Entra ID Connector
Allgemein
Das Veyon Entra ID Connector Add-on erweitert Veyon Master so, dass es Geräte und deren Standorte aus einer Entra ID Instanz ausliest. Einmal eingerichtet, müssen Computer und Standorte nicht mehr im eingebauten Netzwerkobjektverzeichnis gepflegt werden. Eine zuvor konfigurierte LDAP/ActiveDirectory-Integration kann nach der Migration eines On Premise ActiveDirectory zu Entra ID in der Azure Cloud durch den Entra ID Connector ersetzt werden.
Initiale Einrichtung
Zunächst muss das Veyon Add-ons Paket installiert werden. Stellen Sie sicher, dass Sie die Version herunterladen und installieren, die Ihrer Veyon-Installation entspricht, d.h. Veyon 4.9.1 erfordert Veyon Add-ons 4.9.1, während Sie für Veyon 4.8.3 die Version 4.8.3 der Add-ons installieren müssen. Bitte lesen Sie Bereitstellung für weitere Informationen.
Nachdem die Installation abgeschlossen ist, sehen Sie einige neue Konfigurationsseiten im Veyon Configurator Programm. Eine davon heißt Entra ID Connector und ermöglicht die Einrichtung des Add-ons:
Konfigurationsseite des Entra ID Connectors
App-Registrierung
Um die erforderlichen Felder ausfüllen zu können, muss der Connector zunächst in Ihrer Entra-ID-Instanz registriert werden. Öffnen Sie dazu einen Webbrowser und rufen Sie die Entra ID Verwaltungsoberfläche im Azure Portal auf. Hier können Sie den Veyon Entra ID Connector als App registrieren:
App-Registrierung des Veyon Entra ID Connectors - Schritt 1
Wenn Sie auf Neue Registrierung klicken, öffnet sich ein neuer Dialog, in dem Sie einen passenden Namen eingeben müssen, z.B. Veyon Entra ID Connector und auf Registrieren klicken:
App-Registrierung des Veyon Entra ID Connectors - Schritt 2
Nachdem die App registriert wurde, können Sie die benötigten IDs bereits auf der Seite Übersicht sehen. Kopieren Sie die Applikations-ID (Client) und die Verzeichnis-ID (Mandant) in die entsprechenden Felder im Veyon Configurator:
App-Registrierung des Veyon Entra ID Connectors - Schritt 3
Geheime Clientschlüssel
Als nächstes muss der geheime Clientschlüssel oder das Client-Zertifikat konfiguriert werden, mit dem sich der Entra ID Connector bei der Azure-Cloud authentifizieren kann. Öffnen Sie die Seite Zertifikate & Geheimnisse und klicken Sie auf Neuer geheimer Clientschlüssel. Geben Sie dem Geheimnis einen Namen und legen Sie fest, wann es ablaufen soll. Wählen Sie keinen zu kurzen Zeitraum, da Sie jedes Mal, wenn ein Clientschlüssel abgelaufen ist, einen neuen Clientschlüssel erstellen und Veyon neu konfigurieren müssen:
Geheimen Clientschlüssel für den Veyon Entra ID Connector erstellen - Schritt 1
Nachdem der geheime Clientschlüssel erstellt wurde, müssen Sie dessen Wert in das Feld Geheimer Clientschlüssel im Veyon Configurator kopieren.
Geheimen Clientschlüssel für den Veyon Entra ID Connector erstellen - Schritt 2
Wichtig
Der Wert des geheimen Clientschlüssels muss sofort kopiert werden, da er nur einmal direkt nach der Erstellung des Clientschlüssels angezeigt wird. Wenn Sie vergessen haben, ihn zu kopieren, müssen Sie den Clientschlüssel löschen und einen neuen erstellen.
Sie können nun überprüfen, ob die Mandanten-ID, die Anwendungs-ID und der Clientschlüssel korrekt sind, indem Sie auf die Schaltfläche Zugriff testen klicken.
