010.
    • Wenn Sie das Verzeichnissynchronisierungstool installieren, um es für eine Testdomäne zu verwenden, müssen Sie das Tool nach dem Upgrade deinstallieren und erneut installieren, damit Sie es für die Produktionsdomäne verwenden können.
    1. Folgen Sie den Anweisungen unter Konfigurieren der Verzeichnissynchronisierung.
    2. Synchronisieren Sie die Testdomäne.
  4. (Optional) Erstellen Sie einen neuen Benutzer in Active Directory, führen Sie eine Synchronisierung aus, und vergewissern Sie sich, dass sich der Benutzer über den Verbund bei Office 365 anmelden kann.

Nach dem Upgrade

Bereiten Sie die lokalen Verzeichnisse und die Cloudverzeichnisse auf die Verzeichnissynchronisierung vor.
  1. Aktivieren Sie die Verzeichnissynchronisierung  für die aktualisierte Produktionsdomäne in Office 365.
    • Dieser Vorgang dauert 24 Stunden, Sie können jedoch in der Zwischenzeit mit den Schritten bis "Installieren Sie das Verzeichnissynchronisierungstool, und führen Sie es aus" fortfahren.
  2. Wenn Sie OLSync oder OLMA verwenden, deaktivieren Sie die Synchronisierung für beide.
    1. Melden Sie sich mit Ihrem Benutzernamen und Ihrem Kennwort für Live@edu beim Live@edu Service Management Portal an.
    2. Klicken Sie auf Disable OLMA (OLMA deaktivieren).
    3. Wenn Sie für das Verzeichnissynchronisierungstool den gleichen Server verwenden, deinstallieren Sie OLSync und alle Komponenten von Identity Lifecyle Manager (ILM) 2007 oder Forefront Identity Manager (FIM) 2010. Beachten Sie, dass für das Windows Azure Active Directory-Synchronisierungstool ein 64-Bit-Server erforderlich ist.
  3. Laden Sie die Vorbereitungsskripts für Cloudverzeichnisse herunter.
    • Diese Skripts können auf jedem Computer ausgeführt werden, der in eine Domäne eingebunden ist und auf dem Windows PowerShell ausgeführt wird.
  4. Öffnen Sie eine Windows PowerShell-Eingabeaufforderung, und navigieren Sie zum Ordner, der die Skripts enthält.
  5. Führen Sie den folgenden Windows PowerShell-Befehl aus, damit die Skripts ausgeführt werden können:
    Set-ExecutionPolicy Unrestricted.
  6. Führen Sie für jede Organisationseinheit der obersten Ebene in Windows PowerShell das Skript ReadMode.ps1 für den schreibgeschützten Modus aus:
    .\ReadMode.ps1 -OutputFileName <Pfad zur Datei> -Office365AdminUserName <Benutzername> -LDAP <LDAP-Pfad>
    • Informationen zur Verwendung und zur Problembehandlung finden Sie im Abschnitt zur Verwendung von "ReadMode.ps1".
    • Prüfen Sie die CSV-Ausgabedatei, und finden Sie heraus, ob sie mit dem Skript "RemediationMode.ps1" verwendet werden kann:
      • Wenn keine Fehler gefunden werden, enthält die CSV-Datei vier Spalten: Primäre SMTP-Adresse, Szenario, ADObjectGUID und CloudObjectGUID.
        • Wenn die Datei diese vier Spalten enthält und keine Daten, sind keine Wartungsschritte erforderlich. Fahren Sie direkt mit den Schritten unter "Stellen Sie den Verbund von der Testdomäne auf die Produktionsdomäne um" fort.
        • Wenn die Datei die vier Spalten und Zeilen mit Daten enthält, fahren Sie mit Schritt 7 fort, um die in der Datei aufgeführten Probleme zu beheben.
      • Befolgen Sie bei Fehlern die Anweisungen zur Problembehandlung , um etwaige Probleme zu beheben, und führen Sie dann "ReadMode.ps1" erneut aus.
  7. Führen Sie für jede Organisationseinheit der obersten Ebene in Windows PowerShell das Wartungsskript RemediationMode.ps1 aus, und verwenden Sie dazu die im vorherigen Schritt erstellte CSV-Datei:
    .\RemediationMode.ps1 -InputFileName <Pfad zur Datei> -Office365AdminUserName <Benutzername>
    • Informationen zur Verwendung finden Sie im Abschnitt zur Verwendung von "RemediationMode.ps1".
    • Wenn die Ausführung des Skripts aufgrund von Fehlern abgebrochen wird, befolgen Sie die Anweisungen zur Problembehandlung, und führen Sie "RemediationMode.ps1" dann erneut aus.
    • Warten Sie nach der erfolgreichen Ausführung des Skripts "RemediationMode.ps1" 20 Minuten, und führen Sie das Skript dann erneut aus, um etwaige Replikationskollisionen zu beheben, die bei der ersten Ausführung des Skripts aufgetreten sind.
Stellen Sie den Verbund von der Testdomäne auf die Produktionsdomäne um.
  1. Erstellen Sie vor dem Aktivieren des Verbunds in der aktualisierten Office 365-Produktionsdomäne ein Administratorkonto.
    • Dieses Konto können Sie verwenden, um sich bei der Produktionsdomäne in Office 365 anzumelden und die Einrichtung zu verwalten, falls ein Problem beim Verbundanmeldefluss auftritt.
  2. Wenn Sie das neue Administratorkonto erstellt haben, aktivieren Sie AD FS 2.0 auf dem Produktionsmandanten.
  3. Vergewissern Sie sich, dass Sie sich über den Verbund beim lokalen System und bei Office 365 anmelden können.
Aktualisieren des Portals der Bildungseinrichtung
  1. Ändern Sie alle Links zu E-Mails auf Ihrer Website so, dass sie direkt zu https://portal.microsoftonline.com/ führen.
    • Da Sie den Verbund erstellt haben, werden die Benutzer daraufhin zum Anmelden an die AD FS 2.0-Identitätsserver weitergeleitet.
  2. Sollte Ihre Einrichtung bisher das SSO-Toolkit verwendet haben, aktualisieren Sie das Portal der Bildungseinrichtung, wenn Sie es künftig nicht mehr verwenden möchten.
Installieren Sie das Verzeichnissynchronisierungstool, und führen Sie es aus.
  1. Wenn Sie das Verzeichnissynchronisierungstool bereits zur Verwendung für die Testdomäne installiert haben, deinstallieren Sie es.
  2. Installieren Sie das Verzeichnissynchronisierungstool.
  3. Synchronisieren Sie die Verzeichnisse  mit dem Verzeichnissynchronisierungstool.
  4. Erstellen Sie einen neuen Benutzer in Active Directory, führen Sie eine Synchronisierung aus, und vergewissern Sie sich, dass sich der Benutzer über den Verbund bei Office 365 anmelden kann.

Set Einrichten eines Shibboleth-Verbunds für Office 365

Ein Verbund unter Verwendung des Shibboleth-Identitätsanbieters (IDP) wird für Active Directory mit den folgenden Clients unterstützt. Beachten Sie, dass der Lync 2010-Desktopclient nicht unterstützt wird.
  • Webbasierte Clients wie beispielsweise Outlook Web App und SharePoint Online
  • E-Mail-Rich Clients, die Standardauthentifizierung und eine unterstützte Exchange-Zugriffsmethode wie beispielsweise IMAP, POP, ActiveSync oder MAPI verwenden:
    • Microsoft Outlook 2007
    • Microsoft Outlook 2009
    • Thunderbird 8 und 9
    • iPhone (iOS 4, iOS 5)
    • Windows Phone 7
Schritt-für-Schritt-Anweisungen zum Implementieren eines Verbunds mithilfe von Shibboleth finden Sie unter Implementieren des einmaligen Anmeldens mithilfe von Shibboleth Identity Provider.

Vor dem Upgrade

Führen Sie das Bereitstellungsvorbereitungstool aus.
  1. Führen Sie das Bereitstellungsvorbereitungstool aus.

Erstellen und testen Sie Shibboleth auf einem Office 365-Testmandanten.

  1. Erstellen Sie den Office 365-Testmandanten.
    1. Rufen Sie Pläne und Preise für Office 365 für Bildungseinrichtungen auf, und klicken Sie auf  30-TÄGIGE TESTVERSION. Daraufhin wird ein 30-Tage-Testmandant erstellt.
      • Beachten Sie, dass diese Testdomäne nicht mit Ihrer Produktionsdomäne zusammengeführt werden kann.
      • Diese Office 365-Testversion enthält das Office 365-Dienstupgrade, das Ihre Einrichtung nach dem Upgrade von Live@edu erhält. Dieser Unterschied spielt keine Rolle bei der Überprüfung des Identitätsverbunds. Weitere Informationen zum Dienstupgrade für Office 365 finden Sie unter häufig gestellte Fragen zu Upgrades.

    2. Fügen Sie dem Office 365-Testmandanten eine Testdomäne hinzu, die keine Subdomäne des Produktionsmandanten ist.
    3. Erstellen Sie in der lokalen Active Directory-Installation Testbenutzer.
    4. Erstellen Sie über die Verwaltungsseite in Office 365 oder über Windows PowerShell neue Benutzer in Office 365 mit den gleichen Benutzerprinzipalnamen, die Sie im vorherigen Schritt lokal erstellt haben, und weisen Sie allen Benutzern Exchange Online-Lizenzen zu. Informationen zum Erstellen von Benutzern finden Sie unter Erstellen oder Bearbeiten von Benutzern oder Erstellen von E-Mail-Benutzern.
    5. Melden Sie sich bei den Testpostfächern an, um ihre Funktionsfähigkeit zu überprüfen.
  2. Richten Sie Shibboleth gemäß den Anweisungen unter Implementieren des einmaligen Anmeldens mithilfe von Shibboleth Identity Provider ein.
  3. (Optional) Installieren Sie das Verzeichnissynchronisierungstool, und richten Sie es ein.
    Wichtig:
    • Das Verzeichnissynchronisierungstool kann nicht auf dem gleichen Server installiert werden wie OLSync, Identity Lifecycle Manager (ILM) 2007 oder Forefront Identity Manager (FIM) 2010.
    • Wenn Sie das Verzeichnissynchronisierungstool installieren, um es für eine Testdomäne zu verwenden, müssen Sie das Tool nach dem Upgrade deinstallieren und erneut installieren, damit Sie es für die Produktionsdomäne verwenden können.
    1. Folgen Sie den Anweisungen unter Konfigurieren der Verzeichnissynchronisierung.
    2. Synchronisieren Sie die Testdomäne.
  4. (Optional) Erstellen Sie einen neuen Benutzer in Active Directory, führen Sie eine Synchronisierung aus, und vergewissern Sie sich, dass sich der Benutzer über den Verbund bei Office 365 anmelden kann.

Nach dem Upgrade

Bereiten Sie die lokalen Verzeichnisse und die Cloudverzeichnisse auf die Verzeichnissynchronisierung vor.
  1. Aktivieren Sie die Verzeichnissynchronisierung  für die aktualisierte Produktionsdomäne in Office 365.
    • Dieser Vorgang dauert 24 Stunden, Sie können jedoch in der Zwischenzeit mit den Schritten bis "Installieren Sie das Verzeichnissynchronisierungstool, und führen Sie es aus" fortfahren.
  2. Wenn Sie OLSync oder OLMA verwenden, deaktivieren Sie die Synchronisierung für beide.
    1. Melden Sie sich mit Ihrem Benutzernamen und Ihrem Kennwort für Live@edu beim  Live@edu Service Management Portal an.
    2. Klicken Sie auf Disable OLMA (OLMA deaktivieren).
    3. Wenn Sie für das Verzeichnissynchronisierungstool den gleichen Server verwenden, deinstallieren Sie OLSync und alle Komponenten von Identity Lifecyle Manager (ILM) 2007 oder Forefront Identity Manager (FIM) 2010. Beachten Sie, dass für das Windows Azure Active Directory-Synchronisierungstool ein 64-Bit-Server erforderlich ist.
    • Diese Skripts können auf jedem Computer ausgeführt werden, der in eine Domäne eingebunden ist und auf dem Windows PowerShell ausgeführt wird.
  3. Öffnen Sie eine Windows PowerShell-Eingabeaufforderung, und navigieren Sie zum Ordner, der die Skripts enthält.
  4. Führen Sie den folgenden Windows PowerShell-Befehl aus, damit die Skripts ausgeführt werden können:
    Set-ExecutionPolicy Unrestricted.
  5. Führen Sie für jede Organisationseinheit der obersten Ebene in Windows PowerShell das Skript ReadMode.ps1 für den schreibgeschützten Modus aus:
    .\ReadMode.ps1 -OutputFileName <Pfad zur Datei> -Office365AdminUserName <Benutzername> -LDAP <LDAP-Pfad>
    • Informationen zur Verwendung und zur Problembehandlung finden Sie im Abschnitt zur Verwendung von "ReadMode.ps1".
    • Prüfen Sie die CSV-Ausgabedatei, und finden Sie heraus, ob sie mit dem Skript "RemediationMode.ps1" verwendet werden kann:
      • Wenn keine Fehler gefunden werden, enthält die CSV-Datei vier Spalten: Primäre SMTP-Adresse, Szenario, ADObjectGUID und CloudObjectGUID.
        • Wenn die Datei diese vier Spalten enthält und keine Daten, sind keine Wartungsschritte erforderlich. Fahren Sie direkt mit den Schritten unter "Stellen Sie den Verbund von der Testdomäne auf die Produktionsdomäne um" fort.
        • Wenn die Datei die vier Spalten und Zeilen mit Daten enthält, fahren Sie mit Schritt 7 fort, um die in der Datei aufgeführten Probleme zu beheben.
      • Befolgen Sie die Anweisungen zur Problembehandlung, falls Fehler aufgetreten sind.
  6. Führen Sie für jede Organisationseinheit der obersten Ebene in Windows PowerShell das Wartungsskript RemediationMode.ps1 aus, und verwenden Sie dazu die im vorherigen Schritt erstellte CSV-Datei:
    .\RemediationMode.ps1 -InputFileName <Pfad zur Datei> -Office365AdminUserName <Benutzername>
    • Informationen zur Verwendung finden Sie im Abschnitt zur Verwendung von "RemediationMode.ps1".
    • Wenn die Ausführung des Skripts aufgrund von Fehlern abgebrochen wird, befolgen Sie die Anweisungen zur Problembehandlung, und führen Sie "RemediationMode.ps1" dann erneut aus.
    • Warten Sie nach der erfolgreichen Ausführung des Skripts "RemediationMode.ps1" 20 Minuten, und führen Sie das Skript dann erneut aus, um etwaige Replikationskollisionen zu beheben, die bei der ersten Ausführung des Skripts aufgetreten sind.
Stellen Sie den Verbund von der Testdomäne auf die Produktionsdomäne um.
  1. Erstellen Sie vor dem Aktivieren des Verbunds in der aktualisierten Office 365-Produktionsdomäne ein Administratorkonto.
    • Dieses Konto können Sie verwenden, um sich bei der Produktionsdomäne in Office 365 anzumelden und die Einrichtung zu verwalten, falls ein Problem beim Verbundanmeldefluss auftritt.
  2. Wenn Sie das neue Administratorkonto erstellt haben, aktivieren Sie Shibboleth auf dem Produktionsmandanten.
  3. Vergewissern Sie sich, dass Sie sich über den Verbund beim lokalen System und bei Office 365 anmelden können.
Aktualisieren des Portals der Bildungseinrichtung
  1. Ändern Sie alle Links zu E-Mails auf Ihrer Website so, dass sie direkt zu https://portal.microsoftonline.com/ führen.
    • Da Sie den Verbund erstellt haben, werden die Benutzer daraufhin zum Anmelden an die Shibboleth-Identitätsserver weitergeleitet.
  2. Sollte Ihre Einrichtung bisher das SSO-Toolkit verwendet haben, aktualisieren Sie das Portal der Bildungseinrichtung, wenn Sie es künftig nicht mehr verwenden möchten.
Installieren Sie das Verzeichnissynchronisierungstool, und führen Sie es aus.
  1. Wenn Sie das Verzeichnissynchronisierungstool bereits zur Verwendung für die Testdomäne installiert haben, deinstallieren Sie es.
  2. Installieren Sie das Verzeichnissynchronisierungstool.
  3. Synchronisieren Sie die Verzeichnisse  mit dem Verzeichnissynchronisierungstool.
  4. Erstellen Sie einen neuen Benutzer in Active Directory, führen Sie eine Synchronisierung aus, und vergewissern Sie sich, dass sich der Benutzer über den Verbund bei Office 365 anmelden kann.