Chat now with support
Chat with Support

Identity Manager 8.2 - Administrationshandbuch für die Anbindung einer SharePoint Online-Umgebung

Abbilden einer SharePoint Online-Umgebung im One Identity Manager Synchronisieren einer SharePoint Online-Umgebung
Einrichten der Initialsynchronisation mit einem SharePoint Online Mandanten Besonderheiten zur Synchronisation von SharePoint Online-Umgebungen Anpassen einer Synchronisationskonfiguration Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren
Managen von SharePoint Online Benutzerkonten und Personen
Kontendefinitionen für SharePoint Online Benutzerkonten Automatische Zuordnung von Personen zu SharePoint Online Benutzerkonten Personen manuell mit SharePoint Online Benutzerkonten verbinden Anwendungsfälle für SharePoint Online Benutzerkonten Unterstützte Typen von Benutzerkonten Löschverzögerung für SharePoint Online Benutzerkonten festlegen
Managen von Zuweisungen von SharePoint Online Gruppen und Rollen Abbilden von SharePoint Online Objekten im One Identity Manager
SharePoint Online Mandanten SharePoint Online Benutzerkonten SharePoint Online Gruppen SharePoint Online Berechtigungsstufen SharePoint Online Websitesammlungen SharePoint Online Websites SharePoint Online Rollen Einrichten von SharePoint Online Websitesammlungen und Websites Berichte über SharePoint Online Objekte
Behandeln von SharePoint Online Objekten im Web Portal Basisdaten für die Verwaltung einer SharePoint Online-Umgebung Konfigurationsparameter für die Verwaltung einer SharePoint Online Standardprojektvorlage für SharePoint Online Verarbeitung von Systemobjekten

Administrative Benutzerkonten für mehrere Personen bereitstellen

Voraussetzung
  • Das Benutzerkonto muss als Gruppenidentität gekennzeichnet sein.

  • Es muss eine Pseudo-Person vorhanden sein. Die Pseudo-Person muss als Gruppenidentität gekennzeichnet sein und muss einen Manager besitzen.

  • Die Personen, die das Benutzerkonto nutzen dürfen, müssen als primäre Identitäten gekennzeichnet sein.

Um ein administratives Benutzerkonto für mehrere Personen bereitzustellen

  1. Kennzeichnen Sie das Benutzerkonto als Gruppenidentität.

    1. Wählen Sie im Manager die Kategorie SharePoint Online > Benutzerkonten (benutzerauthentifiziert).

      - ODER -

      Wählen Sie im Manager die Kategorie SharePoint Online > Benutzerkonten (gruppenauthentifiziert).

    2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

    3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    4. Auf dem Tabreiter Allgemein wählen Sie in der Auswahlliste Identität den Wert Gruppenidentität.

  2. Verbinden Sie das Benutzerkonto mit einer Pseudo-Person.

    1. Wählen Sie im Manager die Kategorie SharePoint Online > Benutzerkonten (benutzerauthentifiziert).

      - ODER -

      Wählen Sie im Manager die Kategorie SharePoint Online > Benutzerkonten (gruppenauthentifiziert).

    2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

    3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

    4. Auf dem Tabreiter Allgemein wählen Sie in der Auswahlliste Person die Pseudo-Person.

      TIPP: Als Zielsystemverantwortlicher können Sie über die Schaltfläche eine neue Pseudo-Person erstellen.

  3. Weisen Sie dem Benutzerkonto die Personen zu, die dieses administrative Benutzerkonto nutzen sollen.

    1. Wählen Sie im Manager die Kategorie SharePoint Online > Benutzerkonten (benutzerauthentifiziert).

      - ODER -

      Wählen Sie im Manager die Kategorie SharePoint Online > Benutzerkonten (gruppenauthentifiziert).

    2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

    3. Wählen Sie die Aufgabe Personen mit Nutzungsberechtigungen zuzuweisen.

    4. Weisen Sie im Bereich Zuordnungen hinzufügen die Personen zu.

      TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Personen entfernen.

      Um eine Zuweisung zu entfernen

      • Wählen Sie die Person und doppelklicken Sie .

Verwandte Themen

Privilegierte Benutzerkonten

Privilegierte Benutzerkonten werden eingesetzt, um Personen mit zusätzlichen privilegierten Berechtigungen auszustatten. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (Spalte IsPrivilegedAccount) gekennzeichnet.

HINWEIS: Die Kriterien anhand derer Benutzerkonten automatisch als privilegiert erkannt werden, sind als Erweiterungen zur Sichtdefinition (ViewAddOn) an der Tabelle TSBVAccountIsPrivDetectRule (Tabelle vom Typ Union) definiert. Die Auswertung erfolgt im Skript TSB_SetIsPrivilegedAccount.

Um privilegierte Benutzerkonten über Kontendefinitionen zu erstellen

  1. Erstellen Sie eine Kontendefinition. Erstellen Sie einen neuen Automatisierungsgrad für privilegierte Benutzerkonten und weisen Sie diesen Automatisierungsgrad an die Kontendefinition zu.

  2. Wenn Sie verhindern möchten, dass die Eigenschaften für privilegierte Benutzerkonten überschrieben werden, setzen Sie für den Automatisierungsgrad die Eigenschaft IT Betriebsdaten überschreibend auf den Wert Nur initial. In diesem Fall werden die Eigenschaften einmalig beim Erstellen der Benutzerkonten befüllt.

  3. Legen Sie für den Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.

  4. Erstellen Sie eine Abbildungsvorschrift für die IT Betriebsdaten.

    Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden, und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Person ermittelt werden können.

    Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für privilegierte Benutzerkonten werden folgende Einstellungen empfohlen:

    • Verwenden Sie in der Abbildungsvorschrift für die Spalte IsPrivilegedAccount den Standardwert 1 und aktivieren Sie die Option Immer Standardwert verwenden.

    • Zusätzlich können Sie eine Abbildungsvorschrift für die Spalte IdentityType festlegen. Die Spalte besitzt verschiedene zulässige Werte, die privilegierte Benutzerkonten repräsentieren.

    • Um zu verhindern, das privilegierte Benutzerkonten die Berechtigungen des Standardbenutzers erben, definieren Sie eine Abbildungsvorschriften für die Spalten IsGroupAccount_Group und IsGroupAccount_RLAsgn mit dem Standardwert 0 und aktivieren Sie die Option Immer Standardwert verwenden.

  5. Erfassen Sie die wirksamen IT Betriebsdaten für das Zielsystem.

    Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.

  6. Weisen Sie die Kontendefinition direkt an die Personen zu, die mit privilegierten Benutzerkonten arbeiten sollen.

    Durch die Zuweisung der Kontendefinition an eine Person wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

TIPP:

Verwandte Themen

Löschverzögerung für SharePoint Online Benutzerkonten festlegen

Über die Löschverzögerung legen Sie fest, wie lange die Benutzerkonten nach dem Auslösen des Löschens in der Datenbank verbleiben, bevor sie endgültig entfernt werden. Standardmäßig werden Benutzerkonten mit einer Löschverzögerung von 30 Tagen endgültig aus der Datenbank entfernt. Die Benutzerkonten werden zunächst deaktiviert oder gesperrt. Bis zum Ablauf der Löschverzögerung besteht die Möglichkeit die Benutzerkonten wieder zu aktivieren. Nach Ablauf der Löschverzögerung werden die Benutzerkonten aus der Datenbank gelöscht und ein Wiederherstellen ist nicht mehr möglich.

Sie haben die folgenden Möglichkeiten die Löschverzögerung zu konfigurieren.

  • Globale Löschverzögerung: Die Löschverzögerung gilt für die Benutzerkonten in allen Zielsystemen. Der Standardwert ist 30 Tage.

    Erfassen Sie eine abweichende Löschverzögerung im Designer für die Tabelle O3SUser in der Eigenschaft Löschverzögerungen [Tage].

  • Objektspezifische Löschverzögerung: Die Löschverzögerung kann abhängig von bestimmten Eigenschaften der Benutzerkonten konfiguriert werden.

    Um eine objektspezifische Löschverzögerung zu nutzen, erstellen Sie im Designer für die Tabelle O3SUser ein Skript (Löschverzögerung).

    Beispiel:

    Die Löschverzögerung für privilegierte Benutzerkonten soll 10 Tage betragen. An der Tabelle wird folgendes Skript (Löschverzögerung) eingetragen.

    If $IsPrivilegedAccount:Bool$ Then

    Value = 10

    End If

Ausführliche Informationen zum Bearbeiten der Tabellendefinitionen und zum Konfigurieren der Löschverzögerung im Designer finden Sie im One Identity Manager Konfigurationshandbuch.

Managen von Zuweisungen von SharePoint Online Gruppen und Rollen

SharePoint Online Berechtigungen werden über SharePoint Online Rollen und SharePoint Online Gruppen an Benutzerkonten vererbt. Dabei werden SharePoint Online Gruppen immer für eine Websitesammlung definiert. SharePoint Online Rollen werden für Websites definiert. Sie werden an Gruppen zugewiesen und vererben darüber die SharePoint Online Berechtigungen an die Benutzerkonten, die Mitglied dieser Gruppen sind. SharePoint Online Rollen können auch direkt an Benutzerkonten zugewiesen werden. Durch die zugewiesenen SharePoint Online Rollen werden die Berechtigungen der Benutzerkonten auf einzelne Websites einer Websitesammlung eingeschränkt.

In einer SharePoint Online-Umgebung können die Benutzer verschiedene Berechtigungen haben, die folgendermaßen im One Identity Manager abgebildet werden:

  • Berechtigung zur Nutzung von SharePoint Online Gruppen (Tabelle O3SGroup)

  • Berechtigung zur Nutzung von SharePoint Online Rollen (Tabelle O3SRLAsgn)

Begriffe
  • Eine SharePoint Online Rolle ist die mit einer konkreten Website verknüpfte Berechtigungsstufe.

  • Die Zuweisung von Benutzerkonten oder Gruppen an eine SharePoint Online Rolle wird als Rollenzuweisung bezeichnet.

  • Als Berechtigungszuweisungen werden die Zuweisungen der verschiedenen Berechtigungen an Benutzerkonten bezeichnet. Dazu gehören:

    • Zuweisungen von Gruppen an Benutzerkonten (Tabelle O3SUserInGroup)

    • Zuweisungen von Rollen an Benutzerkonten (Tabelle O3SUserHasRLAsgn)

Detaillierte Informationen zum Thema
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating