.png)
Benutzer-Synchronisation von Microsoft Entra ID mit Microsoft Graph
Die Integration von Microsoft Entra ID (ehemals Azure AD) nutzt Microsoft Graph, um Benutzer mit MyQ zu synchronisieren. Bevor die Synchronisierung konfiguriert werden kann, muss der Dienst im Microsoft Azure-Portal aktiviert und ordnungsgemäß eingerichtet werden.
Voraussetzung
Microsoft Entra ID als Quelle hinzufügen
Sobald die Verbindung zu Microsoft Entra ID hergestellt ist, gehen Sie zu MyQ > Einstellungen > Benutzersynchronisierung. Klicken Sie auf Hinzufügen und dann auf Microsoft Entra ID-Quelle hinzufügen.
Sobald die Quelle eingerichtet ist, können Sie über die Konfigurationsoptionen festlegen, wie Benutzer importiert werden.
Auf der Registerkarte „Allgemein“ konfigurieren Sie den Authentifizierungsserver und die Synchronisierungsquelle und aktivieren oder deaktivieren die Synchronisierung.
Auf der Registerkarte „Benutzer“ legen Sie fest, welche Benutzer in MyQ importiert werden, konfigurieren deren Eigenschaften und nehmen entsprechende Einstellungen vor.
Auf der Registerkarte „Gruppen“ legen Sie fest, wie Gruppen aus der Quelle importiert und in MyQ erstellt werden. Beim Import von Gruppen erstellt MyQ entsprechende Gruppendefinitionen, und Benutzer werden diesen Gruppen basierend auf ihrer Mitgliedschaft in Entra ID zugewiesen.
Registerkarte „Allgemein“
Diese Registerkarte wird standardmäßig geöffnet, wenn Sie „Microsoft Entra ID-Quelle hinzufügen“ auswählen. Die folgenden Optionen sind verfügbar:
Aktivieren: Verwenden Sie diesen Schalter, um die Benutzersynchronisierung zu aktivieren oder zu deaktivieren.
Authentifizierungsserver: Wählen Sie den zu verwendenden Authentifizierungsserver aus. Wenn mehrere Verbindungen bestehen, können Sie auswählen, welche für diese Benutzersynchronisierung verwendet werden soll.
Synchronisierungsquelle: Weisen Sie der Synchronisierungsquelle einen Namen zu, um sie leicht identifizieren zu können. Dies ist nützlich, um zwischen mehreren Entra ID-Mandanten zu unterscheiden.
Registerkarte „Benutzer“
Auf dieser Registerkarte können Sie auswählen, welche Benutzer importiert werden sollen, deren Eigenschaften festlegen und verschiedene Optionen für die Benutzersynchronisierung auswählen.
Zu importierende Benutzer
Hier können Sie auswählen, welche Benutzer Sie aus Ihrem Entra ID-Mandanten in MyQ importieren möchten.
Verfügbare Optionen:
Alle Benutzer
Benutzer aus ausgewählten Gruppen: Geben Sie die Gruppen an, aus denen Benutzer importiert werden sollen. Diese Option importiert einen Benutzer, wenn er Mitglied in mindestens einer ausgewählten Gruppe ist.
Benutzer aus Gruppen, deren Name eine bestimmte Zeichenfolge enthält: Geben Sie eine oder mehrere Zeichenfolgen an und importieren Sie nur Mitglieder von Gruppen, deren Name mindestens eine dieser Zeichenfolgen enthält. Geben Sie jede Zeichenfolge in einer neuen Zeile ein. Bei der Übereinstimmung wird die Groß-/Kleinschreibung nicht berücksichtigt.
Warnung!
Die Funktion „Benutzer aus Gruppen, die eine Zeichenfolge enthalten“ kann die Synchronisierung verlangsamen.
Eigenschaften
Im Abschnitt „Eigenschaften“ können Sie Benutzerinformationen aus Microsoft Entra ID den Anmeldedaten in MyQ zuordnen. Es steht eine vordefinierte Auswahl empfohlener Werte zur Verfügung. Wenn der vordefinierte Wert nicht verwendet wird, kann ein manuell eingegebenes benutzerdefiniertes Attribut diesen ersetzen und ein anderes Benutzerattribut aus Entra ID synchronisieren.
Eigenschaftsname | Beschreibung | Vordefinierte Attribute |
|---|---|---|
Vollständiger Name | Vollständiger Name des Benutzers. |
|
Personennummer | Benutzeridentifikationsnummer. |
|
E-Mail-Adresse des Benutzers. |
| |
Anmerkungen | Relevante Anmerkungen. |
|
Sprache | Bevorzugte Sprache des Benutzers. |
|
Abteilung | Abteilung des Benutzers. |
|
Alias | Ein alternativer Name oder Benutzername. |
|
Karte | Die Ausweisnummer des Benutzers. |
|
PIN | Die PIN des Benutzers. |
|
Benutzerdefiniert (1) | Benutzerdefiniertes Attribut, das anderen relevanten Informationen zugewiesen werden soll. |
|
Benutzerdefiniert (2) | Benutzerdefiniertes Attribut zur Zuordnung zu anderen relevanten Informationen. |
|
Benutzerdefiniert (3) | Benutzerdefiniertes Attribut, das anderen relevanten Informationen zugewiesen werden soll. |
|
Für die Eigenschaft „Alias“: Wenn das Attribut onPremisesSamAccountName@onPremisesDomainName verwendet wird, besteht der Alias des Benutzers nach der Synchronisierung aus einer Kombination der Microsoft Entra ID-Attribute des Benutzers onPremisesSamAccountName und onPremisesDomainName im Format, zum Beispiel user@myq.cz.
Optionen
Fehlende Benutzer deaktivieren: Mit dieser Option kann das System Benutzer in MyQ X automatisch deaktivieren, die nicht mehr in der Microsoft Entra ID-Quelle vorhanden sind.
Neue Benutzer hinzufügen: Wenn diese Funktion aktiviert ist, werden neue Benutzer, die in der Microsoft Entra ID-Quelle gefunden werden, automatisch zu MyQ X hinzugefügt.
Als Authentifizierungsserver verwenden: Wenn Sie vorhaben, Benutzer mithilfe von Active Directory-Anmeldedaten bei Azure zu authentifizieren und die Microsoft-Single-Sign-On-Option zu verwenden, wählen Sie die Option „Als Authentifizierungsserver verwenden“ und klicken Sie auf „Speichern“.
Nach persönlicher Nummer abgleichen: Aktivieren Sie dieses Kontrollkästchen, wenn Sie Benutzer anhand ihrer persönlichen Nummer aktualisieren möchten. Wenn die Option „Persönliche Nummer“ aktiviert ist, sucht das System bei der Neusynchronisierung den Benutzer anhand seiner persönlichen Nummer. Wird eine Übereinstimmung gefunden, werden die Benutzerdaten aktualisiert, andernfalls wird ein neuer Benutzer angelegt.
Seit MyQ Print Server 10.2 RC 4 ist die Option „Nach persönlicher Nummer zuordnen“ standardmäßig für alle neu erstellten Synchronisierungsquellen aktiviert und kann nicht geändert werden. Bei Quellen, die in 10.1 nach der Migration auf 10.2 erstellt wurden, kann diese Option bearbeitet werden. Die Zuordnung von Benutzern nach persönlicher Nummer wird dringend empfohlen.
Synchronisierungsquelle ignorieren: Diese Option bietet die Möglichkeit, bestimmte Aspekte oder Daten aus der Microsoft Entra ID-Quelle während der Synchronisierung selektiv zu ignorieren.
Normalisierten Alias aus Anzeigenamen erstellen: Diese Option bedeutet, dass dem Benutzer zusätzlich zu den im Abschnitt „Benutzerattribute“ konfigurierten Aliasen ein weiterer Alias hinzugefügt wird. Dieser Alias hat die Form
AzureAD\concatedDisplayName. Dies ermöglicht die korrekte Erkennung von Benutzern, die von Entra ID-verbundenen Geräten aus drucken.
Wenn zwei oder mehr Benutzer denselben vollständigen Namen haben, der aus Entra ID synchronisiert wurde, wird ein normalisierter Alias nur für den ersten Benutzer erstellt. In der ADD-Umgebung gibt es in diesem Fall keine Möglichkeit, die Auftragseigentümer zu unterscheiden, da der Druckertreiber nur den verketteten Vor- und Nachnamen des Benutzers bereitstellt.
Registerkarte „Gruppen“
Auf der Registerkarte „Gruppen“ wird nicht festgelegt, welche Benutzergruppen importiert werden sollen, sondern wie sie innerhalb von MyQ organisiert werden sollen. Welche Benutzergruppen importiert werden, wird unter „Benutzer > Zu importierende Benutzer“ gesteuert.
Die folgenden Optionen stehen zur Verfügung:
Synchronisationstyp: Passen Sie den Synchronisationsgrad auf der Registerkarte „Gruppen“ an. Wählen Sie aus:
Vollständige Synchronisierung: Gruppen werden 1:1 so synchronisiert, wie sie in der Quelle vorhanden sind, d. h. Benutzer werden Gruppen hinzugefügt oder aus ihnen entfernt, genau wie in der Quelle.
Synchronisieren, wenn nicht leer: Ein Benutzer bleibt in mindestens einer Gruppe, auch wenn er alle Mitgliedschaften im Verzeichnis verliert.
Neu hinzufügen: Stellen Sie sicher, dass ein Benutzer, sobald er in MyQ einer Gruppe zugewiesen wurde, diese Mitgliedschaft nicht verliert, selbst wenn er aus einer Gruppe im Quellverzeichnis entfernt wird.
Gruppen auswählen: Hiermit können Sie die Gruppen auswählen, die in Ihrer Entra ID-Instanz vorhanden sind und die Sie als Gruppen in MyQ aufnehmen möchten.
Gruppen auswählen, die eine Zeichenfolge enthalten: Hiermit können Sie Entra ID-Gruppen anhand eines Zeichenfolgenfilters auswählen; diese Gruppen werden dann in MyQ erstellt. Wenn diese Option mit „Gruppen auswählen“ kombiniert wird, werden nur Gruppen erstellt, die beide Bedingungen erfüllen.
Gruppen unter dieser Gruppe importieren: Hiermit können Sie eine vorhandene Benutzergruppe in MyQ auswählen, die als übergeordnete Gruppe für alle aus dieser Quelle synchronisierten Gruppen verwendet werden soll.
Gruppen ignorieren: Wählen Sie aus, welche Active Directory-Gruppen Sie bei dieser Synchronisierung nicht verwenden möchten.
Gruppen ignorieren, die den String enthalten: Erfüllt dieselbe Funktion wie „Gruppen ignorieren“ und ermöglicht es Ihnen, Gruppen anhand eines darin enthaltenen Strings anzugeben, die ignoriert werden sollen.
Gruppensynchronisierung – Beispielszenario
Administratoren haben während der Entra ID-Benutzersynchronisierung erweiterte Kontrolle über Gruppenmitgliedschaften. Mit der Filteroption „Gruppen auswählen“ in den Entra ID User Sync-Quelleneinstellungen können Sie festlegen, welche Gruppenmitgliedschaften in MyQ importiert werden, ohne den gesamten Benutzersynchronisierungsprozess zu beeinträchtigen.
Beispiel:
Die Entra ID-Gruppenstruktur sieht wie folgt aus:
Alle Schüler: 1.500 Benutzer
Klasse 1A: 1.000 Benutzer
Klasse1B: 500 Benutzer
MyQ-Einstellungen:
Wählen Sie auf der Registerkarte „Benutzer“ unter „Zu importierende Benutzer“ die Option „Benutzer aus ausgewählten Gruppen“ und geben Sie die Gruppe „Alle Schüler“ an, um alle 1.500 Benutzer zu synchronisieren.
Wählen Sie auf der Registerkarte „Gruppen“ unter „Gruppen auswählen“ nur „Klasse 1B“ aus.
Ergebnis:
Alle 1.500 Benutzer werden mit MyQ synchronisiert.
Nur für die 500 Benutzer in „Class1B“ wird die Gruppenmitgliedschaft in MyQ übernommen.
Die übrigen 1.000 Benutzer werden ohne Gruppenmitgliedschaft importiert.
Benutzer, die auch Mitglieder von „Class1A“ sind, haben diese Mitgliedschaft in MyQ nicht.
Jetzt synchronisieren
Benutzer können nun synchronisiert werden, indem Sie Ihre Microsoft Entra ID-Quelle aus der Liste auswählen und auf „Jetzt synchronisieren“ klicken. Sie können die Benutzersynchronisierung auch über den Taskplaner planen.
Um Details zu einem Synchronisierungslauf anzuzeigen, überprüfen Sie das Synchronisierungsprotokoll.
Multi-Tenant-Synchronisierung und -Authentifizierung
Sie können nun mehrere Entra ID-Mandanten in MyQ-Umgebungen verwenden, um Benutzer zu synchronisieren und zu authentifizieren. Dies ist besonders nützlich in Umgebungen mit gemeinsam genutzter Druckinfrastruktur, wie sie beispielsweise im öffentlichen Sektor vorkommen, wo mehrere Organisationen Drucker von einem einzigen Standort aus verwalten, wobei jede ihre eigene Entra ID verwendet.
Befolgen Sie den unten beschriebenen Vorgang, wiederholen Sie ihn jedoch, um mehrere Instanzen einzurichten. Stellen Sie sicher, dass jeder Mandant eine eindeutige und aussagekräftige Bezeichnung erhält, damit Benutzer erkennen können, welcher für ihre Nutzung relevant ist.
Lokale Identität für hybride Entra ID-Benutzer
In hybriden Entra ID-Umgebungen, in denen Benutzer mit Entra ID Connect verwaltet werden und über entsprechende Active Directory-Konten verfügen, importiert MyQ während der Benutzersynchronisierung automatisch zwei zusätzliche Attribute:
onPremisesSamAccountName→ gespeichert als lokaler BenutzernameonPremisesDomainName→ gespeichert als lokale Domäne
Diese Attribute werden automatisch synchronisiert, sobald sie in Entra ID vorhanden sind. Eine zusätzliche Konfiguration der Synchronisierungsquelle ist nicht erforderlich. Das Synchronisierungsprotokoll erfasst für jeden Benutzer, ob jedes Attribut gefunden und importiert wurde; fehlt ein Attribut in Entra ID für einen bestimmten Benutzer, wird eine Warnung protokolliert.
Diese Attribute werden im Rahmen der Benutzersynchronisierung an verbundene Site-Server verteilt, sodass hybride Entra ID-Benutzer von jedem Standort aus auf lokale Dateisystemziele zugreifen können.
Die Felder „Lokaler Benutzername“ und „Lokale Domäne“ sind im Benutzerprofil im Abschnitt „Erweitert“ sichtbar. Beide Felder können manuell bearbeitet werden, beispielsweise zu Testzwecken, aber jeder manuell eingegebene Wert wird bei der nächsten Entra ID-Synchronisierung überschrieben.
Ableitung der NETBIOS-Domäne
Wenn MyQ die lokale Identität für Dateisystemoperationen erstellt, wird der NETBIOS-Domänenname aus dem Wert „Lokale Domäne“ abgeleitet, indem dessen erstes DNS-Label verwendet wird:
Lokale Domäne | Abgeleitete NETBIOS-Identität |
|---|---|
|
|
|
|
Verwendung bei Dateisystemoperationen
Für hybride Entra ID-Benutzer, bei denen beide lokale Attribute ausgefüllt sind, verwendet MyQ bei der Authentifizierung an lokalen Dateisystemzielen die NETBIOS\username Identität anstelle des Entra ID-UPN bei der Authentifizierung an lokalen Dateisystemzielen.
MyQ verwendet die NETBIOS\username Identität für „Easy Scan to Folder“, „Easy Scan to User Storage“ und „Easy Print from User Storage“, wenn „Connect as: Logged-in user“ konfiguriert ist oder wenn „Connect as: MyQ service“ zusammen mit „Make the user who scanned the owner of the file“ verwendet wird.
Fallback-Verhalten
Wenn die lokalen Attribute nicht zur Bildung der Identität verwendet werden können, greift MyQ wie folgt auf das Fallback-Verhalten zurück:
Lokale Domäne fehlt: MyQ greift auf die Domänenauflösung des Authentifizierungsservers zurück; eine Warnung wird in das Protokoll geschrieben.
Lokaler Benutzername fehlt: MyQ greift auf den MyQ-Benutzernamen des Benutzers zurück; eine Warnung wird in das Protokoll geschrieben.
Benutzer ohne lokale Attribute in Entra ID sind von dieser Funktion nicht betroffen.