Benutzerverwaltung Microsoft 365 Connector
Benutzer und Gruppen synchronisieren
Der Microsoft 365 Connector ermöglicht eine Synchronisation der lokalen Active Directory (AD) des LogoDIDACT Servers zum Azure AD. Diese Synchronisation läuft vollautomatisch und zyklisch ab.
Dadurch können alle Benutzer*innen und Gruppen die bereits am LogoDIDACT Server existieren auch mit Microsoft 365 genutzt werden.
Um festzulegen welche Benutzer*innen zur Azure AD synchronisiert werden und damit Zugriff auf Microsoft 365 bekommen, rufen Sie zunächst das LD ControlCenter auf und wählen die Benutzerverwaltung aus.
In der Benutzerverwaltung wählen Sie zunächst das Azure Menü und dort den Punkt Sync Zuweisung.
Möchten Sie eine ganze Gruppe an Benutzer*innen hinzufügen, klappen Sie das Menü Gruppen auf und drücken anschließend auf die grüne Büroklammer. Möchten Sie einzelne Benutzer*innen hinzufügen, klappen Sie das Menü Benutzer auf und klicken auch hier auf die grüne Büroklammer.
Nun öffnet sich das Menü, um Gruppen bzw. einzelne Benutzer*innen zuzuweisen. Hier können Sie entweder die gewünschten Gruppen bzw. Benutzer*innen aus der Übersicht heraussuchen, oder die Suche verwenden. Anschließend haken Sie diese an und klicken auf OK.
Lizenzen zuweisen
Nachdem Sie die Gruppen und Benutzer*innen zugewiesen haben, muss diesen noch die entsprechende Lizenz zugewiesen werden. Am Beispiel der Gruppe Schüler wählen Sie diese aus und klicken dann auf den Button Lizenzoptionen verwalten.
In dem sich nun öffnenden Fenster können Sie die entsprechende Lizenz auswählen, welche der zugewiesenen Gruppe verschiedene Leistungen zur Verfügung stellt. Am Beispiel der Gruppe Schüler wurde die Lizenz Microsoft 365 A1 für Schüler und Studenten ausgewählt. Anschließend bestätigen Sie die Auswahl mit einem Klick auf OK.
Nachdem Sie Lizenzen zugewiesen haben, können Sie nun einsehen wie viele Lizenzen verbraucht werden und wie viele zur Verfügung stehen.
Zusätzlich haben Sie in diesem Menü die Möglichkeit, verschiedene Berechtigungen zusetzen.
Möchten Sie eine zugewiesene Lizenz wieder entfernen, können Sie dies tun, indem Sie auf den roten Mülleimer bei der entsprechenden Lizenz klicken.
Sie haben die Möglichkeit mittels Richtlinienpaketen festzulegen, welche Berechtigungen einzelne Benutzer*innen bzw. Gruppen haben. Um diese festzulegen, wählen Sie die entsprechende Gruppe aus und klicken dann auf Richtlinienpaket verwalten.
Nun befinden Sie sich im Menü Richtlinienpaket verwalten und können eine Richtlinie auswählen, um festzulegen, welche Berechtigungen die Gruppe hat. Es kann pro Gruppe bzw. Benutzer*in immer nur eine Richtlinie aktiv sein.
Möchten Sie das keine Richtlinie mehr ausgewählt ist, klicken Sie in der oberen rechten Ecke auf Zurücksetzen um den Standard wiederherzustellen.
Haben Sie die gewünschte Einstellung gesetzt, können Sie das Menü mithilfe des Pfeils in der linken oberen Ecke verlassen.
Hinweis
Die einzelnen Richtlinienpakete stammen direkt von Microsoft und wurden nicht durch SBE erstellt.
Gruppenausnahmen und Benutzerausnahmen
Sie haben die Möglichkeit, einzelne Benutzer*innen oder Gruppen als Ausnahme zu definieren, sodass diese dann nicht synchronisiert werden und auch keine Lizenzen verbrauchen.
Dafür navigieren Sie in der Benutzerverwaltung zum Menü Azure und wählen dort den Punkt Sync Zuweisung.
Möchten Sie eine ganze Gruppe an Benutzer*innen zu den Ausnahmen hinzufügen, klappen Sie das Menü Gruppenausnahmen auf und drücken anschließend auf die grüne Büroklammer. Möchten Sie einzelne Benutzer*innen zu den Ausnahmen hinzufügen, klappen Sie das Menü Benutzerausnahmen auf und klicken auch hier auf die grüne Büroklammer.
Nun öffnet sich das Menü, um Gruppen bzw. einzelne Benutzer*innen als Ausnahmen zu definieren. Hier können Sie entweder einfach die gewünschten Gruppen bzw. Benutzer*innen aus der Übersicht heraussuchen oder die Suche verwenden, um diese zu finden. Anschließend haken Sie diese an und klicken auf OK.
Info
Sync-Ausnahmen für Benutzer/Gruppen haben eine höhere Priorität als Zugelassene.
Sync-Vorgang starten
Der Synchronisations-Vorgang vom LD-Azure-Sync zu Microsoft 365 läuft zyklisch alle 5 Minuten. Es ist möglich den Sync-Vorgang manuell anzustoßen. Dabei wird unterschieden zwischen einem vollständigen Durchlauf (Standard), d.h. Abgleich von Benutzern, Gruppen, Rechte & Richtlinien, Exchange, usw. und einem teilweisen Durchlauf, welcher lediglich Daten für Exchange, sowie Azure prüft und anpasst.
Um einen manuellen Sync anzutriggern unter Azure\Sync Zuweisungen in der oberen rechten Optionsleiste die entsprechenden Buttons anklicken.
| Button | Aktion |
|---|---|
 |
Vollständiger Sync-Durchlauf |
 |
Exchange + Azure Sync-Durchlauf |
Sync-Konnektor Einstellungen
In den Sync-Konnektor Einstellungen sind die Konfigurations-Daten für die Verbindungsherstellung zum Microsoft 365 Tenant definiert, sowie weitere gefundende Domänen.
| Nummer | Beschreibung |
|---|---|
| 1 | die Anwendungs-ID des LD-Azure-Sync Clients im M365 Entra |
| 2 | die Verzeichs-ID des Mandanten |
| 3 | das Passwort für die Verbindungsherstellung zwischen LD-Azure-Sync und M365 |
| 4 | nur der Benutzername wird gesynct. Standard: Vorname, Nachname, Benutzername |
| 5 | Auflistung aller Domänen des M365-Tenants. Diese gelisteten Domänen können in den Sync-Zuweisungen für gruppen/-oder benutzerbezogene Aktionen verwendet werden. |
| 6 | Auflistung der Domänen des M365-Tenants, die bereits von einem anderen LD-Azure-Sync in Verwendung sind. |
Exchange Rechte
Die Exchange-Rechte definieren, ob ein Benutzer über Exchange Online E-Mails empfangen und/oder versenden darf. Exchange Online ist Teil der Microsoft 365 Suites und steht Anwendern standardmäßig bei Zuweisung einer A1/A3-Lizenz zur Verfügung.
Über das Feld Exchange-Recht lassen sich gruppen/-oder benutzerbezogen folgende Einstellungen setzen:
| Exchange-Recht | Beschreibung |
|---|---|
| Standard | Benutzer dürfen nur innerhalb der Organisation Mails versenden und empfangen |
| kann beides | Benutzer können E-Mails innerhalb und außerhalb der Organisation senden, als auch empfangen |
| kann senden | Benutzer können E-Mails innerhalb und außerhalb der Organisation versenden |
| kann empfangen | Benutzer können E-Mails innerhalb und außerhalb der Organisation empfangen |
Zusätzlich können wie gewohnt Benutzer-oder Gruppenausnahmen definiert werden. Für diese gelten dann abseits vom Standard vorgegeben Einstellungen. Im nachfolgenden Beispiel erhält die Gruppe Lehrer Empfangs-und Senderechte, ein Benutzer aus der Lehrergruppe darf jedoch nur empfangen.
Zugewiesene Domänen
Die Option Domänen verwalten findet Verwendung bei Nutzung von multiplen Microsoft 365 Domänen. Konkret kann es Fälle geben, wo man jeweils für Lehrer und Schüler eine eigene Domäne oder Subdomäne pflegt.
Vorsicht
Bei diesen Einstellungen ist Vorsicht geboten und Änderungen sollten nur von technisch versierten Personen vorgenommen werden. Im Zweifelsfall wenden Sie sich bitte an den technischen Support.
Im folgenden Beispiel steht die Primärdomäne .onmicrosoft.com im Tenant zur Verfügung, sowie eine zusätzliche sekundäre .meineschule.online Domäne.
Weiter angenommen man möchte lediglich die Lehrerbenutzerkonten in die Sekundärdomäne aufnehmen und die restlichen Schülerkonten der Primärdomäne zuweisen.
Es ergibt sich folgendes Konstrukt:
Schüler: schueler01@meineschule.onmicrosoft.com
Lehrer: lehrer01@meineschule.online
Die Umsetzung erfolgt nun unter Domänen verwalten.
Fügen Sie zunächst die ausgewählten Gruppen Schüler und Lehrer in den Sync-Zuweisungen hinzu. Im Anschluss klicken Sie die entsprechende Gruppe an und dann auf Domäne verwalten.
Info
Es können nur Domänen verwendet werden, die auch tatsächlich im M365-Tenant verknüpft sind und in den LogoDIDACT Sync-Konnektor Einstellungen unter Eigene Domänen ausgewählt sind.
Wählen Sie im neuen Menü die der Gruppe entsprechende Domäne aus.
Beispiel Lehrer:
Beispiel Schüler:
Die Einstellungen wirken unmittelbar nach setzen des Häkchens. Stoßen Sie im Anschluss zur Übername einen manuellen Sync-Vorgang über den Button Sync-Vorgang starten an. Im Standard macht der LD-Azure-Sync Konnektor einen Sync alle 5 Minuten.
Möchten Sie die Änderungen rückgängig machen oder haben ungewollt eine Änderung vollzogen, können Sie im Zuweisungsmenü die Einstellungen auf den Standardwert zurücksetzen.
