Sure, you can handle it. But should you?
Let our experts manage the tech maintenance while you focus on your business.
Let our experts manage the tech maintenance while you focus on your business.
Installation und Konfiguration
Microsoft Azure Principal Resolution Service
Einleitung
Mithilfe des Microsoft Azure Principal Resolution Service können Gruppen in Microsoft Azure aufgelöst werden. Diese Gruppen werden von vielen Microsoft Services verwendet, z.B. SharePoint Online, Teams oder Stream. Falls Sie einen Konnektor für eine dieser Datenquellen eingerichtet haben, sollten Sie auch den Microsoft Azure Principal Resolution Service verwenden.
Hinweis: Microsoft Entra ID (ME-ID) ist der neue Name für Microsoft Azure Active Directory (Azure AD). Die Verwaltung ihrer Microsoft Graph Instanz können Sie hier vornehmen: Microsoft Entra - Microsoft Entra admin center.
Für mehr Informationen, was Microsoft Entra ID ist oder welche Änderungen es bei Azure Active Directory zu beachten gibt, siehe What is Microsoft Entra ID? - Microsoft Entra | Microsoft Learn und New name for Azure Active Directory - Microsoft Entra | Microsoft Learn.
Voraussetzungen
Damit der Principal Resolution Service Gruppen von Microsoft Azure auflösen kann, wird eine neue oder bestehende Microsoft Azure Applikation benötigt, die Berechtigungen zum Auslesen von Microsoft Azure Gruppen hat.
Die Microsoft Azure Applikation muss folgende Voraussetzungen erfüllen:
- Verfügbares Secret
- Eine Gültigkeitsdauer von 6 bis 12 Monaten wird empfohlen, damit das Secret regelmäßig gewechselt wird.
- Achtung: Beachten Sie bei der Erzeugung des Client Secrets, dass das Secret in der Spalte „Value“ für die Erstellung des Credentials in Mindbreeze InSpire zwingend notwendig ist. Notieren Sie sich diesen Wert direkt nach der Erzeugung des Client Secrets, da der Wert beim Verlassen des Bereiches nicht mehr vollständig angezeigt wird.
- Erteilte Zugriffsrechte
- Group.Read.All
- User.Read.All
Die Erstellung einer neuen Applikation wird in Microsoft Entra - Microsoft Entra admin center durchgeführt. Für mehr Informationen, siehe folgende Links:
- Registrierung einer neuen Applikation: How to register an app in Microsoft Entra ID - Microsoft identity platform | Microsoft Learn
- Erzeugung eines Client Secret: Add and manage app credentials in Microsoft Entra ID - Microsoft identity platform | Microsoft Learn
- Vergabe der Zugriffsrechte: Web API app registration and API permissions - Microsoft identity platform | Microsoft Learn
Konfiguration
In diesem Kapitel wird die Konfiguration des notwendigen Principal Resolution Service in einem Schnellstart-Guide erklärt. Sollten Sie zusätzliche Informationen dazu benötigen, was ein Principal Resolution Service ist, wie die grundlegende Konfigurieren des Cache ausgeführt wird und welche Konfigurationsoptionen es noch gibt, gehen Sie bitte zu Installation & Konfiguration - Caching Principal Resolution Service.
Schnellstart-Guide
Schritt 1: Erstellung des Principal Resolution Service
Im Tab „Indices“, nutzen Sie einen bestehenden Service oder erstellen Sie einen neuen Service mit den folgenden Einstellungen:
Eingabe | |
Display Name | Beispiel: Microsoft Azure Principal Resolution Service |
Service | Microsoft Azure Principal Resolution Service |
Schritt 2: Erstellung des Credentials
Als nächstes wird ein passendes Credential benötigt. Sollten Sie bereits ein Credential konfiguriert haben mit dem passenden „Access Token URL“, „Client ID“ und „Client Secret“, können Sie dieses Credential verwenden. Ist dies nicht der Fall, muss ein neues Credential im „Netzwerk“ Tab mit den folgenden Einstellungen erstellt werden:
Eingabe | |
Name | Beispiel: Microsoft Azure Credential |
Type | OAuth 2 |
Access Token URL | Beispiel: https://login.microsoftonline.com/a1d067e1-d5d4-45df-8b82-f85b5115f810/oauth2/v2.0/token |
Realm | - |
Client ID | Beispiel: 3434cdcd-7878-gh09-1a2b-3c4d3e4f3a4b |
Username | - |
Password | - |
Client Secret | Beispiel: 1234abcd-5678-ef90-1a2b-3c4d5e6f7a8b |
Hinweis: Den „Access Token URL“ und die „Client ID“ finden Sie im Microsoft Entra admin center in ihrer erstellten Applikation. Klicken Sie auf „Overview“ in der Seitennavigation. Die Client ID finden Sie als „Application (client) ID“ im Bereich „Essentials“. Den Access Token URL finden Sie durch das Öffnen von „Endpoints“ als „OAuth 2.0 token endpoint (v2)“ (siehe Screenshot).
Schritt 3: Principal Resolution Service mit der erstellten Applikation und dem Credential verknüpfen
Nachdem das Credential erstellt wurde, gehen Sie zurück zu ihrem erstellten Service im „Indices“ Tab. Im Bereich „Connection Settings“ sind nun folgende Einstellungen notwendig:
Eingabe | |
Tenant ID | Beispiel: 5678efgh-9012-ij34-5a6b-5c6d7e8f9a0b |
App ID | Beispiel: 3434cdcd-7878-gh09-1a2b-3c4d3e4f3a4b |
Client Secret | Beispiel: Microsoft Azure Credential |
Hinweis: Die „Tenant ID“ und „App ID“ können beide im „Overview“ ihrer Applikation gefunden werden. Im Bereich „Essentials“ ist die Tenant ID als „Directory (tenant) ID“ und die App ID als „Application (client) ID“ zu finden. Beachten Sie hierbei, dass die App ID in ihrem Service und die Client ID des erstellten Credentials identisch sein sollte.
Schritt 4: Index mit Principal Resolution Service verknüpfen
Abschließend muss der erstellte Principal Resolution Service nun mit dem gewünschten Index verbunden werden. Öffnen Sie dazu den Index und gehen Sie zum Abschnitt „Data Sources“. Stellen Sie folgendes ein:
Eingabe | |
Category | Microsoft Graph |
Caching Principal Resolution Service | Beispiel: Microsoft Azure Principal Resolution Service |
Speichern Sie als letzten Schritt ihre durchgeführten Änderungen. Der Microsoft Azure Principal Resolution Service ist nun mit ihrer Applikation verbunden und vollständig konfiguriert.
Verfügbare Einstellungen
Bereich „Connection Settings“
Einstellung | Beschreibung | Standardeinstellung/Beispiel |
Graph Service Root (Advanced Settings) | Der Endpunkt bzw. die URL der Microsoft Graph API. Ändern Sie diese Einstellung nur, wenn Sie eine nationale Microsoft Cloud, wie zum Beispiel die Cloud für die US-Regierung, verwenden möchten. Eine Liste aller verfügbaren nationalen Microsoft Graph Endpunkte finden Sie im Kapitel Microsoft Graph. | Standardeinstellung: https://graph.microsoft.com |
Azure AD Url (Advances Settings) | Der Endpunkt bzw. die URL zur Microsoft Entra ID Cloud. Ändern Sie diese Einstellung nur, wenn Sie eine nationale Microsoft Cloud, wie zum Beispiel die Cloud für die US-Regierung, verwenden möchten. Eine Liste aller verfügbaren nationalen Microsoft Entra ID Endpunkte finden Sie im Kapitel Microsoft Entra ID. | Standardeinstellung: https://login.microsoftonline.com |
Trust all SSL certificates (Advances Settings) | Erlaubt die Verwendung von unsicheren HTTPS-Verbindungen, beispielsweise für Testsysteme. Achtung: Aktivieren Sie diese Einstellung nicht in der Produktionsumgebung. | Standardeinstellung: Deaktiviert |
Tenant ID* | Die Tenant ID der Microsoft Entra ID Applikation. Hinweis: Die „Tenant ID“ finden Sie im „Overview“ Bildschirm ihrer Applikation im Bereich „Essentials“ als „Directory (tenant) ID“. | Beispiel: 5678efgh-9012-ij34-5a6b-5c6d7e8f9a0b |
App ID* | Die App ID der Microsoft Entra ID Applikation. Hinweis: Die „App ID“ finden Sie im „Overview“ Bildschirm ihrer Applikation im Bereich „Essentials“ als „Application (client) ID“. | Beispiel: 1234abcd-5678-ef90-1a2b-3c4d5e6f7a8b |
Client Secret* | Das im „Network“-Tab angelegte Credential, welches das erstelle Client Secret enthält. | Beispiel: Microsoft Azure Credential |
Crawler Thread Count | Anzahl an Threads, die für die Verarbeitung der Gruppen verwendet werden. | Standardeinstellung: 10 |
Max Retries (Advances Settings) | Definiert wie oft der Service versucht ein Dokument herunterzuladen, wenn temporäre Fehler (z.B. Socket Timeouts) auftreten. Sollte über ein instabiles Netzwerk gecrawlt werden (das Timeouts verursacht), ist die Standardeinstellung von 10 ausreichend. Sollten Timeouts durch eine überlastete Datenquelle entstehen, ist ein Wert von 0 passend, damit die Datenquelle nicht zusätzlich belastet wird. | Standardeinstellung: 10 |
Network Timeout (Seconds) (Advances Settings) | Definiert in Sekunden, wie lange der Service auf eine Antwort von der Website warten soll. | Standardeinstellung: 30 |
Resolve only Teams | Sollte dieser Principal Resolution Service nur für Microsoft Teams verwendet werden, wird die Aktivierung dieser Einstellung empfohlen, um eine optimale Performance zu erzielen. Durch die Aktivierung dieser Einstellung werden nur Gruppen aufgelöst, die ein zugehöriges Team in Microsoft Teams haben. | Standardeinstellung: Deaktiviert |
Included Group Names (regex) (Advanced Settings) | Definiert mit einem Regex-Muster welche Gruppen aufgelöst werden sollen. Das Regex-Muster muss mit den Gruppennamen übereinstimmen, um die gewünschten Gruppen aufzulösen. Ist diese Einstellung leer, werden alle Gruppen aufgelöst. | Beispiel: (Marketing|Sales) |
Excluded Group Names (regex) (Advanced Settings) | Definiert mit einem Regex-Muster welche Gruppen ausgelassen werden sollen. Das Regex-Muster muss mit den Gruppennamen übereinstimmen, um die gewünschten Gruppen zu exkludieren. | Beispiel: (Devices|Archive) |
Log All Requests (Advances Settings) | Ist diese Einstellung aktiviert werden alle Anfragen gegen Microsoft Entra ID in eine Log-Datei geschrieben. Sollte nur für Troubleshooting aktiviert werden. | Standardeinstellung: Deaktiviert |
Enable Delta Update (Advanced Settings) | Wenn diese Einstellung aktiviert ist, ruft der Crawler nur beim ersten Update alle Benutzer aus Microsoft Entra ID ab. Danach werden nur noch Änderungen an den Benutzern abgerufen. Diese Einstellung kann die Leistung verbessern. | Standardeinstellung: Aktiviert |
[Deprecated] Exclusively Use Beta API (Advanced Settings) | Diese Einstellung ist veraltet und sollte nicht aktiviert werden. | - |
* = Diese Einstellungen müssen zwingend konfiguriert werden, damit der Service funktioniert und aufgebaut wird. Alle weiteren Einstellungen müssen je nach Anwendungsfall konfiguriert werden. | ||
Verfügbare nationale Endpunkte
Microsoft Graph
Nationale Cloud | Microsoft Graph |
Microsoft Graph weltweiter Service | https://graph.microsoft.com |
Microsoft Graph für US Government L4 (GCC High) | https://graph.microsoft.us |
Microsoft Graph für US Government L5 (DOD) | https://dod-graph.microsoft.us |
Microsoft Graph China betrieben von 21Vianet | https://microsoftgraph.chinacloudapi.cn |
Für mehr Informationen, siehe https://learn.microsoft.com/de-de/graph/deployments#microsoft-graph-and-graph-explorer-service-root-endpoints.
Microsoft Entra ID
Nationale Cloud | Microsoft Entra-Authentifizierungsendpunkte |
Microsoft Entra ID (globaler Dienst) | https://login.microsoftonline.com |
Microsoft Entra ID für die US-Regierung | https://login.microsoftonline.us |
Microsoft Entra ID China, betrieben von 21Vianet | https://login.partner.microsoftonline.cn |
Für mehr Informationen, siehe https://learn.microsoft.com/de-de/entra/identity-platform/authentication-national-cloud#microsoft-entra-authentication-endpoints