AzureAD / Microsoft 365
Ab Release 3.3 bietet Inventory360 eine Azure AD / Microsoft 365 Anbindung für die Synchronisation von Benutzer- bzw. Mitarbeiterlisten. Hierüber ist zusätzlich auch der Login per Single-Sign-On (SSO) am System möglich.
Seit 09/2020 ist Inventory360 durch Microsoft offiziell als Applikation in der Azure Active Directory App Gallery gelistet.
Welche Benutzer werden synchronisiert?
Es sollten alle Benutzer synchronisiert werden, denen potentiell Assets zugebucht werden könnten. Nicht nur die Agenten, die später mit dem System arbeiten.
Die Verwaltung der Microsoft 365 / Azure AD Backends befindet sich im Adminbereich innerhalb der Grundeinstellungen in der Sektion AzureAD / Microsoft 365
Voraussetzungen¶
Benötigt wird ein gültiges Office / Microsoft 365 Abonnement und Zugriff auf den Azure AD Administratoraccount zur Einrichtung der notwendigen Berechtigungen.
Azure AD aktivieren¶
Zur Aktivierung der Funktion stellen Sie zunächst sicher, dass der Status (1) auf Aktiv gesetzt wird.
Konfiguration¶
Im Anschluss kann über den darunter liegenen Hinzufügen Button (2) eine neuer Azure AD Tenant hinzugefügt oder ein bestehender Tenant konfiguriert werden.
Innerhalb des Einrichtungsdialog können die folgenden Konfigurationsparameter gesetzt werden.
| Feld | Beschreibung |
|---|---|
| (1) Name | Interner Name für die Azure AD Verbindung |
| (2) Status | Aktivierung / Deaktivierung des LDAP-Backends |
| (3) Benutzer synchronisieren | Aktivierung / Deaktivierung der Synchronisation von Benutzern |
| (4) Filter | Einschränkung der zu synchronisierenden Benutzer |
Berechtigungen erteilen¶
Zur Einrichtung der Verbindung klicken Sie nun auf den Button Übernehmen & Anmelden (5).
Im neuen Dialog klicken Sie hier bitte auf Sign in with Microsoft.
Berechtigungen
Für die Anmeldung wird ein Benutzer mit Administratorzugriff auf den gewünschten Microsoft 365 Tenant benötigt.
Der Login-Dialog öffnet sich automatisch in einem neuen Fenster bzw. Browser-Tab. An dieser Stelle kann der administrative Microsoft 365 Account ausgewählt bzw. angemeldet werden.
Im nachfolgenden Schritt stellen Sie bitte sicher, dass der Haken bei "Zustimmung im Namen Ihrer Organisation" ausgewählt ist und bestätigen dort mit Akzeptieren.
Im nachfolgenden Schritt müssen die Berechtigungen nochmals im Entra Portal bestätigt werden. Klicken Sie hierzu auf den angezeigten Link zu Unternehmensanwendungen.
Sie gelangen hierdurch automatisch in das Entra Portal zur Einrichtung der notwendigen Berechtigungen im Kontext Ihrer Organisation.
Wechseln Sie hier auf den neuen Eintrag Inventory360.
In den Applikationseinstellungen jetzt Berechtigungen wählen.
Erteilen Sie hier nun über den mittleren Button die notwendigen Berechtigungen als Administrator.
Nach erfolgreicher Erteilung der Berechtigungen erscheint dies im oberen rechten Benachrichtigungsbereich.
Der Browser-Tab des Microsoft Entra Portals kann nun geschlossen. werden.
Zurück im noch geöffneten Tab von Inventory360 kann nun mit Abschließen bestätigt werden.
Sie gelangen hierdurch wieder automatisch in die Einstellungen des soeben angelegten Azure AD Backends. In diesem kann die Verbindung nun getestet werden.
Test der Einstellungen
Die getroffenen Einstellungen können über den Button "Test" jederzeit getestet werden. Hierbei erhalten Sie eine Auflistung der potentiellen Ergebnisse und können Ihre Filterbedingungen bei Bedarf weiter eingrenzen.
Um die Einstellungen zu speichern, klicken Sie auf den blauen Übernehmen Button.
Wichtig
Zur finalen Übernahme der getroffenen Einstellungen am Ende der Seite ebenfalls auf den blauen Button Übernehmen klicken.
Erweiterte Konfiguration¶
Um nicht alle Daten aus dem Azure AD zu lesen, kann mittels der erweiterten Konfiguration eine Eingrenzung durchgeführt werden. Hierdurch können weniger Benutzer geladen werden oder auch die passenden Informationen direkt übernommen werden.
| Bereich | Beschreibung |
|---|---|
| (1) Felder-Mapping | Azure AD Felder können innerhalb von Inventory360 auf unterschiedliche Felder gemappt werden |
| (2) Filter Benutzername (Regex) | Regex Pattern, um Benutzer auf Basis des Benutzernamen vorab zu filtern |
| (3) Filter E-Mail (Regex) | Regex Pattern, um Benutzer auf Basis der E-Mail vorab zu filtern |
| (4) Suchfilter | Es können erweiterte Suchfilter eingetragen werden |
| (5) Erweiterte Synchronisation | Direkte Synchronisation von Stammdaten und den passenden Benutzerzuordnungen auf Basis der Azure AD Daten |
| (6) M365 - Lizenzen | Auswahl des Unternehmens zwecks M365 Lizenz Zuordnung |
Test der Konfiguration
Über den Button Test kann die aktuelle Konfiguration getestet werden, um etwaige Fehler vorab zu vermeiden.
Speichern Sie die Konfiguration mittels Übernehmen.
Suchfilter¶
Der Suchfilter kann auf alle Attribute des User Objects zugreifen und hierbei die Advanced Query Capabilities nutzen.
Ein paar Beispiele zur besseren Erläuterung:
-
Einfache Suchfilter: Defintion eines Suchfilters:
&$filter=officeLocation eq 'Aschaffenburg'&$count=true -
Kombinierte Suchfilter: Die Definition von beliebig vielen Suchtfiltern ist ebenso möglich:
-
Beispiel 1:
&$filter=UsageLocation in ('DE','FR') and onPremisesExtensionAttributes/extensionAttribute6 eq '12344567'&$count=true -
Beispiel 2:
&$filter=department ne 'vertraulich' and jobTitle ne null and endsWith(userPrincipalName,'@example.com')&$count=true
-
-
Komplexe Suchfilter: Die Abfrage von sehr komplexen Suchfiltern erleichtert basierend auf sehr abstrakten Bedingungen die Benutzer-Einschränkung:
&$filter=assignedLicenses/any(u:u/skuId eq 4b590615-0888-425a-a965-b3bf7789848d)&$count=true
Einschränkung der Benutzer im Sync
Über die Suchfilter können viele nützliche Einschränkungen vorab getroffeen werden, die die Anzahl der Benutzer, die im Sync in Richutng Inventory360 importiert werden, verringert.
Übliche Szenarien sind: - Einschränkung über den Ort des Mitarbeiters/Benutzers (officeLocation) - Einschränkung auf E-Mail Ebene (mail) und kombiniert mit weiteren Kriteren, z. B. Sprache (preferredLanguage)
M365 Lizenz-Sync¶
Bei einer bestehenden M365 Anbindung können die Benutzer-Lizenzen ebenso synchronisiert werden. Als Grundlage dient die globale Produkt- und Serviceliste von Microsoft, die dauerhaft aktualisiert wird.
Änderungen für den Bereich Software & Lizenzen
Ab Release 4.4 hat dies auch zur Folge, das im Bereich der Software & Lizenzen die Ansicht in zwei Bereiche geteilt wird:
- Allgemein: Listet die manuell oder automatisch über Discovery angelegte Software auf
- M365: Listet die Software-Produkte, deren Lizenzen und die Benutzer-Zuordnungen auf
Wichtig: Die M365 Lizenzen können nur bedingt bearbeitet oder gar nicht gelöscht werden, da die Gesamtanzahl der verfügbaren Lizenzen und die Zuweisungen automatisch ermittelt werden.
Die Zuordnung einer Gesellschaft zu einem spezifischen Azure-AD Tenant kann über die jeweilige Auswahl gesteuert werden:
M365 Multi-Tenant-Szenario
Durch die Angabe einer Gesellschaft je M365 Tenant können auch in einem Multi-Tenant-Konstrukt sehr komplexe Lizenz-Modalitäten abgewickelt werden. Ob mehrere Tenants zu einer Gesellschaft oder mehere Tenants zu mehreren Gesellschaften sind somit verwaltbar.
Falls keine Zuordnung vorhanden ist, wird die Standard-Gesellschaft der Inventory360 Instanz genutzt, da eine Gesellschaftszuordnung verpflichtend ist, um Lizenzen anzulegen.
Anmeldung / Single-Sign-On¶
Nachdem die Azure AD Anbindung in den Grundeinstellungen erfolgreich aktiviert wurde, erscheint beim Login am System eine neue Schaltfläche "Sign in with Microsoft".
Benutzer synchronisieren¶
Automatische Synchronisation
Alle aktiven Benutzerquellen werden automatisch Nachts um 03:00 Uhr synchronisiert.
Eine manuelle Synchronisation der Benutzerquellen lässt sich auch jederzeit im Adminbereich unter dem Menüpunkt Benutzer auslösen. Klicken Sie hierzu auf den Button Benutzer synchronisieren.
