Chat now with support
Chat with Support

Identity Manager 9.3 - Administrationshandbuch für die Anbindung einer Microsoft Entra ID-Umgebung

Verwalten einer Microsoft Entra ID-Umgebung Synchronisieren einer Microsoft Entra ID-Umgebung
Einrichten der Initialsynchronisation mit einem Microsoft Entra ID Mandanten Anpassen der Synchronisationskonfiguration für Microsoft Entra ID-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Microsoft Entra ID Benutzerkonten und Identitäten
Kontendefinitionen für Microsoft Entra ID Benutzerkonten Automatische Zuordnung von Identitäten zu Microsoft Entra ID Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Identitäten bei Änderung von Microsoft Entra ID Benutzerkonten Löschverzögerung für Microsoft Entra ID Benutzerkonten festlegen
Managen von Mitgliedschaften in Microsoft Entra ID Gruppen Managen von Zuweisungen von Microsoft Entra ID Administratorrollen Managen von Zuweisungen von Microsoft Entra ID Abonnements und Microsoft Entra ID Dienstplänen
Wirksame und unwirksame Microsoft Entra ID Dienstpläne für Microsoft Entra ID Benutzerkonten und Microsoft Entra ID Gruppen anzeigen Zuweisen von Microsoft Entra ID Abonnements an Microsoft Entra ID Benutzerkonten Zuweisen von unwirksamen Microsoft Entra ID Dienstpläne an Microsoft Entra ID Benutzerkonten Vererbung von Microsoft Entra ID Abonnements anhand von Kategorien Vererbung von unwirksamen Microsoft Entra ID Dienstplänen anhand von Kategorien
Bereitstellen von Anmeldeinformationen für Microsoft Entra ID Benutzerkonten Microsoft Entra ID Rollenmanagement
Microsoft Entra ID Rollenmanagement Mandanten Aktivierung der Funktionen des Microsoft Entra ID Rollenmanagement Stammdaten von Microsoft Entra ID Rollen Stammdaten von Microsoft Entra ID Rolleneinstellungen Anzeigen von Microsoft Entra ID Rolleneinstellungen Stammdaten Zuweisen von befristeten Zugriffspässen an Microsoft Entra ID Benutzerkonten Rollenzuweisungen für Bereiche für Microsoft Entra ID Rollen anzeigen Rollenberechtigungen für Bereiche für Microsoft Entra ID Rollen anzeigen Überblick über Microsoft Entra ID Rollenzuweisungen für Bereiche anzeigen Stammdaten von Microsoft Entra ID Rollenzuweisungen für Bereiche Managen von Microsoft Entra ID Rollenzuweisungen für Bereiche Microsoft Entra ID Rollenzuweisungen für Bereiche hinzufügen Microsoft Entra ID Rollenzuweisungen für Bereiche bearbeiten Microsoft Entra ID Rollenzuweisungen für Bereiche löschen Microsoft Entra ID Rollenzuweisungen für Bereiche zuweisen Zuweisen von Microsoft Entra ID Rollenzuweisungen für Bereiche an Microsoft Entra ID Benutzerkonten Zuweisen von Microsoft Entra ID Rollenzuweisungen für Bereiche an Microsoft Entra ID Gruppen Zuweisen von Microsoft Entra ID Rollenzuweisungen für Bereiche an Microsoft Entra ID Dienstprinzipale Microsoft Entra ID Systemrollen durch Rollenzuweisungen an Bereiche zuweisen Microsoft Entra ID Geschäftsrollen durch Rollenzuweisungen an Bereiche zuweisen Microsoft Entra ID Organisationen durch Rollenzuweisungen an Bereiche zuweisen Überblick über Microsoft Entra ID Rollenberechtigungen für Bereiche anzeigen Stammdaten von Microsoft Entra ID Rollenberechtigungen für Bereiche Managen von Microsoft Entra ID Rollenberechtigungen für Bereiche Microsoft Entra ID Rollenberechtigungen für Bereiche hinzufügen Microsoft Entra ID Rollenberechtigungen für Bereiche bearbeiten Microsoft Entra ID Rollenberechtigungen für Bereiche löschen Microsoft Entra ID Rollenberechtigungen für Bereiche zuweisen Zuweisen von Microsoft Entra ID Rollenberechtigungen für Bereiche an Microsoft Entra ID Benutzerkonten Zuweisen von Microsoft Entra ID Rollenberechtigungen für Bereiche an Microsoft Entra ID Gruppen Zuweisen von Microsoft Entra ID Rollenberechtigungen für Bereiche an Microsoft Entra ID Dienstprinzipale Microsoft Entra ID Systemrollen durch Rollenberechtigungen an Bereiche zuweisen Microsoft Entra ID Geschäftsrollen durch Rollenberechtigungen an Bereiche zuweisen Microsoft Entra ID Organisationen durch Rollenberechtigungen an Bereiche zuweisen
Abbildung von Microsoft Entra ID Objekten im One Identity Manager
Microsoft Entra ID Unternehmensverzeichnis Microsoft Entra ID Benutzerkonten Microsoft Entra ID Benutzeridentitäten Microsoft Entra ID Gruppen Microsoft Entra ID Administratorrollen Microsoft Entra ID Verwaltungseinheiten Microsoft Entra ID Abonnements und Microsoft Entra ID Dienstpläne Unwirksame Microsoft Entra ID Dienstpläne Microsoft Entra ID App-Registierungen und Microsoft Entra ID Dienstprinzipale Berichte über Microsoft Entra ID Objekte Managen von Microsoft Entra ID Sicherheitsattributen
Behandeln von Microsoft Entra ID Objekten im Web Portal Empfehlungen für Verbund-Umgebungen Basisdaten für die Verwaltung einer Microsoft Entra ID-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer Microsoft Entra ID-Umgebung Standardprojektvorlagen für Microsoft Entra ID Verarbeitung von Microsoft Entra ID Systemobjekten Einstellungen des Microsoft Entra ID Konnektors

Synchronisieren einer Microsoft Entra ID-Umgebung

HINWEIS: Die Synchronisation folgender nationaler Cloudbereitstellungen mit dem Microsoft Entra ID Konnektor wird nicht unterstützt.

  • Microsoft Cloud for US Government (L5)

  • Microsoft Cloud Germany

  • Microsoft Entra ID und Microsoft 365 betrieben von 21Vianet in China

Weitere Informationen finden Sie auch unter https://support.oneidentity.com/KB/312379.

Für den Abgleich der Informationen zwischen der One Identity Manager-Datenbank und einem Microsoft Entra ID Mandanten sorgt der One Identity Manager Service.

Informieren Sie sich hier:

  • wie Sie die Synchronisation einrichten, um initial Daten aus einem Microsoft Entra ID Mandanten in die One Identity Manager-Datenbank einzulesen,

  • wie Sie eine Synchronisationskonfiguration anpassen, beispielsweise um verschiedene Microsoft Entra ID Mandanten mit ein und demselben Synchronisationsprojekt zu synchronisieren,

  • wie Sie die Synchronisation starten und deaktivieren,

  • wie Sie die Synchronisationsergebnisse auswerten.

TIPP: Bevor Sie die Synchronisation mit einem Microsoft Entra ID Mandanten einrichten, machen Sie sich mit dem Synchronization Editor vertraut. Ausführliche Informationen über dieses Werkzeug finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Detaillierte Informationen zum Thema

Einrichten der Initialsynchronisation mit einem Microsoft Entra ID Mandanten

Der Synchronization Editor stellt eine Projektvorlage bereit, mit der die Synchronisation von Benutzerkonten und Berechtigungen der Microsoft Entra ID-Umgebung eingerichtet werden kann. Nutzen Sie diese Projektvorlage, um Synchronisationsprojekte zu erstellen, mit denen Sie Daten aus einem Microsoft Entra ID Mandanten in Ihre One Identity Manager-Datenbank einlesen. Zusätzlich werden die notwendigen Prozesse angelegt, über die Änderungen an Zielsystemobjekten aus der One Identity Manager-Datenbank in das Zielsystem provisioniert werden.

Um die Objekte eines Microsoft Entra ID Mandanten initial in die One Identity Manager-Datenbank einzulesen

  1. Stellen Sie sicher, dass der Microsoft Entra ID Mandant eine Lizenz mit dem Dienst SharePoint Online besitzt.

    HINWEIS: Ist keine solche Lizenz vorhanden, tritt beim Laden der Microsoft Entra ID Benutzerkonten ein Fehler auf. Weitere Informationen finden Sie unter Mögliche Fehler bei der Synchronisation eines Microsoft Entra ID Mandanten.

  2. Registrieren Sie für den One Identity Manager eine Anwendung in ihrem Microsoft Entra ID Mandanten.

    Abhängig davon, wie die Anwendung für den One Identity Manager im Microsoft Entra ID Mandanten registriert ist, wird entweder ein Benutzerkonto mit ausreichenden Berechtigungen oder der geheime Schlüssel benötigt.

  3. Die One Identity Manager Bestandteile für die Verwaltung von Microsoft Entra ID Mandanten sind verfügbar, wenn der Konfigurationsparameter TargetSystem | AzureAD aktiviert ist.

    • Prüfen Sie im Designer, ob der Konfigurationsparameter aktiviert ist. Anderenfalls aktivieren Sie den Konfigurationsparameter und kompilieren Sie die Datenbank.

      HINWEIS:Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL-Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

    • Mit der Installation des Moduls werden weitere Konfigurationsparameter installiert. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.

  4. Installieren und konfigurieren Sie einen Synchronisationsserver und geben Sie den Server im One Identity Manager als Jobserver bekannt.
  5. Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt.
Detaillierte Informationen zum Thema

Registrieren einer Unternehmensanwendung für den One Identity Manager im Microsoft Entra ID Mandanten

Um die Daten zwischen One Identity Manager und Microsoft Entra ID zu synchronisieren, müssen Sie eine Anwendung im Microsoft Entra ID Mandanten registrieren. Der Microsoft Entra ID Konnektor authentifiziert sich über die One Identity Manager-Anwendung am Microsoft Entra ID Mandanten.

  • Registrieren Sie die One Identity Manager-Anwendung im Microsoft Azure Management Portal (https://portal.azure.com/) oder im Microsoft Entra ID Admin Center (https://admin.microsoft.com/).

    HINWEIS: Beim Hinzufügen der One Identity Manager-Anwendung im Microsoft Entra ID wird eine Anwendungs-ID erzeugt. Die Anwendungs-ID benötigen Sie für die Einrichtung des Synchronisationsprojektes.

    Ausführliche Informationen zum Registrieren einer Anwendung finden Sie unter https://learn.microsoft.com/en-us/entra/identity-platform/quickstart-register-app?tabs=certificate.

  • Für die Authentifizierung an der Anwendung stehen zwei Wege zur Auswahl.

    • Authentifizierung im Kontext eines Verzeichnisbenutzers (delegierte Berechtigungen)

      Wenn Sie die Authentifizierung im Kontext eines Verzeichnisbenutzers nutzen, benötigen Sie bei der Einrichtung des Synchronisationsprojektes ein Benutzerkonto mit ausreichenden Berechtigungen.

    • Authentifizierung im Kontext einer Anwendung (Anwendungsberechtigungen)

      Wenn Sie die Authentifizierung im Kontext einer Anwendung nutzen, benötigen Sie bei der Einrichtung des Synchronisationsprojektes den Wert des geheimen Schlüssels. Der geheime Schlüssel wird bei der Registrierung der One Identity Manager-Anwendung des Microsoft Entra ID Mandanten erzeugt.

      HINWEIS: Der Schlüssel ist nur begrenzte Zeit gültig und muss nach Ablauf ausgetauscht werden.

Um die Authentifizierung im Kontext eines Verzeichnisbenutzers (delegierte Berechtigungen) zu konfigurieren

  1. Im Microsoft Azure Management Portal wählen Sie unter App-Registrierungen Ihre Anwendung.

  2. Legen Sie unter Verwalten > Authentifizierung folgende Einstellungen fest.

    1. Im Bereich Plattformkonfiguration klicken Sie Plattform hinzufügen und wählen Sie unter Plattformen konfigurieren die Kachel Mobilgerät- und Desktopanwendungen.

      1. Unter Benutzerdefinierte Umleitungs-URIs können Sie eine beliebige URI angeben.

      2. Klicken Sie Konfigurieren.

    2. Im Bereich Unterstützte Kontotypen wählen Sie Nur Konten in diesem Organisationsverzeichnis (einzelner Mandant).

    3. Im Bereich Erweiterte Einstellungen aktivieren Sie die Option Öffentliche Clientflows zulassen.

  3. Legen Sie unter Verwalten > API-Berechtigungen die Berechtigungen fest.

    1. Im Bereich Konfigurierte Berechtigungen klicken Sie Berechtigung hinzufügen.

      1. Wählen Sie unter API-Berechtigungen anfordern > Microsoft-APIs die Kachel Microsoft Graph.

      2. Wählen Sie Delegierte Berechtigungen und wählen Sie folgende Berechtigungen aus:

        • Directory.AccessAsUser.All (Access directory as the signed in user)

        • Directory.ReadWrite.All (Read and write directory data)

        • AuditLog.Read.All (Read all login times)

        • CustomSecAttributeDefinition.Read.All (Read all custom security attribute definitions)

        • CustomSecAttributeAssignment.ReadWrite.All (Read and write all custom security assignments for all users and applications)

        • UserAuthenticationMethod.ReadWrite.All (Read and write authentication methods for all users)

          HINWEIS: Diese Berechtigung ist nicht in B2C Tenants verfügbar.

        • User.ReadWrite.all (Read and write all users’ full profile)

        • Group.ReadWrite.all (Read and write all groups)

        • RoleManagement.ReadWrite.Directory (Read and write all directory RBAC settings)

        • RoleAssignmentSchedule.ReadWrite.Directory (Read, update, and delete all policies for privileged role assignments of your company's directory)

        • RoleEligibilitySchedule.ReadWrite.Directory (Read, update, and delete all eligible role assignments and schedules for your company's directory)

        • Policy.Read.All (Policy.Read.All)

        • openid (Sign users in)

        • ChannelMember.Read.All (Read the members of channels)

          HINWEIS: Diese Berechtigung wird nur benötigt, wenn Sie Microsoft Teams synchronisieren.

      3. Klicken Sie Berechtigungen hinzufügen.

    2. Im Bereich Konfigurierte Berechtigungen klicken Sie Administratorzustimmung für ... erteilen und bestätigen Sie die Sicherheitsabfrage mit Ja.

      Die konfigurierten Berechtigungen werden damit aktiv.

Um die Authentifizierung im Kontext einer Anwendung (Anwendungsberechtigungen) zu konfigurieren

  1. Im Microsoft Azure Management Portal wählen Sie unter App-Registrierungen Ihre Anwendung.

  2. Legen Sie unter Verwalten > Authentifizierung folgende Einstellungen fest.

    1. Im Bereich Plattformkonfiguration klicken Sie Plattform hinzufügen wählen Sie unter Plattformen konfigurieren die Kachel Web.

      1. Unter Umleitungs-URIs können Sie eine beliebige URI angeben.

      2. Klicken Sie Konfigurieren.

    2. Im Bereich Unterstützte Kontotypen wählen Sie Nur Konten in diesem Organisationsverzeichnis (einzelner Mandant).

    3. Im Bereich Erweiterte Einstellungen aktivieren Sie die Option Öffentliche Clientflows zulassen.

  3. Legen Sie unter Verwalten > API-Berechtigungen die Berechtigungen fest.

    1. Im Bereich Konfigurierte Berechtigungen klicken Sie Berechtigung hinzufügen.

      1. Wählen Sie unter API-Berechtigungen anfordern > Microsoft-APIs die Kachel Microsoft Graph.

      2. Wählen Sie Anwendungsberechtigungen und wählen Sie folgende Berechtigungen aus:

        • Application.ReadWrite.All (Read and write all applications)

        • CustomSecAttributeDefinition.Read.All (Read all custom security attribute definitions)

        • CustomSecAttributeAssignment.ReadWrite.All (Read and write all custom security assignments for all users and applications)

        • Directory.ReadWrite.All (Read directory data)

        • Group.ReadWrite.All (Read and write all groups)

        • Policy.Read.All (Read your organization's policies)

        • RoleManagement.ReadWrite.Directory (Read and write all directory RBAC settings)

        • RoleAssignmentSchedule.ReadWrite.Directory (Read, update, and delete all policies for privileged role assignments of your company's directory)

        • RoleEligibilitySchedule.ReadWrite.Directory (Read, update, and delete all eligible role assignments and schedules for your company's directory)

        • User.ReadWrite.All (Read and write all users’ full profile)

        • UserAuthenticationMethod.ReadWrite.All (Read and write authentication methods for all users)

          HINWEIS: Diese Berechtigung ist nicht in B2C Tenants verfügbar.

        • AuditLog.Read.All (Read all login times)

        • ChannelMember.Read.All (Read the members of all channels)

          HINWEIS: Diese Berechtigung wird nur benötigt, wenn Sie Microsoft Teams synchronisieren.

      3. Klicken Sie Berechtigungen hinzufügen.

    2. Im Bereich Konfigurierte Berechtigungen klicken Sie Administratorzustimmung für ... erteilen und bestätigen Sie die Sicherheitsabfrage mit Ja.

      Die konfigurierten Berechtigungen werden damit aktiv.

  4. Erzeugen Sie unter Verwalten > Zertifikate & Geheimnisse einen geheimen Schlüssel oder verwenden Sie ein Zertifikat.

    1. Verwendung eines geheimen Schlüssels:

      1. Im Bereich Geheime Clientschlüssel klicken Sie Neuer geheimer Schlüssel.

      2. Erfassen Sie eine Beschreibung und die Gültigkeitsdauer für den geheimen Schlüssel.

      3. Klicken Sie Hinzufügen.

      4. Der geheime Schlüssel wird generiert und im Bereich Geheime Clientschlüssel angezeigt.

    2. Verwendung eines Verbindungszertifikats:

      1. Sie benötigen ein X.509 Zertifikat inklusive privaten Schlüssels als *.CER oder *.PFX - Datei.

      2. Die Verwendung eines selbstsignierten Zertifikats ist möglich. Informationen zur Erstellung finden Sie unter Erstellen Sie ein selbstsigniertes öffentliches Zertifikat zum Authentifizieren Ihrer Anwendung.

      3. Importieren Sie das Zertifikat (*.PFX) in den Zertifikatsspeicher des Jobservers und der administrativen Arbeitsstation, welche zur Einrichtung der Synchronisation verwendet wird.

        - ODER -

        Öffnen Sie die *.CER - Datei und kopieren sich den Wert "Thumbprint" aus den Eigenschaften. Dieser wird im Verbindungsdialog benötigt.

  5. Zuweisen der Rolle Benutzeradministrator im Microsoft Entra ID Portal.

    1. Wählen Sie Rollen und Administratoren und wählen Sie die folgenden Rollen aus:

      • Benutzeradministrator

      • Privilegierter Authentifizierungsadministrator

    2. Wählen Sie unter Zuweisung hinzufügen die gewünschte Anwendung.

    3. Klicken Sie Zuweisen.

Verwandte Themen

Benutzer und Berechtigungen für die Synchronisation mit dem Microsoft Entra ID

Bei der Synchronisation des One Identity Manager mit einem Microsoft Entra ID Mandanten spielen folgende Benutzer eine Rolle.

Tabelle 2: Benutzer für die Synchronisation
Benutzer Berechtigungen

Benutzer für den Zugriff auf Microsoft Entra ID

oder

Wert des geheimen Schlüssels

Abhängig davon, wie die One Identity Manager-Anwendung im Microsoft Entra ID Mandanten registriert ist, wird entweder ein Benutzerkonto mit ausreichenden Berechtigungen oder der geheime Schlüssel benötigt.

  • Wenn Sie die Authentifizierung im Kontext eines Verzeichnisbenutzers nutzen (delegierte Berechtigungen), benötigen Sie bei der Einrichtung des Synchronisationsprojektes ein Benutzerkonto, welches Mitglied in der Microsoft Entra ID Administratorrolle Globaler Administrator ist.

    Die Zuweisung der Microsoft Entra ID Administratorrolle an das Benutzerkonto nehmen Sie im Microsoft Entra ID Admin Center vor. Ausführliche Informationen zum Verwalten von Berechtigungen in Microsoft Entra ID finden Sie in der Microsoft Dokumentation.

    HINWEIS: Das Benutzerkonto für den Zugriff auf Microsoft Entra ID darf keine Multifaktor-Authentifizierung nutzen, damit automatisierte Anmeldungen in einem Benutzerkontext möglich sind.

  • Wenn Sie die Authentifizierung im Kontext einer Anwendung nutzen (Anwendungsberechtigungen), benötigen Sie bei der Einrichtung des Synchronisationsprojektes den Wert des geheimen Schlüssels. Der geheime Schlüssel, wird bei der Registrierung der One Identity Manager-Anwendung des Microsoft Entra ID Mandanten erzeugt.

    HINWEIS: Der Schlüssel ist nur begrenzte Zeit gültig und muss nach Ablauf ausgetauscht werden.

Benutzerkonto des One Identity Manager Service

Das Benutzerkonto für den One Identity Manager Service benötigt die Benutzerrechte, um die Operationen auf Dateiebene durchzuführen, beispielsweise Verzeichnisse und Dateien anlegen und bearbeiten.

Das Benutzerkonto muss der Gruppe Domänen-Benutzer angehören.

Das Benutzerkonto benötigt das erweiterte Benutzerrecht Anmelden als Dienst.

Das Benutzerkonto benötigt Berechtigungen für den internen Webservice.

HINWEIS: Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so können Sie die Berechtigungen für den internen Webservice über folgenden Kommandozeilenaufruf vergeben:

netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE"

Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis.

In der Standardinstallation wird der One Identity Manager installiert unter:

  • %ProgramFiles(x86)%\One Identity (auf 32-Bit Betriebssystemen)

  • %ProgramFiles%\One Identity (auf 64-Bit Betriebssystemen)

Benutzer für den Zugriff auf die One Identity Manager-Datenbank

Um die Synchronisation über einen Anwendungsserver auszuführen, wird der Standard-Systembenutzer Synchronization bereitgestellt.

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating