.png)
Benutzer-Synchronisation von Microsoft Entra ID mit Microsoft Graph
Microsoft Entra ID (ehemals Azure AD) mit Microsoft Graph ist ein Dienst, auf den über das Microsoft Azure Portal zugegriffen wird, er muss aktiviert und konfiguriert bevor es zur Synchronisierung von Benutzern mit MyQ verwendet werden kann.
Microsoft Entra ID als Quelle hinzufügen
Sobald die Microsoft Entra ID-Verbindung hergestellt ist, gehen Sie zu MyQ > Einstellungen > Benutzer-Synchronisierung. Klicken Sie auf hinzufügenund klicken Sie dann auf Microsoft Entra ID-Quelle hinzufügen.
Sobald die Quelle eingerichtet ist, können Sie mit den Konfigurationsoptionen bearbeiten, wie die Benutzer importiert werden.
In der Allgemein die Registerkarte Authentifizierungsserver und Synchronisationsquelle eingestellt werden, und die Synchronisierung kann aktiviert oder deaktiviert werden.
In der Benutzer können die Benutzer, die importiert werden sollen, ausgewählt, ihre Eigenschaften festgelegt und verschiedene andere Optionen aktiviert oder deaktiviert werden.
In der Gruppen Registerkarte können Sie Regeln festlegen, welche Benutzer nicht importiert werden sollen (dies wird in der Benutzer Registerkarte), sondern wie die importierten Benutzer auf der Grundlage ihrer Gruppierung in der Entra ID-Quelle gruppiert werden.
Registerkarte Allgemein
Diese Registerkarte wird standardmäßig geöffnet, wenn Sie Microsoft Entra ID-Quelle hinzufügen. Die folgenden Optionen sind verfügbar:
Aktivieren Sie: Verwenden Sie diesen Schalter, um die Benutzersynchronisation zu aktivieren oder zu deaktivieren.
Authentifizierungsserver: Wählen Sie den Authentifizierungsserver, den Sie verwenden möchten. Dieser Server sollte bereits verbunden und konfiguriert sein, wie in diese Anleitungen. Wenn mehrere Verbindungen bestehen, können Sie auswählen, welche für diese Benutzersynchronisierung verwendet werden soll.
Synchronisationsquelle: Geben Sie dieser speziellen Benutzersynchronisation einen Namen, mit dem sie leicht identifiziert werden kann. Dies ist besonders wichtig, wenn Sie mehrere Entra ID-Tenants verwenden, um sie voneinander zu unterscheiden.
Registerkarte "Benutzer
Auf dieser Registerkarte können Sie auswählen, welche Zu importierende Benutzer, ihre Eigenschaftenund verschiedene Optionen für die Benutzersynchronisation.
Zu importierende Benutzer
Hier können Sie auswählen, welche Benutzer Sie aus Ihrem Entra ID Tenant in MyQ importieren möchten. Sie können wählen zwischen Alle Benutzer oder Benutzer aus ausgewählten Gruppen. Bei der letztgenannten Option beziehen sich die Gruppen auf bestehende Benutzergruppen in Ihrer Entra ID-Quelle. Sie können wählen, ob Sie diese Gruppen verwenden, ignorieren oder sie in MyQ in der Option Gruppen tab.
Eigenschaften
In der Eigenschaften können Sie Benutzerinformationen aus Microsoft Entra ID den Anmeldedaten in MyQ zuordnen. Es wird eine vordefinierte Auswahl an empfohlenen Werten bereitgestellt. Wenn der vordefinierte Wert nicht verwendet wird, kann er durch ein manuell eingegebenes benutzerdefiniertes Attribut ersetzt und ein anderer Wert synchronisiert werden. Benutzerattribut von Entra ID.
Name der Immobilie | Beschreibung | Vordefinierte(s) Attribut(e) |
|---|---|---|
Vollständiger Name | Vollständiger Name des Benutzers. |
|
Persönliche Nummer | Identifikationsnummer des Benutzers. |
|
E-Mail der Benutzer. |
| |
Anmerkungen | Relevante Hinweise. |
|
Sprache | Bevorzugte Sprache der Benutzer. |
|
Abteilung | Abteilung "Benutzer". |
|
Alias | Einen alternativen Namen oder Benutzernamen. |
|
Karte | Die Nummer des Benutzerausweises. |
|
PIN | Die PIN der Benutzer. |
|
Benutzerdefiniert (1) | Benutzerdefiniertes Attribut, das anderen relevanten Informationen zugeordnet werden kann. |
|
Benutzerdefiniert (2) | Benutzerdefiniertes Attribut, das anderen relevanten Informationen zugeordnet werden kann. |
|
Benutzerdefiniert (3) | Benutzerdefiniertes Attribut, das anderen relevanten Informationen zugeordnet werden kann. |
|
Für die Alias Eigenschaft, wenn das Attribut onPremisesSamAccountName@onPremisesDomainName verwendet wird, ist der Alias des Benutzers nach der Synchronisierung eine Kombination aus den Microsoft Entra ID-Attributen des Benutzers onPremisesSamAccountName und onPremisesDomainName im Format, zum Beispiel, user@myq.cz.
Optionen
Deaktivieren fehlender BenutzerDiese Option ermöglicht es dem System, automatisch Benutzer in MyQ X zu deaktivieren, die nicht mehr in der Microsoft Entra ID-Quelle vorhanden sind.
Neue Benutzer hinzufügenWenn diese Funktion aktiviert ist, werden neue Benutzer, die in der Microsoft Entra ID-Quelle gefunden wurden, automatisch zu MyQ X hinzugefügt.
Verwendung als Authentifizierungsserver: Wenn Sie planen, Benutzer gegenüber Azure mit Active Directory-Anmeldeinformationen zu authentifizieren und die Microsoft Single-Sign-On-Option zu verwenden, wählen Sie die Option Verwendung als Authentifizierungsserver Option und klicken Sie auf Speichern Sie.
Paarung nach der persönlichen Nummer: Markieren Sie dieses Kästchen, wenn Sie die Benutzer anhand ihrer persönlichen Nummer aktualisieren möchten. Wenn die Option Personennummer aktiviert ist, sucht das System bei der Neusynchronisierung nach dem Benutzer anhand seiner Personennummer. Wenn eine Übereinstimmung gefunden wird, werden die Benutzerdetails aktualisiert, andernfalls wird ein neuer Benutzer angelegt.
Seit MyQ Print Server 10.2 RC 4 kann der Paarung nach der persönlichen Nummer ist standardmäßig für alle neu erstellten Synchronisationsquellen aktiviert und kann nicht geändert werden. Quellen, die in 10.1 nach der Migration auf 10.2 erstellt wurden, erlauben die Bearbeitung dieser Option. Es wird dringend empfohlen, Benutzer nach persönlicher Nummer zu koppeln.
Synchronisationsquelle ignorieren: Diese Option bietet die Möglichkeit, bestimmte Aspekte oder Daten aus der Microsoft Entra ID-Quelle während der Synchronisierung selektiv zu ignorieren.
Normalisierten Alias aus Anzeigename erstellen: Diese Option bedeutet, dass dem Benutzer ein zusätzlicher Alias zu den im Abschnitt Benutzerattribute konfigurierten hinzugefügt wird; dieser Alias hat die Form
AzureAD\concatedDisplayName. Sie ermöglicht die korrekte Erkennung von Benutzern, die von Entra ID Joined-Geräten aus drucken.
Wenn zwei oder mehr Benutzer denselben vollständigen Namen haben, der von Entra ID synchronisiert wurde, wird nur für den ersten Benutzer ein normalisierter Alias erstellt. In der ADD-Umgebung gibt es keine Möglichkeit, die Auftragseigentümer in diesem Fall zu unterscheiden, da der Druckertreiber nur einen verketteten Vor- und Nachnamen des Benutzers liefert.
Registerkarte Gruppen
Die Gruppen gibt nicht an, welche Benutzergruppen importiert werden sollen, sondern wie sie innerhalb von MyQ organisiert werden sollen. Welche Benutzergruppen importiert werden, wird in Benutzer > Zu importierende Benutzer.
Die folgenden Optionen sind verfügbar:
Wählen Sie die Art der Synchronisierung: In einer Synchronisationsquelle können Sie den Grad der Synchronisation auf der Gruppen Registerkarte. Es ist möglich, zwischen den folgenden Ebenen zu wählen:
Vollständige SynchronisierungSynchronisierung der Gruppen 1:1 wie in der Quelle, d.h. Benutzer werden wie in der Quelle zu Gruppen hinzugefügt und aus ihnen entfernt.
Synchronisieren, wenn nicht leer: ein Benutzer bleibt in mindestens einer Gruppe, auch wenn er alle Mitgliedschaften im Verzeichnis verliert.
Neu hinzufügen: Stellen Sie sicher, dass ein Benutzer, der einmal einer Gruppe in MyQ zugewiesen wurde, diese Mitgliedschaft nicht verliert, auch wenn er aus einer Gruppe im Quellverzeichnis entfernt wird.
Gruppen auswählen: Hier können Sie die Gruppen auswählen, die in Ihrer Instanz von Entra ID vorhanden sind und die Sie als Gruppen in MyQ aufnehmen möchten.
Gruppen unter dieser Gruppe importieren: Ermöglicht es Ihnen, eine bestehende Benutzergruppe in MyQ auszuwählen, die als übergeordnete Gruppe für alle Gruppen verwendet werden soll, die aus dieser Quelle synchronisiert werden.
Gruppen ignorieren: Wählen Sie die Active Directory-Gruppen aus, die Sie bei dieser Synchronisierung nicht verwenden möchten.
Gruppen ignorieren, die String enthalten: erfüllt die gleiche Funktion wie Gruppen ignorieren die es Ihnen ermöglicht, Gruppen anzugeben, die aufgrund einer darin enthaltenen Zeichenfolge ignoriert werden sollen.
Gruppensynchronisierung - Beispielszenario
Administratoren haben eine verbesserte Kontrolle über Gruppenmitgliedschaften während der Entra ID Benutzersynchronisation. Mit der Gruppen auswählen Filteroption in den Einstellungen der Entra ID User Sync-Quelle können Sie festlegen, welche Gruppenmitgliedschaften in MyQ importiert werden, ohne den gesamten Prozess der Benutzersynchronisation zu beeinträchtigen.
Beispiel:
Die Struktur der Entra ID Gruppe sieht wie folgt aus:
Alle Studenten: 1.500 Benutzer
Klasse1A: 1.000 Benutzer
Klasse1B: 500 Benutzer
MyQ-Einstellungen:
In der Benutzer Registerkarte unter Zu importierende Benutzer Wählen Sie Benutzer aus ausgewählten Gruppen und geben Sie die Alle Studenten Gruppe, um alle 1.500 Benutzer zu synchronisieren.
In der Gruppen Reiter unter Gruppen auswählenauswählen Klasse1B nur.
Ergebnis:
Alle 1.500 Benutzer sind mit MyQ synchronisiert.
Nur die 500 Nutzer in Klasse1B ihre Gruppenzugehörigkeit in MyQ anwenden lassen.
Die restlichen 1.000 Benutzer werden ohne Gruppenmitgliedschaft importiert.
Nutzer, die auch Mitglieder sind von Klasse1A haben diese Mitgliedschaft nicht in MyQ beantragt.
Jetzt synchronisieren
Benutzer können nun synchronisiert werden, indem Sie Ihre Microsoft Entra ID-Quelle aus der Liste auswählen und auf Jetzt synchronisieren. Es ist auch möglich, die Benutzersynchronisierung mit der Funktion Taskplaner.
Mandantenübergreifende Synchronisierung und Authentifizierung
Sie können jetzt mehrere Entra ID-Tenants in MyQ-Umgebungen verwenden, um Benutzer zu synchronisieren und zu authentifizieren. Dies ist besonders nützlich in gemeinsam genutzten Druckinfrastrukturen, wie sie im öffentlichen Sektor zu finden sind, wo mehrere Organisationen Drucker von einem einzigen Standort aus verwalten, während jede ihre eigene Entra ID verwendet.
Befolgen Sie den unten beschriebenen Prozess, aber wiederholen Sie ihn, um mehrere Instanzen einzurichten. Stellen Sie sicher, dass jeder Tenant einen eindeutigen Namen erhält, damit die Nutzer erkennen können, welcher Tenant für sie relevant ist.