Chat now with support
Chat mit Support

Identity Manager 9.2 - Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung

Verwalten einer Azure Active Directory-Umgebung Synchronisieren einer Azure Active Directory-Umgebung
Einrichten der Initialsynchronisation mit einem Azure Active Directory Mandanten Anpassen der Synchronisationskonfiguration für Azure Active Directory-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Azure Active Directory Benutzerkonten und Identitäten
Kontendefinitionen für Azure Active Directory Benutzerkonten Automatische Zuordnung von Identitäten zu Azure Active Directory Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Identitäten bei Änderung von Azure Active Directory Benutzerkonten Löschverzögerung für Azure Active Directory Benutzerkonten festlegen
Managen von Mitgliedschaften in Azure Active Directory Gruppen Managen von Zuweisungen von Azure Active Directory Administratorrollen Managen von Zuweisungen von Azure Active Directory Abonnements und Azure Active Directory Dienstplänen
Wirksame und unwirksame Azure Active Directory Dienstpläne für Azure Active Directory Benutzerkonten und Azure Active Directory Gruppen anzeigen Zuweisen von Azure Active Directory Abonnements an Azure Active Directory Benutzerkonten Zuweisen von unwirksamen Azure Active Directory Dienstpläne an Azure Active Directory Benutzerkonten Vererbung von Azure Active Directory Abonnements anhand von Kategorien Vererbung von unwirksamen Azure Active Directory Dienstplänen anhand von Kategorien
Bereitstellen von Anmeldeinformationen für Azure Active Directory Benutzerkonten Azure Active Directory Rollenmanagement Abbildung von Azure Active Directory Objekten im One Identity Manager
Azure Active Directory Unternehmensverzeichnis Azure Active Directory Benutzerkonten Azure Active Directory Benutzeridentitäten Azure Active Directory Gruppen Azure Active Directory Administratorrollen Azure Active Directory Verwaltungseinheiten Azure Active Directory Abonnements und Azure Active Directory Dienstpläne Unwirksame Azure Active Directory Dienstpläne Azure Active Directory App-Registierungen und Azure Active Directory Dienstprinzipale Berichte über Azure Active Directory Objekte
Behandeln von Azure Active Directory Objekten im Web Portal Empfehlungen für Verbund-Umgebungen Basisdaten für die Verwaltung einer Azure Active Directory-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer Azure Active Directory-Umgebung Standardprojektvorlagen für Azure Active Directory Verarbeitung von Azure Active Directory Systemobjekten Einstellungen des Azure Active Directory Konnektors

Azure Active Directory Rollenmanagement Mandanten

Das Azure Active Directory Rollenmanagement stellt eine Auswahl von Rollenverwaltungsfunktionalitäten zur Verfügung. Der Umfang dieser Funktionen richtet sich nach der vom Nutzer ausgewählten Azure Active Directory Lizenzstufe, welche entsprechende Mandanten bereitstellen.

Azure AD "Free"

Diese Lizenz beinhaltet die Basisfunktionalitäten des Rollenmanagements. Integrierte Rollen können ohne Einschränkung verwendet werden. Diese Rollen besitzen vorgegebene Rollendefinitionen. Das Hinzufügen und Entfernen einzelner Benutzer in integrierte Rollen ist innerhalb dieser Lizenz möglich. Gruppen können erstellt werden.

WICHTIG: Die Pflege von Verzeichnisrollen im One Identity Manager und die Verwendung benutzerdefinierter Rollen ist in den Basisfunktionalitäten nicht enthalten. Für diese Funktion wird die Azure AD P1-Lizenz oder P2-Lizenz benötigt.

WICHTIG: Verzeichnisrollen müssen über das Microsoft Azure Portal gepflegt werden.

WICHTIG: Diese Lizenz ermöglicht die Rollenzuweisung einzelner Benutzer. Die Zuweisung von Rollen an Gruppen ist nur innerhalb der Azure AD P1-Lizenz und P2-Lizenz möglich.

Azure AD Premium P1 - Rollenbasierte Zugriffssteuerung (RBAC)

Die rollenbasierte Zugriffssteuerung wird durch die Azure Active Directory Premium P1-Lizenz zur Verfügung gestellt. Sie beinhaltet neben den Basisfunktionen den Zugriff auf Rollendefinitionen und Rollenzuweisungen. Rollen können einer ganzen Gruppe zugewiesen werden. Dies ermöglicht übereinstimmende Rollenberechtigungen innerhalb einer Gruppe. Gruppen können erstellt werden.

Es gibt zwei verschiedene Arten von Teilbereichen, auf welche die rollenbasierte Zugriffssteuerung angewendet werden kann.

  • Eingrenzung Verzeichnisobjekte: Rollenzuweisungen lassen sich auf bestimmte Objekte, beispielsweise eine registrierte Applikation oder einen Benutzer, innerhalb des Azure Active Directory Verzeichnisses begrenzen. Die Eingrenzung auf Elemente einer definierten administrativen Einheit ist ebenfalls möglich.

  • Eingrenzung auf anwenderspezifische Elemente eines Dienstes: Benutzerdefinierte Rollen können synchronisiert aber nicht aus dem One Identity Manager angelegt werden.

WICHTIG: Diese Lizenz beinhaltet nicht die Funktionalitäten des Azure Active Directory Privileged Identity Management.

Azure AD Premium P2 - Privileged Identity Managemen (PIM)

Neben den bereits vorhandenen Einschränkungen der rollenbasierten Zugriffssteuerung, bietet diese Lizenz die zusätzliche Funktionalitäten zur Einschränkung und Steuerung von Rollenzuweisungen. Das Privileged Identity Management unterscheidet zwischen aktiven Rollenzuweisungen und Zuweisungsberechtigungen.

Rollenzuweisung: Einem Prinzipal wird eine Rolle zugewiesen.

Rollenberechtigung: Ein Prinzipal hat keine aktive Rollenzuweisung, kann bei Bedarf aber eine temporäre Rollenzuweisung aktivieren.

Eine Konfiguration von Rollenrichtlinien, wie beispielsweise zeitliche Begrenzungen, ist für beide Zuweisungsarten möglich. Weiterhin besteht die Möglichkeit, Attestierungen für Rollen zu erstellen.

HINWEIS: Die Erstellung von Rollenzuweisungen, für welche eine Multifaktor-Authentifizierung verpflichtend ist, ist nicht möglich.

HINWEIS: Aufgrund von Einschränkungen der Microsoft Graph API unterstützt das Rollenmanagement Feature im One Identity Manager im Modus "PIM" ausschließlich den globalen Verzeichnisbereich für aktive Rollenzuweisungen.

Detaillierte Informationen zum Thema
Verwandte Themen

Aktivierung der Funktionen des Azure Active Directory Rollenmanagement

Mit Einführung des Rollenmanagements von Microsoft 365 werden erweitere Funktionalitäten für die Verwaltung von Rollen und deren Mitgliedern und die Beschränkung von Rollenzuweisungen in Azure Active Directory Teilbereichen des One Identity Manager, zur Verfügung gestellt.

Neue als auch bestehende Synchronisationsprojekte erhalten mit der Einführung des Azure Active Directory Rollenmanagements automatisch den Basis-Modus (gleichzusetzen mit der Azure AD Free Lizenz von Microsoft 365). Der Basis-Modus beinhaltet alle bisherigen Funktionen des One Identity Manager. Die neuen Funktionen des Rollenmanagements werden durch die Aktivierung des RBAC-Modus (Azure AD P1-Lizenz) und PIM-Modus (Azure AD P2-Lizenz) zugänglich. Diese Aktivierung ist notwendig für bereits bestehende Synchronisationsprojekte, sowie bei Neuanlage eines Synchronisationsprojektes.

HINWEIS:Alle bisherigen Funktionen des Azure Active Directory stehen weiterhin im Basis-Modus zur Verfügung. Die Aktivierung des RBAC-Modus oder PIM-Modus ist nur notwendig, sofern Sie die erweiterten Rollenverwaltungsfunktionen nutzen wollen.

Um die erweiterten Rollenverwaltungsfunktionen für RBAC zu aktivieren

  1. Wählen Sie im Synchronization Editor das Synchronisationsprojekt.
  2. Wählen Sie Workflows.
  3. Wählen Sie den Workflow Initial Synchronization und klicken Sie auf die Schaltfläche Synchronisationsschritte aktivieren/deaktivieren.
  4. Deaktivieren Sie den Workflowschritt DirectoryRole.
  5. Aktivieren Sie die folgenden Workflowschritte.
    1. RBAC DirectoryRole
    2. RBAC DirectoryRole Assignments
  6. Speichern Sie die Änderungen.
  7. Wählen Sie den Workflow Provisioning und klicken Sie auf die Schaltfläche Synchronisationsschritte aktivieren/deaktivieren.
  8. Deaktivieren Sie den Workflowschritt DirectoryRole.
  9. Aktivieren Sie den Workflowschritt RBAC DirectoryRole Assignments.
  10. Speichern Sie die Änderungen.
  11. Wählen Sie im Object Browser die Tabelle AADOrganization.
  12. Setzen Sie den Wert RoleBehavior auf RBAC.
  13. Speichern Sie die Änderungen.

Um die erweiterten Rollenverwaltungsfunktionen für PIM zu aktivieren

  1. Wählen Sie im Synchronization Editor das Synchronisationsprojekt.
  2. Wählen Sie Workflows.
  3. Wählen Sie den Workflow Initial Synchronization und klicken Sie auf die Schaltfläche Synchronisationsschritte aktivieren/deaktivieren.
  4. Deaktivieren Sie den Workflowschritt DirectoryRole.
  5. Aktivieren Sie die folgenden Workflowschritte.
    1. RBAC DirectoryRole
    2. PIM DirectoryRole Assignments
    3. PIM DirectoryRole Eligibility
    4. PIM DirectoryRole Policies
  6. Speichern Sie die Änderungen.
  7. Wählen Sie den Workflow Provisioning und klicken Sie auf die Schaltfläche Synchronisationsschritte aktivieren/deaktivieren.
  8. Deaktivieren Sie den Workflowschritt DirectoryRole.
  9. Aktivieren Sie die folgenden Workflowschritte.
    1. PIM DirectoryRole Assignments
    2. PIM DirectoryRole Eligibility
  10. Speichern Sie die Änderungen.
  11. Wählen Sie im Object Browser die Tabelle AADOrganization.
  12. Setzen Sie den Wert RoleBehavior auf PIM.
  13. Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema

Verwandte Themen

Stammdaten von Azure Active Directory Rollen

Zu einer Rolle erhalten Sie die folgenden allgemeinen Stammdaten.

Tabelle 23: Allgemeine Stammdaten

Eigenschaft

Beschreibung

Anzeigename

Anzeigename zur Anzeige der Rolle in der Benutzeroberfläche der One Identity Manager Werkzeuge.

Mandant

Azure Active Directory Mandant der Rolle.

Eigentümer (Anwendungsrolle)

Anwendungsrolle, deren Mitglieder die Rollenzuweisungen beziehungsweise Rollenberechtigungen entscheiden dürfen.

Provider

Schnittstelle, die für die Verwaltung der Rolle verantwortlich ist.

Version

Gibt die Version der Rollendefinition an.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.

Built-in

Gibt an, ob die Rollendefinition Teil der Azure Active Directory Grundeinstellungen oder eine benutzerdefinierte Definition ist.

Aktiviert

Gibt an, ob die Rolle für die Zuweisung freigegeben ist.

Verwandte Themen

Azure Active Directory Rollenzuweisungen hinzufügen

Durch das Rollenmanagement können Sie für Rollen zusätzliche Rollenzuweisungen in Azure Active Directory Teilbereichen vornehmen.

Um eine Rollenzuweisung an eine Rolle zuzuweisen

  1. Wählen Sie im Manager die Kategorie Azure Active Directory > Rollen.
  2. Wählen Sie in der Ergebnisliste die Rolle.
  3. Wählen Sie die Aufgabe Hinzufügen oder Entfernen von Rollenzuweisungen.
  4. Klicken Sie Hinzufügen und erfassen Sie folgende Informationen.
    • Prinzipal: Der überstehende Prinzipal, dessen Zugriffe zugewiesen werden sollen, beispielsweise Gruppen oder einzelne Nutzer.
    • App-Bereich: Der Anwendungsbereich, für den der Prinzipal Zugriff erhalten soll. - ODER -
      Verzeichnisbereich: Der Verzeichnisbereich, für den der Prinzipal Zugriff erhalten soll.
    • Geben Sie an, ob es sich bei der Zuweisung um eine Direkte Zuweisung handelt.

      HINWEIS: Die Zuweisungsangaben Indirekte Zuweisung und Zuweisungsbestellung werden durch Prozesse gesetzt und sind nicht manuell setzbar.

    • Bestellvorgang: Verweis auf den Bestellvorgang, durch den die Zuweisung erfolgt ist.

      HINWEIS: Der Bestellvorgang wird durch Prozesse gesetzt und ist nicht manuell setzbar.

Verwandte Themen
Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen