Chat now with support
Chat with Support

Identity Manager 9.3 - Administrationshandbuch für die Anbindung einer Microsoft Entra ID-Umgebung

Verwalten einer Microsoft Entra ID-Umgebung Synchronisieren einer Microsoft Entra ID-Umgebung
Einrichten der Initialsynchronisation mit einem Microsoft Entra ID Mandanten Anpassen der Synchronisationskonfiguration für Microsoft Entra ID-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Microsoft Entra ID Benutzerkonten und Identitäten
Kontendefinitionen für Microsoft Entra ID Benutzerkonten Automatische Zuordnung von Identitäten zu Microsoft Entra ID Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Identitäten bei Änderung von Microsoft Entra ID Benutzerkonten Löschverzögerung für Microsoft Entra ID Benutzerkonten festlegen
Managen von Mitgliedschaften in Microsoft Entra ID Gruppen Managen von Zuweisungen von Microsoft Entra ID Administratorrollen Managen von Zuweisungen von Microsoft Entra ID Abonnements und Microsoft Entra ID Dienstplänen
Wirksame und unwirksame Microsoft Entra ID Dienstpläne für Microsoft Entra ID Benutzerkonten und Microsoft Entra ID Gruppen anzeigen Zuweisen von Microsoft Entra ID Abonnements an Microsoft Entra ID Benutzerkonten Zuweisen von unwirksamen Microsoft Entra ID Dienstpläne an Microsoft Entra ID Benutzerkonten Vererbung von Microsoft Entra ID Abonnements anhand von Kategorien Vererbung von unwirksamen Microsoft Entra ID Dienstplänen anhand von Kategorien
Bereitstellen von Anmeldeinformationen für Microsoft Entra ID Benutzerkonten Microsoft Entra ID Rollenmanagement
Microsoft Entra ID Rollenmanagement Mandanten Aktivierung der Funktionen des Microsoft Entra ID Rollenmanagement Stammdaten von Microsoft Entra ID Rollen Stammdaten von Microsoft Entra ID Rolleneinstellungen Anzeigen von Microsoft Entra ID Rolleneinstellungen Stammdaten Zuweisen von befristeten Zugriffspässen an Microsoft Entra ID Benutzerkonten Rollenzuweisungen für Bereiche für Microsoft Entra ID Rollen anzeigen Rollenberechtigungen für Bereiche für Microsoft Entra ID Rollen anzeigen Überblick über Microsoft Entra ID Rollenzuweisungen für Bereiche anzeigen Stammdaten von Microsoft Entra ID Rollenzuweisungen für Bereiche Managen von Microsoft Entra ID Rollenzuweisungen für Bereiche Microsoft Entra ID Rollenzuweisungen für Bereiche hinzufügen Microsoft Entra ID Rollenzuweisungen für Bereiche bearbeiten Microsoft Entra ID Rollenzuweisungen für Bereiche löschen Microsoft Entra ID Rollenzuweisungen für Bereiche zuweisen Zuweisen von Microsoft Entra ID Rollenzuweisungen für Bereiche an Microsoft Entra ID Benutzerkonten Zuweisen von Microsoft Entra ID Rollenzuweisungen für Bereiche an Microsoft Entra ID Gruppen Zuweisen von Microsoft Entra ID Rollenzuweisungen für Bereiche an Microsoft Entra ID Dienstprinzipale Microsoft Entra ID Systemrollen durch Rollenzuweisungen an Bereiche zuweisen Microsoft Entra ID Geschäftsrollen durch Rollenzuweisungen an Bereiche zuweisen Microsoft Entra ID Organisationen durch Rollenzuweisungen an Bereiche zuweisen Überblick über Microsoft Entra ID Rollenberechtigungen für Bereiche anzeigen Stammdaten von Microsoft Entra ID Rollenberechtigungen für Bereiche Managen von Microsoft Entra ID Rollenberechtigungen für Bereiche Microsoft Entra ID Rollenberechtigungen für Bereiche hinzufügen Microsoft Entra ID Rollenberechtigungen für Bereiche bearbeiten Microsoft Entra ID Rollenberechtigungen für Bereiche löschen Microsoft Entra ID Rollenberechtigungen für Bereiche zuweisen Zuweisen von Microsoft Entra ID Rollenberechtigungen für Bereiche an Microsoft Entra ID Benutzerkonten Zuweisen von Microsoft Entra ID Rollenberechtigungen für Bereiche an Microsoft Entra ID Gruppen Zuweisen von Microsoft Entra ID Rollenberechtigungen für Bereiche an Microsoft Entra ID Dienstprinzipale Microsoft Entra ID Systemrollen durch Rollenberechtigungen an Bereiche zuweisen Microsoft Entra ID Geschäftsrollen durch Rollenberechtigungen an Bereiche zuweisen Microsoft Entra ID Organisationen durch Rollenberechtigungen an Bereiche zuweisen
Abbildung von Microsoft Entra ID Objekten im One Identity Manager
Microsoft Entra ID Unternehmensverzeichnis Microsoft Entra ID Benutzerkonten Microsoft Entra ID Benutzeridentitäten Microsoft Entra ID Gruppen Microsoft Entra ID Administratorrollen Microsoft Entra ID Verwaltungseinheiten Microsoft Entra ID Abonnements und Microsoft Entra ID Dienstpläne Unwirksame Microsoft Entra ID Dienstpläne Microsoft Entra ID App-Registierungen und Microsoft Entra ID Dienstprinzipale Berichte über Microsoft Entra ID Objekte Managen von Microsoft Entra ID Sicherheitsattributen
Behandeln von Microsoft Entra ID Objekten im Web Portal Empfehlungen für Verbund-Umgebungen Basisdaten für die Verwaltung einer Microsoft Entra ID-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer Microsoft Entra ID-Umgebung Standardprojektvorlagen für Microsoft Entra ID Verarbeitung von Microsoft Entra ID Systemobjekten Einstellungen des Microsoft Entra ID Konnektors

Stammdaten einer Kontendefinition

Für eine Kontendefinition erfassen Sie die folgenden Stammdaten.

Tabelle 10: Stammdaten einer Kontendefinition

Eigenschaft

Beschreibung

Kontendefinition

Bezeichnung der Kontendefinition.

Benutzerkontentabelle

Tabelle im One Identity Manager Schema, welche die Benutzerkonten abbildet.

Für Microsoft Entra ID Benutzerkonten wählen Sie AADUser.

Zielsystem

Zielsystem für das die Kontendefinition gelten soll.

Vorausgesetzte Kontendefinition

Angabe der vorausgesetzten Kontendefinition. Definieren Sie Abhängigkeiten zwischen Kontendefinitionen. Wenn die Kontendefinition bestellt oder zugeordnet wird, wird die vorausgesetzte Kontendefinition automatisch zugeordnet.

Für einen Microsoft Entra ID Mandanten lassen Sie die Angabe leer. In Verbund-Umgebungen können Sie die Kontendefinition der Active Directory Domäne eintragen.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.

Automatisierungsgrad (initial)

Standardautomatisierungsgrad, der bei Neuanlage von Benutzerkonten standardmäßig verwendet werden soll.

Risikoindex

Wert zur Bewertung des Risikos von Zuweisungen der Kontendefinition an Identitäten. Stellen Sie einen Wert im Bereich von 0 bis 1 ein. Das Eingabefeld ist nur sichtbar, wenn der Konfigurationsparameter QER | CalculateRiskIndex aktiviert ist.

Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen.

Leistungsposition

Leistungsposition, über welche die Kontendefinition im IT Shop bestellt wird. Weisen Sie eine vorhandene Leistungsposition zu oder legen Sie eine neue Leistungsposition an.

IT Shop

Gibt an, ob die Kontendefinition über den IT Shop bestellbar ist. Die Kontendefinition kann über das Web Portal bestellt werden und über definierte Genehmigungsverfahren zugeteilt werden. Die Kontendefinition kann weiterhin direkt an Identitäten und Rollen außerhalb des IT Shop zugewiesen werden.

Verwendung nur im IT Shop

Gibt an, ob die Kontendefinition ausschließlich über den IT Shop bestellbar ist. Die Kontendefinition kann über das Web Portal bestellt werden und über definierte Genehmigungsverfahren zugeteilt werden. Eine direkte Zuweisung der Kontendefinition an Rollen außerhalb des IT Shop ist nicht zulässig.

Automatische Zuweisung zu Identitäten

Gibt an, ob die Kontendefinition automatisch an alle internen Identitäten zugewiesen werden soll. Um die Kontendefinition automatisch an alle internen Identitäten zuzuweisen, verwenden Sie die Aufgabe Automatische Zuweisung zu Identitäten aktivieren. Die Kontendefinition wird an jede Identität zugewiesen, die nicht als extern markiert ist. Sobald eine neue interne Identität erstellt wird, erhält diese Identität ebenfalls automatisch diese Kontendefinition.

Um die automatische Zuweisung der Kontendefinition von allen Identitäten zu entfernen, verwenden Sie die Aufgabe Automatische Zuweisung zu Identitäten deaktivieren. Ab diesem Zeitpunkt wird die Kontendefinition nicht neu an Identitäten zugewiesen. Bestehende Zuweisungen der Kontendefinition bleiben jedoch erhalten.

Kontendefinition bei dauerhafter Deaktivierung beibehalten

Angabe zur Zuweisung der Kontendefinition an dauerhaft deaktivierte Identitäten.

Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

Option nicht aktiviert: (Standard) Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

Kontendefinition bei zeitweiliger Deaktivierung beibehalten

Angabe zur Zuweisung der Kontendefinition an zeitweilig deaktivierte Identitäten.

Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

Option nicht aktiviert: (Standard) Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

Kontendefinition bei verzögertem Löschen beibehalten

Angabe zur Zuweisung der Kontendefinition bei verzögertem Löschen von Identitäten.

Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

Option nicht aktiviert: (Standard) Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

Kontendefinition bei Sicherheitsgefährdung beibehalten

Angabe zur Zuweisung der Kontendefinition an sicherheitsgefährdende Identitäten.

Option aktiviert: Die Zuweisung der Kontendefinition bleibt wirksam. Das Benutzerkonto bleibt erhalten.

Option nicht aktiviert: (Standard) Die Zuweisung der Kontendefinition ist nicht wirksam. Das zugehörige Benutzerkonto wird gelöscht.

Ressourcentyp

Ressourcentyp zur Gruppierung von Kontendefinitionen.

Freies Feld 01- Freies Feld 10

Zusätzliche unternehmensspezifische Informationen. Die Anzeigenamen, Formate und Bildungsregeln für die Eingabefelder können Sie mit dem Designer an Ihre Anforderungen anpassen.

Gruppen erbbar

Gibt an, ob das Benutzerkonto Gruppen über die verbundene Identität erben darf. Ist die Option aktiviert, werden Gruppen über hierarchische Rollen, in denen die Identität Mitglied ist, oder über IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Identität mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Gruppen zugewiesen haben, dann erbt das Benutzerkonto diese Gruppen.

  • Wenn eine Identität eine Gruppenmitgliedschaft im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Identität diese Gruppe nur, wenn die Option aktiviert ist.

Abonnements erbbar

Gibt an, ob das Benutzerkonto Microsoft Entra ID Abonnements über die Identität erben darf. Ist die Option aktiviert, werden Microsoft Entra ID Abonnements über hierarchische Rollen oder IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Identität mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Microsoft Entra ID Abonnements zugewiesen haben, dann erbt das Benutzerkonto diese Microsoft Entra ID Abonnements.

  • Wenn eine Identität ein Microsoft Entra ID Abonnement im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Identität dieses Microsoft Entra ID Abonnement nur, wenn die Option aktiviert ist.

Administratorrollen erbbar

Gibt an, ob das Benutzerkonto Microsoft Entra ID Administratorrollen über die Identität erben darf. Ist die Option aktiviert, werden Administratorrollen über hierarchische Rollen oder IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Identität mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Administratorrollen zugewiesen haben, dann erbt das Benutzerkonto diese Administratorrollen.

  • Wenn eine Identität eine Administratorrolle im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Identität diese Administratorrolle nur, wenn die Option aktiviert ist.

Unwirksame Dienstpläne erbbar

Gibt an, ob das Benutzerkonto unwirksame Microsoft Entra ID Dienstpläne über die Identität erben darf. Ist die Option aktiviert, werden unwirksame Dienstpläne über hierarchische Rollen oder IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Identität mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung unwirksame Dienstpläne zugewiesen haben, dann erbt das Benutzerkonto diese unwirksamen Dienstpläne.

  • Wenn eine Identität einen unwirksamen Dienstplan im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Identität diesen unwirksamen Dienstplan nur, wenn die Option aktiviert ist.

Microsoft 365 Gruppen erbbar

HINWEIS: Diese Eigenschaft ist nur verfügbar, wenn das Exchange Online Modul vorhanden ist.

Gibt an, ob das Benutzerkonto Microsoft 365 Gruppen über die verbundene Identität erben darf. Ist die Option aktiviert, werden Microsoft 365 Gruppen über hierarchische Rollen, in denen die Identität Mitglied ist, oder über IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Identität mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Microsoft 365 Gruppen zugewiesen haben, dann erbt das Microsoft Entra ID Benutzerkonto diese Microsoft 365 Gruppen.

  • Wenn eine Identität eine Gruppenmitgliedschaft im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Microsoft Entra ID Benutzerkonto der Identität diese Microsoft 365 Gruppe nur, wenn die Option aktiviert ist.

Ausführliche Informationen zu Microsoft 365 Gruppen finden Sie im One Identity Manager Administrationshandbuch für die Anbindung einer Exchange Online-Umgebung.

