HELP FILE

Synchronisieren einer Rescue-Technikergruppe mit Benutzergruppen von Azure Active Directory

Masterkonto-Inhaber können Benutzer von Azure Active Directory als Rescue-Techniker in ihre Organisation importieren. Die wichtigsten Benutzerdaten in Rescue werden automatisch aktualisiert, wenn sie im Azure Active Directory geändert werden.

  1. Erstellen Sie ein Dienst-Token und ein Standardpasswort für neue Benutzer im Admin Center.
    1. Wählen Sie die Registerkarte Globale Einstellungen aus.
    2. Klicken Sie zum Erstellen eines Dienst-Tokens unter Active Directory Synchronization (Active-Directory-Synchronisation) auf Generate and Copy (Erstellen und kopieren).

      Ergebnis: Ein Dienst-Token wird erstellt und in Ihre Zwischenablage kopiert.

    3. Legen Sie ein Standardpasswort fest, das neue Techniker beim erstmaligen Anmelden verwenden sollen.

      Hinweis: Benutzer müssen dieses Passwort bei der ersten Anmeldung ändern.

  2. Laden Sie die Serveranwendung herunter und extrahieren Sie sie.
    1. Klicken Sie im Administrationscenter von Rescue unter Active Directory Synchronization (Active-Directory-Synchronisation) auf Download (Herunterladen), um das Installationsprogramm herunterzuladen.

      Ergebnis: Das Installationsprogramm wird in einer .zip-Datei auf Ihren Computer heruntergeladen.

    2. Extrahieren Sie die .zip-Datei in einen Ordner.
  3. Führen Sie die Serveranwendung aus und konfigurieren Sie das Synchronisationsverhalten.

    Wichtiger Hinweis: Sie benötigen Berechtigungen, um die Anwendung als Systemdienst auszuführen. Der Computer, auf dem die Anwendung ausgeführt wird, muss mit einem Active Directory verbunden sein und über ausreichende Berechtigungen verfügen, um auf alle Active-Directory-Gruppen und Benutzer zuzugreifen und abzufragen.

    1. Wählen Sie den zu verwendenden Microsoft Azure AD-Service aus.
    2. Geben Sie folgende Anmeldeinformationen ein:

      • Zugangsdaten des Rescue-Masterkontoinhabers
        • E-Mail-Adresse
        • Passwort
      • das Diensttoken, das Sie zuvor auf der Registerkarte Globale Einstellungen im Administrationscenter erstellt haben
      Hinweis: Wenn Sie die Option Dry Run mode (Probenlaufmodus) aktivieren, können Sie eine Vorschau der Änderungen anzeigen, die der Service in Ihrer Rescue-Hierarchiestruktur vornehmen wird.

    3. Klicken Sie auf Weiter, um ADService.exe auszuführen.

      Hinweis: Die Anwendung wird im Admin-Modus ausgeführt.

    4. Geben Sie Ihre Azure App-Anmeldedaten ein und klicken Sie auf Weiter.

    5. Wählen Sie die Gruppen aus, die Sie synchronisieren möchten.

      • Die erste Spalte enthält die Azure AD-Gruppen. Wählen Sie eine Active Directory-Gruppe aus, die Sie mit einer Rescue-Gruppe synchronisieren möchten.
      • Die zweite Spalte enthält die Rescue-Gruppen. Wählen Sie eine Gruppe aus, die mit der AD-Gruppe synchronisiert werden soll.

    6. Klicken Sie auf die Pfeilschaltfläche, die auf die dritte Spalte zeigt, um die Auswahl abzuschließen.

      Hinweis: Wenn Sie mehrere Gruppen auswählen möchten, wiederholen Sie Schritt e. Um die Synchronisierung zwischen zwei Gruppen aufzuheben, markieren Sie diese in der dritten Spalte und klicken Sie auf den Pfeil, der auf die zweite Spalte zeigt.

    7. Klicken Sie auf Weiter.
    8. Geben Sie ein Suchkriterium ein (z. B. „Support“).
    9. Geben Sie einen Suchbegriff ein (z. B. „Hilfe“).

      Ergebnis: AdSync sucht nach diesem Begriff in den konfigurierten AD-Gruppen.

    10. Wählen Sie Ja im Bestätigungs-Pop-up-Fenster, um mit der Synchronisierung fortzufahren.
    11. Wenn die Installation erfolgreich war, klicken Sie auf Fertigstellen, und schließen Sie das Installationsprogramm.

      Ergebnis: Die Dienst-App wird als Windows-Dienst installiert, der dann Benutzer der gewählten Azure Active Directory-Gruppe(n) für die ausgewählten Rescue-Technikergruppe(n) bereitstellt.

      Einschränkung: Es ist nicht möglich, Techniker über den Active Directory-Synchronisationsdienst aus dem Rescue-Admin-Center zu löschen. Wenn ein Benutzer in Active Directory gelöscht oder verschoben wird, wird der betreffende Rescue-Techniker deaktiviert.
      Hinweis: Wenn ein Techniker in eine andere Rescue-Technikergruppe verschoben wird, wird bei der nächsten Synchronisation nur der Status des Benutzers aktualisiert, aber der Benutzer wird nicht in seine ursprüngliche Synchronisierungsgruppe zurückverschoben.
      Hinweis: Wenn ein Benutzer in Active Directory deaktiviert, gelöscht oder verschoben wird, wird die mobile Lizenz des Technikers freigegeben und für andere Mitglieder Ihrer Rescue-Organisation verfügbar gemacht.
      Tipp: Wenn der Synchronisierungsdienst fehlschlägt, können Sie ein Fehlerprotokoll abrufen, indem Sie auf der Registerkarte Globale Einstellungen im Administrationscenter unten im Abschnitt Active Directory Synchronization (Active-Directory-Synchronisation) auf Active Directory Logger (Active-Directory-Protokollierung) klicken.

Erstellen der Client-ID, eines Mandanten und des Client-Geheimnisses in Azure

  1. Melden Sie sich bei Microsoft Azure an.
  2. Wählen Sie Azure Active Directory aus.
  3. Klicken Sie im Menüband auf Hinzufügen und wählen Sie App-Registrierung aus.
  4. Geben Sie den Namen Ihrer Anwendung ein und klicken Sie auf Hinzufügen.
  5. Wählen Sie die Option Nur Konten in diesem Organisationsverzeichnis (Standardverzeichnis – Einzelmandant) unter Unterstützte Kontotypen aus.
  6. Notieren Sie Ihre Anwendungsclient-ID und Verzeichnis-ID (Mandant), da Sie diese später für AdSync benötigen.
  7. Wählen Sie Zertifikate und Geheimnisse in der linken Seitenleiste aus und klicken Sie auf die Option Neuer geheimer Clientschlüssel.
  8. Geben Sie die Beschreibung und den Ablauf des Client-Geheimnisses in das Dialogfeld Geheimen Clientschlüssel hinzufügen im oberen Teil des Bildschirms ein.
  9. Speichern Sie den Wert des Client-Geheimnisses.
  10. Wählen Sie in der linken Seitenleiste die API-Berechtigung aus, und klicken Sie auf die Option Berechtigung hinzufügen.
  11. Wählen Sie Microsoft Graph, und klicken Sie auf die Registerkarte Anwendungsberechtigungen.
  12. Scrollen Sie nach unten zu Benutzer und aktivieren Sie die Option User.Read.All.
  13. Scrollen Sie zu Gruppe, und aktivieren Sie die Option Group.Read.All.
  14. Scrollen Sie zu Verzeichnis und aktivieren Sie die Option Directory.Read.All.
  15. Klicken Sie auf Berechtigungen hinzufügen am unteren Rand der Seite.
  16. Klicken Sie auf Administratorzustimmung für Standardverzeichnis erteilen, und klicken Sie auf Ja, wenn Sie dazu aufgefordert werden.
  17. Schließen Sie das Microsoft Azure-Portal.

    Ergebnis: Die Client-ID, der Mandant und das Client-Geheimnis werden in AdSync ausgefüllt.