지금 지원 담당자와 채팅
지원 담당자와 채팅

Identity Manager 8.1.5 - Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung

Verwalten einer Azure Active Directory-Umgebung Einrichten der Synchronisation mit einem Azure Active Directory Mandanten Basisdaten für die Verwaltung einer Azure Active Directory-Umgebung Azure Active Directory Unternehmensverzeichnis Azure Active Directory Benutzerkonten
Benutzerkonten mit Personen verbinden Unterstützte Typen von Benutzerkonten Stammdaten für Azure Active Directory Benutzerkonten bearbeiten Zusätzliche Aufgaben für die Verwaltung von Azure Active Directory Benutzerkonten Automatische Zuordnung von Personen zu Azure Active Directory Benutzerkonten Azure Active Directory Benutzerkonten deaktivieren Azure Active Directory Benutzerkonten löschen und wiederherstellen
Azure Active Directory Gruppen Azure Active Directory Administratorrollen Azure Active Directory Abonnements und Dienstpläne
Azure Active Directory Abonnements Unwirksame Azure Active Directory Dienstpläne
Berichte über Azure Active Directory Objekte Konfigurationsparameter für die Verwaltung einer Azure Active Directory-Umgebung Standardprojektvorlage für Azure Active Directory

Bearbeiten der Suchkriterien für die automatische Personenzuordnung

Die Kriterien für die Personenzuordnung werden am Mandanten definiert. Dabei legen Sie fest, welche Eigenschaften eines Benutzerkontos mit welchen Eigenschaften einer Person übereinstimmen müssen, damit die Person dem Benutzerkonto zugeordnet werden kann. Die Suchkriterien können Sie durch Formatdefinitionen weiter einschränken. Das zusammengestellte Suchkriterium wird in XML-Notation in die Spalte Suchkriterien für die automatische Personenzuordnung (AccountToPersonMatchingRule) der Tabelle AADOrganization geschrieben.

Suchkriterien werden bei der automatischen Zuordnung von Personen zu Benutzerkonten ausgewertet. Darüber hinaus können Sie anhand der Suchkriterien eine Vorschlagsliste für die Personenzuordnung an Benutzerkonten erzeugen und die Zuordnung direkt ausführen.

Hinweis: Bei der Zuordnung der Personen zu Benutzerkonten anhand der Suchkriterien erhalten die Benutzerkonten den Standardautomatisierungsgrad der Kontendefinition, die am Zielsystem des Benutzerkontos eingetragen ist. Abhängig davon, wie das Verhalten des verwendeten Automatisierungsgrades definiert ist, können Eigenschaften der Benutzerkonten angepasst werden.

Für administrative Benutzerkonten wird empfohlen, die Zuordnung nicht anhand der Suchkriterien vorzunehmen. Ordnen Sie Personen zu administrativen Benutzerkonten über die Aufgabe Stammdaten bearbeiten am jeweiligen Benutzerkonto zu.

HINWEIS: Der One Identity Manager liefert ein Standardmapping für die Personenzuordnung. Führen Sie die folgenden Schritte nur aus, wenn Sie das Standardmapping unternehmensspezifisch anpassen möchten.

Um Kriterien für die Personenzuordnung festzulegen

  1. Wählen Sie die Kategorie Azure Active Directory | Mandanten.
  2. Wählen Sie in der Ergebnisliste den Mandanten.
  3. Wählen Sie die Aufgabe Suchkriterien für die Personenzuordnung definieren.
  4. Legen Sie fest, welche Eigenschaften eines Benutzerkontos mit welchen Eigenschaften einer Person übereinstimmen müssen, damit die Person mit dem Benutzerkonto verbunden wird.
    Tabelle 27: Standardsuchkriterien für Benutzerkonten und Kontakte
    Anwenden auf Spalte an Person Spalte am Benutzerkonto
    Azure Active Directory Benutzerkonten Zentrales Benutzerkonto (CentralAccount) Alias (MailNickName)
  5. Speichern Sie die Änderungen.
Direkte Zuordnung von Personen an Benutzerkonten anhand einer Vorschlagsliste

Im Bereich Zuordnungen können Sie anhand der Suchkriterien eine Vorschlagsliste für die Personenzuordnung an Benutzerkonten erzeugen und die Zuordnung direkt ausführen. Die Benutzerkonten sind dafür in verschiedenen Ansichten zusammengestellt.

Tabelle 28: Ansichten zur manuellen Zuordnung

Ansicht

Beschreibung

Vorgeschlagene Zuordnungen

Die Ansicht listet alle Benutzerkonten auf, denen der One Identity Manager eine Person zuordnen kann. Dazu werden die Personen angezeigt, die durch die Suchkriterien ermittelt und zugeordnet werden können.

