Azure Active Directory Gruppen
Azure Active Directory kennt verschiedene Gruppentypen, in denen Benutzer und Gruppen zusammengefasst werden können, um beispielsweise den Zugriff auf Ressourcen oder die Verteilung von E-Mails zu regeln.
Azure Active Directory Gruppen werden durch die Synchronisation in den One Identity Manager eingelesen. Sie können einzelne Stammdaten der Gruppen bearbeiten. Im One Identity Manager können Sie neue Sicherheitsgruppen erstellen. Andere Gruppentypen können Sie im One Identity Manager nicht erstellen.
Um Benutzer in Gruppen aufzunehmen, können Sie die Gruppen direkt an die Benutzer zuweisen. Sie können Gruppen an Abteilungen, Kostenstellen, Standorte, Geschäftsrollen oder den IT Shop zuweisen.
HINWEIS: Zuweisungen zu Azure Active Directory Gruppen, die mit dem lokalen Active Directory synchronisiert werden, sind im One Identity Manager nicht erlaubt. Diese Gruppen können nicht über das Web Portal bestellt werden. Sie können diese Gruppen nur in Ihrer lokalen Umgebung verwalten. Ausführliche Informationen finden Sie in der Azure Active Directory Dokumentation von Microsoft.
Nachfolgend sind die im One Identity Manager unterstützten Gruppentypen aufgeführt.
Tabelle 34: Unterstützte Gruppentypen
|
Sicherheitsgruppe |
Über Sicherheitsgruppen werden Berechtigungen auf Ressourcen erteilt. In Sicherheitsgruppen werden Benutzerkonten und andere Gruppen aufgenommen und somit die Administration erleichtert.
Sicherheitsgruppen werden durch die Synchronisation in den One Identity Manager eingelesen. Sie können im One Identity Manager Sicherheitsgruppen bearbeiten sowie neue Sicherheitsgruppen erstellen. |
|
Office 365 Gruppe |
Office 365 Gruppen werden durch die Synchronisation in den One Identity Manager eingelesen. Sie können im One Identity Manager Office 365 Gruppen bearbeiten.
Neue Office 365 Gruppen können Sie im One Identity Manager nur erstellen, wenn das Exchange Online Modul vorhanden ist. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Exchange Online-Umgebung. |
|
Verteilergruppe |
Verteilergruppen werden eingesetzt, um E-Mails an die Mitglieder der Gruppe zu versenden. Verteilergruppen werden durch die Synchronisation in den One Identity Manager eingelesen. Sie können im One Identity Manager Verteilergruppen bearbeiten. Neue Verteilergruppen können Sie im One Identity Manager nicht erstellen. |
|
E-Mail aktivierte Sicherheitsgruppe |
E-Mail aktivierte Sicherheitsgruppen sind Sicherheitsgruppen, die als Verteilergruppen eingesetzt werden.
E-Mail aktivierte Sicherheitsgruppen werden durch die Synchronisation in den One Identity Manager eingelesen. Sie können im One Identity Manager E-Mail aktivierte Sicherheitsgruppen bearbeiten. Neue E-Mail aktivierte Sicherheitsgruppen können Sie im One Identity Manager nur erstellen, wenn das Exchange Online Modul vorhanden ist. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Exchange Online-Umgebung. |
|
Dynamische Gruppe |
Die Mitglieder einer dynamischen Gruppe werden nicht fest zugewiesen, sondern über definierte Regeln ermittelt. Dynamische Gruppen werden durch die Synchronisation in den One Identity Manager eingelesen. Dynamische Gruppen können Sie im One Identity Manager bearbeiten. Neue dynamische Gruppen können Sie im One Identity Manager nicht erstellen. |
Verwandte Themen
Stammdaten von Azure Active Directory Gruppen bearbeiten
Azure Active Directory Gruppen werden durch die Synchronisation in den One Identity Manager eingelesen. Sie können im One Identity Manager Sicherheitsgruppen erstellen. Verteilergruppen und dynamische Gruppen können Sie im One Identity Manager nicht erstellen.
E-Mail aktivierte Sicherheitsgruppen und Office 365 Gruppen können Sie im One Identity Manager nur erstellen, wenn das Exchange Online Modul vorhanden ist. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Exchange Online-Umgebung
Welche Stammdaten einer Gruppe Sie bearbeiten können, ist abhängig vom Gruppentyp.
Um die Stammdaten einer Gruppe zu bearbeiten
-
Wählen Sie im Manager die Kategorie Azure Active Directory > Gruppen.
-
Wählen Sie in der Ergebnisliste die Gruppe.
-
Wählen Sie die Aufgabe Stammdaten bearbeiten.
-
Auf dem Stammdatenformular bearbeiten Sie die Stammdaten der Gruppe.
- Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema
Allgemeine Stammdaten für Azure Active Directory Gruppen
Auf dem Tabreiter Allgemein erfassen Sie folgende Stammdaten.
Tabelle 35: Allgemeine Stammdaten
|
Anzeigename |
Name zur Anzeige der Gruppe in der Benutzeroberfläche der One Identity Manager-Werkzeuge. |
|
Mandant |
Azure Active Directory Mandant der Gruppe. |
|
Alias |
E-Mail Alias für die Gruppe. |
|
E-Mail-Adresse |
E-Mail-Adresse der Gruppe. |
|
Proxy Adressen |
Weitere E-Mail-Adressen der Gruppe. Als Adresstyp können Sie zusätzlich zur Standardadressierung (SMTP, X400) weitere Mailkonnektoren (beispielsweise CCMail, MS) nutzen.
Für die Erstellung weiterer Proxy Adressen ist die folgende Syntax einzuhalten:
Adresstyp: neue E-Mail-Adresse |
|
Gruppentyp |
Typ einer Gruppe. Für Sicherheitsgruppen und Verteilergruppen ist der Wert leer. Für Office 365 Gruppen ist der Wert Unified eingetragen. Für dynamische Gruppen ist der Wert DynamicMembership eingetragen. |
|
Sicherheitsgruppe |
Gibt an, ob es sich um eine Sicherheitsgruppe handelt. Über Sicherheitsgruppen werden Berechtigungen auf Ressourcen erteilt. In Sicherheitsgruppen werden Benutzerkonten und andere Gruppen aufgenommen und somit die Administration erleichtert. |
|
E-Mail aktiviert |
Gibt an, ob für die Gruppe E-Mail aktiviert ist. Ist die Option für eine Sicherheitsgruppe gesetzt, dann handelt es sich um eine E-Mail aktivierte Sicherheitsgruppe. Anderenfalls handelt es sich um eine Verteilergruppe. |
|
Zuweisbar an Administratorrollen |
Gibt an, ob die Gruppe an Administratorrollen zugewiesen werden kann. Die Option kann nur beim Erstellen einer neuen Gruppe aktiviert werden.
HINWEIS: Gruppen mit dieser Option können im Azure Active Directory nur erzeugt werden, wenn eine Azure Active Directory Premium Lizenz im Azure Active Directory Mandanten vorhanden ist. Anderenfalls kommt es zu einer Fehlermeldung:
Code: Authorization_RequestDenied
Message: Only companies who have purchased AAD Premium may perform this operation. |
|
Mitgliedschaften nur lesbar |
Gibt an, ob die Mitgliedschaften nur gelesen werden können, beispielsweise für dynamische Gruppen. Die Mitgliedschaften werden über das Zielsystem geregelt. Manuelle Änderungen der Mitgliedschaften im One Identity Manager sind nicht zulässig. |
|
IT Shop |
Gibt an, ob die Gruppe über den IT Shop bestellbar ist. Ist die Option aktiviert, kann die Gruppe über das Web Portal von Ihren Mitarbeitern bestellt und über definierte Genehmigungsverfahren zugeteilt werden. Die Gruppe kann weiterhin direkt an Benutzerkonten und hierarchische Rollen zugewiesen werden. |
|
Verwendung nur im IT Shop |
Gibt an, ob die Gruppe ausschließlich über den IT Shop bestellbar ist. Ist die Option aktiviert, kann die Gruppe über das Web Portal von Ihren Mitarbeitern bestellt und über definierte Genehmigungsverfahren zugeteilt werden. Eine direkte Zuweisung der Gruppe an hierarchische Rollen oder Benutzerkonten ist nicht zulässig. |
|
Leistungsposition |
Leistungsposition, um die Gruppe über den IT Shop zu bestellen. |
|
Risikoindex |
Wert zur Bewertung des Risikos von Zuweisungen der Gruppe an Benutzerkonten. Stellen Sie einen Wert im Bereich von 0 bis 1 ein. Das Eingabefeld ist nur sichtbar, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist.
Ausführliche Informationen zur Risikobewertung finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen. |
|
Kategorie |
Kategorien für die Vererbung von Gruppen. Gruppen können selektiv an Benutzerkonten vererbt werden. Dazu werden die Gruppen und die Benutzerkonten in Kategorien eingeteilt. Wählen Sie aus der Auswahlliste eine oder mehrere Kategorien. |
|
Mitgliedschaftsregel |
Regel, nach der die Mitglieder der dynamischen Gruppe im Azure Active Directory ermittelt werden. Die Eigenschaft wird nur für Gruppen mit dem Gruppentyp DynamicMembership angezeigt. |
|
Status der Mitgliedschaftsregel |
Verarbeitungsstatus der Mitgliedschaftsregel für eine dynamische Gruppe. Die Eigenschaft wird nur für Gruppen mit dem Gruppentyp DynamicMembership angezeigt. |
|
Beschreibung |
Freitextfeld für zusätzliche Erläuterungen. |
Verwandte Themen
Informationen zur lokalen Active Directory Gruppe
Auf dem Tabreiter Verbund werden folgende Informationen zur lokalen Active Directory Gruppe, welche mit der Azure Active Directory Gruppe verbunden ist, abgebildet.
Zuweisungen zu Azure Active Directory Gruppen, die mit dem lokalen Active Directory synchronisiert werden, sind im One Identity Manager nicht erlaubt. Diese Gruppen können nicht über das Web Portal bestellt werden. Sie können diese Gruppen nur in Ihrer lokalen Umgebung verwalten. Ausführliche Informationen finden Sie in der Azure Active Directory Dokumentation von Microsoft.
Tabelle 36: Angaben zur lokalen Active Directory Gruppe
|
Synchronisation mit dem lokalen Active Directory aktiviert |
Gibt an, ob die Synchronisation mit einem lokalen Active Directory aktiviert ist. |
|
Letzte Synchronisation |
Zeitpunkt der letzten Synchronisation der Azure Active Directory Gruppe mit dem lokalen Active Directory. |
|
SID der lokalen Gruppe |
Sicherheits-ID (SID) der lokalen Active Directory Gruppe. |
Verwandte Themen
