Chat now with support
Chat with Support

Identity Manager 9.3 - Administrationshandbuch für die Anbindung einer Microsoft Entra ID-Umgebung

Verwalten einer Microsoft Entra ID-Umgebung Synchronisieren einer Microsoft Entra ID-Umgebung
Einrichten der Initialsynchronisation mit einem Microsoft Entra ID Mandanten Anpassen der Synchronisationskonfiguration für Microsoft Entra ID-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Microsoft Entra ID Benutzerkonten und Identitäten
Kontendefinitionen für Microsoft Entra ID Benutzerkonten Automatische Zuordnung von Identitäten zu Microsoft Entra ID Benutzerkonten Unterstützte Typen von Benutzerkonten Aktualisieren von Identitäten bei Änderung von Microsoft Entra ID Benutzerkonten Löschverzögerung für Microsoft Entra ID Benutzerkonten festlegen
Managen von Mitgliedschaften in Microsoft Entra ID Gruppen Managen von Zuweisungen von Microsoft Entra ID Administratorrollen Managen von Zuweisungen von Microsoft Entra ID Abonnements und Microsoft Entra ID Dienstplänen
Wirksame und unwirksame Microsoft Entra ID Dienstpläne für Microsoft Entra ID Benutzerkonten und Microsoft Entra ID Gruppen anzeigen Zuweisen von Microsoft Entra ID Abonnements an Microsoft Entra ID Benutzerkonten Zuweisen von unwirksamen Microsoft Entra ID Dienstpläne an Microsoft Entra ID Benutzerkonten Vererbung von Microsoft Entra ID Abonnements anhand von Kategorien Vererbung von unwirksamen Microsoft Entra ID Dienstplänen anhand von Kategorien
Bereitstellen von Anmeldeinformationen für Microsoft Entra ID Benutzerkonten Microsoft Entra ID Rollenmanagement
Microsoft Entra ID Rollenmanagement Mandanten Aktivierung der Funktionen des Microsoft Entra ID Rollenmanagement Stammdaten von Microsoft Entra ID Rollen Stammdaten von Microsoft Entra ID Rolleneinstellungen Anzeigen von Microsoft Entra ID Rolleneinstellungen Stammdaten Zuweisen von befristeten Zugriffspässen an Microsoft Entra ID Benutzerkonten Rollenzuweisungen für Bereiche für Microsoft Entra ID Rollen anzeigen Rollenberechtigungen für Bereiche für Microsoft Entra ID Rollen anzeigen Überblick über Microsoft Entra ID Rollenzuweisungen für Bereiche anzeigen Stammdaten von Microsoft Entra ID Rollenzuweisungen für Bereiche Managen von Microsoft Entra ID Rollenzuweisungen für Bereiche Microsoft Entra ID Rollenzuweisungen für Bereiche hinzufügen Microsoft Entra ID Rollenzuweisungen für Bereiche bearbeiten Microsoft Entra ID Rollenzuweisungen für Bereiche löschen Microsoft Entra ID Rollenzuweisungen für Bereiche zuweisen Zuweisen von Microsoft Entra ID Rollenzuweisungen für Bereiche an Microsoft Entra ID Benutzerkonten Zuweisen von Microsoft Entra ID Rollenzuweisungen für Bereiche an Microsoft Entra ID Gruppen Zuweisen von Microsoft Entra ID Rollenzuweisungen für Bereiche an Microsoft Entra ID Dienstprinzipale Microsoft Entra ID Systemrollen durch Rollenzuweisungen an Bereiche zuweisen Microsoft Entra ID Geschäftsrollen durch Rollenzuweisungen an Bereiche zuweisen Microsoft Entra ID Organisationen durch Rollenzuweisungen an Bereiche zuweisen Überblick über Microsoft Entra ID Rollenberechtigungen für Bereiche anzeigen Stammdaten von Microsoft Entra ID Rollenberechtigungen für Bereiche Managen von Microsoft Entra ID Rollenberechtigungen für Bereiche Microsoft Entra ID Rollenberechtigungen für Bereiche hinzufügen Microsoft Entra ID Rollenberechtigungen für Bereiche bearbeiten Microsoft Entra ID Rollenberechtigungen für Bereiche löschen Microsoft Entra ID Rollenberechtigungen für Bereiche zuweisen Zuweisen von Microsoft Entra ID Rollenberechtigungen für Bereiche an Microsoft Entra ID Benutzerkonten Zuweisen von Microsoft Entra ID Rollenberechtigungen für Bereiche an Microsoft Entra ID Gruppen Zuweisen von Microsoft Entra ID Rollenberechtigungen für Bereiche an Microsoft Entra ID Dienstprinzipale Microsoft Entra ID Systemrollen durch Rollenberechtigungen an Bereiche zuweisen Microsoft Entra ID Geschäftsrollen durch Rollenberechtigungen an Bereiche zuweisen Microsoft Entra ID Organisationen durch Rollenberechtigungen an Bereiche zuweisen
Abbildung von Microsoft Entra ID Objekten im One Identity Manager
Microsoft Entra ID Unternehmensverzeichnis Microsoft Entra ID Benutzerkonten Microsoft Entra ID Benutzeridentitäten Microsoft Entra ID Gruppen Microsoft Entra ID Administratorrollen Microsoft Entra ID Verwaltungseinheiten Microsoft Entra ID Abonnements und Microsoft Entra ID Dienstpläne Unwirksame Microsoft Entra ID Dienstpläne Microsoft Entra ID App-Registierungen und Microsoft Entra ID Dienstprinzipale Berichte über Microsoft Entra ID Objekte Managen von Microsoft Entra ID Sicherheitsattributen
Behandeln von Microsoft Entra ID Objekten im Web Portal Empfehlungen für Verbund-Umgebungen Basisdaten für die Verwaltung einer Microsoft Entra ID-Umgebung Fehlerbehebung Konfigurationsparameter für die Verwaltung einer Microsoft Entra ID-Umgebung Standardprojektvorlagen für Microsoft Entra ID Verarbeitung von Microsoft Entra ID Systemobjekten Einstellungen des Microsoft Entra ID Konnektors

Microsoft Entra ID Sicherheitsattribute an Benutzerkonten zuweisen

Um ein Sicherheitsattribut an ein Benutzerkonto zuzuweisen

  1. Wählen Sie im Manager die Kategorie Microsoft Entra ID > Benutzerkonten.

  2. Wählen Sie in der Ergebnisliste das Benutzerkonto.

  3. Wählen Sie die Aufgabe Sicherheitsattribute zuweisen.

  4. Klicken Sie Hinzufügen und erfassen Sie folgende Informationen.

    • Microsoft Entra ID Sicherheitsattribut: Wählen Sie in der Auswahlliste das Microsoft Entra ID Sicherheitsattribut.

    • Value(s): Geben Sie an, ob der Wert true oder false ist.

    TIPP: Im Bereich Entfernen können Sie die Zuweisung von Sicherheitsattributen entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie den Sicherheitsattribut und klicken Sie Entfernen.

  5. Speichern Sie die Änderungen.

Microsoft Entra ID Sicherheitsattribute an Dienstprinzipale zuweisen

Um ein Sicherheitsattribut an einen Dienstprinzipal zuzuweisen

  1. Wählen Sie im Manager die Kategorie Microsoft Entra ID > Dienstprinzipale.

  2. Wählen Sie in der Ergebnisliste den Dienstprinzipal.

  3. Wählen Sie die Aufgabe Sicherheitsattribute zuweisen.

  4. Klicken Sie Hinzufügen und erfassen Sie folgende Informationen.

    • Microsoft Entra ID Sicherheitsattribut: Wählen Sie in der Auswahlliste das Microsoft Entra ID Sicherheitsattribut.

    • Value(s): Geben Sie an, ob der Wert true oder false ist.

    TIPP: Im Bereich Entfernen können Sie die Zuweisung von Sicherheitsattributen entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie den Sicherheitsattribut und klicken Sie Entfernen.

  5. Speichern Sie die Änderungen.

Behandeln von Microsoft Entra ID Objekten im Web Portal

Der One Identity Manager bietet seinen Benutzern die Möglichkeit, verschiedene Aufgaben unkompliziert über ein Web Portal zu erledigen.

  • Managen von Benutzerkonten und Identitäten

    Mit der Zuweisung einer Kontendefinition an ein IT Shop Regal kann die Kontendefinition von den Kunden des Shops im Web Portal bestellt werden. Die Bestellung durchläuft ein definiertes Genehmigungsverfahren. Erst nach der Zustimmung durch eine autorisierte Identität, beispielsweise einen Manager, wird das Benutzerkonto angelegt.

  • Managen von Zuweisungen von Gruppen, Administratorrollen, Abonnements und unwirksamen Dienstplänen

    HINWEIS: Die Zuweisung von Microsoft Entra ID Rollenberechtigungen und Rollenzuweisungen ist standardmäßig deaktiviert. Um diese Produkte in einem IT Shop Regal bestellbar zu machen, müssen sie zunächst im Manager aktiviert werden. Nach der Aktivierung stehen die Produkte ausschließlich für Benutzerkonten mit einer RBAC- oder PIM-Lizenz zur Verfügung.

    Mit der Zuweisung von Gruppen, Administratorrollen, Abonnements und unwirksamen Dienstplänen an ein IT Shop Regal können diese Produkte von den Kunden des Shops im Web Portal bestellt werden. Die Bestellung durchläuft ein definiertes Genehmigungsverfahren. Erst nach der Zustimmung durch eine autorisierte Identität wird die Gruppe, die Administratorrolle, das Abonnement oder der unwirksame Dienstplan zugewiesen.

    Im IT Shop sind die Regale Identity & Access Lifecycle > Microsoft Entra ID Gruppen, Identity & Access Lifecycle > Microsoft Entra ID Abonnements und Identity & Access Lifecycle > Unwirksame Microsoft Entra ID Dienstpläne vorhanden.

    Manager und Administratoren von Organisationen können im Web Portal Gruppen, Administratorrollen, Abonnements und unwirksame Dienstpläne an die Abteilungen, Kostenstellen oder Standorte zuweisen, für die sie verantwortlich sind. Die Gruppen, Administratorrollen, Abonnements und unwirksamen Dienstpläne werden an alle Identitäten vererbt, die Mitglied dieser Abteilungen, Kostenstellen oder Standorte sind.

    Wenn das Geschäftsrollenmodul vorhanden ist, können Manager und Administratoren von Geschäftsrollen im Web Portal Gruppen, Administratorrollen, Abonnements und unwirksame Dienstpläne an die Geschäftsrollen zuweisen, für die sie verantwortlich sind. Die Gruppen, Administratorrollen, Abonnements und unwirksame Dienstpläne werden an alle Identitäten vererbt, die Mitglied dieser Geschäftsrollen sind.

    Wenn das Systemrollenmodul vorhanden ist, können Verantwortliche von Systemrollen im Web Portal Gruppen, Administratorrollen, Abonnements und unwirksame Dienstpläne an die Systemrollen zuweisen. Die Gruppen, Administratorrollen, Abonnements und unwirksamen Dienstpläne werden an alle Identitäten vererbt, denen diese Systemrollen zugewiesen sind.

  • Attestierung

    Wenn das Modul Attestierung vorhanden ist, kann die Richtigkeit der Eigenschaften von Zielsystemobjekten und von Berechtigungszuweisungen regelmäßig oder auf Anfrage bescheinigt werden. Dafür werden im Manager Attestierungsrichtlinien konfiguriert. Die Attestierer nutzen das Web Portal, um Attestierungsvorgänge zu entscheiden.

  • Governance Administration

    Wenn das Modul Complianceregeln vorhanden ist, können Regeln definiert werden, die unzulässige Berechtigungszuweisungen identifizieren und deren Risiken bewerten. Die Regeln werden regelmäßig und bei Änderungen an den Objekten im One Identity Manager überprüft. Complianceregeln werden im Manager definiert. Verantwortliche nutzen das Web Portal, um Regelverletzungen zu überprüfen, aufzulösen und Ausnahmegenehmigungen zu erteilen.

    Wenn das Modul Unternehmensrichtlinien vorhanden ist, können Unternehmensrichtlinien für die im One Identity Manager abgebildeten Zielsystemobjekte definiert und deren Risiken bewertet werden. Unternehmensrichtlinien werden im Manager definiert. Verantwortliche nutzen das Web Portal, um Richtlinienverletzungen zu überprüfen und Ausnahmegenehmigungen zu erteilen.

  • Risikobewertung

    Über den Risikoindex von Gruppen, Administratorrollen und Abonnements kann das Risiko von Zuweisungen für das Unternehmen bewertet werden. Dafür stellt der One Identity Manager Standard-Berechnungsvorschriften bereit. Im Web Portal können die Berechnungsvorschriften modifiziert werden.

  • Berichte und Statistiken

    Das Web Portal stellt verschiedene Berichte und Statistiken über die Identitäten, Benutzerkonten, deren Berechtigungen und Risiken bereit.

Ausführliche Informationen zu den genannten Themen finden Sie unter Managen von Microsoft Entra ID Benutzerkonten und Identitäten, Managen von Mitgliedschaften in Microsoft Entra ID Gruppen, Managen von Zuweisungen von Microsoft Entra ID Administratorrollen, Managen von Zuweisungen von Microsoft Entra ID Abonnements und Microsoft Entra ID Dienstplänen und in folgenden Handbüchern:

  • One Identity Manager Web Portal Anwenderhandbuch

  • One Identity Manager Administrationshandbuch für Attestierungen

  • One Identity Manager Administrationshandbuch für Complianceregeln

  • One Identity Manager Administrationshandbuch für Unternehmensrichtlinien

  • One Identity Manager Administrationshandbuch für Risikobewertungen

Empfehlungen für Verbund-Umgebungen

HINWEIS: Für die Unterstützung von Verbund-Umgebungen im One Identity Manager müssen folgende Module vorhanden sein:

  • Active Directory Modul

  • Microsoft Entra ID Modul

In einer Verbund-Umgebung sind die lokalen Active Directory Benutzerkonten mit Microsoft Entra ID Benutzerkonten verbunden. Die Verbindung erfolgt über die Eigenschaft ms-ds-consistencyGUID am Active Directory Benutzerkonto und die Eigenschaft immutableId am Microsoft Entra ID Benutzerkonto. Die Synchronisation der Active Directory Benutzerkonten und Microsoft Entra ID Benutzerkonten in der Verbund-Umgebung übernimmt Microsoft Entra Connect. Ausführliche Informationen zu Microsoft Entra Connect finden Sie in der Microsoft Entra ID Dokumentation von Microsoft.

Im One Identity Manager wird die Verbindung über die Microsoft Entra Connect Anker-ID des Active Directory Benutzerkontos (ADSAccount.MSDsConsistencyGuid) und den unveränderlichen Bezeichner des Microsoft Entra ID Benutzerkontos (AADUser.OnPremImmutableId) abgebildet.

Einige der zielsystemrelevanten Eigenschaften von Microsoft Entra ID Benutzerkonten, die mit lokalen Active Directory Benutzerkonten verbunden sind, können im One Identity Manager nicht bearbeitet werden. Die Zuweisung von Berechtigungen an Microsoft Entra ID Benutzerkonten im One Identity Manager ist jedoch möglich.

Zuweisungen zu Microsoft Entra ID Gruppen, die mit dem lokalen Active Directory synchronisiert werden, sind im One Identity Manager nicht erlaubt. Diese Gruppen können nicht über das Web Portal bestellt werden. Sie können diese Gruppen nur in Ihrer lokalen Umgebung verwalten. Ausführliche Informationen finden Sie in der Microsoft Entra ID Dokumentation von Microsoft.

Der One Identity Manager unterstützt folgende Szenarien für Verbund-Umgebungen.

Szenario 1

  1. Die Active Directory Benutzerkonten werden im One Identity Manager erstellt und in die lokale Active Directory-Umgebung provisioniert.

  2. Microsoft Entra Connect erzeugt die Microsoft Entra ID Benutzerkonten im Microsoft Entra ID Mandanten.

  3. Die Microsoft Entra ID Synchronisation liest die Microsoft Entra ID Benutzerkonten in den One Identity Manager ein.

Dieses Szenario ist das empfohlene Vorgehen. Das Erzeugen eines Microsoft Entra ID Benutzerkontos über Microsoft Entra Connect und das anschließende Einlesen in den One Identity Manager dauern in der Regel einige Zeit. Die Microsoft Entra ID Benutzerkonten sind nicht sofort im One Identity Manager verfügbar.

Szenario 2

  1. Die Active Directory Benutzerkonten und die Microsoft Entra ID Benutzerkonten werden im One Identity Manager erstellt.

    Dabei wird die Verbindung über die Spalten ADSAccount.MSDsConsistencyGuid und AADUser.OnPremImmutableId hergestellt. Dies kann über kundenspezifische Skripte oder kundenspezifische Bildungsregeln erfolgen.

  2. Die Active Directory Benutzerkonten und die Microsoft Entra ID Benutzerkonten werden unabhängig voneinander in ihre Zielumgebungen provisioniert.

  3. Microsoft Entra Connect erkennt die Verbindung zwischen den Benutzerkonten, stellt die Verbindung auch in der Verbund-Umgebung her und aktualisiert die erforderlichen Eigenschaften.

  4. Die nächste Microsoft Entra ID Synchronisation aktualisiert die Microsoft Entra ID Benutzerkonten im One Identity Manager.

Mit diesem Szenario sind die Microsoft Entra ID Benutzerkonten sofort im One Identity Manager vorhanden und können ihre Berechtigungen erhalten.

HINWEIS:

  • Wenn Sie mit Kontendefinitionen arbeiten, wird empfohlen die Kontendefinition für Active Directory als vorausgesetzte Kontendefinition in der Kontendefinition für Microsoft Entra ID einzutragen.

  • Wenn Sie mit Kontendefinitionen arbeiten, wird empfohlen im Automatisierungsgrad die Eigenschaft IT Betriebsdaten überschreibend mit dem Wert Nur initial verwenden. Die Daten werden in diesem Fall nur initial ermittelt.

  • Nachträgliche Änderungen der Microsoft Entra ID Benutzerkonten per Bildungsregeln sollten nicht erfolgen, da einige der Zielsystem-relevanten Eigenschaften nicht bearbeitbar sind und es zu Fehlermeldungen kommen kann:

    [Exception]: ServiceException occured

    Code: Request_BadRequest

    Message: Unable to update the specified properties for on-premises mastered Directory Sync objects or objects currently undergoing migration.

    [ServiceException]: Code: Request_BadRequest - Message: Unable to update the specified properties for on-premises mastered Directory Sync objects or objects currently undergoing migration.

 

Verwandte Themen
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating