Verwalten der Benutzerkontobereitstellung für Unternehmens-Apps im Microsoft Entra Admin Center

Dieser Artikel enthält eine Beschreibung der allgemeinen Schritte zum Verwalten der automatischen Bereitstellung und zum Aufheben der Bereitstellung von Benutzerkonten für Anwendungen, die dies unterstützen. Die Bereitstellung von Benutzerkonten umfasst das Erstellen, Aktualisieren und/oder Deaktivieren der Benutzerkontodatensätze im lokalen Benutzerprofilspeicher einer Anwendung. Bei den meisten Cloud- und SaaS- und lokalen Anwendungen werden die Rollen und Berechtigungen in den lokalen Benutzerprofilspeicher der Anwendung gespeichert. Das Vorhandensein eines solchen Benutzerdatensatzes im lokalen Speicher der Anwendung ist für die einmalige Anmeldung und den Zugriff auf die Arbeit erforderlich. Weitere Informationen zur automatischen Bereitstellung von Benutzerkonten finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzern für SaaS-Anwendungen mit Microsoft Entra ID.

Suchen Ihrer Apps im Portal

Im Microsoft Entra Admin Center können Sie alle Anwendungen in einem Verzeichnis anzeigen und verwalten, die für einmaliges Anmelden (Single Sign-On, SSO) konfiguriert sind. Unternehmens-Apps sind Apps, die innerhalb Ihrer Organisation bereitgestellt und verwendet werden. Führen Sie zum Anzeigen und Verwalten Ihrer Unternehmens-Apps diese Schritte aus:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.

2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.

3. Eine Liste mit allen konfigurierten Apps wird angezeigt, einschließlich Apps, die aus dem Katalog hinzugefügt wurden.

4. Wählen Sie eine beliebige App aus, um ihren Ressourcenbereich zu laden, in dem Sie Berichte anzeigen und App-Einstellungen verwalten können.

5. Wählen Sie Bereitstellung aus, um die Einstellungen für die Bereitstellung von Benutzerkonten für die ausgewählte App zu verwalten.

   

Bereitstellungsmodi

Der Bereich Bereitstellung beginnt mit dem Menü Modus, das die unterstützten Bereitstellungsmodi eine Unternehmensanwendung zeigt und deren Konfiguration ermöglicht. Die verfügbaren Optionen umfassen:

• Automatisch: Diese Option wird angezeigt, wenn Microsoft Entra ID die automatische API-basierte Bereitstellung bzw. das Aufheben der Bereitstellung von Benutzerkonten für diese Anwendung unterstützt. Wählen Sie den Modus zum Anzeigen einer Oberfläche, auf der Administratoren folgende Aufgaben ausführen können:

  • Konfigurieren der Microsoft Entra-ID zum Herstellen einer Verbindung mit der Benutzerverwaltungs-API der Anwendung
  • Erstellen von Kontozuordnungen und Workflows, die definieren, wie die Benutzerkontendaten zwischen Microsoft Entra ID und der App übertragen werden sollen
  • Verwalten des Microsoft Entra-Bereitstellungsdiensts

• Manuell: Diese Option wird angezeigt, wenn Microsoft Entra ID die automatische Bereitstellung von Benutzerkonten für diese Anwendung nicht unterstützt. Dies bedeutet, dass in der Anwendung gespeicherte Benutzerkontodatensätze basierend auf den Benutzerverwaltungs- und Bereitstellungsfunktionen dieser Anwendung (einschließlich SAML Just-in-Time-Bereitstellung) mit einem externen Prozess verwaltet werden müssen.

Konfigurieren der automatischen Bereitstellung von Benutzerkonten

Wählen Sie die Option Automatisch aus, um Einstellungen für Administratoranmeldeinformationen, Zuordnungen, das Starten und Beenden sowie für die Synchronisierung anzugeben.

Administratoranmeldeinformationen

Erweitern Sie die Administratoranmeldeinformationen, um die Anmeldeinformationen einzugeben, die Microsoft Entra ID zum Herstellen einer Verbindung mit der Benutzerverwaltungs-API der Anwendung benötigt. Die erforderliche Eingabe variiert je nach Anwendung. Informationen zu den Anmeldeinformationstypen und den Anforderungen für bestimmte Anwendungen finden Sie im Konfigurationstutorial der jeweiligen Anwendung.

Durch Klicken auf Verbindung testen können Sie die Anmeldeinformationen testen, indem Sie Microsoft Entra ID versuchen lassen, mit den angegebenen Anmeldeinformationen eine Verbindung mit der Bereitstellungs-App der App herzustellen.

Zuordnungen

Erweitern Sie Zuordnungen, um die Benutzerattribute anzuzeigen und zu bearbeiten, die beim Bereitstellen oder Aktualisieren von Benutzerkonten zwischen Microsoft Entra ID und der Zielanwendung übertragen werden.

Zwischen Microsoft Entra-Benutzerobjekten und Benutzerobjekten der einzelnen SaaS-Apps ist eine vorkonfigurierte Gruppe von Zuordnungen vorhanden. Einige Apps verwalten auch Gruppenobjekte. Wählen Sie in der Tabelle eine Zuordnung aus, um den Zuordnungs-Editor zu öffnen, in dem Sie diese anzeigen lassen und anpassen können.

Unterstützte Anpassungen umfassen:

• Aktivieren und Deaktivieren von Zuordnungen für bestimmte Objekte, z. B. das Microsoft Entra-Benutzerobjekt an das Benutzerobjekt der SaaS-App.

• Bearbeiten der Attribute, die vom Microsoft Entra-Benutzerobjekt an das Benutzerobjekt der App übermittelt werden. Weitere Informationen zur Attributzuordnung finden Sie unter Grundlegendes zu Attributzuordnungstypen.

• Filtern der Bereitstellungsaktionen, die Microsoft Entra ID für die Zielanwendung ausführt. Anstatt eine vollständige Synchronisierung von Objekten durch Microsoft Entra ID zuzulassen, können Sie die ausgeführten Aktionen beschränken.

  Beispiel: Wenn Sie nur Aktualisieren auswählen, aktualisiert Microsoft Entra nur vorhandene Benutzerkonten in einer Anwendung, ohne neue zu erstellen. Wird nur Erstellen ausgewählt, erstellt Azure nur neue Benutzerkonten, ohne vorhandene Konten zu aktualisieren. Dieses Feature ermöglicht Administratoren das Erstellen verschiedener Zuordnungen für Workflows zur Erstellung und Aktualisierung von Konten.

• Hinzufügen einer neuen Attributzuordnung. Klicken Sie unten im Bereich Attributzuordnung auf Neue Zuordnung hinzufügen. Füllen Sie das Formular Attribut bearbeiten aus, und klicken Sie auf OK, um die neue Zuordnung der Liste hinzuzufügen.

Einstellungen

Erweitern Sie die Einstellungen, um eine E-Mail-Adresse für den Empfang von Benachrichtigungen festzulegen und anzugeben, ob Sie Warnungen zu Fehlern erhalten möchten. Sie können auch den Umfang der zu synchronisierenden Benutzer auswählen. Sie können wählen, ob alle Benutzer und Gruppen synchronisiert werden sollen oder nur die, die zugewiesen sind.

Bereitstellungsstatus

Wenn die Bereitstellung für eine Anwendung zum ersten Mal aktiviert wird, legen Sie den Bereitstellungsstatus auf Ein fest, um den Dienst zu aktivieren. Diese Änderung bewirkt, dass der Microsoft Entra-Bereitstellungsdienst eine anfänglichen Zyklus ausführt. Hierbei liest er die im Abschnitt Benutzer und Gruppen zugewiesenen Benutzer, fragt die Zielanwendung auf diese Benutzer ab und führt dann die im Microsoft Entra ID-Abschnitt Zuordnungen definierten Bereitstellungsaktionen aus. Während dieses Prozesses speichert der Bereitstellungsdienst Daten über die von ihm verwalteten Benutzerkonten im Cache. Der Dienst speichert Daten im Cache, so dass nicht verwaltete Konten in den Zielanwendungen, die nie für eine Zuweisung in Frage kamen, beim Aufheben der Bereitstellung nicht betroffen sind. Nach dem ersten Zyklus synchronisiert der Bereitstellungsdienst automatisch Benutzer- und Gruppenobjekte in einem 40-Minuten-Intervall.

Durch Ändern des Bereitstellungsstatus in Aus wird der Bereitstellungsdienst angehalten. In diesem Status werden von Azure keine Benutzer- oder Gruppenobjekte in der App erstellt, aktualisiert oder entfernt. Wenn Sie den Zustand wieder in Ein ändern, fährt der Dienst da fort, wo er aufgehört hat.