Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Schritte beschrieben, die Sie in G Suite und Microsoft Entra ID ausführen müssen, um die automatische Benutzerbereitstellung zu konfigurieren. Wenn diese Funktion konfiguriert ist, stellt Microsoft Entra ID über den Microsoft Entra-Bereitstellungsdienst automatisch Benutzer*innen und Gruppen für G Suite bereit bzw. hebt die Bereitstellung auf. Wichtige Details zum Zweck und zur Funktionsweise dieses Diensts sowie häufig gestellte Fragen finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzenden für SaaS-Anwendungen mit Microsoft Entra ID.
Hinweis
Dieser Artikel enthält die Beschreibung eines Connectors, der auf dem Benutzerbereitstellungsdienst von Microsoft Entra basiert. Wichtige Details zum Zweck und zur Funktionsweise dieses Diensts sowie häufig gestellte Fragen finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzenden für SaaS-Anwendungen mit Microsoft Entra ID.
Unterstützte Funktionen
- Erstellen von Benutzern in G Suite
- Entfernen sie Benutzer in G Suite, wenn sie keinen Zugriff mehr benötigen (Hinweis: Das Entfernen eines Benutzers aus dem Synchronisierungsbereich führt nicht zum Löschen des Objekts in GSuite).
- Synchronisieren Sie Benutzerattribute zwischen Microsoft Entra ID und G Suite
- Bereitstellen von Gruppen und Gruppenmitgliedschaften in G Suite
- Einmaliges Anmelden bei G Suite (empfohlen)
Voraussetzungen
In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:
- Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
- Eine der folgenden Rollen:
- Einen G Suite-Mandanten
- Ein Benutzerkonto in G Suite mit Administratorberechtigungen.
Schritt 1: Planen der Bereitstellung
- Erfahren Sie, wie der Bereitstellungsdienst funktioniert.
- Definieren Sie den Geltungsbereich für die Bereitstellung.
- Legen Sie fest, welche Daten zwischen Microsoft Entra ID und G Suite zugeordnet werden sollen.
Schritt 2: Konfigurieren von G Suite zur Unterstützung der Bereitstellung mit Microsoft Entra ID
Bevor Sie G Suite für die automatische Benutzerbereitstellung mit Microsoft Entra ID konfigurieren, müssen Sie in G Suite die SCIM-Bereitstellung aktivieren.
Melden Sie sich mit Ihrem Administratorkonto bei der G Suite Admin-Konsole an, wählen Sie dann das Hauptmenü und dann "Sicherheit" aus. Sollte die Option nicht zu sehen sein, befindet sie sich möglicherweise unter dem Menü Show More (Mehr anzeigen).
Navigieren Sie zu Sicherheit –> Zugriff und Datensteuerung –> API-Steuerelemente . Aktivieren Sie das Kontrollkästchen "Interne, domäneneigene Apps vertrauen", und wählen Sie dann "SPEICHERN" aus.
Wichtig
Für jeden Benutzer, den Sie für G Suite bereitstellen möchten, muss der Benutzername in Microsoft Entra ID an eine benutzerdefinierte Domäne gebunden werden. Benutzernamen, die wie bob@contoso.onmicrosoft.com aussehen, werden von G Suite nicht akzeptiert. bob@contoso.com ist hingegen zulässig. Sie können die Domäne eines vorhandenen Benutzers ändern, indem Sie die hier zu findenden Anleitungen befolgen.
Nachdem Sie Ihre gewünschten benutzerdefinierten Domänen mit Microsoft Entra ID hinzugefügt und überprüft haben, müssen Sie sie erneut mit G Suite überprüfen. Zum Überprüfen von Domänen in G Suite verwenden Sie die folgenden Schritte:
Navigieren Sie in der G Suite-Verwaltungskonsole zu Account > Domains > Manage Domains (Konto > Domänen > Domänen verwalten).
Wählen Sie auf der Seite "Domäne verwalten" die Option "Domäne hinzufügen" aus.
Geben Sie auf der Seite „Add Domain“ (Domäne hinzufügen) den Namen der Domäne ein, die Sie hinzufügen möchten.
Wählen Sie ADD DOMAIN & START VERIFICATION (Domäne hinzufügen > Überprüfung starten) aus. Führen Sie dann die Schritte aus, mit denen Sie prüfen, ob Sie den Domänennamen besitzen. Umfassende Anweisungen zum Überprüfen Ihrer Domäne mit Google finden Sie unter Überprüfen des Websitebesitzrechts.
Wiederholen Sie die obigen Schritte für alle weiteren Domänen, die Sie G Suite hinzufügen möchten.
Bestimmen Sie als Nächstes, welches Administratorkonto Sie zum Verwalten der Benutzerbereitstellung in G Suite verwenden möchten. Navigieren Sie zu Konto –>Administratorrollen.
Bearbeiten Sie für die Administratorrolle des Kontos die Berechtigungen für diese Rolle. Aktivieren Sie alle Admin-API-Berechtigungen, damit dieses Konto für die Bereitstellung verwendet werden kann.
Schritt 3: Hinzufügen von G Suite aus dem Microsoft Entra-Anwendungskatalog
Fügen Sie G Suite aus dem Microsoft Entra-Anwendungskatalog hinzu, um mit dem Verwalten der Bereitstellung in G Suite zu beginnen. Wenn Sie G Suite zuvor für einmaliges Anmelden (Single Sign-On, SSO) eingerichtet haben, können Sie dieselbe Anwendung verwenden. Es wird jedoch empfohlen, beim anfänglichen Testen der Integration eine separate App zu erstellen. Hier erfahren Sie mehr über das Hinzufügen einer Anwendung aus dem Katalog.
Schritt 4: Definieren, wer in die Bereitstellung einbezogen werden soll
Mit dem Microsoft Entra-Bereitstellungsdienst können Sie festlegen, wer basierend auf der Zuweisung zur Anwendung oder basierend auf Attributen des Benutzers oder der Gruppe bereitgestellt wird. Wenn Sie sich dazu entscheiden, den Kreis der Benutzer und Gruppen, die Ihrer App basierend auf der Zuweisung zugeordnet werden, zu bestimmen, können Sie die Schritte zum Zuweisen von Benutzern und Gruppen zur Anwendung verwenden. Wenn Sie festlegen möchten, für wen die Bereitstellungen ausschließlich basierend auf den Attributen des Benutzers oder der Gruppe erfolgen, können Sie einen Bereichsfilter verwenden.
Fangen Sie klein an. Testen Sie die Bereitstellung mit einer kleinen Gruppe von Benutzern und Gruppen, bevor Sie sie für alle freigeben. Wenn der Bereitstellungsbereich auf zugewiesene Benutzer und Gruppen festgelegt ist, können Sie dies durch Zuweisen von einem oder zwei Benutzern oder Gruppen zur App kontrollieren. Ist der Bereich auf alle Benutzende und Gruppen festgelegt, können Sie einen attributbasierten Bereichsfilter angeben.
Wenn Sie zusätzliche Rollen benötigen, können Sie das Anwendungsmanifest aktualisieren, um neue Rollen hinzuzufügen.
Schritt 5: Konfigurieren der automatischen Benutzerbereitstellung in G Suite
In diesem Abschnitt werden die Schritte zum Konfigurieren des Microsoft Entra-Bereitstellungsdiensts zum Erstellen, Aktualisieren und Deaktivieren von Benutzer*innen bzw. Gruppen in TestApp auf der Grundlage von Benutzer- oder Gruppenzuweisungen in Microsoft Entra ID erläutert.
Hinweis
Weitere Informationen zum Directory-API-Endpunkt von G Suite finden Sie in der Referenzdokumentation zur Directory-API.
So konfigurieren Sie die automatische Benutzerbereitstellung für G Suite in Microsoft Entra ID:
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
Navigieren Sie zu Entra ID>Enterprise-Apps.
Wählen Sie in der Anwendungsliste den Eintrag G Suite aus.
Wählen Sie die Registerkarte "Bereitstellung" aus . Wählen Sie "Erste Schritte" aus.
Legen Sie den Bereitstellungsmodus auf Automatisch fest.
Wählen Sie im Abschnitt "Administratoranmeldeinformationen" die Option "Autorisieren" aus. Sie werden in einem neuen Browserfenster zu einem Google-Autorisierungsdialogfeld umgeleitet.
Bestätigen Sie, dass Sie Microsoft Entra die Berechtigungen erteilen möchten, Änderungen an Ihrem G Suite-Mandanten vorzunehmen. Wählen Sie Annehmen aus.
Wählen Sie Verbindung testen aus, um sicherzustellen, dass Microsoft Entra ID eine Verbindung mit G Suite herstellen kann. Vergewissern Sie sich im Falle eines Verbindungsfehlers, dass Ihr G Suite-Konto über Administratorberechtigungen verfügt, und wiederholen Sie den Vorgang. Führen Sie dann erneut den Schritt Autorisieren aus.
Geben Sie im Feld Benachrichtigungs-E-Mail die E-Mail-Adresse einer Person oder Gruppe ein, die Benachrichtigungen zu Bereitstellungsfehlern erhalten soll, und aktivieren Sie das Kontrollkästchen Bei Fehler E-Mail-Benachrichtigung senden.
Wählen Sie Speichern aus.
Wählen Sie im Abschnitt Zuordnungen die Option Microsoft Entra-Benutzer bereitstellen aus.
Überprüfen Sie im Abschnitt Attributzuordnungen die Benutzerattribute, die von Microsoft Entra ID mit G Suite synchronisiert werden. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.
Hinweis
GSuite-Bereitstellung unterstützt derzeit nur die Verwendung von primaryEmail als übereinstimmende Attribut.
| Attribut | Typ |
|---|---|
| primäre E-Mail-Adresse | Schnur |
| relations.[type eq "manager"].value | Schnur |
| name.familyName | Schnur |
| name.givenName | Schnur |
| Angehalten | Schnur |
| externalIds.[type eq "custom"].value | Schnur |
| externalIds.[type eq "organization"].value | Schnur |
| addresses.[type eq "work"].country | Schnur |
| addresses.[type eq "work"].streetAddress | Schnur |
| addresses.[type eq "work"].region | Schnur |
| addresses.[type eq "work"].locality | Schnur |
| addresses.[type eq "work"].postalCode | Schnur |
| emails.[type eq "work"].address | Schnur |
| organizations.[type eq "work"].department | Schnur |
| organizations.[type eq "work"].title | Schnur |
| phoneNumbers.[type eq "work"].value | Schnur |
| phoneNumbers.[type eq "mobile"].value | Schnur |
| phoneNumbers.[type eq "work_fax"].value | Schnur |
| emails.[type eq "work"].address | Schnur |
| organizations.[type eq "work"].department | Schnur |
| organizations.[type eq "work"].title | Schnur |
| Adressen.[Typ gleich "Zuhause"].Land | Schnur |
| addresses.[type eq "home"].formatted | Schnur |
| addresses.[type eq "home"].locality | Schnur |
| Adressen.[typ eq "Wohnung"].Postleitzahl | Schnur |
| addresses.[type eq "home"].region | Schnur |
| addresses.[type eq "home"].streetAddress | Schnur |
| addresses.[type eq "other"].country | Schnur |
| addresses.[type eq "other"].formatted | Schnur |
| addresses.[type eq "other"].locality | Schnur |
| addresses.[type eq "other"].postalCode | Schnur |
| addresses.[type eq "other"].region | Schnur |
| addresses.[type eq "other"].streetAddress | Schnur |
| addresses.[type eq "work"].formatted | Schnur |
| Passwort beim nächsten Login ändern | Schnur |
| emails.[type eq "home"].address | Schnur |
| emails.[type eq "other"].address | Schnur |
| externalIds.[type eq "account"].value | Schnur |
| externalIds.[type eq "custom"].customType | Schnur |
| externalIds.[type eq "customer"].value | Schnur |
| externalIds.[type eq "login_id"].value | Schnur |
| externalIds.[type eq "network"].value | Schnur |
| gender.type | Schnur |
| GeneratedImmutableId | Schnur |
| Bezeichner | Schnur |
| ims.[type eq "home"].protocol | Schnur |
| ims.[type eq "other"].protocol | Schnur |
| ims.[type eq "work"].protocol | Schnur |
| includeInGlobalAddressList | Schnur |
| ipWhitelisted | Schnur |
| organizations.[type eq "school"].costCenter | Schnur |
| organizations.[type eq "school"].department | Schnur |
| organizations.[type eq "school"].domain | Schnur |
| organizations.[type eq "school"].fullTimeEquivalent | Schnur |
| organizations.[type eq "school"].location | Schnur |
| organizations.[type eq "school"].name | Schnur |
| organizations.[type eq "school"].symbol | Schnur |
| organizations.[type eq "school"].title | Schnur |
| organizations.[type eq "work"].costCenter | Schnur |
| organizations.[type eq "work"].domain | Schnur |
| organizations.[type eq "work"].fullTimeEquivalent | Schnur |
| organizations.[type eq "work"].location | Schnur |
| organizations.[type eq "work"].name | Schnur |
| organizations.[type eq "work"].symbol | Schnur |
| OrgUnitPath | Schnur |
| phoneNumbers.[type eq "home"].value | Schnur |
| phoneNumbers.[type eq "other"].value | Schnur |
| websites.[type eq "home"].value | Schnur |
| websites.[type eq "other"].value | Schnur |
| websites.[type eq "work"].value | Schnur |
Wählen Sie im Abschnitt Zuordnungen die Option Microsoft Entra-Gruppen bereitstellen aus.
Überprüfen Sie im Abschnitt Attributzuordnungen die Gruppenattribute, die von Microsoft Entra ID mit G Suite synchronisiert werden. Die als übereinstimmende Eigenschaften ausgewählten Attribute werden verwendet, um die Gruppen in G Suite für Updatevorgänge abzugleichen. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.
Attribut Typ E-Mail Schnur Members Schnur name Schnur Beschreibung Schnur Informationen zum Konfigurieren von Bereichsfiltern finden Sie in den folgenden Anweisungen im Bereichsfilterartikel.
Um den Microsoft Entra-Bereitstellungsdienst für G Suite zu aktivieren, ändern Sie den Bereitstellungsstatus im Abschnitt Einstellungen zu Ein.
Legen Sie die Benutzer und/oder Gruppen fest, die in G Suite bereitgestellt werden sollen. Wählen Sie dazu im Abschnitt Einstellungen unter Bereich die gewünschten Werte aus.
Wenn Sie zur Bereitstellung bereit sind, wählen Sie „Speichern“ aus.
Durch diesen Vorgang wird der erstmalige Synchronisierungszyklus für alle Benutzer und Gruppen gestartet, die im Abschnitt Einstellungen unter Bereich definiert wurden. Der erste Zyklus dauert länger als nachfolgende Zyklen, die ungefähr alle 40 Minuten erfolgen, solange der Microsoft Entra-Bereitstellungsdienst ausgeführt wird.
Hinweis
Wenn die Benutzer bereits über ein persönliches/Verbraucherkonto verfügen, das die E-Mail-Adresse des Microsoft Entra-Benutzers verwendet, kann es zu einem Problem kommen, das mithilfe des Google Transfer-Tools behoben werden könnte, bevor die Verzeichnissynchronisierung durchgeführt wird.
Schritt 6: Überwachen der Bereitstellung
Wenn Sie die Bereitstellung konfiguriert haben, können Sie mit den folgenden Ressourcen die Bereitstellung überwachen:
- Verwenden Sie die Bereitstellungsprotokolle , um zu ermitteln, welche Benutzer erfolgreich oder erfolglos bereitgestellt werden.
- Anhand der Fortschrittsleiste können Sie den Status des Bereitstellungszyklus überprüfen und den Fortschritt der Bereitstellung verfolgen
- Wenn sich die Bereitstellungskonfiguration in einem fehlerhaften Zustand zu befinden scheint, wird die Anwendung unter Quarantäne gestellt. Weitere Informationen zum Quarantänestatus finden Sie im Artikel über den Anwendungsbereitstellungs-Quarantänestatus.
Tipps zur Problembehandlung
- Wenn Sie einen Benutzer aus dem Synchronisierungsbereich entfernen, wird er in G Suite deaktiviert. Dies führt jedoch nicht zum Löschen des Benutzers in G Suite.
Just-In-Time-Anwendungszugriff (JIT) mit PIM für Gruppen
Mit PIM für Gruppen können Sie Just-in-Time-Zugriff auf Gruppen in Google Cloud/Google Workspace bereitstellen und die Anzahl der Benutzer reduzieren, die dauerhaften Zugriff auf privilegierte Gruppen in Google Cloud/Google Workspace haben.
Konfigurieren Ihrer Unternehmensanwendung für einmaliges Anmelden (SSO) und Bereitstellung
- Fügen Sie Ihrem Mandanten Google Cloud / Google Workspace hinzu, konfigurieren Sie sie für die Bereitstellung, wie in diesem Artikel beschrieben, und starten Sie die Bereitstellung.
- Konfigurieren Sie das einmalige Anmelden für Google Cloud/Google Workspace.
- Erstellen Sie eine Gruppe, die allen Benutzern Zugriff auf die Anwendung bereitstellt.
- Weisen Sie die Gruppe der Google Cloud/Google Workspace-Anwendung zu.
- Weisen Sie Ihren Testbenutzer als direktes Mitglied der Gruppe zu, die im vorherigen Schritt erstellt wurde, oder gewähren Sie ihm über ein Zugriffspaket Zugriff auf die Gruppe. Diese Gruppe kann für den dauerhaften, Nicht-Administrator-Zugriff in Google Cloud/Google Workspace verwendet werden.
Aktivieren von PIM für Gruppen
- Erstellen Sie eine zweite Gruppe in Microsoft Entra ID. Diese Gruppe bietet Zugriff auf Administratorberechtigungen in Google Cloud/Google Workspace.
- Unterwerfen Sie die Gruppe der Verwaltung in Microsoft Entra PIM.
- Weisen Sie Ihre Testbenutzerin als berechtigt für die Gruppe in PIM zu, wobei die Rolle auf „Mitglied“ festgelegt ist.
- Weisen Sie die zweite Gruppe der Google Cloud/Google Workspace-Anwendung zu.
- Verwenden Sie die Bedarfsbereitstellung, um die Gruppe in Google Cloud/Google Workspace zu erstellen.
- Melden Sie sich bei Google Cloud/Google Workspace an, und weisen Sie der zweiten Gruppe die erforderlichen Berechtigungen zum Ausführen von Administratoraufgaben zu.
Jetzt kann jeder Endbenutzer, der für die Gruppe in PIM berechtigt wurde, JIT-Zugriff auf die Gruppe in Google Cloud/Google Workspace erhalten, indem seine Gruppenmitgliedschaft aktiviert wird. Wenn ihre Zuweisung abläuft, wird der Benutzer aus der Gruppe in Google Cloud / Google Workspace entfernt. Während des nächsten inkrementellen Zyklus versucht der Bereitstellungsdienst erneut, den Benutzer aus der Gruppe zu entfernen. Dies kann zu einem Fehler in den Bereitstellungsprotokollen führen. Dieser Fehler wird erwartet, da die Mitgliedschaft in der Gruppe bereits entfernt wurde. Die Fehlermeldung kann ignoriert werden.
- Wie lange dauert es, bis ein Benutzer in der Anwendung bereitgestellt wird?
- Wenn ein Benutzer einer Gruppe in Microsoft Entra ID hinzugefügt wird, ohne dass seine Gruppenmitgliedschaft mithilfe von Microsoft Entra ID Privileged Identity Management (PIM) aktiviert wird:
- Die Gruppenmitgliedschaft wird während des nächsten Synchronisierungszyklus in der Anwendung bereitgestellt. Der Synchronisierungszyklus wird alle 40 Minuten ausgeführt.
- Wenn ein Benutzer seine Gruppenmitgliedschaft in Microsoft Entra ID PIM aktiviert:
- Die Gruppenmitgliedschaft wird innerhalb von 2 bis 10 Minuten bereitgestellt. Bei einer hohen Anzahl von gleichzeitigen Anforderungen werden Anforderungen auf fünf Anforderungen pro zehn Sekunden gedrosselt.
- Für die ersten fünf Benutzer, die innerhalb eines Zeitraums von zehn Sekunden ihre Gruppenmitgliedschaft für eine bestimmte Anwendung aktivieren, wird die Gruppenmitgliedschaft innerhalb von zwei bis zehn Minuten in der Anwendung bereitgestellt.
- Für den sechsten benutzer und darüber hinaus innerhalb einer 10-Sekunden-Periode, die seine Gruppenmitgliedschaft für eine bestimmte Anwendung aktiviert, wird die Gruppenmitgliedschaft im nächsten Synchronisierungszyklus für die Anwendung bereitgestellt. Der Synchronisierungszyklus wird alle 40 Minuten ausgeführt. Die Grenzwerte für die Drosselung gelten pro Unternehmensanwendung.
- Wenn ein Benutzer einer Gruppe in Microsoft Entra ID hinzugefügt wird, ohne dass seine Gruppenmitgliedschaft mithilfe von Microsoft Entra ID Privileged Identity Management (PIM) aktiviert wird:
- Wenn der Benutzer nicht auf die erforderliche Gruppe in Google Cloud/Google Workspace zugreifen kann, lesen Sie die PIM-Protokolle und Bereitstellungsprotokolle, um sicherzustellen, dass die Gruppenmitgliedschaft erfolgreich aktualisiert wurde. Je nachdem, wie die Zielanwendung erstellt wird, dauert es möglicherweise mehr Zeit, bis die Gruppenmitgliedschaft in der Anwendung wirksam wird.
- Sie können Warnungen für Fehler mithilfe von Azure Monitor erstellen.
Änderungsprotokoll
- 17.10.2020: Unterstützung für weitere G Suite-Benutzerattribute und -Gruppenattribute hinzugefügt.
- 17.10.2020: Die Namen der G Suite-Zielattribute wurden so aktualisiert, dass sie den hier definierten Angaben entsprechen.
- 17.10.2020: Standardattributzuordnungen aktualisiert
Weitere Ressourcen
- Verwalten der Benutzerkontobereitstellung für Unternehmens-Apps
- Was ist Anwendungszugriff und einmaliges Anmelden mit Microsoft Entra ID?