Microsoft Entra ID

Es gibt zwei Möglichkeiten, Benutzer in Specops Authentication zu verwalten. Die Umgebung Ihrer Organisation bestimmt, welche geeignet ist:

Specops Authentication Gatekeeper (lokale Komponente): für Active Directory-Umgebungen.
Microsoft Entra ID (cloud-basiert): für Nicht-Active Directory-Umgebungen.

Dieser Abschnitt erklärt, wie Specops Authentication mit Microsoft Entra ID integriert wird.

Hinweis

Entra ID fungiert auch als Identitätsdienst, der es dem Produkt ermöglicht, sich mit Microsoft Authentication Libraries zu integrieren. Durch diesen Dienst kann Microsoft Authenticator für passwortlose Authentifizierung verwendet werden. Weitere Details finden Sie unter Entra ID identity service.

Integration von Specops Authentication mit Entra ID

Durch die Integration von Specops Authentication mit Entra ID können Sie Benutzer in Cloud-Umgebungen sicher authentifizieren und verwalten, in denen kein traditionelles Active Directory (AD) verfügbar ist.

Mit dieser Integration können Entra ID-Benutzer:

Sich für uReset registrieren und ihre Passwörter sicher zurücksetzen.
Sich für Secure Service Desk registrieren und ihre Passwörter sicher von Service-Desk-Agenten zurücksetzen lassen.

Um die Integration von Specops Authentication mit Entra ID zu ermöglichen, müssen Sie die Verbindung konfigurieren. Sie können entweder die von Specops bereitgestellten Anwendungen verwenden (siehe Standard) oder Ihre eigene konfigurieren (siehe Benutzerdefiniert). Es gibt auch eine Nur-Authentifizierung Option, bei der Entra ID nur zur Authentifizierung synchronisierter Benutzer verwendet wird, ohne die volle uReset-Funktionalität zu aktivieren. Diese Option wird in Entra ID beschrieben.

Hinweis

Sie müssen Ihre Entra ID-Domain in Specops Authentication verifizieren, um die Konfiguration abschließen zu können. Bitte beachten Sie Domain Verification.

Siehe Rollen und Bereiche für Details zur Konfiguration des Zugriffs für Entra ID-Benutzergruppen.

Standard

Der empfohlene Weg, die Entra ID-Verbindung zu konfigurieren, ist die Verwendung der Standardanwendung, um sich mit Ihrem Client zu verbinden. Diese Alternative ist nur verfügbar, wenn "Entra ID-Benutzer" aktiviert ist.

Navigieren Sie zu Microsoft Entra ID in Specops Authentication und klicken Sie auf Verbindung.
Wählen Sie in der Dropdown-Liste Microsoft Entra ID-Verbindungsdetails die Option Standard.
Geben Sie Ihre Mandanten-ID in das Feld ein, diese finden Sie in Ihrem Entra ID-Portal.
(Optional) Wenn Sie synchronisierte Benutzer haben, geben Sie das benutzerdefinierte AD-Attribut im Feld Benutzerattribut ein.
Klicken Sie auf Zustimmung erteilen. Dies leitet Sie zur Microsoft-Anmeldeaufforderung weiter.
Ein Microsoft-Zustimmungsdialog wird angezeigt. Melden Sie sich mit Ihrem Entra ID-Mandanten-Admin-Konto an, um die angeforderten Berechtigungen zu akzeptieren. Diese Berechtigungen erlauben der App:
- Zugriff auf das Verzeichnis als angemeldeter Benutzer
- Anmeldung und Lesen des Benutzerprofils
- Lesen von Verzeichnisdaten
- Lesen und Schreiben aller vollständigen Benutzerprofile
Hinweis

Durch das Akzeptieren der Berechtigungen gewähren Sie der App Zugriff auf die angegebenen Ressourcen für alle Benutzer in Ihrer Organisation.

Um die Berechtigungen zu akzeptieren, klicken Sie auf Akzeptieren. Wenn Sie auf Abbrechen klicken, werden Sie zum Specops Authentication Admin Portal weitergeleitet.
Klicken Sie auf Verbindung testen, um sicherzustellen, dass Specops Authentication auf den Entra ID-Client zugreifen kann. (Wenn der Verbindungstest fehlschlägt, warten Sie eine Weile und versuchen Sie es erneut.)
Klicken Sie auf Konfiguration speichern.

Die Anwendung wird von Microsoft unter dem Mutterunternehmen Outpost24 signiert.

Als Nächstes müssen Sie Anwendungsberechtigungen konfigurieren.

Benutzerdefiniert

Verwenden Sie diese Option für eine detailliertere Kontrolle über die Integration. Um eine benutzerdefinierte Integration einzurichten, muss eine neue App im Mandanten der Organisation registriert werden.

Erstellen einer App-Registrierung im Azure-Portal (Azure Portal)

Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Neue Registrierung.
Geben Sie einen Namen an, zum Beispiel [Specops App].
Wählen Sie im Abschnitt Unterstützte Kontotypen eine Option aus (Standard ist Konto in diesem Organisationsverzeichnis nur (Standardverzeichnis nur - Einzelmandant)).
Wählen Sie im Abschnitt Umleitungs-URI Web aus der Dropdown-Liste und kopieren Sie die Umleitungs-URL von der Konfigurationsseite. Sie sollte so aussehen https://login.specopssoft.com/Authentication/MicrosoftEntraId/Authentication/Callback>.
Klicken Sie auf Registrieren.

Konfigurieren der App-Registrierung

Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Alle Anwendungen-Tab > [Specops App] > Authentifizierung.
Im Abschnitt Implizite Gewährung und hybride Flows:
- Aktivieren Sie Zugriffstoken (verwendet für implizite Flows).
- Aktivieren Sie ID-Tokens (verwendet für implizite und hybride Flows)
Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Alle Anwendungen > [Specops App] > Zertifikate & Geheimnisse > Client-Geheimnisse-Tab.
Klicken Sie auf Neues Client-Geheimnis.
Geben Sie eine Beschreibung an, zum Beispiel Specops App Client Secret.
Wählen Sie in der Dropdown-Liste Ablauf die Zeit aus, wann das Client-Geheimnis abläuft, zum Beispiel 730 Tage (24 Monate).
Klicken Sie auf Hinzufügen.
Kopieren Sie den Wert des Client-Geheimnisses.

API-Berechtigungen konfigurieren

Gehen Sie zu Microsoft Entra ID > App-Registrierungen > Alle Anwendungen > [Specops App] > API-Berechtigungen.
Fügen Sie die folgenden delegierten Berechtigungen für Microsoft Graph hinzu:
```
Directory.AccessAsUser.All
User.Read
```
Fügen Sie die folgenden Anwendungs-Berechtigungen für Microsoft Graph hinzu:
```
Directory.Read.All
User.ReadWrite.All
Application.ReadWrite.All**
```
** Die Berechtigung Application.ReadWrite.All wird verwendet, um eine Erweiterungseigenschaft zu erstellen, die Specops Authentication verwenden wird, und kann nach Abschluss der Erstkonfiguration entfernt werden, siehe Verbindung in Specops Authentication einrichten.
Nachdem Sie die Berechtigungen hinzugefügt haben, klicken Sie auf Admin-Zustimmung für [Firmenname] erteilen.

Konfiguration in Specops Authentication Web

Navigieren Sie zu Microsoft Entra ID in Specops Authentication und klicken Sie auf Verbindung.
Wählen Sie in der Dropdown-Liste Microsoft Entra ID-Verbindungsdetails die Option Benutzerdefiniert.
Geben Sie die erforderlichen Werte ein für:
- Mandanten-ID
- Anwendungs-Client-ID
- Anwendungs-Client-Geheimnis
Klicken Sie auf Verbindung testen, um zu überprüfen, ob alles korrekt konfiguriert ist.
Klicken Sie auf Speichern.

Die Application.ReadWrite.All-Berechtigung kann jetzt entfernt werden.

Rollen

Hier können Sie konfigurieren, welche EntraID-Gruppen den entsprechenden Specops Authentication-Rollen entsprechen. Suchen Sie in jedem Tab nach einer Gruppe und wählen Sie mindestens eine Gruppe für jede Kategorie aus.

Admin - Hat vollen Zugriff auf die Admin-Seiten
Benutzer-Admin - Hat vollen Zugriff auf Secure Service Desk**
Benutzer-Verifizierer - Kann Benutzer im Secure Service Desk verifizieren**
Berichtleser - Kann auf die Berichtsfunktion der Admin-Seiten zugreifen

** Nur verfügbar für Kunden mit einem aktiven Secure Service Desk-Abonnement.

Bereiche

Hier können Sie konfigurieren, welche Benutzergruppe Specops Authentication verwenden kann.

Wählen Sie den Bereich in Entra ID, Standard/leer setzt den Bereich auf alle Benutzer im Mandanten.
(Optional) Wenn Sie Administratoren außerhalb des ausgewählten Bereichs haben, aktivieren Sie auch die Option Administratoren und Manager dürfen außerhalb der ausgewählten Bereiche sein.

Anwendungsberechtigungen konfigurieren

Um die Funktionen zum Zurücksetzen/Ändern von Passwörtern zu aktivieren, müssen Sie die Anwendung als Helpdesk- oder Benutzeradministrator zuweisen.

Helpdesk-Administrator - Kann Passwörter für Nicht-Administratoren zurücksetzen.
Benutzeradministrator - Kann Passwörter für alle Benutzer, einschließlich eingeschränkter Administratoren, zurücksetzen.

Gehen Sie zu Rollen und Administratoren im Microsoft Entra-Portal.

Wählen Sie eine der oben genannten Rollen aus.
Klicken Sie auf Zuweisung hinzufügen.
Suchen Sie nach dem Anwendungsnamen [Specops App] oder Ihrer benutzerdefinierten Anwendung. Hinweis: Das Suchfenster zeigt nur Benutzer an, bis der Suchbegriff beginnt, mit einem Anwendungsnamen übereinzustimmen.
Fügen Sie der Anwendung die entsprechende Rolle hinzu.