Azure AD Connect vollständig deaktivieren

Manchmal ist es erwünscht den Sync der Benutzer aus dem Active Directory mit der Microsoft Cloud vollständig abzuschaffen. Das deinstallieren des Tools „AD Connector“ reicht hierzu nicht aus. Sobald es deinstalliert ist erhält der Admin per Mail die Warnung, dass der Sync die letzten 24 Stunden nicht ausgeführt wurde. Ebenso sind an den Benutzeriobjekten immer noch keine Änderungen möglich, da der „Anker“ immer noch auf die lokale AD-Struktur verweist.

Die Vollständige deaktivierung des AD Sync erfolgt über die Powershell. Anbei der Verlauf:

1. Deinstallieren Sie das Tool „Microsoft Azure AD Connect“
2. Öffnen Sie die Powershell als Administrator
3. Installieren Sie das Powershell Modul „Microsoft Online module for Azure Active Directory“

   Install-Module -Name MSonline

4. Geben Sie die Zugangsdaten eines globalen Administrators der Cloud ein

   $msolcred = get-credential

5. Verbinden Sie sich mit dem Office-365 Service

   connect-msolservice -credential $msolcred

6. Deaktivieren Sie den Sync mit folgendem Befehl endgültig

   Set-MsolDirSyncEnabled -EnableDirSync $false

7. Prüfen Sie, ob der Sync wirklich deaktiviert ist. Der folgende Befehl sollte als Antwort „FALSE“ ergeben

   (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled

   Der Status kann auch in Azure Active Directory Admin Center eingesehen werden.
   Achtung. Die korrekte Anzeige ist in der regel verzögert. Daher vertrauebn wir der Ausgabe in Powershell.
   

Nun ist die lokale Struktur von der Cloudstruktur getrennt. Alle Benutzerobjekte können nun komplett bearbeitet werden. Sollte man den Sync wieder benötigen, so installieren Sie einfach wieder den Connector in Ihrer Struktur.