Zugeordnete Benutzerkonten

Die Ansicht listet alle Benutzerkonten auf, denen eine Person zugeordnet ist.

Ohne Personenzuordnung

Die Ansicht listet alle Benutzerkonten auf, denen keine Person zugeordnet ist und für die über die Suchkriterien keine passende Person ermittelt werden kann.

TIPP: Mit Maus-Doppelklick auf einen Eintrag in den Ansichten werden das Benutzerkonto und die Person geöffnet und Sie können die Stammdaten einsehen.

Um die Suchkriterien auf die Benutzerkonten anzuwenden

  • Klicken Sie Neu laden.

    Für alle Benutzerkonten im Zielsystem werden die möglichen Zuordnungen anhand der Suchkriterien ermittelt. Die drei Ansichten werden aktualisiert.

Um Personen direkt über die Vorschlagsliste zuzuordnen

  1. Klicken Sie Vorgeschlagene Zuordnungen.
    1. Klicken Sie Auswahl für alle Benutzerkonten, denen die vorgeschlagene Person zugeordnet werden soll. Eine Mehrfachauswahl ist möglich.
    2. Klicken Sie Ausgewählte zuweisen.
    3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Den ausgewählten Benutzerkonten werden die per Suchkriterium ermittelten Personen zugeordnet.

    – ODER –

  2. Klicken Sie Ohne Personenzuordnung.
    1. Klicken Sie Person auswählen für das Benutzerkonto, dem eine Person zugeordnet werden soll. Wählen Sie eine Person aus der Auswahlliste.
    2. Klicken Sie Auswahl für alle Benutzerkonten, denen die ausgewählten Personen zugeordnet werden sollen. Eine Mehrfachauswahl ist möglich.
    3. Klicken Sie Ausgewählte zuweisen.
    4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Den ausgewählten Benutzerkonten werden die Personen zugeordnet, die in der Spalte Person angezeigt werden.

Um Zuordnungen zu entfernen

  1. Klicken Sie Zugeordnete Benutzerkonten.
    1. Klicken Sie Auswahl für alle Benutzerkonten, deren Personenzuordnung entfernt werden soll. Mehrfachauswahl ist möglich.
    2. Klicken Sie Ausgewählte entfernen.
    3. Bestätigen Sie die Sicherheitsabfrage mit Ja.

      Von den ausgewählten Benutzerkonten werden die zugeordneten Personen entfernt.

Ausführliche Informationen zur Definition der Suchkriterien finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

Verwandte Themen

Azure Active Directory Benutzerkonten deaktivieren

Wie Sie Benutzerkonten deaktivieren, ist abhängig von der Art der Verwaltung der Benutzerkonten.

Szenario:

  • Die Benutzerkonten sind mit Personen verbunden und werden über Kontendefinitionen verwaltet.

Benutzerkonten, die über Kontendefinitionen verwaltet werden, werden deaktiviert, wenn die Person dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Automatisierungsgrad des Benutzerkontos. Benutzerkonten mit dem Automatisierungsgrad Full managed werden entsprechend der Einstellungen an der Kontendefinition deaktiviert. Für Benutzerkonten mit einem anderen Automatisierungsgrad konfigurieren Sie das gewünschte Verhalten an der Bildungsregel der Spalte AADUser.AccountDisabled.

Szenario:

  • Die Benutzerkonten sind mit Personen verbunden. Es sind keine Kontendefinitionen zugeordnet.

Benutzerkonten, die mit Personen verbunden sind, jedoch nicht über Kontendefinitionen verwaltet werden, werden deaktiviert, wenn die Person dauerhaft oder zeitweilig deaktiviert wird. Das Verhalten ist abhängig vom Konfigurationsparameter QER | Person | TemporaryDeactivation.

  • Ist der Konfigurationsparameter aktiviert, werden die Benutzerkonten einer Person deaktiviert, wenn die Person zeitweilig oder dauerhaft deaktiviert wird.

  • Ist der Konfigurationsparameter deaktiviert, haben die Eigenschaften der Person keinen Einfluss auf die verbundenen Benutzerkonten.

Um das Benutzerkonto bei deaktiviertem Konfigurationsparameter zu deaktivieren

  1. Wählen Sie im Manager die Kategorie Azure Active Directory | Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Aktivieren Sie auf dem Tabreiter Allgemein die Option Benutzerkonto ist deaktiviert.

  5. Speichern Sie die Änderungen.
Szenario:
  • Benutzerkonten sind nicht mit Personen verbunden.

Um ein Benutzerkonto zu deaktivieren, das nicht mit einer Person verbunden ist

  1. Wählen Sie im Manager die Kategorie Azure Active Directory | Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Aktivieren Sie auf dem Tabreiter Allgemein die Option Benutzerkonto ist deaktiviert.

  5. Speichern Sie die Änderungen.
Verwandte Themen

Azure Active Directory Benutzerkonten löschen und wiederherstellen

HINWEIS: Solange eine Kontendefinition für eine Person wirksam ist, behält die Person ihr daraus entstandenes Benutzerkonto. Wird die Zuweisung einer Kontendefinition entfernt, dann wird das Benutzerkonto, das aus dieser Kontendefinition entstanden ist, gelöscht.

Um ein Benutzerkonto zu löschen

  1. Wählen Sie die Kategorie Azure Active Directory | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Löschen Sie das Benutzerkonto.
  4. Bestätigen Sie die Sicherheitsabfrage mit Ja.

Um ein Benutzerkonto wiederherzustellen

  1. Wählen Sie die Kategorie Azure Active Directory | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.
  3. Klicken Sie in der Ergebnisliste die Schaltfläche Löschen rückgängig machen.
Konfigurieren der Löschverzögerung

Standardmäßig werden Benutzerkonten mit einer Löschverzögerung von 30 Tagen endgültig aus der Datenbank entfernt. Die Benutzerkonten werden zunächst deaktiviert. Bis zum Ablauf der Löschverzögerung besteht die Möglichkeit die Benutzerkonten wieder zu aktivieren. Nach Ablauf der Löschverzögerung werden die Benutzerkonten aus der Datenbank gelöscht und ein Wiederherstellen ist nicht mehr möglich. Eine abweichende Löschverzögerung konfigurieren Sie im Designer an der Tabelle AADUser.

Verwandte Themen

Azure Active Directory Gruppen

Azure Active Directory kennt verschiedene Gruppentypen, in denen Benutzer und Gruppen zusammengefasst werden können, um beispielsweise den Zugriff auf Ressourcen oder die Verteilung von E-Mails zu regeln.

Gruppen werden durch die Synchronisation in den One Identity Manager eingelesen. Sie können einzelne Stammdaten der Gruppen bearbeiten. Im One Identity Manager können Sie neue Sicherheitsgruppen erstellen. Andere Gruppentypen können Sie im One Identity Manager nicht erstellen.

Um Benutzer in Gruppen aufzunehmen, können Sie die Gruppen direkt an die Benutzer zuweisen. Sie können Gruppen an Abteilungen, Kostenstellen, Standorte, Geschäftsrollen oder den IT Shop zuweisen.

Nachfolgend sind die im One Identity Manager unterstützten Gruppentypen aufgeführt.

Tabelle 29: Unterstützte Gruppentypen

Gruppentyp

Beschreibung

Sicherheitsgruppe

Über Sicherheitsgruppen werden Berechtigungen auf Ressourcen erteilt. In Sicherheitsgruppen werden Benutzerkonten und andere Gruppen aufgenommen und somit die Administration erleichtert.

Sicherheitsgruppen werden durch die Synchronisation in den One Identity Manager eingelesen. Sie können im One Identity Manager Sicherheitsgruppen bearbeiten sowie neue Sicherheitsgruppen erstellen.

Office 365 Gruppe

Office 365 Gruppen werden durch die Synchronisation in den One Identity Manager eingelesen. Sie können im One Identity Manager Office 365 Gruppen bearbeiten. Neue Office 365 Gruppen können Sie im One Identity Manager nicht erstellen.

Verteilergruppe

Verteilergruppen werden eingesetzt, um E-Mails an die Mitglieder der Gruppe zu versenden. Verteilergruppen werden durch die Synchronisation in den One Identity Manager eingelesen. Sie können im One Identity Manager Verteilergruppen bearbeiten. Neue Verteilergruppen können Sie im One Identity Manager nicht erstellen.

E-Mail aktivierte Sicherheitsgruppe

E-Mail aktivierte Sicherheitsgruppen sind Sicherheitsgruppen, die als Verteilergruppen eingesetzt werden.

E-Mail aktivierte Sicherheitsgruppen werden durch die Synchronisation in den One Identity Manager eingelesen. Sie können im One Identity Manager E-Mail aktivierte Sicherheitsgruppen bearbeiten. Neue E-Mail aktivierte Sicherheitsgruppen können Sie im One Identity Manager nicht erstellen.

Dynamische Gruppe

Die Mitglieder einer dynamischen Gruppe werden nicht fest zugewiesen, sondern über definierte Regeln ermittelt. Dynamische Gruppen werden durch die Synchronisation in den One Identity Manager eingelesen. Dynamische Gruppen können Sie im One Identity Manager bearbeiten. Neue dynamische Gruppen können Sie im One Identity Manager nicht erstellen.

관련 문서

The document was helpful.

평가 결과 선택

I easily found the information I needed.

평가 결과 선택