ID connettore Entra

Generale

Il componente aggiuntivo Veyon Entra ID Connector estende Veyon Master per leggere i dispositivi e la loro posizione da un’istanza Entra ID. Una volta configurati, i computer e le posizioni non devono più essere mantenuti nella directory degli oggetti di rete incorporata. Un’integrazione LDAP/ActiveDirectory configurata in precedenza può essere sostituita con il connettore Entra ID dopo aver migrato un On Premise ActiveDirectory a Entra ID nel cloud di Azure.

Configurazione iniziale

Prima di tutto è necessario installare il pacchetto Veyon Add-ons. Assicurati di scaricare e installare la versione corrispondente alla tua installazione Veyon, ovvero Veyon 4.9.1 richiede Veyon Add-ons 4.9.1 mentre per Veyon 4.8.3 devi installare la versione 4.8.3 degli add-ons. Per ulteriori informazioni, fai riferimento a Deployment.

Una volta completata l’installazione, vedrai alcune nuove pagine di configurazione nel programma Veyon Configurator. Una di queste si chiama Entra ID Connector e consente di impostare l’add-on:

../_images/entra-id-configuration.png

Pagina di configurazione del connettore Entra ID

Registrazione dell’app

Per compilare i campi richiesti, il connettore deve essere prima registrato nella tua istanza Entra ID. Per farlo, apri un browser Web e vai all’area di gestione Entra ID nel portale di Azure. Qui puoi registrare Veyon Entra ID Connector come applicazione:

../_images/entra-id-azure-portal-app-reg-1.png

Registrazione dell’app del connettore ID Veyon Entra – Fase 1

Cliccando su Nuova registrazione si apre una nuova finestra di dialogo in cui è necessario immettere un nome appropriato, ad esempio Veyon Entra ID Connector e cliccare su Registra:

../_images/entra-id-azure-portal-app-reg-2.png

Registrazione dell’app del connettore ID Veyon Entra – Fase 2

Dopo che l’app è stata registrata, puoi già vedere gli ID richiesti nella pagina Panoramica. Copia Application (client) ID e Directory (tenant) ID nei campi corrispondenti nel Veyon Configurator:

../_images/entra-id-azure-portal-app-reg-3.png

Registrazione dell’app del connettore ID Veyon Entra – Fase 3

Client segreti

Successivamente, il client segreto o il certificato devono essere configurati con cui Entra ID Connector può autenticarsi nel cloud di Azure. Apri la pagina Certificati e segreti e clicca su Nuovo client secreto. Assegna un nome al segreto e specifica quando scadrà. Non scegliere un periodo troppo breve, perché devi creare un nuovo segreto e riconfigurare Veyon ogni volta che un client segreto è scaduto:

../_images/entra-id-azure-portal-client-secrets-1.png

Creare il client client per il connettore ID Veyon Entra – Passaggio 1

Dopo aver creato il client segreto è necessario copiarne il valore nel campo Client segreto nel Veyon Configurator.

../_images/entra-id-azure-portal-client-secrets-2.png

Creare il client segreto per il connettore ID Veyon Entra – Passaggio 2

Importante

Il valore del client segreto deve essere copiato immediatamente poiché viene mostrato solo una volta subito dopo la creazione del client segreto. Se hai dimenticato di copiarlo, devi eliminare il segreto e crearne uno nuovo.

Ora puoi verificare che l’ID tenant, l’ID applicazione e il client segreto siano corretti cliccando sul pulsante Test di accesso.

Suggerimento

Una buona alternativa ai client segreti sono i certificati client. Ciò consente di archiviare il segreto in una posizione specifica in cui è possibile impostare i permessi di accesso come desiderato. Altrimenti, il client segreto viene archiviato (criptato) come parte della configurazione Veyon.

Autorizzazioni API

L’ultimo compito importante è impostare i permessi per l’app registrata in modo che Entra ID Connector possa leggere le informazioni richieste da Entra ID. Passa alla pagina Permessi API, fai clic sul pulsante Aggiungi un permesso e seleziona Microsoft Graph:

../_images/entra-id-azure-portal-app-permissions-1.png

Impostare le autorizzazioni per il connettore ID Veyon Entra – Passaggio 1

Ora bisogna selezionare i permessi effettivi. Selezionare Permessi applicazione, cercare il permesso Device.Read.All e verificarlo:

../_images/entra-id-azure-portal-app-permissions-2.png

Impostare le autorizzazioni per il connettore ID Veyon Entra – Passaggio 2

Ripetere questo passaggio per i permessi Group.Read.All, GroupMember.Read.All e User.Read.All. Dopo aver verificato tutti i permessi richiesti, fare clic su Aggiungi permessi.

L’ultimo passaggio è concedere il consenso amministratore per queste autorizzazioni. Questo può essere fatto facilmente cliccando su Concedi il consenso amministratore per <YOUR-ORGANIZATION>:

../_images/entra-id-azure-portal-app-permissions-3.png

Impostare le autorizzazioni per il connettore ID Veyon Entra – Passaggio 3

Filtri

I filtri consentono di leggere solo determinati oggetti (dispositivi, utenti e gruppi) e di renderli disponibili per Veyon. Ciò dipende in gran parte da come sono strutturati gli oggetti nella tua istanza Entra ID e da quali di essi sono richiesti per Veyon. Se, ad esempio, i gruppi di sicurezza vengono utilizzati come posizioni (stanze), il filtro gruppi dispositivi può essere regolato di conseguenza in modo che solo i gruppi che iniziano con Stanza vengano utilizzati come posizioni. In tal caso, un filtro adatto sarebbe startsWith(displayName, 'Stanza').

Per ulteriori informazioni, vedere Operatori e funzioni supportati nelle espressioni di filtro.

Dispositivi

In questa sezione puoi configurare come vengono recuperate alcune proprietà del dispositivo. Mentre il nome visualizzato viene sempre utilizzato come nome del computer, sia il nome host che l’indirizzo MAC possono essere determinati in modi diversi.

Origine del nome host

Se tutti i nomi dispositivo corrispondono ai nomi host e possono essere risolti in indirizzi IP tramite un server DNS interno (BIND, AD DS ecc.), puoi mantenere l’opzione predefinita Nome dispositivo. Non dovresti affidarti a protocolli di risoluzione dei nomi legacy come NetBIOS. Puoi facilmente verificarlo eseguendo nslookup <HOSTNAME>. Se i nomi dei dispositivi non possono essere risolti da un server DNS nella rete, si consiglia di risolverli tramite multicast DNS oppure di memorizzare il nome host o l’indirizzo host effettivo in un attributo Hostname personalizzato.

Origine indirizzo MAC

Veyon utilizza gli indirizzi MAC per accendere i computer tramite Wake-on-LAN. Se vuoi sfruttare questa funzionalità, puoi popolare gli indirizzi MAC di ogni dispositivo in un determinato attributo (estensione) e immettere il nome di questo attributo nel campo attributo indirizzo MAC. Se i tuoi dispositivi sono gestiti tramite Microsoft Intune, puoi anche modificare l’impostazione per utilizzare gli indirizzi MAC Ethernet o Wi-Fi memorizzati in Intune. A seconda dell’opzione selezionata, vengono letti solo gli indirizzi MAC Ethernet o Wi-Fi oppure uno di essi mentre il primo è prioritario (ad esempio, il 2° indirizzo viene utilizzato solo se il 1° indirizzo è vuoto).

Posizioni

In Veyon tutti i computer sono raggruppati in posizioni (stanze). Per raggruppare correttamente i dispositivi letti dall’ID Entra, è necessario scegliere una modalità di mappatura adatta:

Utilizzare gruppi di dispositivi

Seleziona questa modalità se i tuoi dispositivi appartengono a gruppi (di sicurezza) che corrispondono a posizioni. Questo è il modo più preferito poiché in Entra ID è abbastanza facile creare gruppi per ogni stanza e aggiungere i dispositivi ai gruppi corrispondenti. Molto probabilmente dovrai configurare un Filtro gruppi dispositivi adatto nella sezione Filtri in modo che solo questi gruppi (ad esempio che iniziano con il nome Stanza) vengano visualizzati come posizioni. Facoltativamente puoi configurare il nome dell’attributo di gruppo da utilizzare come nome di posizione. Per impostazione predefinita viene utilizzato il nome visualizzato del gruppo.

Utilizza l’attributo di posizione del dispositivo

In alternativa ai gruppi basati sulla posizione, la posizione di ogni computer può anche essere memorizzata in un attributo (estensione). In questo caso, il nome di questo attributo deve essere specificato.

Estrai dal nome host tramite espressione regolare

Se i nomi host contengono il nome della stanza o della posizione, puoi lasciare che Entra ID Connector estragga il nome della posizione. Questo viene fatto applicando un’espressione regolare sui nomi host. Il primo gruppo di cattura dell’espressione regolare viene quindi utilizzato come nome della posizione/computer.

Ad esempio, se i nomi host hanno il formato r<ROOM-NUMBER>-c<COMPUTER-NUMBER> (es. r101-c01.example.org), puoi usare la seguente espressione regolare per estrarre il nome della posizione:

([^-]*)-.*

La prima cattura (tra parentesi graffe) cattura tutto fino al primo segno meno, quindi la posizione visualizzata in Veyon Master sarà r101.

Per maggiori informazioni sul concetto, la sintassi e le opzioni di pattern disponibili, fare riferimento all’articolo di Wikipedia sulle espressioni regolari <https://en.wikipedia.org/wiki/Regular_expression>.

Completamento

Infine, la directory backend dell’oggetto di rete deve essere modificata in Entra ID Connector in modo che Veyon Master utilizzi effettivamente il componente aggiuntivo Entra ID Connector.

../_images/entra-id-backend.png

Cambia la directory dell’oggetto di rete backend in Entra ID Connector

Ora puoi avviare Veyon Master e dovresti vedere le posizioni e i computer dalla directory del tuo ID Entra.

Importante

A causa delle limitazioni nell’API di autenticazione Windows SSP, non è possibile utilizzare l”autenticazione di accesso di Veyon con account Entra ID solo cloud. Utilizzare invece l”autenticazione file chiave o assicurarsi che gli account, inclusi gli hash delle password, siano sincronizzati con un” Active Directory Locale.