Tutorial: Konfigurieren von M-Files für die automatische Benutzerbereitstellung

In diesem Tutorial werden die Schritte beschrieben, die Sie sowohl in M-Files als auch in Microsoft Entra ID ausführen müssen, um die automatische Benutzerbereitstellung zu konfigurieren. Wenn diese Funktion konfiguriert ist, stellt Microsoft Entra ID über den Microsoft Entra-Bereitstellungsdienst automatisch Benutzer und Gruppen für M-Files bereit bzw. hebt die Bereitstellung auf. Wichtige Details zum Zweck und zur Funktionsweise dieses Diensts sowie häufig gestellte Fragen finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzer*innen für SaaS-Anwendungen mit Microsoft Entra ID.

Unterstützte Funktionen

• Erstellen von Benutzer in M-Files.
• Entfernen von Benutzern aus M-Files, wenn diese keinen Zugriff mehr benötigen.
• Benutzerattribute zwischen Microsoft Entra ID und M-Files synchronisiert halten.
• Bereitstellen von Gruppen und Gruppenmitgliedschaften in M-Files.
• SSO bei M-Files (empfohlen).

Voraussetzungen

Das diesem Tutorial zu Grunde liegende Szenario setzt voraus, dass Sie bereits über die folgenden Voraussetzungen verfügen:

• Ein Microsoft Entra-Mandant
• Eine der folgenden Rollen: Anwendungsadministrator, Cloudanwendungsadministrator oder Anwendungsbesitzer
• M-Files Cloud-Abonnement (Classic Cloud wird nicht unterstützt).
• Ein Benutzerkonto in M-Files mit dem Abonnementadministrator oder Access-Administratorzugriff auf die Verwaltung von M-Files.

Schritt 1: Planen der Bereitstellung

1. Erfahren Sie, wie der Bereitstellungsdienst funktioniert.
2. Bestimmen Sie, wer in den Bereitstellungsbereich einbezogen werden soll.
3. Legen Sie fest, welche Daten zwischen Microsoft Entra ID und M-Files zugeordnet werden sollen.
4. Die erforderlichen Zuordnungen sind vordefiniert, aber Sie können zwei zusätzliche Datenfelder M-Files zuordnen.

Schritt 2: Konfigurieren von M-Files, um die Bereitstellung mit Microsoft Entra ID zu unterstützen

Bevor Sie die Benutzerbereitstellung in M-Dateien einrichten, stellen Sie sicher, dass alle Tresore in Ihrem Abonnement die Benutzersynchronisierung im M-Files-Administrator deaktiviert haben.

Wenn Sie die Benutzerbereitstellung zuvor in M-Files Manage mit Ihrer eigenen Entra ID-Anwendung konfiguriert haben, können Sie die Konfiguration nicht ändern, um die M-Dateien-Anwendung aus dem Microsoft Entra-Anwendungskatalog zu verwenden. Wenn Sie stattdessen die Anwendung M-Files verwenden möchten, löschen Sie die vorhandene Konfiguration aus M-Files Manage und deaktivieren oder löschen Sie die zugehörige Anwendung Entra ID. Folgen Sie dann diesen Anweisungen, um die neue Konfiguration zu erstellen.

1. Melden Sie sich bei M-Files Manage unter https://manage.m-files.com an.
2. Klicken Sie in der linken Seitennavigation auf Bereitstellung.
3. Navigieren Sie zur RegisterkarteKonfiguration.
4. Klicken Sie in der Konfiguration zum Erstellen der Benutzerbereitstellungauf die Azure AD-Katalog-App.
5. Geben Sie die erforderlichen Informationen ein.
   • Geben Sie im Konfigurationsnameneinen eindeutigen Namen für die Konfiguration ein.
   • Wählen Sie den Standardlizenztyp für die bereitgestellten Benutzer aus. Alle bereitgestellten Benutzer erhalten zuerst diese Lizenz. Sie können den Lizenztyp einer Benutzergruppe auf einen höheren Lizenztyp ändern, nachdem die Benutzergruppen bereitgestellt wurden. Wenn nicht genügend Lizenzen des Standard-Lizenztyps im Abonnement verfügbar sind, erhalten nicht alle Benutzer die Lizenz.
6. Klicken Sie auf das Kopiersymbol ( ) für jede Datenmenge, die M-Files Manage erstellt, und notieren Sie sich die Werte.

Hinweis

Der geheime Clientschlüssel wird nicht an anderer Stelle angezeigt, wenn Sie das Dialogfeld schließen.

Schritt 3: Hinzufügen von M-Files aus dem Microsoft Entra-Anwendungskatalog

Fügen Sie M-Files aus dem Microsoft Entra-Anwendungskatalog hinzu, um mit der Verwaltung der Bereitstellung für M-Files zu beginnen. Wenn Sie M-Files zuvor für SSO eingerichtet haben, können Sie dieselbe Anwendung verwenden. Es ist jedoch empfehlenswert, beim erstmaligen Testen der Integration eine separate App zu erstellen. Hier erfahren Sie mehr über das Hinzufügen einer Anwendung aus dem Katalog.

Schritt 4: Definieren der Benutzer für den Bereitstellungsbereich

Mit dem Microsoft Entra-Bereitstellungsdienst können Sie anhand der Zuweisung zur Anwendung und/oder anhand von Attributen für Benutzer*innen bzw. die Gruppe festlegen, wer in die Bereitstellung einbezogen werden soll. Wenn Sie sich dafür entscheiden, anhand der Zuweisung festzulegen, wer für Ihre App bereitgestellt werden soll, können Sie der Anwendung mithilfe der folgenden Schritte Benutzer und Gruppen zuweisen. Wenn Sie allein anhand der Attribute des Benutzers oder der Gruppe auswählen möchten, wer bereitgestellt wird, können Sie einen hier beschriebenen Bereichsfilter verwenden.

• Fangen Sie klein an. Testen Sie die Bereitstellung mit einer kleinen Gruppe von Benutzern und Gruppen, bevor Sie sie für alle freigeben. Wenn der Bereitstellungsbereich auf zugewiesene Benutzer und Gruppen festgelegt ist, können Sie dies durch Zuweisen von einem oder zwei Benutzern oder Gruppen zur App kontrollieren. Ist der Bereich auf alle Benutzer*innen und Gruppen festgelegt, können Sie einen attributbasierten Bereichsfilter angeben.

• Wenn Sie weitere Rollen benötigen, können Sie das Anwendungsmanifest so ändern, dass neue Rollen hinzugefügt werden.

Schritt 5: Konfigurieren der automatischen Benutzerbereitstellung in M-Files

In diesem Abschnitt werden die Schritte zum Konfigurieren des Microsoft Entra-Bereitstellungsdiensts zum Erstellen, Aktualisieren und Deaktivieren von Benutzern*innen bzw. Gruppen in TestApp auf der Grundlage von Benutzer- oder Gruppenzuweisungen in Microsoft Entra ID erläutert.

So konfigurieren Sie die automatische Benutzerbereitstellung für M-Files in Microsoft Entra ID:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.

   

3. Wählen Sie in der Anwendungsliste M-Filesaus.

   

4. Wählen Sie die Registerkarte Bereitstellung.

   

5. Legen Sie den Bereitstellungsmodus auf Automatisch fest.

   

6. Geben Sie im Abschnitt Administratoranmeldeinformationen Ihre M-Files-Mandanten-URL, den Tokenendpunkt, den Clientbezeichner und den geheimen Clientschlüssel ein. Klicken Sie auf Verbindung testen, um sicherzustellen, dass Microsoft Entra ID eine Verbindung mit M-Files herstellen kann. Wenn die Verbindung fehlschlägt, stellen Sie sicher, dass die eingegebenen Werte korrekt sind, und versuchen Sie es erneut.

   

7. Geben Sie im Feld Benachrichtigungs-E-Mail die E-Mail-Adresse einer Person oder Gruppe ein, die Benachrichtigungen zu Bereitstellungsfehlern erhalten soll, und aktivieren Sie das Kontrollkästchen Bei Fehler E-Mail-Benachrichtigung senden.

   

8. Wählen Sie Speichern.

9. Optional: Wenn Sie zusätzliche Benutzerinformationen synchronisieren möchten, können Sie zwei zusätzliche Felder definieren, die mit M-Files Manage synchronisiert werden sollen. Die Informationen werden in Zusätzliche Informationen 1 und Zusätzliche Informationen 2 auf der Seite Benutzerinformationen angezeigt.

   1. Wählen Sie im Abschnitt Zuordnungen die Option Synchronisieren von Microsoft Entra-Benutzer mit M-Files aus.
   2. Klicken Sie im Abschnitt Attributzuordnung auf Neue Zuordnung hinzufügen.
   3. Verwenden Sie die folgenden Werte:
      • Zuordnungstyp: Direkt
      • Quell-Attribut: Geben Sie das Entra ID-Attribut ein
      • Zielattribute: Auswählen von urn:ietf:params:scim:schemas:extension:info:2.0:User:info1 oder urn:ietf:params:scim:schemas:extension:info:2.0:User:info2
      • Objekte mit diesem Attribut abgleichen: Nein
      • Diese Zuordnung anwenden: Immer
   4. Klicken Sie auf OK.
   5. Optional: Um zwei zusätzliche Datenfelder mit „M-Files Manage„“ zu synchronisieren, fügen Sie eine zweite Zuordnung mit dem anderen verfügbaren Zielattribute hinzu.

Hinweis

Es wird nicht empfohlen, Änderungen an den Standard-Attributzuordnungen vorzunehmen.

1. Wenn Sie Bereichsfilter konfigurieren möchten, lesen Sie die Anweisungen unter Attributbasierte Anwendungsbereitstellung mit Bereichsfiltern.

2. Um den Microsoft Entra-Bereitstellungsdienst für M-Files zu aktivieren, ändern Sie den Bereitstellungsstatus im Abschnitt Einstellungen in Ein.

   

3. Legen Sie die Benutzer und/oder Gruppen fest, die in M-Files bereitgestellt werden sollen, indem Sie im Abschnitt Einstellungen unter Bereich die gewünschten Werte auswählen.

   

4. Wenn Sie fertig sind, klicken Sie auf Speichern.

   

Durch diesen Vorgang wird der erstmalige Synchronisierungszyklus für alle Benutzer und Gruppen gestartet, die im Abschnitt Einstellungen unter Bereich definiert wurden. Der erste Zyklus dauert länger als nachfolgende Zyklen, die ungefähr alle 40 Minuten erfolgen, solange der Microsoft Entra-Bereitstellungsdienst ausgeführt wird.

Schritt 6: Überwachen der Bereitstellung

Nachdem Sie die Bereitstellung konfiguriert haben, können Sie mit den folgenden Ressourcen die Bereitstellung überwachen:

• Mithilfe der Bereitstellungsprotokolle können Sie ermitteln, welche Benutzer erfolgreich bzw. nicht erfolgreich bereitgestellt wurden.
• Anhand der Fortschrittsleiste können Sie den Status des Bereitstellungszyklus überprüfen und den Fortschritt der Bereitstellung verfolgen.
• Wenn sich die Bereitstellungskonfiguration in einem fehlerhaften Zustand zu befinden scheint, wird die Anwendung unter Quarantäne gestellt. Weitere Informationen zu den verschiedenen Quarantänestatus finden Sie hier.

Weitere Ressourcen

• Verwalten der Benutzerkontobereitstellung für Unternehmens-Apps
• Was ist Anwendungszugriff und SSO mit Microsoft Entra ID?.

Nächste Schritte

• Wenn die Benutzerbereitstellung abgeschlossen ist, erstellen Sie Verknüpfungen zwischen den bereitgestellten Benutzergruppen und M-Files-Benutzergruppen in „M-Files Verwalten“. Anweisungen finden Sie unter M-Files Manage – Benutzerhandbuch.
• Erfahren Sie, wie Sie Protokolle überprüfen und Berichte zu Bereitstellungsaktivitäten abrufen.