Hinweis
Eine gute Alternative zu Clientschlüsseln sind Client-Zertifikate. Diese ermöglichen es, das Geheimnis an einem bestimmten Ort zu speichern, an dem Sie die Zugriffsrechte wie gewünscht festlegen können. Ansonsten wird der geheime Clientschlüssel (verschlüsselt) als Teil der Veyon-Konfiguration gespeichert.
API-Berechtigungen
Die letzte wichtige Aufgabe besteht darin, die Berechtigungen für die registrierte App einzurichten, damit der Entra ID Connector die erforderlichen Informationen aus Entra ID lesen kann. Navigieren Sie zur Seite API-Berechtigungen, klicken Sie auf die Schaltfläche Berechtigung hinzufügen und wählen Sie Microsoft Graph:
Einrichten der Berechtigungen für den Veyon Entra ID Connector - Schritt 1
Nun müssen die eigentlichen Berechtigungen ausgewählt werden. Wählen Sie Anwendungsberechtigungen, suchen Sie die Berechtigung Device.Read.All und setzen Sie ein Häkchen:
Einrichten der Berechtigungen für den Veyon Entra ID Connector - Schritt 2
Wiederholen Sie diesen Schritt für die Berechtigungen Group.Read.All, GroupMember.Read.All und User.Read.All. Wenn Ihre Geräte über Microsoft Intune verwaltet werden und MAC-Adressen aus Intune gelesen werden sollen, fügen Sie auch die Berechtigung DeviceManagementManagedDevices.Read.All hinzu. Nachdem Sie alle erforderlichen Berechtigungen mit einem Häkchen versehen haben, klicken Sie auf Berechtigungen hinzufügen.
Der letzte Schritt besteht darin, die Zustimmung des Administrators für diese Berechtigungen zu erteilen. Dies kann einfach durch Klicken auf Administratorzustimmung für <YOUR-ORGANIZATION> erteilen erledigt werden:
Einrichten der Berechtigungen für den Veyon Entra ID Connector - Schritt 3
Filter
Filter ermöglichen es, nur bestimmte Objekte (Geräte, Benutzer und Gruppen) auszulesen und für Veyon verfügbar zu machen. Dies hängt maßgeblich davon ab, wie die Objekte in Ihrer Entra-ID-Instanz aufgebaut sind und welche davon für Veyon benötigt werden. Wenn z.B. Sicherheitsgruppen als Standorte (Räume) verwendet werden, kann der Gerätegruppenfilter entsprechend angepasst werden, so dass nur Gruppen, die mit Raum beginnen, als Standorte verwendet werden. In diesem Fall wäre ein geeigneter Filter startsWith(displayName, 'Raum').
Siehe In Filterausdrücken unterstützte Operatoren und Funktionen für weitere Informationen.
Geräte
In diesem Abschnitt können Sie konfigurieren, wie bestimmte Geräteeigenschaften abgerufen werden. Während der Anzeigename immer als Computername verwendet wird, können sowohl der Hostname als auch die MAC-Adresse auf unterschiedliche Weise ermittelt werden.
- Quelle für Hostname
Wenn alle Gerätenamen mit den Hostnamen übereinstimmen und über einen internen DNS-Server (BIND, AD DS usw.) in IP-Adressen aufgelöst werden können, können Sie die Standardoption Gerätename beibehalten. Sie sollten sich dabei nicht auf veraltete Namensauflösungsprotokolle wie NetBIOS verlassen. Sie können dies leicht überprüfen, indem Sie
nslookup <HOSTNAME>ausführen. Wenn die Gerätenamen nicht von einem DNS-Server in Ihrem Netzwerk aufgelöst werden können, wird empfohlen, sie entweder über Multicast DNS aufzulösen oder den tatsächlichen Hostnamen oder die Hostadresse in einem eigenen Attribut Hostname zu speichern.- Quelle für MAC-Adresse
Veyon verwendet MAC-Adressen für das Einschalten von Computern über Wake-on-LAN. Wenn Sie diese Funktion nutzen möchten, können Sie die MAC-Adressen jedes Geräts in ein bestimmtes (Erweiterungs-)Attribut eintragen und den Namen dieses Attributs in das Feld MAC-Adressen-Attribut eingeben. Wenn Ihre Geräte über Microsoft Intune verwaltet werden, können Sie die Einstellung auch so ändern, dass die in Intune gespeicherten Ethernet- oder Wi-Fi-MAC-Adressen verwendet werden. Je nach gewählter Option werden nur die Ethernet- oder Wi-Fi-MAC-Adressen gelesen oder eine davon, wobei die erste priorisiert wird (d. h. die zweite Adresse wird nur verwendet, wenn die erste Adresse leer ist). Vergessen Sie nicht, die API-Berechtigung DeviceManagementManagedDevices.Read.All hinzuzufügen.
Standorte
In Veyon werden alle Computer nach Standorten (Räumen) gruppiert. Um die von Entra ID gelesenen Geräte richtig zu gruppieren, muss ein geeigneter Zuordnungsmodus gewählt werden:
- Gerätegruppen verwenden
Wählen Sie diesen Modus, wenn Ihre Geräte zu (Sicherheits-)Gruppen gehören, die den Standorten entsprechen. Dies ist die bevorzugte Methode, da es in Entra ID recht einfach ist, Gruppen für jeden Raum zu erstellen und die Geräte zu den entsprechenden Gruppen hinzuzufügen. In der Regel müssen Sie im Abschnitt Filter einen geeigneten Gerätegruppen-Filter so konfigurieren, dass nur diese Gruppen (z.B. beginnend mit dem Namen
Raum) als Standorte angezeigt werden. Optional können Sie den Namen des Gruppenattributs konfigurieren, das als Standortname verwendet werden soll. Standardmäßig wird der Anzeigename der Gruppe verwendet.- Standortattribut des Geräts verwenden
Alternativ zu standortbezogenen Gruppen kann der Standort jedes Computers auch in einem (Erweiterungs-)Attribut gespeichert werden. In diesem Fall muss der Name dieses Attributs angegeben werden.
- Aus Hostname mithilfe eines regulären Ausdrucks extrahieren
Wenn die Hostnamen den Raum- oder Standortnamen enthalten, können Sie Entra ID Connector den Standortnamen extrahieren lassen. Dies geschieht durch Anwendung eines regulären Ausdrucks auf die Hostnamen. Die erste Capture-Gruppe des regulären Ausdrucks wird dann als Standort-/Computername verwendet.
Wenn die Hostnamen zum Beispiel das Format
r<ROOM-NUMBER>-c<COMPUTER-NUMBER>haben (z.B.r101-c01.example.org), können Sie den folgenden regulären Ausdruck verwenden, um den Standortnamen zu extrahieren:([^-]*)-.*Das erste Capture (in geschweiften Klammern) erfasst alles bis zum ersten Minuszeichen, so dass die in Veyon Master angezeigte Position
r101lautet.Weitere Informationen über das Konzept, die Syntax und die verfügbaren Musteroptionen finden Sie im Wikipedia-Artikel über reguläre Ausdrücke.
Abschluss
Abschließend muss das Backend des Netzwerkobjektverzeichnisses auf Entra ID Connector geändert werden, damit Veyon Master tatsächlich das Entra ID Connector Add-on verwendet.
Netzwerkobjektverzeichnis-Backend zu Entra ID Connector ändern
Nun können Sie Veyon Master starten und sollten die Standorte und Computer aus Ihrem Entra-ID-Verzeichnis sehen.
Wichtig
Aufgrund von Einschränkungen in der Windows SSP-Authentifizierungs-API ist es nicht möglich, die Anmeldeauthentifizierung von Veyon mit reinen Cloud-Konten von Entra ID zu verwenden. Bitte verwenden Sie stattdessen die Schlüsseldatei-Authentifizierung oder stellen Sie sicher, dass die Konten einschließlich der Passwort-Hashes mit einem On-Premise-Active Directory synchronisiert sind.