Chat now with support
Chat with Support

Identity Manager 8.1.5 - Administrationshandbuch für die Anbindung einer Exchange Online-Umgebung

Verwalten einer Exchange Online-Umgebung Einrichten der Synchronisation mit einer Exchange Online-Umgebung Basisdaten für die Verwaltung einer Exchange Online-Umgebung Konfigurationsparameter für die Verwaltung einer Exchange Online-Umgebung Standardprojektvorlagen für Exchange Online Verarbeitung von Systemobjekten

Benutzer und Berechtigungen für die Synchronisation mit einer Exchange Online-Umgebung

Bei der Synchronisation des One Identity Manager mit einer Exchange Online-Umgebung spielen folgende Benutzer eine Rolle.

Tabelle 2: Benutzer für die Synchronisation
Benutzer Berechtigungen

Benutzer für den Zugriff auf Exchange Online

Für eine vollständige Synchronisation von Objekten einer Exchange Online-Umgebung mit der ausgelieferten One Identity Manager Standardkonfiguration stellen Sie ein Benutzerkonto bereit, das mindestens die folgenden Berechtigungen besitzt.

  • Mitglied der Exchange Online Rollengruppe Recipient Management

  • Mitglied der Exchange Online Rollengruppe Records Management

  • Mitglied der Exchange Online Rollengruppe View-Only Organization Management

  • Mitglied der Exchange Online Rolle Security Group Creation and Membership

    Erstellen Sie im Exchange Online eine neue Rollengruppe und weisen Sie dieser Rollengruppe die Rolle und das Benutzerkonto zu.

  • Mitglied in der Azure Active Directory Administratorrolle Gruppenadministrator

HINWEIS: Benutzerkonten für den Zugriff auf Exchange Online dürfen keine Multifaktor-Authentifizierung nutzen.

Für die Zuweisungen der Exchange Online Rollengruppen nutzen Sie das Exchange Admin Center. Die Zuweisung zu Azure Active Directory Administratorrollen nehmen Sie im Azure Active Directory Admin Center vor. Die Admin Center erreichen Sie beispielsweise über https://admin.microsoft.com/. Ausführliche Informationen zum Verwalten von Berechtigungen in Exchange Online und in Azure Active Directory finden Sie in der Microsoft Dokumentation.

Benutzerkonto des One Identity Manager Service

Das Benutzerkonto für den One Identity Manager Service benötigt die Rechte, um die Operationen auf Dateiebene durchzuführen, beispielsweise Rechte vergeben, Verzeichnisse und Dateien anlegen und bearbeiten.

Das Benutzerkonto muss der Gruppe Domänen-Benutzer angehören.

Das Benutzerkonto benötigt das erweiterte Benutzerrecht Anmelden als Dienst.

Das Benutzerkonto benötigt Rechte für den internen Webservice.

HINWEIS: Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so können Sie die Rechte für den internen Webservice über folgenden Kommandozeilenaufruf vergeben:

netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE"

Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis.

In der Standardinstallation wird der One Identity Manager installiert unter:

  • %ProgramFiles(x86)%\One Identity (auf 32-Bit Betriebssystemen)
  • %ProgramFiles%\One Identity (auf 64-Bit Betriebssystemen)
Benutzer für den Zugriff auf die One Identity Manager- Datenbank

Um die Synchronisation über einen Anwendungsserver auszuführen, wird der Standard-Systembenutzer Synchronization bereitgestellt.

Erläuterungen zu den erforderlichen Berechtigungen

Das Benutzerkonto für die Synchronisation benötigt folgende Rollen:

  • Organisationsverwaltung

    Administratoren, die Mitglieder der Rollengruppe Organisationsverwaltung sind, verfügen über Administratorzugriff auf die gesamte Exchange Online Organisation und können praktisch sämtliche Aufgaben für ein beliebiges Exchange Online-Objekt ausführen. Es gelten jedoch einige Ausnahmen (zum Beispiel: die Rolle Discovery Management).

  • Empfängerverwaltung

    Administratoren, die Mitglied der Rollengruppe Empfängerverwaltung sind, haben Administratorzugriff zum Erstellen oder Ändern von Exchange Online Empfängern innerhalb der Exchange Online Organisation.

Um Berechtigungen über das Microsoft Online Portal zuzuweisen

HINWEIS: Um diese Variante zu nützen muss eine Lizenz an das Benutzerkonto für die Synchronisation zugewiesen werden.

  1. Navigieren Sie zu https://portal.microsoftonline.com/ und melden Sie sich als Administrator an.

    Damit wechseln Sie zur Office 365 Begrüßungsseite.

  2. Klicken Sie die Administrator Kachel um das Admin Center Portal zu öffnen.

  3. Wählen Sie aus dem Menü auf der linken Seite, Admin Center > Exchange.
    Damit wechseln Sie zum Exchange Admin Center.

  4. Klicken Sie auf Berechtigungen im Menü auf der linken Seite.

  5. Wählen Sie Recipient Management und klicken das Bearbeitungssymbol in der Symbolleiste.

  6. Fügen Sie das Benutzerkonto für die Synchronisation unter Mitglieder ein.

  7. Wiederholen Sie die Schritte 5 und 6 für die Rolle Organisationsverwaltung.

HINWEIS: Für den Fall, dass Sie das Benutzerkonto für die Synchronisation nicht in der Liste der Mitglieder finden, können Sie die Berechtigungen über Windows PowerShell erteilen.

Exchange Online PowerShell V2 Modul installieren

Der Exchange Online Konnektor verwendet das Exchange Online PowerShell V2 Modul für den Zugriff auf die Daten einer Exchange Online-Umgebung.

Ausführliche Informationen zu den Voraussetzungen und zur Installation des Exchange Online PowerShell V2 Modul finden Sie in der Exchange Online PowerShell V2 Modul Dokumentation von Microsoft.

  • Das Exchange Online PowerShell V2 Modul muss auf dem Synchronisationsserver installiert werden.

  • Erfolgt der direkte Zugriff auf die Exchange Online-Umgebung von der Arbeitsstation, auf welcher der Synchronization Editor installiert ist, muss auf dieser Arbeitsstation das Exchange Online PowerShell V2 Modul installiert werden.

  • Ist der direkte Zugriff auf die Exchange Online-Umgebung von der Arbeitsstation nicht möglich, können Sie einen Remoteverbindungsserver einrichten. Auf dem Remoteverbindungsserver muss das Exchange Online PowerShell V2 Modul installiert werden.

Verwandte Themen

Einrichten des Synchronisationsservers

Für die Einrichtung der Synchronisation mit einer Exchange Online-Umgebung muss ein Server zur Verfügung gestellt werden, auf dem die nachfolgend genannte Software installiert ist:

  • Windows Betriebssystem

    Unterstützt werden die Versionen:

    • Windows Betriebssystem ab Version 8.1
    • Windows Server 2012
    • Windows Server 2012 R2
    • Windows Server 2016

  • Microsoft .NET Framework Version 4.7.2 oder höher

    HINWEIS: Beachten Sie die Empfehlungen des Zielsystemherstellers.

  • Windows Management Framework 4.0

  • One Identity Manager Service, Exchange Online Konnektor
    • Installieren Sie die One Identity Manager Komponenten mit dem Installationsassistenten.
      1. Wählen Sie die Option Installationsmodule mit vorhandener Datenbank auswählen.
      2. Wählen Sie die Maschinenrolle Server | Jobserver | Exchange Online.

WICHTIG: Der Exchange Online Konnektor verwendet das Exchange Online PowerShell V2 Modul für den Zugriff auf die Daten einer Exchange Online-Umgebung. Das Exchange Online PowerShell V2 Modul muss auf dem Synchronisationsserver installiert werden.

Vom Synchronisationsserver werden alle Aktionen des One Identity Manager Service gegen die Zielsystemumgebung ausgeführt. Die für die Synchronisation und Administration mit der One Identity Manager-Datenbank benötigten Einträge werden vom Synchronisationsserver bearbeitet. Der Synchronisationsserver muss im One Identity Manager als Jobserver bekannt sein.

HINWEIS: Wenn mehrere gleichartige Zielsystemumgebungen über den selben Synchronisationsserver synchronisiert werden sollen, ist es aus Performancegründen günstig, für jedes einzelne Zielsystem einen eigenen Jobserver einzurichten. Dadurch wird ein unnötiger Wechsel der Verbindungen zum Zielsystem vermieden, da stets nur gleichartige Aufträge von einem Jobserver zu verarbeiten sind (Nachnutzung bestehender Verbindungen).

Um den One Identity Manager Service zu installieren, nutzen Sie das Programm Server Installer. Das Programm führt folgende Schritte aus:

  • Erstellen eines Jobservers.

  • Festlegen der Maschinenrollen und Serverfunktionen für den Jobserver.

  • Remote-Installation der One Identity Manager Service-Komponenten entsprechend der Maschinenrollen.

  • Konfigurieren des One Identity Manager Service.

  • Starten des One Identity Manager Service.

HINWEIS: Für die Generierung von Prozessen für die Jobserver werden der Provider, Verbindungsparameter und die Authentifizierungsdaten benötigt. Diese Informationen werden im Standardfall aus den Verbindungsdaten der Datenbank ermittelt. Arbeitet der Jobserver über einen Anwendungsserver müssen Sie zusätzliche Verbindungsinformationen im Designer konfigurieren. Ausführliche Informationen zum Einrichten des Jobservers finden Sie im One Identity Manager Konfigurationshandbuch.

HINWEIS: Das Programm führt eine Remote-Installation des One Identity Manager Service aus. Eine lokale Installation des Dienstes ist mit diesem Programm nicht möglich. Die Remote-Installation wird nur innerhalb einer Domäne oder in Domänen mit Vertrauensstellung unterstützt.

Für die Remote-Installation des One Identity Manager Service benötigen Sie eine administrative Arbeitsstation, auf der die One Identity Manager-Komponenten installiert sind. Ausführliche Informationen zur Installation einer Arbeitsstation finden Sie im One Identity Manager Installationshandbuch.

Um den One Identity Manager Service remote auf einem Server zu installieren und zu konfigurieren

  1. Starten Sie das Programm Server Installer auf Ihrer administrativen Arbeitsstation.

  2. Auf der Seite Datenbankverbindung geben Sie die gültigen Verbindungsdaten zur One Identity Manager-Datenbank ein.

  3. Auf der Seite Servereigenschaften legen Sie fest, auf welchem Server der One Identity Manager Service installiert werden soll.

    1. Wählen Sie in der Auswahlliste Server einen Jobserver aus.

      - ODER -

      Um einen neuen Jobserver zur erstellen, klicken Sie Hinzufügen.

    2. Bearbeiten Sie folgende Informationen für den Jobserver.

      • Server: Bezeichnung des Jobservers.

      • Queue: Bezeichnung der Queue, welche die Prozessschritte verarbeitet. Jeder One Identity Manager Service innerhalb des gesamten Netzwerkes muss eine eindeutige Queue-Bezeichnung erhalten. Mit exakt dieser Queue-Bezeichnung werden die Prozessschritte an der Jobqueue angefordert. Die Queue-Bezeichnung wird in die Konfigurationsdatei des One Identity Manager Service eingetragen.

      • Vollständiger Servername: Vollständiger Servername gemäß DNS Syntax.

        Syntax:

        <Name des Servers>.<Vollqualifizierter Domänenname>

      HINWEIS: Über die Option Erweitert können Sie weitere Eigenschaften für den Jobserver bearbeiten. Sie können die Eigenschaften auch zu einem späteren Zeitpunkt mit dem Designer bearbeiten.

  4. Auf der Seite Maschinenrollen wählen Sie Exchange Online.

  5. Auf der Seite Serverfunktionen wählen Sie Exchange Online Konnektor (via Windows PowerShell).

  6. Auf der Seite Dienstkonfiguration erfassen Sie die Verbindungsinformationen und prüfen Sie die Konfiguration des One Identity Manager Service.

    HINWEIS: Die initiale Konfiguration des Dienstes ist bereits vordefiniert. Sollte eine erweiterte Konfiguration erforderlich sein, können Sie diese auch zu einem späteren Zeitpunkt mit dem Designer durchführen. Ausführliche Informationen zur Konfiguration des Dienstes finden Sie im One Identity Manager Konfigurationshandbuch.

    • Für eine direkte Verbindung zu Datenbank:

      1. Wählen Sie Prozessabholung | sqlprovider

      2. Klicken Sie auf den Eintrag Verbindungsparameter und klicken Sie die Schaltfläche Bearbeiten.

      3. Erfassen Sie die Verbindungsdaten zur One Identity Manager-Datenbank.

    • Für eine Verbindung zum Anwendungsserver:

      1. Wählen Sie Prozessabholung, klicken Sie die Schaltfläche Einfügen und wählen Sie AppServerJobProvider.

      2. Klicken Sie auf den Eintrag Verbindungsparameter und klicken Sie die Schaltfläche Bearbeiten.

      3. Erfassen Sie die Verbindungsdaten zum Anwendungsserver.

      4. Klicken Sie auf den Eintrag Authentifizierungsdaten und klicken Sie die Schaltfläche Bearbeiten.

      5. Wählen Sie das Authentifizierungsmodul. Abhängig vom Authentifizierungsmodul können weitere Daten, wie beispielsweise Benutzer und Kennwort erforderlich sein. Ausführliche Informationen zu den One Identity Manager Authentifizierungsmodulen finden Sie im One Identity Manager Handbuch zur Autorisierung und Authentifizierung.

  7. Zur Konfiguration der Remote-Installation, klicken Sie Weiter.

  8. Bestätigen Sie die Sicherheitsabfrage mit Ja.

  9. Auf der Seite Installationsquelle festlegen wählen Sie das Verzeichnis mit den Installationsdateien.

  10. Auf der Seite Datenbankschlüsseldatei auswählen wählen die Datei mit dem privaten Schlüssel.

    HINWEIS: Diese Seite wird nur angezeigt, wenn die Datenbank verschlüsselt ist.

  11. Auf der Seite Serverzugang erfassen Sie die Installationsinformationen für den Dienst.

    • Computer: Name oder IP-Adresse des Servers, auf dem der Dienst installiert und gestartet wird.

    • Dienstkonto: Angaben zum Benutzerkonto des One Identity Manager Service.

      • Um den Dienst unter dem Konto NT AUTHORITY\SYSTEM zu starten, aktivieren Sie die Option Lokales Systemkonto.

      • Um den Dienst unter einem anderen Konto zu starten, deaktivieren Sie die Option Lokales Systemkonto und erfassen Sie Benutzerkonto, Kennwort und Kennwortwiederholung.

    • Installationskonto: Angaben zum administrativen Benutzerkonto für die Installation des Dienstes.

      • Um das Benutzerkonto des angemeldeten Benutzers zu verwenden, aktivieren Sie die Option Angemeldeter Benutzer.

      • Um ein anderes Benutzerkonto zu verwenden, deaktivieren Sie die Option Angemeldeter Benutzer und geben Sie Benutzerkonto, Kennwort und Kennwortwiederholung ein.

    • Um das Installationsverzeichnis, den Namen, den Anzeigenamen oder die Beschreibung für den One Identity Manager Service zu ändern, nutzen Sie die weiteren Optionen.

  12. Um die Installation des Dienstes zu starten, klicken Sie Weiter.

    Die Installation des Dienstes wird automatisch ausgeführt und kann einige Zeit dauern.

  13. Auf der letzten Seite des Server Installer klicken Sie Fertig.

    HINWEIS: In einer Standardinstallation wird der Dienst mit der Bezeichnung One Identity Manager Service in der Dienstverwaltung des Servers eingetragen.

Verwandte Themen

Vorbereiten der administrativen Arbeitsstation für den Zugriff auf die Exchange Online-Umgebung

Um im Synchronization Editor die Synchronisation mit einer Exchange Online-Umgebung zu konfigurieren, muss der One Identity Manager Daten direkt aus der Exchange Online-Umgebung auslesen. Erfolgt der direkte Zugriff auf die Exchange Online-Umgebung von der Arbeitsstation, auf welcher der Synchronization Editor installiert ist, muss auf dieser Arbeitsstation zusätzlich die folgende Software installiert sein:

  • Windows PowerShell Version 5.1 oder höher

  • Exchange Online PowerShell V2 Modul

Ist der direkte Zugriff auf die Exchange Online-Umgebung von der Arbeitsstation nicht möglich, können Sie einen Remoteverbindungsserver einrichten.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating