Deployment
Deployment
Breadcrumbs

Benutzer von Entra ID (Azure AD) synchronisieren

Microsoft Entra ID, früher bekannt als Azure AD, ist eine cloudbasierte Lösung für Identitäts- und Zugriffsmanagement (IAM). Sie bietet einen integrierten Ansatz für Verzeichnisverwaltung, Anwendungszugriff und Identitätsschutz. Die zentrale Verwaltung dieser Funktionen kann effizient über das Microsoft Entra Admin Center abgewickelt werden.

Sie können Ihre Entra ID-Umgebungen problemlos in MyQ X integrieren. Dies kann bedeuten, dass Ihre Benutzer ausschließlich in Entra ID verwaltet werden, dass Benutzer in Hybridumgebungen mit Entra ID Connect verwaltet werden oder dass Benutzer von Entra ID Joined- oder Entra ID Registered-Geräten aus drucken.

Voraussetzungen

Bevor Sie mit der Synchronisierung beginnen oder während der Vorbereitungen zur Erstellung von Benutzersynchronisierungsquellen, sollten Sie Folgendes tun:

  • Berücksichtigen Sie Ihre Umgebung und überlegen Sie, ob Sie neue Benutzer synchronisieren oder bereits zuvor aus anderen Quellen (höchstwahrscheinlich einem lokalen Active Directory) synchronisierte Benutzer aktualisieren müssen.

  • Berücksichtigen Sie die Art Ihrer Konten, z. B. ob es sich um reine Cloud-Konten handelt oder ob das Hybridmodell verwendet wird; weitere Ressourcen zur hybriden Identität mit Microsoft finden Sie weiter unten.

  • Welchen Status haben die Geräte, von denen aus der Druckvorgang an MyQ erfolgt? Sind sie bei Entra ID registriert, mit Entra ID verbunden oder hybrid verbunden? Dies kann sich darauf auswirken, wie Sie die Benutzererkennung für die Auftragsauthentifizierung konfigurieren (siehe „Auftragsauthentifizierungsmethode festlegen“).

Wählen Sie die Synchronisierungsmethode

Methode

Empfohlen, wenn

Entra ID-Benutzerquelle

  • Alle Benutzer befinden sich in Entra ID (reine Cloud-Konten).

  • Ihre Organisation nutzt eine hybride Identität mit Entra ID Connect.

  • Benutzer drucken von BYOD-Geräten mit einem angemeldeten Arbeits- oder Schulkonto (Entra ID Joined).

LDAP

(Entra ID Domain Dienste erforderlich*)

  • Ihre Organisation nutzt eine hybride Identität mit Entra ID Connect.

*Microsoft Entra ID Domain Services bieten verwaltete Domänendienste, einschließlich Domänenbeitritt, Gruppenrichtlinien, LDAP und Kerberos/NTLM-Authentifizierung. Der Dienst macht die Bereitstellung von Domänencontrollern in der Cloud überflüssig. Dies ist ein kostenpflichtiger Dienst von Microsoft.

Hybride Identität

Weitere Ressourcen:

MyQ mit Entra ID verbinden

Eine detaillierte Anleitung zur Verbindung mit Entra ID finden Sie hier:

Diese Anleitungen beschreiben, wie Sie Ihren MyQ-Server für allgemeine Zwecke mit Entra ID verbinden (einige Organisationen entscheiden sich dafür, Entra ID als Authentifizierungsserver zu nutzen, anstatt Benutzer zu synchronisieren). Um Entra ID jedoch speziell zur Synchronisierung von Benutzern zu verwenden, sollten Sie die Verbindung entsprechend Ihren Anforderungen weiter konfigurieren.

Ausführliche Informationen zu den verfügbaren Einstellungen und deren Verwendung finden Sie hier:

Darüber hinaus werden wir in dieser Anleitung einige gängige Anwendungsfälle für die Synchronisierung betrachten und erläutern, welche Einstellungen verwendet werden sollten, um diese korrekt einzurichten.

Verwendung von Entra ID als einzige maßgebliche Synchronisierungsquelle

Für viele Organisationen wird Entra ID die einzige Quelle für Benutzer sein, die zu MyQ hinzugefügt werden. Das bedeutet, dass der Eintritt oder Austritt eines neuen Benutzers aus der Organisation ausschließlich in Entra ID verarbeitet wird, wobei diese Änderungen über die Synchronisierung an MyQ weitergeleitet werden.

In diesen Fällen ist es wichtig, bestimmte Einstellungen anzupassen, um sicherzustellen, dass Entra ID die volle Kontrolle über alle Ihre aktiven MyQ-Benutzer hat.

  • Unter „Zu importierende Benutzer“ sollte „Alle Benutzer“ ausgewählt werden.

  • Die Optionen „Fehlende Benutzer deaktivieren“ und „Neue Benutzer hinzufügen“ sollten aktiviert sein.

  • Auf der Registerkarte „Gruppen“ sollten unter „Gruppen ignorieren“ keine Gruppen ausgewählt sein.

Wenn diese Einstellungen konfiguriert sind und die Synchronisierung regelmäßig durchgeführt wird, spiegeln Ihre MyQ-Benutzer Ihre aktuellen Benutzer in Entra ID genau wider. Sie können die Einstellungen für die regelmäßige automatische Benutzersynchronisierung unter „Einstellungen > Aufgabenplaner“ anpassen.

Verwendung mehrerer Entra ID-Konten zur Synchronisierung mit MyQ

Sie können nun mehrere Entra ID-Mandanten in MyQ-Umgebungen verwenden, um Benutzer zu synchronisieren und zu authentifizieren. Dies ist besonders nützlich in Umgebungen mit gemeinsam genutzter Druckinfrastruktur, wie sie beispielsweise im öffentlichen Sektor vorkommen, wo mehrere Organisationen Drucker von einem einzigen Standort aus verwalten, wobei jede ihre eigene Entra ID verwendet.

Führen Sie den oben beschriebenen Vorgang mehrmals durch, um mehrere Verbindungen zu separaten Entra ID-Mandanten herzustellen. Achten Sie dabei darauf, jedem Mandanten eine eindeutige und aussagekräftige Bezeichnung zu geben, damit Administratoren jederzeit erkennen können, welcher Mandant gerade relevant ist.

Jeder Entra ID-Mandant kann dann separat für die Benutzersynchronisierung konfiguriert werden. Beispielsweise möchten Sie vielleicht von einem Mandanten alle Benutzer synchronisieren, während Sie von einem anderen nur bestimmte Gruppen synchronisieren möchten. In diesen Fällen ist es besonders wichtig, Einstellungen wie „Alias“, „Nach Objekt-ID zuordnen“ und möglicherweise „Normalisierten Alias aus Anzeigenamen erstellen“ zu berücksichtigen, um sicherzustellen, dass Benutzer mit ähnlichen oder identischen Anmeldedaten korrekt unterschieden werden können.

Weitere Informationen zu dieser Option Multiple Entra ID tenants with MyQfinden Sie hier.

Verwendung von Entra ID zur Benutzersynchronisierung und als Authentifizierungsserver

In vielen Fällen ist es vorteilhaft, Ihre Benutzer sowohl aus Entra ID zu synchronisieren als auch Entra ID als Authentifizierungsserver zu verwenden. Stellen Sie dazu sicher, dass die Option „Als Authentifizierungsserver verwenden“ auf der Registerkarte „Benutzer“ aktiviert ist.

Dadurch können sich Benutzer aus diesem Entra ID-Mandanten mit ihren Microsoft-Anmeldedaten anmelden, einschließlich aller Zwei-Faktor-Optionen, die Sie dort möglicherweise aktiviert haben. Dies sorgt für eine optimierte und sichere Anmeldeerfahrung.

Normalisierte Aliase für mit Entra ID verbundene Geräte

Die Option „Normalisierten Alias aus Anzeigenamen erstellen“ kann insbesondere für Organisationen mit einer großen Anzahl von Benutzern hilfreich sein, um sicherzustellen, dass Entra ID-Anmeldedaten korrekt erkannt und den richtigen MyQ-Benutzern zugeordnet werden.

Ein mit Entra ID verbundenes Gerät ist definiert als ein unternehmenseigenes und verwaltetes Gerät, das mithilfe einer in Entra ID vorhandenen ID authentifiziert wird und ausschließlich über diese ID authentifiziert werden kann.

Wenn diese Option aktiviert ist, führt sie die folgenden Umwandlungen für die entsprechenden Benutzer durch displayName:

  • Entfernt Leerzeichen.

  • Entfernt folgende Zeichen " [ ] : ; | = + * ? < > / \ , @.

  • Entfernt alle Zeichen mit ASCII-Codes unter 32 dezimal (20 hex).

  • Entfernt das Zeichen mit dem ASCII-Code 127 dezimal (7F hex)

  • Behält alle anderen internationalen Zeichen (UTF-8) wie Apostrophe, ěščřžýáíé usw. bei.

  • Die maximale Länge des Alias sollte nach dem Transformationsprozess nur 20 Zeichen betragen (auf 20 Zeichen gekürzt).

  • Das Ergebnis wird als Alias des Benutzers zusätzlich zu den anderen in der Synchronisierungsquelle konfigurierten Aliasen hinzugefügt.

Bekannte Einschränkung: Wenn zwei oder mehr Benutzer denselben vollständigen Namen aus Entra ID synchronisiert haben, wird der normalisierte Alias nur für den ersten Benutzer erstellt. In der Entra-ID-Umgebung gibt es in diesem Fall keine Möglichkeit, Job-Eigentümer zu unterscheiden, da der Druckertreiber nur den verketteten Vor- und Nachnamen des Benutzers bereitstellt.