Zelfstudie: G Suite configureren voor automatische inrichting van gebruikers
In deze zelfstudie worden de stappen beschreven die u moet uitvoeren in zowel G Suite als Microsoft Entra ID voor het configureren van automatische inrichting van gebruikers. Wanneer microsoft Entra ID is geconfigureerd, worden gebruikers en groepen automatisch ingericht en ongedaan gemaakt voor G Suite met behulp van de Microsoft Entra-inrichtingsservice. Voor belangrijke informatie over wat deze service doet, hoe deze werkt en veelgestelde vragen, raadpleegt u Automate user provisioning and deprovisioning to SaaS applications with Microsoft Entra ID.
Notitie
In deze zelfstudie wordt een connector beschreven die is gebouwd op de Microsoft Entra user Provisioning Service. Voor belangrijke informatie over wat deze service doet, hoe deze werkt en veelgestelde vragen, raadpleegt u Automate user provisioning and deprovisioning to SaaS applications with Microsoft Entra ID.
Ondersteunde mogelijkheden
- Gebruikers maken in G Suite
- Gebruikers verwijderen in G Suite wanneer ze geen toegang meer nodig hebben (opmerking: het verwijderen van een gebruiker uit het synchronisatiebereik leidt er niet toe dat het object in GSuite wordt verwijderd)
- Gebruikerskenmerken gesynchroniseerd houden tussen Microsoft Entra ID en G Suite
- Groepen en groepslidmaatschappen inrichten in G Suite
- Eenmalige aanmelding bij G Suite (aanbevolen)
Vereisten
In het scenario dat in deze zelfstudie wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:
- Een Microsoft Entra-tenant
- Een van de volgende rollen: Toepassingsbeheerder, Cloudtoepassingsbeheerder of Toepassingseigenaar.
- Een G Suite-tenant
- Een gebruikersaccount op een G Suite met beheerdersmachtigingen.
Stap 1: De implementatie van uw inrichting plannen
- Lees hoe de inrichtingsservice werkt.
- Bepaal wie binnen het bereik van inrichting valt.
- Bepaal welke gegevens moeten worden toegewezen tussen Microsoft Entra ID en G Suite.
Stap 2: G Suite configureren ter ondersteuning van inrichting met Microsoft Entra-id
Voordat u G Suite configureert voor automatische inrichting van gebruikers met Microsoft Entra ID, moet u SCIM-inrichting inschakelen voor G Suite.
Meld u aan bij de beheerconsole van G Suite met uw beheerdersaccount en klik vervolgens op Hoofdmenu en selecteer Beveiliging. Als u het niet ziet, is het misschien verborgen onder het menu Meer weergeven.
Ga naar Beveiliging -> Toegangs- en gegevensbeheer -> API-besturingselementen. Vink het selectievakje Interne, domeineigen apps vertrouwen aan en klik vervolgens op OPSLAAN
Belangrijk
Voor elke gebruiker die u wilt inrichten voor G Suite, moet de gebruikersnaam in Microsoft Entra-id zijn gekoppeld aan een aangepast domein. Bijvoorbeeld: gebruikersnamen die eruitzien als bob@contoso.onmicrosoft.com worden niet geaccepteerd door G Suite. bob@contoso.com wordt daarentegen geaccepteerd. U kunt een bestaand gebruikersdomein wijzigen door de instructies hier te volgen.
Nadat u uw gewenste aangepaste domeinen hebt toegevoegd en geverifieerd met Microsoft Entra ID, moet u deze opnieuw verifiëren met G Suite. Raadpleeg de volgende stappen om domeinen in G Suite te verifiëren:
Ga in de beheerconsole van G Suite naar Account -> Domeinen -> Domeinen beheren.
Klik op de pagina Domein beheren op Een domein toevoegen.
Type op de pagina Domein toevoegen de naam van het domein dat u wilt toevoegen.
Selecteer DOMEIN TOEVOEGEN en VERIFICATIE STARTEN. Volg vervolgens de stappen om te controleren of u eigenaar bent van de domeinnaam. Zie Uw site-eigendom verifiëren voor uitgebreide instructies voor het verifiëren van uw domein met Google.
Herhaal de voorgaande stappen voor domeinen die u wilt toevoegen aan G Suite.
Bepaal vervolgens welk beheerdersaccount u wilt gebruiken voor het beheren van gebruikersinrichting in G Suite. Ga naar Account->Beheerderrollen.
Voor de Beheerdersrol van dat account bewerkt u de Bevoegdheden voor die rol. Zorg ervoor dat alle Beheer-API-bevoegdheden zijn ingeschakeld zodat dit account kan worden gebruikt voor het inrichten.
Stap 3: G Suite toevoegen vanuit de Microsoft Entra-toepassingsgalerie
Voeg G Suite toe vanuit de galerie met Microsoft Entra-toepassingen om te beginnen met het inrichten voor G Suite. Als u G Suite eerder hebt ingesteld voor eenmalige aanmelding, kunt u dezelfde toepassing gebruiken. Het is echter raadzaam een afzonderlijke app te maken wanneer u de integratie voor het eerst test. Klik hier voor meer informatie over het toevoegen van een toepassing uit de galerie.
Stap 4: Definiëren wie binnen het bereik van inrichting valt
Met de Microsoft Entra-inrichtingsservice kunt u bepalen wie is ingericht op basis van toewijzing aan de toepassing en of op basis van kenmerken van de gebruiker/groep. Als u ervoor kiest om te bepalen wie voor uw app is ingericht op basis van toewijzing, kunt u de volgende stappen gebruiken om gebruikers en groepen toe te wijzen aan de toepassing. Als u ervoor kiest om te bepalen wie alleen is ingericht op basis van kenmerken van de gebruiker of groep, kunt u een bereikfilter gebruiken, zoals hier wordt beschreven.
Begin klein. Test de toepassing met een kleine set gebruikers en groepen voordat u de toepassing naar iedereen uitrolt. Wanneer het bereik voor inrichting is ingesteld op toegewezen gebruikers en groepen, kunt u dit beheren door een of twee gebruikers of groepen aan de app toe te wijzen. Wanneer het bereik is ingesteld op alle gebruikers en groepen, kunt u een bereikfilter op basis van kenmerken opgeven.
Als u meer rollen nodig hebt, kunt u het toepassingsmanifest bijwerken om nieuwe rollen toe te voegen.
Stap 5: Automatische inrichting van gebruikers configureren voor G Suite
In deze sectie wordt u begeleid bij de stappen voor het configureren van de Microsoft Entra-inrichtingsservice om gebruikers en/of groepen in TestApp te maken, bij te werken en uit te schakelen op basis van gebruikers- en/of groepstoewijzingen in Microsoft Entra-id.
Notitie
Voor meer informatie over het map-API-eindpunt van G Suite, zie de Referentiedocumentatie map-API.
Automatische gebruikersinrichting configureren voor G Suite in Microsoft Entra-id:
Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>.
Selecteer G Suite in de lijst met toepassingen.
Selecteer het tabblad Inrichten. Klik op Aan de slag.
Stel Inrichtingsmodus in op Automatisch.
Klik onder de sectie Referenties voor beheerder op Autoriseren. U wordt omgeleid naar een dialoogvenster voor Google-autorisatie in een nieuw browservenster.
Bevestig dat u Microsoft Entra-machtigingen wilt geven om wijzigingen aan te brengen in uw G Suite-tenant. Selecteer Accepteren.
Selecteer Verbinding testen om te controleren of Microsoft Entra ID verbinding kan maken met G Suite. Als de verbinding mislukt, moet u controleren of uw G Suite-account beheerdersmachtigingen heeft. Probeer het daarna opnieuw. Probeer daarna opnieuw de stap Autoriseren.
Voer in het veld E-mailadres voor meldingen het e-mailadres in van een persoon of groep die de inrichtingsfoutmeldingen zou moeten ontvangen en schakel het selectievakje Een e-mailmelding verzenden als een fout optreedt in.
Selecteer Opslaan.
Selecteer In de sectie Toewijzingen de optie Microsoft Entra-gebruikers inrichten.
Controleer in de sectie Kenmerktoewijzing de gebruikerskenmerken die vanuit Microsoft Entra-id met G Suite worden gesynchroniseerd. Selecteer de knop Opslaan om eventuele wijzigingen door te voeren.
Notitie
GSuite-inrichting ondersteunt momenteel alleen het gebruik van primaryEmail als het overeenkomende kenmerk.
| Kenmerk | Type |
|---|---|
| primaryEmail | String |
| relations.[type eq "manager"].value | String |
| name.familyName | String |
| name.givenName | String |
| onderbroken | String |
| externalIds.[type eq "custom"].value | String |
| externalIds.[type eq "organization"].value | String |
| addresses.[type eq "work"].country | String |
| addresses.[type eq "work"].streetAddress | String |
| addresses.[type eq "work"].region | String |
| addresses.[type eq "work"].locality | String |
| addresses.[type eq "work"].postalCode | String |
| emails.[type eq "work"].address | String |
| organizations.[type eq "work"].department | String |
| organizations.[type eq "work"].title | String |
| phoneNumbers.[type eq "work"].value | String |
| phoneNumbers.[type eq "mobile"].value | String |
| phoneNumbers.[type eq "work_fax"].value | String |
| emails.[type eq "work"].address | String |
| organizations.[type eq "work"].department | String |
| organizations.[type eq "work"].title | String |
| addresses.[type eq "home"].country | String |
| addresses.[type eq "home"].formatted | String |
| addresses.[type eq "home"].locality | String |
| addresses.[type eq "home"].postalCode | String |
| addresses.[type eq "home"].region | String |
| addresses.[type eq "home"].streetAddress | String |
| addresses.[type eq "other"].country | String |
| addresses.[type eq "other"].formatted | String |
| addresses.[type eq "other"].locality | String |
| addresses.[type eq "other"].postalCode | String |
| addresses.[type eq "other"].region | String |
| addresses.[type eq "other"].streetAddress | String |
| addresses.[type eq "work"].formatted | String |
| changePasswordAtNextLogin | String |
| emails.[type eq "home"].address | String |
| emails.[type eq "other"].address | String |
| externalIds.[type eq "account"].value | String |
| externalIds.[type eq "custom"].customType | String |
| externalIds.[type eq "customer"].value | String |
| externalIds.[type eq "login_id"].value | String |
| externalIds.[type eq "network"].value | String |
| gender.type | String |
| GeneratedImmutableId | String |
| Identificatie | String |
| ims.[type eq "home"].protocol | String |
| ims.[type eq "other"].protocol | String |
| ims.[type eq "work"].protocol | String |
| includeInGlobalAddressList | String |
| ipWhitelisted | String |
| organizations.[type eq "school"].costCenter | String |
| organizations.[type eq "school"].department | String |
| organizations.[type eq "school"].domain | String |
| organizations.[type eq "school"].fullTimeEquivalent | String |
| organizations.[type eq "school"].location | String |
| organizations.[type eq "school"].name | String |
| organizations.[type eq "school"].symbol | String |
| organizations.[type eq "school"].title | String |
| organizations.[type eq "work"].costCenter | String |
| organizations.[type eq "work"].domain | String |
| organizations.[type eq "work"].fullTimeEquivalent | String |
| organizations.[type eq "work"].location | String |
| organizations.[type eq "work"].name | String |
| organizations.[type eq "work"].symbol | String |
| OrgUnitPath | String |
| phoneNumbers.[type eq "home"].value | String |
| phoneNumbers.[type eq "other"].value | String |
| websites.[type eq "home"].value | String |
| websites.[type eq "other"].value | String |
| websites.[type eq "work"].value | String |
Selecteer In de sectie Toewijzingen de optie Microsoft Entra-groepen inrichten.
Controleer in de sectie Kenmerktoewijzing de groepskenmerken die vanuit Microsoft Entra-id met G Suite worden gesynchroniseerd. De kenmerken die als overeenkomende eigenschappen zijn geselecteerd, worden gebruikt om de groepen in G Suite te vinden voor updatebewerkingen. Selecteer de knop Opslaan om eventuele wijzigingen door te voeren.
Kenmerk Type e-mail String Leden String naam String beschrijving String Als u bereikfilters wilt configureren, raadpleegt u de volgende instructies in de zelfstudie Bereikfilter.
Als u de Microsoft Entra-inrichtingsservice voor G Suite wilt inschakelen, wijzigt u de inrichtingsstatus in Aan in de sectie Instellingen.
Definieer de gebruikers en/of groepen die u aan G Suite wilt toevoegen door de gewenste waarden te kiezen in Bereik in de sectie Instellingen te kiezen.
Wanneer u klaar bent om in te richten, klikt u op Opslaan.
Met deze bewerking wordt de eerste synchronisatiecyclus gestart van alle gebruikers en groepen die zijn gedefinieerd onder Bereik in de sectie Instellingen. De eerste cyclus duurt langer dan volgende cycli, die ongeveer om de 40 minuten plaatsvinden zolang de Microsoft Entra-inrichtingsservice wordt uitgevoerd.
Notitie
Als de gebruikers al een bestaand persoonlijk/consumentenaccount hebben met behulp van het e-mailadres van de Microsoft Entra-gebruiker, kan dit een probleem veroorzaken dat kan worden opgelost met behulp van het Google Transfer Tool voordat de adreslijstsynchronisatie wordt uitgevoerd.
Stap 6: Uw implementatie controleren
Zodra u de inrichting hebt geconfigureerd, gebruikt u de volgende resources om uw implementatie te bewaken:
- Gebruik de inrichtingslogboeken om te bepalen welke gebruikers al dan niet met succes zijn ingericht
- Bekijk op de voortgangsbalk de status van de inrichtingscyclus om te zien of deze al bijna is voltooid
- Als het configureren van de inrichting een foutieve status lijkt te hebben, wordt de toepassing in quarantaine geplaatst. Klik hier voor meer informatie over quarantainestatussen.
Tips voor probleemoplossing
- Als u een gebruiker uit het synchronisatiebereik verwijdert, worden deze uitgeschakeld in GSuite, maar leidt dit niet tot verwijdering van de gebruiker in G Suite
Just-In-Time -toepassingstoegang (JIT) met PIM voor groepen
Met PIM voor groepen kunt u Just-In-Time toegang bieden tot groepen in Google Cloud/Google Workspace en het aantal gebruikers beperken dat permanente toegang heeft tot bevoorrechte groepen in Google Cloud/Google Workspace.
Uw bedrijfstoepassing configureren voor eenmalige aanmelding en inrichting
- Voeg Google Cloud/Google Workspace toe aan uw tenant, configureer deze voor inrichting zoals beschreven in deze zelfstudie en begin met inrichten.
- Eenmalige aanmelding configureren voor Google Cloud/Google Workspace.
- Maak een groep die alle gebruikers toegang biedt tot de toepassing.
- Wijs de groep toe aan de Google Cloud/Google Workspace-toepassing.
- Wijs uw testgebruiker toe als direct lid van de groep die u in de vorige stap hebt gemaakt of geef ze toegang tot de groep via een toegangspakket. Deze groep kan worden gebruikt voor permanente, niet-beheerderstoegang in Google Cloud/Google Workspace.
PIM inschakelen voor groepen
- Maak een tweede groep in Microsoft Entra-id. Deze groep biedt toegang tot beheerdersmachtigingen in Google Cloud/Google Workspace.
- Breng de groep onder beheer in Microsoft Entra PIM.
- Wijs uw testgebruiker toe als in aanmerking komend voor de groep in PIM , waarbij de rol is ingesteld op lid.
- Wijs de tweede groep toe aan de Google Cloud/Google Workspace-toepassing.
- Gebruik inrichting op aanvraag om de groep te maken in Google Cloud/Google Workspace.
- Meld u aan bij Google Cloud/Google Workspace en wijs de tweede groep de benodigde machtigingen toe om beheerderstaken uit te voeren.
Nu kan elke eindgebruiker die in aanmerking komt voor de groep in PIM JIT-toegang krijgen tot de groep in Google Cloud/Google Workspace door hun groepslidmaatschap te activeren. Wanneer de toewijzing is verlopen, wordt de gebruiker verwijderd uit de groep in Google Cloud/Google Workspace. Tijdens de volgende incrementele cyclus probeert de inrichtingsservice de gebruiker opnieuw uit de groep te verwijderen. Dit kan leiden tot een fout in de inrichtingslogboeken. Deze fout wordt verwacht omdat het groepslidmaatschap al is verwijderd. Het foutbericht kan worden genegeerd.
- Hoe lang duurt het om een gebruiker in te richten voor de toepassing?
- Wanneer een gebruiker wordt toegevoegd aan een groep in Microsoft Entra ID buiten het activeren van het groepslidmaatschap met behulp van Microsoft Entra ID Privileged Identity Management (PIM):
- Het groepslidmaatschap wordt tijdens de volgende synchronisatiecyclus ingericht in de toepassing. De synchronisatiecyclus wordt elke 40 minuten uitgevoerd.
- Wanneer een gebruiker zijn groepslidmaatschap activeert in Microsoft Entra ID PIM:
- Het groepslidmaatschap wordt in 2 tot 10 minuten ingericht. Wanneer er een hoge frequentie van aanvragen tegelijk is, worden aanvragen beperkt met een snelheid van vijf aanvragen per 10 seconden.
- Voor de eerste vijf gebruikers binnen een periode van tien seconden die hun groepslidmaatschap activeren voor een specifieke toepassing, wordt groepslidmaatschap binnen 2-10 minuten ingericht in de toepassing.
- Voor de zesde gebruiker en hoger binnen een periode van 10 seconden die het groepslidmaatschap voor een specifieke toepassing activeert, wordt groepslidmaatschap ingericht voor de toepassing in de volgende synchronisatiecyclus. De synchronisatiecyclus wordt elke 40 minuten uitgevoerd. De beperkingslimieten zijn per bedrijfstoepassing.
- Wanneer een gebruiker wordt toegevoegd aan een groep in Microsoft Entra ID buiten het activeren van het groepslidmaatschap met behulp van Microsoft Entra ID Privileged Identity Management (PIM):
- Als de gebruiker geen toegang heeft tot de benodigde groep in Google Cloud/Google Workspace, controleert u de PIM-logboeken en inrichtingslogboeken om ervoor te zorgen dat het groepslidmaatschap is bijgewerkt. Afhankelijk van hoe de doeltoepassing is ontworpen, kan het langer duren voordat het groepslidmaatschap van kracht wordt in de toepassing.
- U kunt waarschuwingen maken voor fouten met behulp van Azure Monitor.
Wijzigingenlogboek
- 10-17-2020 - Ondersteuning toegevoegd voor meer gebruikers- en groepskenmerken van G Suite.
- 17-10-2020: bijgewerkte namen van G Suite-doelkenmerken zodat deze overeenkomen met wat hier is gedefinieerd.
- 17-10-2020: bijgewerkte standaardkenmerktoewijzingen.
Meer resources
- Gebruikersaccountinrichting voor zakelijke apps beheren
- Wat is toegang tot toepassingen en eenmalige aanmelding met Microsoft Entra ID?