Chat now with support
Chat with Support

Identity Manager 9.2 - Administrationshandbuch für die Anbindung einer Azure Active Directory-Umgebung

Verwalten einer Azure Active Directory-Umgebung Synchronisieren einer Azure Active Directory-Umgebung
Einrichten der Initialsynchronisation mit einem Azure Active Directory Mandanten Anpassen der Synchronisationskonfiguration für Azure Active Directory-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Azure Active Directory Benutzerkonten und Identitäten
Kontendefinitionen für Azure Active Directory Benutzerkonten Automatische Zuordnung von Identitäten zu Azure Active Directory Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Identitäten bei Änderung von Azure Active Directory Benutzerkonten Löschverzögerung für Azure Active Directory Benutzerkonten festlegen
Managen von Mitgliedschaften in Azure Active Directory Gruppen Managen von Zuweisungen von Azure Active Directory Administratorrollen Managen von Zuweisungen von Azure Active Directory Abonnements und Azure Active Directory Dienstplänen
Wirksame und unwirksame Azure Active Directory Dienstpläne für Azure Active Directory Benutzerkonten und Azure Active Directory Gruppen anzeigen Zuweisen von Azure Active Directory Abonnements an Azure Active Directory Benutzerkonten Zuweisen von unwirksamen Azure Active Directory Dienstpläne an Azure Active Directory Benutzerkonten Vererbung von Azure Active Directory Abonnements anhand von Kategorien Vererbung von unwirksamen Azure Active Directory Dienstplänen anhand von Kategorien
Bereitstellen von Anmeldeinformationen für Azure Active Directory Benutzerkonten Azure Active Directory Rollenmanagement Abbildung von Azure Active Directory Objekten im One Identity Manager
Azure Active Directory Unternehmensverzeichnis Azure Active Directory Benutzerkonten Azure Active Directory Benutzeridentitäten Azure Active Directory Gruppen Azure Active Directory Administratorrollen Azure Active Directory Verwaltungseinheiten Azure Active Directory Abonnements und Azure Active Directory Dienstpläne Unwirksame Azure Active Directory Dienstpläne Azure Active Directory App-Registierungen und Azure Active Directory Dienstprinzipale Berichte über Azure Active Directory Objekte
Behandeln von Azure Active Directory Objekten im Web Portal Empfehlungen für Verbund-Umgebungen Basisdaten für die Verwaltung einer Azure Active Directory-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer Azure Active Directory-Umgebung Standardprojektvorlagen für Azure Active Directory Verarbeitung von Azure Active Directory Systemobjekten Einstellungen des Azure Active Directory Konnektors

Azure Active Directory Richtlinien zur Token-Gültigkeitsdauer

Über Azure Active Directory Richtlinien zur Token-Gültigkeitsdauer kann die Gültigkeit von Token für die Anmeldung festgelegt werden. Um für eine Azure Active Directory Anwendung eine Azure Active Directory Richtlinie zur Token-Gültigkeitsdauer zur Verfügung zu stellen, wird die Richtlinie an die Azure Active Directory Anwendung zugewiesen. Ausführliche Informationen finden Sie in der Azure Active Directory Dokumentation von Microsoft.

Azure Active Directory Richtlinien zur Token-Gültigkeitsdauer werden durch die Synchronisation in den One Identity Manager eingelesen und können nicht bearbeitet werden.

Um Informationen zu einer Azure Active Directory Richtlinie anzuzeigen

  1. Wählen Sie im Manager die Kategorie Azure Active Directory > Mandanten > <Ihr Mandant> > Richtlinien > Richtlinien zur Token-Gültigkeitsdauer.

  2. Wählen Sie in der Ergebnisliste die Azure Active Directory Richtlinie.

  3. Wählen Sie eine der folgenden Aufgaben:

    • Überblick über die Richtlinien zur Token-Gültigkeitsdauer: Sie erhalten einen Überblick über die Azure Active Directory Richtlinie und ihre Abhängigkeiten.

    • Stammdaten bearbeiten: Es werden die Stammdaten für die Azure Active Directory Richtlinie angezeigt. Sie können die Stammdaten nicht bearbeiten.

      • Anzeigename: Anzeigename der Azure Active Directory Richtlinie.

      • Beschreibung: Beschreibung der Azure Active Directory Richtlinie.

      • Definition: Definition der Azure Active Directory Richtlinie im JSON Format.

      • Mandant: Azure Active Directory Mandant, zu dem die Richtlinie gehört.

      • Standardrichtlinie: Gibt an, ob es sich um die Standardrichtlinie des Azure Active Directory Mandanten handelt.

Verwandte Themen

Azure Active Directory Benutzerkonten

Mit dem One Identity Manager verwalten Sie die Benutzerkonten einer Azure Active Directory-Umgebung. Um auf die Dienstpläne im Azure Active Directory zuzugreifen, benötigen die Benutzer ein Abonnement. Über die Mitgliedschaft in Gruppen erhalten die Azure Active Directory Benutzerkonten die nötigen Berechtigungen zum Zugriff auf die Ressourcen.

Verwandte Themen

Azure Active Directory Benutzerkonten erstellen und bearbeiten

Ein Benutzerkonto kann im One Identity Manager mit einer Identität verbunden sein. Ebenso können Sie die Benutzerkonten getrennt von Identitäten verwalten.

HINWEIS: Um Benutzerkonten für die Identitäten eines Unternehmens einzurichten, wird der Einsatz von Kontendefinitionen empfohlen. Einige der nachfolgend beschriebenen Stammdaten werden dabei über Bildungsregeln aus den Identitätenstammdaten gebildet.

HINWEIS: Sollen Identitäten ihre Benutzerkonten über Kontendefinitionen erhalten, müssen die Identitäten ein zentrales Benutzerkonto besitzen und über die Zuordnung zu einer primären Abteilung, einem primären Standort oder einer primären Kostenstelle ihre IT Betriebsdaten erhalten.

TIPP: Damit eine Identität automatisiert ein Benutzerkonto und ein Abonnement erhält, können Sie die Kontendefinition zur Erstellung des Benutzerkontos und das zu verwendende Abonnement in einer Systemrolle zusammenfassen.

Eine Identität kann diese Systemrolle direkt erhalten, über Abteilungen, Kostenstellen, Standorte oder Geschäftsrollen erben oder über den IT Shop bestellen.

Um ein Benutzerkonto zu erstellen

  1. Wählen Sie im Manager die Kategorie Azure Active Directory > Benutzerkonten.

  2. Klicken Sie in der Ergebnisliste .

  3. Auf dem Stammdatenformular bearbeiten Sie die Stammdaten des Benutzerkontos.

  4. Speichern Sie die Änderungen.

Um die Stammdaten eines Benutzerkontos zu bearbeiten

  1. Wählen Sie im Manager die Kategorie Azure Active Directory > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Bearbeiten Sie die Stammdaten des Benutzerkontos.

  5. Speichern Sie die Änderungen.

Um ein Benutzerkonto für eine Identität manuell zuzuweisen

  1. Wählen Sie im Manager die Kategorie Identitäten > Identitäten.

  2. Wählen Sie in der Ergebnisliste die Identität.

  3. Wählen Sie die Aufgabe Azure Active Directory Benutzerkonten zuweisen.

  4. Weisen Sie ein Benutzerkonto zu.

  5. Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema
Verwandte Themen

Allgemeine Stammdaten für Azure Active Directory Benutzerkonten

Erfassen Sie die folgenden allgemeinen Stammdaten.

Tabelle 28: Allgemeine Stammdaten eines Benutzerkontos
Eigenschaft Beschreibung

Identität

Identität, die das Benutzerkonto verwendet.

  • Wurde das Benutzerkonto über eine Kontendefinition erzeugt, ist die Identität bereits eingetragen.

  • Wenn Sie die automatische Identitätenzuordnung nutzen, wird beim Speichern des Benutzerkontos eine zugehörige Identität gesucht und in das Benutzerkonto übernommen.

  • Wenn Sie das Benutzerkonto manuell erstellen, können Sie die Identität aus der Auswahlliste wählen.

    In der Auswahlliste werden im Standard aktivierte und deaktivierte Identitäten angezeigt. Um deaktivierte Identitäten nicht in der Auswahlliste anzuzeigen, aktivieren Sie den Konfigurationsparameter QER | Person| HideDeactivatedIdentities.

HINWEIS: Wenn Sie eine deaktivierte Identität an ein Benutzerkonto zuordnen, wird das Benutzerkonto, abhängig von der Konfiguration, unter Umständen gesperrt oder gelöscht.

Für ein Benutzerkonto mit einer Identität vom Typ Organisatorische Identität, Persönliche Administratoridentität, Zusatzidentität, Gruppenidentität oder Dienstidentität können Sie eine neue Identität erstellen. Klicken Sie dafür neben dem Eingabefeld und erfassen Sie die erforderlichen Identitätenstammdaten. Die Pflichteingaben sind abhängig vom gewählten Identitätstyp.

Keine Verbindung mit einer Identität erforderlich

Gibt an, ob dem Benutzerkonto absichtlich keine Identität zugeordnet ist. Die Option wird automatisch aktiviert, wenn ein Benutzerkonto in der Ausschlussliste für die automatische Identitätenzuordnung enthalten ist oder eine entsprechende Attestierung erfolgt ist. Sie können die Option manuell setzen. Aktivieren Sie die Option, falls das Benutzerkonto mit keiner Identität verbunden werden muss (beispielsweise, wenn mehrere Identitäten das Benutzerkonto verwenden).

Wenn durch die Attestierung diese Benutzerkonten genehmigt werden, werden diese Benutzerkonten künftig nicht mehr zur Attestierung vorgelegt. Im Web Portal können Benutzerkonten, die nicht mit einer Identität verbunden sind, nach verschiedenen Kriterien gefiltert werden.

Nicht mit einer Identität verbunden

Zeigt an, warum für das Benutzerkonto die Option Keine Verbindung mit einer Identität erforderlich aktiviert ist. Mögliche Werte sind:

  • durch Administrator: Die Option wurde manuell durch den Administrator aktiviert.

  • durch Attestierung: Das Benutzerkonto wurde attestiert.

  • durch Ausschlusskriterium: Das Benutzerkonto wird aufgrund eines Ausschlusskriteriums nicht mit einer Identität verbunden. Das Benutzerkonto ist beispielsweise in der Ausschlussliste für die automatische Identitätenzuordnung enthalten (Konfigurationsparameter PersonExcludeList).

Kontendefinition

Kontendefinition, über die das Benutzerkonto erstellt wurde.

Die Kontendefinition wird benutzt, um die Stammdaten des Benutzerkontos automatisch zu befüllen und um einen Automatisierungsgrad für das Benutzerkonto festzulegen. Der One Identity Manager ermittelt die IT Betriebsdaten der zugeordneten Identität und trägt sie in die entsprechenden Eingabefelder des Benutzerkontos ein.

HINWEIS: Die Kontendefinition darf nach dem Speichern des Benutzerkontos nicht geändert werden.

HINWEIS: Über die Aufgabe Entferne Kontendefinition am Benutzerkonto können Sie das Benutzerkonto wieder in den Zustand Linked zurücksetzen. Dabei wird die Kontendefinition vom Benutzerkonto und von der Identität entfernt. Das Benutzerkonto bleibt über diese Aufgabe erhalten, wird aber nicht mehr über die Kontendefinition verwaltet. Die Aufgabe entfernt nur Kontendefinitionen, die direkt zugewiesen sind (XOrigin=1).

Automatisierungsgrad

Automatisierungsgrad des Benutzerkontos. Wählen Sie einen Automatisierungsgrad aus der Auswahlliste. Den Automatisierungsgrad können Sie nur festlegen, wenn Sie auch eine Kontendefinition eingetragen haben. In der Auswahlliste werden alle Automatisierungsgrade der gewählten Kontendefinition angeboten.

Mandant

Azure Active Directory Mandant des Benutzerkontos.

Benutzertyp

Typ des Benutzerkontos. Abhängig vom Benutzertyp sind weitere Pflichtangaben erforderlich. Zulässig sind die Werte:

Erstellungstyp

Gibt an, durch welche Methode das Benutzerkonto erstellt wurde. Mögliche Werte sind:

  • null: Reguläres Schulkonto oder Arbeitskonto.

  • Invitation: Externes Benutzerkonto.

  • LocalAccount: Lokales Benutzerkonto für einen Azure Active Directory B2C Mandanten.

  • EmailVerified: Self-Service-Anmeldung durch einen internen Benutzer mit E-Mail-Verifizierung.

  • SelfServiceSignUp: Self-Service-Anmeldung durch einen externen Benutzer, der sich über einen Link anmeldet, der Teil eines Benutzerflusses ist.

Einladungsstatus

(Nur für Benutzertyp Gast) Zustimmungsstatus des eingeladenen Benutzers zur Einladung. Zulässige Werte sind:

  • Annahme steht aus: Die Zustimmung des Benutzers zur Einladung steht noch aus.
  • Akzeptiert: Die Einladung wurde vom Benutzer akzeptiert.
  • Leer: Gastbenutzer ohne Einladung.

Letzte Änderung

(Nur für Benutzertyp Gast) Zeitpunkt, an dem der Status der Einladung geändert wurde.

Domäne

Domäne des Benutzerkontos.

Standort

Standort, an dem das Benutzerkonto genutzt wird. Wenn Sie im One Identity Manager Azure Active Directory Abonnements an Benutzerkonten zuweisen, wird der Standort benötigt.

Vorname

Vorname des Benutzers. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt.

Nachname

Nachname des Benutzers. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch ausgefüllt.

Geburtstag

Geburtstag des Benutzers.

Altersgruppe

Altersgruppe des Benutzers. Zulässig sind die Werte Minderjähriger, Teenager und Erwachsener.

Einverständniserklärung für Minderjährige

Gibt an, ob die Einverständniserklärung für Minderjährige eingeholt wurde. Zulässig sind die Werte Erteilt, Nicht erteilt und Nicht erforderlich.

Benutzeranmeldename

Anmeldename des Benutzerkontos. Der Benutzeranmeldename wird gebildet aus dem Alias und der Domäne. Der Benutzeranmeldename entspricht dem Benutzernamen (User Principal Name) des Benutzers im Azure Active Directory.

Benutzeridentitäten

Sammlung von Identitäten, mit den sich ein Benutzer bei einem Benutzerkonto anmeldet. Weitere Informationen finden Sie unter Benutzeridentitäten für Azure Active Directory Benutzerkonten bereitstellen.

Anzeigename

Anzeigename des Benutzerkontos.

Alias

E-Mail Alias für das Benutzerkonto.

E-Mail-Adresse

E-Mail-Adresse des Benutzers.

Bevorzugte Sprache

Bevorzugte Sprache des Benutzers, beispielsweise en-US.

Kennwort

Kennwort für das Benutzerkonto. Das zentrale Kennwort der zugeordneten Identität kann auf das Kennwort des Benutzerkontos abgebildet werden. Ausführliche Informationen zum zentralen Kennwort einer Identität finden Sie im One Identity Manager Administrationshandbuch für das Identity Management Basismodul.

Wenn Sie ein zufällig generiertes initiales Kennwort für Benutzerkonten verwenden, wird dieses automatisch bei Erstellen eines Benutzerkontos eingetragen.

Das Kennwort wird nach dem Publizieren in das Zielsystem aus der Datenbank gelöscht.

Hinweis: Beim Prüfen eines Benutzerkennwortes werden die One Identity Manager Kennwortrichtlinien beachtet. Stellen Sie sicher, dass die Kennwortrichtlinie nicht gegen die Anforderungen des Zielsystems verstößt.

Kennwortbestätigung

Kennwortwiederholung.

Kennwort bei der nächsten Anmeldung ändern

Gibt an, ob der Benutzer bei der nächsten Anmeldung das Kennwort anpassen muss.

Kennwortrichtlinien

Kennwortrichtlinien, die für das Benutzerkonto gelten. Zur Verfügung stehen die Optionen Keine Einschränkungen, Kennwort läuft nie ab und Schwache Kennwörter zulassen.

Letzte Kennwortänderung

Datum der letzten Kennwortänderung. Das Datum wird aus der Azure Active Directory-Umgebung ausgelesen und kann nicht bearbeitet werden.

Risikoindex (berechnet)

Maximalwert der Risikoindexwerte aller zugeordneten Gruppen. Die Eigenschaft ist nur sichtbar, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen.

Kategorie

Kategorien für die Vererbung von Gruppen an das Benutzerkonto. Gruppen können selektiv an die Benutzerkonten vererbt werden. Dazu werden die Gruppen und die Benutzerkonten in Kategorien eingeteilt. Wählen Sie aus der Auswahlliste eine oder mehrere Kategorien.

Identitätstyp

Typ der Identität des Benutzerkontos. Zulässige Werte sind:

  • Primäre Identität: Standardbenutzerkonto einer Identität.

  • Organisatorische Identität: Sekundäres Benutzerkonto, welches für unterschiedliche Rollen in der Organisation verwendet wird, beispielsweise bei Teilverträgen mit anderen Unternehmensbereichen.

  • Persönliche Administratoridentität: Benutzerkonto mit administrativen Berechtigungen, welches von einer Identität genutzt wird.

  • Zusatzidentität: Benutzerkonto, das für einen spezifischen Zweck benutzt wird, beispielsweise zu Trainingszwecken.

  • Gruppenidentität: Benutzerkonto mit administrativen Berechtigungen, welches von mehreren Identitäten genutzt wird. Weisen Sie alle Identitäten zu, die das Benutzerkonto nutzen.

  • Dienstidentität: Dienstkonto.

Privilegiertes Benutzerkonto

Gibt an, ob es sich um ein privilegiertes Benutzerkonto handelt.

Unwirksame Dienstpläne erbbar

Gibt an, ob das Benutzerkonto unwirksame Azure Active Directory Dienstpläne über die Identität erben darf. Ist die Option aktiviert, werden unwirksame Dienstpläne über hierarchische Rollen oder IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Identität mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung unwirksame Dienstpläne zugewiesen haben, dann erbt das Benutzerkonto diese unwirksamen Dienstpläne.

  • Wenn eine Identität einen unwirksamen Dienstplan im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Identität diesen unwirksamen Dienstplan nur, wenn die Option aktiviert ist.

Abonnements erbbar

Gibt an, ob das Benutzerkonto Azure Active Directory Abonnements über die Identität erben darf. Ist die Option aktiviert, werden Azure Active Directory Abonnements über hierarchische Rollen oder IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Identität mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Azure Active Directory Abonnements zugewiesen haben, dann erbt das Benutzerkonto diese Azure Active Directory Abonnements.

  • Wenn eine Identität ein Azure Active Directory Abonnement im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Identität dieses Azure Active Directory Abonnement nur, wenn die Option aktiviert ist.

Administratorrollen erbbar

Gibt an, ob das Benutzerkonto Azure Active Directory Administratorrollen über die Identität erben darf. Ist die Option aktiviert, werden Administratorrollen über hierarchische Rollen oder IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Identität mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Administratorrollen zugewiesen haben, dann erbt das Benutzerkonto diese Administratorrollen.

  • Wenn eine Identität eine Administratorrolle im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Identität diese Administratorrolle nur, wenn die Option aktiviert ist.

Gruppen erbbar

Gibt an, ob das Benutzerkonto Gruppen über die verbundene Identität erben darf. Ist die Option aktiviert, werden Gruppen über hierarchische Rollen, in denen die Identität Mitglied ist, oder über IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Identität mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Gruppen zugewiesen haben, dann erbt das Benutzerkonto diese Gruppen.

  • Wenn eine Identität eine Gruppenmitgliedschaft im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Identität diese Gruppe nur, wenn die Option aktiviert ist.

Office 365 Gruppen erbbar

HINWEIS: Diese Eigenschaft ist nur verfügbar, wenn das Exchange Online Modul vorhanden ist.

Gibt an, ob das Benutzerkonto Office 365 Gruppen über die verbundene Identität erben darf. Ist die Option aktiviert, werden Office 365 Gruppen über hierarchische Rollen, in denen die Identität Mitglied ist, oder über IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Identität mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Office 365 Gruppen zugewiesen haben, dann erbt das Azure Active Directory Benutzerkonto diese Office 365 Gruppen.

  • Wenn eine Identität eine Gruppenmitgliedschaft im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Azure Active Directory Benutzerkonto der Identität diese Office 365 Gruppe nur, wenn die Option aktiviert ist.

Ausführliche Informationen zu Office 365 Gruppen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Exchange Online-Umgebung.

Benutzerkonto ist deaktiviert

Gibt an, ob das Benutzerkonto deaktiviert ist. Wird ein Benutzerkonto vorübergehend nicht benötigt, können Sie das Benutzerkonto über die Option zeitweilig deaktivieren.

Ressourcenkonto

Gibt an, ob es sich bei dem Benutzerkonto um ein Ressourcenkonto handelt.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating