Sure, you can handle it. But should you?
Let our experts manage the tech maintenance while you focus on your business.
Let our experts manage the tech maintenance while you focus on your business.
Installation und Konfiguration
Microsoft Azure Principal Resolution Service
Copyright ©
Mindbreeze GmbH, A-4020 Linz, 2024.
Alle Rechte vorbehalten. Alle verwendeten Hard- und Softwarenamen sind Handelsnamen und/oder Marken der jeweiligen Hersteller.
Diese Unterlagen sind streng vertraulich. Durch die Übermittlung und Präsentation dieser Unterlagen alleine werden keine Rechte an unserer Software, an unseren Dienstleistungen und Dienstleistungsresultaten oder sonstigen geschützten Rechten begründet. Die Weitergabe, Veröffentlichung oder Vervielfältigung ist nicht gestattet.
Aus Gründen der einfacheren Lesbarkeit wird auf die geschlechtsspezifische Differenzierung, z.B. Benutzer/-innen, verzichtet. Entsprechende Begriffe gelten im Sinne der Gleichbehandlung grundsätzlich für beide Geschlechter.
Einleitung
Mithilfe des Microsoft Azure Principal Resolution Service können Gruppen in Microsoft Azure aufgelöst werden. Diese Gruppen werden von vielen Microsoft Services verwendet, z.B. SharePoint Online, Teams oder Stream. Falls Sie einen Connector für eine dieser Datenquellen eingerichtet haben, sollten Sie auch den Microsoft Azure Principal Resolution Service verwenden.
Konfiguration des Microsoft Azure Principal Resolution Service
Erstellen der Application in Azure
Damit der Principal Resolution Service, Gruppen von Microsoft Azure auflösen kann, muss zuerst eine neue App erzeugt werden, welche die Berechtigungen hat, Microsoft Azure Gruppen auszulesen. Diese App kann auf portal.azure.com erzeugt werden.
Navigieren Sie zu Azure Active Directory -> App registrations und klicken Sie auf den Button „New Registration“ um eine neue App zu registrieren:
Nachdem Sie die App erstellt haben, müssen Sie noch ein Secret erzeugen, damit sich der Principal Resolution Service tatsächlich einloggen kann:
Beim Anlegen des Client-Secret kann ein Gültigkeitszeitraum ausgewählt werden. Wir empfehlen hier 6-12 Monate damit das Secret regelmäßig gewechselt wird.
Danach können Sie das Secret kopieren. Wenn Sie die Seite verlassen, können sie das Secret nicht mehr einsehen, also stellen Sie sicher, dass Sie das Secret direkt in die Mindbreeze Konfiguration eintragen (siehe nächster Bereich).
Jetzt müssen Sie der App noch die benötigten Berechtigungen geben. Navigieren Sie dafür zu „App permissions“. Der Microsoft Azure Principal Resolution Service benötigt die folgenden Application Permissions in Microsoft Graph:
- Group.Read.All
- User.Read.All
Nachdem sie der App die Berechtigung erteilt haben, muss noch „admin consent“ gegeben werden. Verwenden Sie dafür den Button „Grant admin consent for <MyInstance>“:
Konfiguration des Principal Resolution Service
Wählen Sie im neuen oder bestehenden Service in der Einstellung „Service“ die Option Microsoft Azure Principal Resolution Service aus. Für mehr Informationen über das Erstellen, das grundlegende Konfigurieren eines Cache für einen Principal Resolution Service und weitere Konfigurationsoptionen, siehe Installation & Konfiguration - Caching Principal Resolution Service.
Bereich „Connection Settings“
Graph Service Root (Advances Settings) | Der Endpunkt/die URL der Microsoft Graph API. Standardmäßig „https://graph.microsoft.com“. Diese Einstellung nur ändern, wenn Sie eine nationale (nicht internationale) Microsoft Cloud verwenden. Eine Liste mit allen verfügbaren nationalen Microsoft Graph Endpunkten finden Sie weiter unten. |
Azure AD Url (Advances Settings) | Der Endpunkt/die URL zum Azure Active Directory. Standardmäßig „https://login.microsoftonline.com“. Diese Einstellung nur ändern, wenn Sie eine nationale (nicht internationale) Microsoft Cloud verwenden. Eine Liste mit allen verfügbaren nationalen Azure AD Endpunkten finden Sie weiter unten. |
Trust all SSL certificates (Advances Settings) | Erlaubt die Verwendung von nicht gesicherten Verbindungen, beispielsweise für Testsysteme. Darf nicht in der Produktionsumgebung aktiviert werden. |
Tenant ID | Die Tenant ID Ihrer Microsoft 365 Instanz. Diese können Sie auf der Overview Seite der erstellten App in Azure entnehmen. |
App ID | Die Application (Client) ID der in Azure erstellten App. |
Client Secret | Das im Network Tab angelegte Credential, welches das erstelle Client Secret enthält. |
Crawler Thread Count | Anzahl an Threads die für die Verarbeitung der Gruppen verwendet werden. |
Resolve only Teams | Wenn diese Option aktiviert wird, werden nur Gruppen aufgelöst, die ein zugehöriges Team in Microsoft Teams haben. Falls dieser Principal Resolution Service nur für Microsoft Teams verwendet werden soll, aktivieren Sie dieses Setting um eine optimale Performance zu erzielen. |
Regular Expression, mit der angegeben werden kann, welche Gruppen aufgelöst werden sollen. Wenn diese Option leer gelassen wird, werden alle Gruppen aufgelöst. Die Regex matched auf den Gruppennamen. | |
Excluded Group Names (regex) | Regular Expression, mit der angegeben werden kann, welche Gruppen exkludiert werden sollen. Die Regex matched auf den Gruppennamen. |
Enable Delta Update | Solange diese Option aktiviert ist, holt sich der Principal Service nur beim ersten Update alle Gruppen von Microsoft Teams ab, danach werden nurmehr die Änderungen an den Gruppen abgeholt. Mit diesem Setting kann eine bessere Performance erzielt werden Deaktivieren Sie diese Option nur, falls eine Inkonsistenz zwischen dem Principal Service und den tatsächlichen Gruppen in Microsoft Teams entstanden ist. |
[Deprecated] Exclusively Use Beta API | Diese Option ist deprecated und sollte nicht aktiviert werden. Wenn diese Option aktiviert ist, verwendet der Principal Resolution Service die /beta API. Ansonsten wird die /v1.0 API verwendet. Wenn diese Option deaktiviert wird, muss sichergestellt werden, dass die Berechtigungen der App korrekt sind (Siehe folgenden Abschnitt), da die /beta API teilweise API Abfragen trotz unzureichender Berechtigungen zulässt. Hinweis: Wenn Sie diese Option aktivieren/deaktivieren, muss die Option „Enable Delta Update“ für mindestens ein Cache-Update deaktiviert werden. |
Verfügbare nationale Microsoft Graph Endpunkte
Microsoft Graph global service | https://graph.microsoft.com |
Microsoft Graph for US Government L4 | https://graph.microsoft.us |
Microsoft Graph for US Government L5 (DOD) | https://dod-graph.microsoft.us |
Microsoft Graph China operated by 21Vianet | https://microsoftgraph.chinacloudapi.cn |
Verfügbare nationale Azure AD Endpunkte
Azure AD (global service) | https://login.microsoftonline.com |
Azure AD for US Government | https://login.microsoftonline.us |
Azure AD China operated by 21Vianet | https://login.chinacloudapi.cn |