Automatisierungsgrade bearbeiten

One Identity Manager liefert eine Standardkonfiguration für die Automatisierungsgrade:

  • Unmanaged: Benutzerkonten mit dem Automatisierungsgrad Unmanaged erhalten eine Verbindung zur Identität, erben jedoch keine weiteren Eigenschaften. Beim Erstellen eines neuen Benutzerkontos mit diesem Automatisierungsgrad und Zuordnen einer Identität werden initial einige der Identitäteneigenschaften übernommen. Werden die Identitäteneigenschaften zu einem späteren Zeitpunkt geändert, dann werden diese Änderungen nicht an das Benutzerkonto weitergereicht.

  • Full managed: Benutzerkonten mit dem Automatisierungsgrad Full managed erben definierte Eigenschaften der zugeordneten Identität. Beim Erstellen eines neuen Benutzerkontos mit diesem Automatisierungsgrad und Zuordnen einer Identität werden initial die Identitäteneigenschaften übernommen. Werden die Identitäteneigenschaften zu einem späteren Zeitpunkt geändert, dann werden diese Änderungen an das Benutzerkonto weitergereicht.

HINWEIS: Die Automatisierungsgrade Full managed und Unmanaged werden in Bildungsregeln ausgewertet. Die mitgelieferten Bildungsregeln können Sie im Designer unternehmensspezifisch anpassen.

Abhängig von Ihren Anforderungen können Sie weitere Automatisierungsgrade definieren. Die Bildungsregeln müssen Sie um die Vorgehensweise für die zusätzlichen Automatisierungsgrade erweitern.

Legen Sie für jeden Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Identität auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll. Ausführliche Informationen zu Automatisierungsgraden finden Sie im One Identity Manager Administrationshandbuch für das Zielsystem-Basismodul.

  • Um die Berechtigungen zu entziehen, wenn eine Identität deaktiviert, gelöscht oder als sicherheitsgefährdend eingestuft wird, können die Benutzerkonten der Identität gesperrt werden. Wird die Identität zu einem späteren Zeitpunkt wieder aktiviert, werden ihre Benutzerkonten ebenfalls wieder freigeschaltet.

  • Zusätzlich kann die Vererbung der Gruppenmitgliedschaften definiert werden. Die Unterbrechung der Vererbung kann beispielsweise gewünscht sein, wenn die Benutzerkonten einer Identität gesperrt sind und somit auch nicht in Gruppen Mitglied sein dürfen. Während dieser Zeit sollen keine Vererbungsvorgänge für diese Identitäten berechnet werden. Bestehende Gruppenmitgliedschaften werden dann gelöscht!

Um einen Automatisierungsgrad zu bearbeiten

  1. Wählen Sie im Manager die Kategorie Microsoft Entra ID > Basisdaten zur Konfiguration > Kontendefinitionen > Automatisierungsgrade.

  2. Wählen Sie in der Ergebnisliste einen Automatisierungsgrad.

  3. Wählen Sie die Aufgabe Stammdaten bearbeiten.

  4. Bearbeiten Sie die Stammdaten des Automatisierungsgrades.

  5. Speichern Sie die Änderungen.

Verwandte Themen

Automatisierungsgrade erstellen

Der One Identity Manager liefert eine Standardkonfiguration für die Automatisierungsgrade Unmanaged und Full managed. Abhängig von Ihren Anforderungen können Sie weitere Automatisierungsgrade definieren.

WICHTIG: Erweitern Sie im Designer die Bildungsregeln um die Vorgehensweise für die zusätzlichen Automatisierungsgrade. Ausführliche Informationen zu Bildungsregeln finden Sie im One Identity Manager Konfigurationshandbuch.

Um einen Automatisierungsgrad zu erstellen

  1. Wählen Sie im Manager die Kategorie Microsoft Entra ID > Basisdaten zur Konfiguration > Kontendefinitionen > Automatisierungsgrade.

  2. Klicken Sie in der Ergebnisliste .

  3. Auf dem Stammdatenformular bearbeiten Sie die Stammdaten des Automatisierungsgrades.

  4. Speichern Sie die Änderungen.

Verwandte Themen

Automatisierungsgrade an Kontendefinitionen zuweisen

WICHTIG: Der Automatisierungsgrad Unmanaged wird beim Erstellen einer Kontendefinition automatisch zugewiesen und kann nicht entfernt werden.

Um Automatisierungsgrade an eine Kontendefinition zuzuweisen

  1. Wählen Sie im Manager die Kategorie Microsoft Entra ID > Basisdaten zur Konfiguration > Kontendefinitionen > Kontendefinitionen.

  2. Wählen Sie in der Ergebnisliste eine Kontendefinition.

  3. Wählen Sie die Aufgabe Automatisierungsgrade zuweisen.

  4. Weisen Sie im Bereich Zuordnungen hinzufügen die Automatisierungsgrade zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Automatisierungsgraden entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie den Automatisierungsgrad und doppelklicken Sie .

  5. Speichern Sie die Änderungen.

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating