Sure, you can handle it. But should you?
Let our experts manage the tech maintenance while you focus on your business.
Let our experts manage the tech maintenance while you focus on your business.
Installation und Konfiguration
Microsoft Graph Connector
Copyright ©
Mindbreeze GmbH, A-4020 Linz, 2024.
Alle Rechte vorbehalten. Alle verwendeten Hard- und Softwarenamen sind Handelsnamen und/oder Marken der jeweiligen Hersteller.
Diese Unterlagen sind streng vertraulich. Durch die Übermittlung und Präsentation dieser Unterlagen alleine werden keine Rechte an unserer Software, an unseren Dienstleistungen und Dienstleistungsresultaten oder sonstigen geschützten Rechten begründet. Die Weitergabe, Veröffentlichung oder Vervielfältigung ist nicht gestattet.
Aus Gründen der einfacheren Lesbarkeit wird auf die geschlechtsspezifische Differenzierung, z.B. Benutzer/-innen, verzichtet. Entsprechende Begriffe gelten im Sinne der Gleichbehandlung grundsätzlich für beide Geschlechter.
Einleitung
Mithilfe des Microsoft Graph Connector, können alle User in Ihrer Microsoft Graph Instanz indiziert werden, sodass diese in der Mindbreeze Suche auffindbar sind.
Konfiguration von Microsoft Graph/Azure
Erstellen der Applikation in Azure
Um das Crawling des Microsoft Graphs zu ermöglichen, muss zunächst eine neue App erstellt werden, die die Berechtigung zum Lesen des Microsoft Graphs hat. Diese App kann auf portal.azure.com erzeugt werden.
Um die App zu erstellen bzw. zu registrieren, navigieren Sie zu „Azure Active Directory“ -> „App registrations“ und klicken Sie auf den Button „New registration“:
Nach Erstellung der App, muss noch ein Secret erzeugt werden, damit sich der Crawler tatsächlich einloggen kann. Dies wird in Normalfall nach Erstellung der App automatisch angefordert. Ansonsten muss man unter „App registrations“ -> „Owned applications“ die gewünschte App anklicken und dann unter „Certificates & secrets“ -> „New client secret“ das Secret erstellen.
Beim Erstellen des Secrets können Sie die Ablaufzeit bestimmen. Wir empfehlen eine Ablaufzeit von 6-12 Monaten, damit das Secret regelmäßig gewechselt wird.
Hinweis
Hinweis: Sie müssen das erstellte Secret kopieren, damit Sie es direkt in die Mindbreeze Konfiguration eintragen können. Das Secret können können Sie im Tab Network unter dem Bereich „Credentials“ hinzufügen, indem Sie auf den Button „Add Credential“ klicken.
Wenn Sie die Seite verlassen, können sie das Secret nicht mehr einsehen.
Nun müssen Sie der App noch die benötigten Berechtigungen geben. Navigieren Sie dafür zu „API permissions“. Der Microsoft Graph Crawler benötigt die folgenden Application Permissions in Microsoft Graph:
- User.Read.All
Nachdem Sie der App die Berechtigung erteilt haben, muss noch „admin consent“ gegeben werden. Verwenden Sie dafür den Button „Grant admin consent for <MyInstance>“:
Konfiguration von Mindbreeze
Konfiguration des Index
Fügen Sie im Tab Indices mit dem Button +Add Index einen neuen Index hinzu. Wählen Sie den gewünschten Index Node und Client Service aus und geben Sie im Feld Data Source die Datenquelle Microsoft Graph an. Bestätigen Sie Ihre Eingaben anschließend mit dem Button Apply.
Konfiguration der Datenquelle
Konfigurieren Sie nun die Datenquelle.
Legende:
- Mit * markierte Properties: Pflichtfeld, diese müssen explizit konfiguriert werden
- Nicht speziell markierte Properties: optionale Felder
- Mit (Advanced Settings) markierte Felder werden nur angezeigt, wenn die „Advanced Settings“ Ansicht in der Konfiguration aktiviert ist. Dies ist nur in speziellen Anwendungsfällen notwendig.
Bereich „Connection Settings“
Im Bereich „Connection Settings“ können Sie Ihre Microsoft Graph Instanz, die indiziert werden soll, definieren. Folgende Optionen stehen zur Verfügung:
Graph Service Root (Advances Settings) | Der Endpunkt/die URL der Microsoft Graph API. Standardmäßig „https://graph.microsoft.com“. Diese Einstellung nur ändern, wenn Sie eine nationale (nicht internationale) Microsoft Cloud verwenden. Eine Liste mit allen verfügbaren nationalen Microsoft Graph Endpunkten finden weiter unten. |
Azure AD Url (Advances Settings) | Der Endpunkt/die URL zum Azure Active Directory. Standardmäßig „https://login.microsoftonline.com“. Diese Einstellung nur ändern, wenn Sie eine nationale (nicht internationale) Microsoft Cloud verwenden. Eine Liste mit allen verfügbaren nationalen Azure AD Endpunkten finden Sie weiter unten. |
Trust all SSL certificates (Advances Settings) | Erlaubt die Verwendung von nicht gesicherten Verbindungen, beispielsweise für Testsysteme. Darf nicht in Produktion aktiviert werden. |
Tenant ID* | Die Tenant ID Ihrer Microsoft 365 Instanz. Diese können Sie auf der Overview Seite der erstellten App in Azure entnehmen. |
App ID* | Die Application (Client) ID der in Azure erstellten App. |
Client Secret* | Das im Network Tab angelegte Credential, welches das erstelle Client Secret enthält. |
Crawler Thread Count | Anzahl an Threads, die für die Indizierung verwendet werden. |
Log All Requests | Falls diese Option aktiviert ist, werden alle Requests gegen die Graph API in ein Logfile geschrieben. Sollte nur für Troubleshooting aktiviert werden. |
Get Metadata From Profile (Advanced Settings) | Wenn diese Option aktiviert ist, werden zusätzliche Metadaten vom Profil-Endpunkt heruntergeladen. Diese Informationen umfassen Fähigkeiten, Sprachen, Projekte usw. |
Include Additional User Info | Wenn diese Option aktiviert ist, werden zusätzliche Informationen über jeden Benutzer abgerufen. Weitere Informationen darüber, welche zusätzlichen Metadaten abgefragt werden, finden Sie weiter unten. |
Enable Delta Crawl | Solange diese Option aktiviert ist, holt sich der Crawler nur beim ersten Crawlrun alle User von Microsoft Teams ab, danach werden nurmehr Änderungen an Usern (neuer User, User editiert, User gelöscht etc.) abgeholt. Mit diesem Setting kann eine bessere Performance erzielt werden. Deaktivieren Sie diese Option nur, falls eine Inkonsistenz zwischen dem Index und den tatsächlichen Usern in Microsoft Graph entstanden ist. |
Use Profile Picture as Thumbnail | Wenn diese Option aktiviert ist, wird das Profilbild des Benutzers in Microsoft Graph als Thumbnail in der Mindbreeze Suche verwendet. |
Verfügbare nationale Microsoft Graph Endpunkte
Microsoft Graph global service | https://graph.microsoft.com |
Microsoft Graph for US Government L4 | https://graph.microsoft.us |
Microsoft Graph for US Government L5 (DOD) | https://dod-graph.microsoft.us |
Microsoft Graph China operated by 21Vianet | https://microsoftgraph.chinacloudapi.cn |
Verfügbare nationale Azure AD Endpunkte
Azure AD (global service) | https://login.microsoftonline.com |
Azure AD for US Government | https://login.microsoftonline.us |
Azure AD China operated by 21Vianet | https://login.chinacloudapi.cn |
Bereich „Authorization Settings“
Static Access Rules | Da es in Microsoft Graph keine Berechtigungen zum Einsehen von Benutzern gibt, werden in Mindbreeze auch keine ACLs gesetzt. Dies bedeutet, der Microsoft Graph Crawler sollte grundsätzlich einen public Index verwenden. Sollten Sie jedoch den Zugriff auf gewisse Gruppen einschränken wollen (z.B. nur eingeloggte User, Management, HR etc.), können Sie dies mithilfe dieser Einstellung machen. Die hier definierten Access Rules werden auf alle indizierten User gesetzt. Folgende Einstellungsmöglichkeiten stehen Ihnen zur Verfügung:
|
Bereich „Crawling Constraints“
Constraints | Mit Constraints können Nachrichten abhängig von ihren Metadaten exkludiert werden.
Folgendes ist zu beachten:
|
Zusätzliche User Informationen
Wen die Einstellung (Advanced Settings) “Include Additional User Info” aktiviert ist, werden diese Metadaten zusätzlich hinzugefügt.
mgru_manager | Name des Managers des Users |
mgru_managerId | Referenz zum Manager |
mgru_onPremisesExtensionAttributes | Item, das alle Erweiterungsattribute (1-15) enthält (wenn gesetzt) |
mgru_onPremisesExtensionAttributes_extensionAttribute<x> | Der Wert des Erweiterungsattributes x (wenn gesetzt) |
Liste der Requests
Die folgenden Requests werden vom Microsoft Graph Connector im Laufe des Crawlruns ausgeführt.
HTTP-Methode | Beschreibung | |
https://login.microsoftonline.com/<tenantId>/oauth2/v2.0/token | POST | Abholen des Access Tokens. |
https://graph.microsoft.com/beta/users/delta | GET | Abholen aller User beim ersten Crawlrun und danach, falls die Option „Enable Delta Crawl“ aktiviert ist, werden ebenfalls die User abgeholt, die seit dem letzten Crawlrun geändert wurden. |
https://graph.microsoft.com/beta/users/<userId> | GET | Abrufen zusätzlicher User-Informationen (z. B. Informationen zum Manager). |
https://graph.microsoft.com/beta/users/<userId>/photo/$value | GET | Herunterladen des Profilbildes eines Users. |