ID Connector invoeren

Algemeen

De Veyon Entra ID Connector add-on breidt Veyon Master uit om apparaten en hun locatie uit een Entra ID instantie te lezen. Eenmaal ingesteld, hoeven computers en locaties niet langer te worden onderhouden in de ingebouwde netwerk object directory. Een eerder geconfigureerde LDAP/ActiveDirectory integratie kan worden vervangen door de Entra ID connector na migratie van een On Premise ActiveDirectory naar Entra ID in de Azure cloud.

Eerste installatie

Allereerst moet het pakket Veyon Add-ons worden geïnstalleerd. Zorg ervoor dat u de versie downloadt en installeert die overeenkomt met uw Veyon installatie, d.w.z. Veyon 4.9.1 vereist Veyon Add-ons 4.9.1 terwijl u voor Veyon 4.8.3 versie 4.8.3 van de add-ons moet installeren. Raadpleeg voor meer informatie Implementatie.

Nadat de installatie is voltooid, ziet u enkele nieuwe configuratiepagina’s in het Veyon Configurator programma. Een daarvan heet Entra ID Connector en maakt het mogelijk om de add-on in te stellen:

../_images/entra-id-configuration.png

Configuratiepagina Entra ID Connector

App registratie

Om de vereiste velden in te vullen, moet de connector eerst worden geregistreerd in je Entra ID instance. Open hiervoor een webbrowser en nagivate naar de Entra ID management area in de Azure Portal. Hier kunt u de Veyon Entra ID Connector als applicatie registreren:

../_images/entra-id-azure-portal-app-reg-1.png

App registratie van de Veyon Entra ID Connector - Stap 1

Door te klikken op Nieuwe registratie wordt een nieuw dialoogvenster geopend waarin u een geschikte naam moet invoeren, bijv. Veyon Entra ID Connector en klik op Registreren:

../_images/entra-id-azure-portal-app-reg-2.png

App registratie van de Veyon Entra ID Connector - Stap 2

Nadat de app is geregistreerd, kunt u de vereiste ID’s al zien in de Overview pagina. Kopieer de Application (client) ID en Directory (tenant) ID naar de overeenkomstige velden in de Veyon Configurator:

../_images/entra-id-azure-portal-app-reg-3.png

App-registratie van de Veyon Entra ID Connector - Stap 3

Klantgeheimen

Vervolgens moet het client geheim of certificaat worden geconfigureerd waarmee de Entra ID Connector zich kan aanmelden bij de Azure cloud. Open de Certificates & secrets pagina en klik op New client secret. Geef het geheim een naam en geef aan wanneer het verloopt. Kies geen te korte periode, aangezien u een nieuw geheim moet aanmaken en Veyon opnieuw moet configureren telkens wanneer een client geheim is verlopen:

../_images/entra-id-azure-portal-client-secrets-1.png

Clientgeheim aanmaken voor de Veyon Entra ID Connector - Stap 1

Nadat de client geheim is aangemaakt, moet u de waarde ervan kopiëren naar het veld Client secret in de Veyon Configurator.

../_images/entra-id-azure-portal-client-secrets-2.png

Clientgeheim voor de Veyon Entra ID Connector aanmaken - Stap 2

Belangrijk

De waarde van de cliëntgeheimen moet direct worden gekopieerd, omdat ze maar één keer worden getoond direct na het aanmaken van de cliëntgeheimen. Als je het vergeten bent te kopiëren, moet je het geheim verwijderen en een nieuwe aanmaken.

U kunt nu controleren of de tenant-ID, de applicatie-ID en het clientgeheim correct zijn door op de knop Test toegang te klikken.

Hint

Een goed alternatief voor client geheimen zijn client certificaten. Dit maakt het mogelijk om het geheim op een specifieke locatie op te slaan waar u de toegangsrechten naar wens kunt instellen. Anders wordt het client geheim (versleuteld) opgeslagen als onderdeel van de Veyon Configuratie.

API-rechten

De laatste belangrijke taak is het instellen van de machtigingen voor de geregistreerde app zodat de Entra ID Connector de vereiste informatie van Entra ID kan lezen. Navigeer naar de API-machtigingen pagina, klik op de Een toestemming toevoegen knop en selecteer Microsoft Graph:

../_images/entra-id-azure-portal-app-permissions-1.png

Machtigingen instellen voor de Veyon Entra ID Connector - Stap 1

Nu moeten de eigenlijke machtigingen worden geselecteerd. Selecteer Toepassingsrechten, zoek naar de toestemming Device.Read.All en vink deze aan:

../_images/entra-id-azure-portal-app-permissions-2.png

Machtigingen instellen voor de Veyon Entra ID Connector - Stap 2

Herhaal deze stap voor de machtigingen Group.Read.All, GroupMember.Read.All en User.Read.All. Als uw apparaten worden beheerd via Microsoft Intune en MAC-adressen moeten worden gelezen vanuit Intune, voeg dan ook de machtiging DeviceManagementManagedDevices.Read.All toe. Nadat u alle vereiste machtigingen hebt gecontroleerd, klikt u op Machtigingen toevoegen.

The last step is to grant admin consent for these permissions. This can easily be done by clicking on Grant admin consent for <YOUR-ORGANIZATION>:

../_images/entra-id-azure-portal-app-permissions-3.png

Machtigingen instellen voor de Veyon Entra ID Connector - Stap 3

Filters

Met filters kunt u alleen bepaalde objecten (apparaten, gebruikers en groepen) uitlezen en beschikbaar maken voor Veyon. Dit hangt grotendeels af van hoe de objecten in uw Entra ID-instantie zijn gestructureerd en welke daarvan nodig zijn voor Veyon. Als bijvoorbeeld beveiligingsgroepen worden gebruikt als locaties (ruimtes), kan het Apparaatgroepenfilter dienovereenkomstig worden aangepast, zodat alleen groepen die beginnen met Ruimte als locaties worden gebruikt. In dat geval zou een geschikt filter startsWith(displayName, ‘Ruimte’) zijn.

Zie Bedieningselementen en functies ondersteund in filterexpressies voor meer informatie.

Apparaten

In dit gedeelte kunt u configureren hoe bepaalde apparaateigenschappen worden opgehaald. Hoewel de weergavenaam altijd als computernaam wordt gebruikt, kunnen zowel de hostnaam als het MAC-adres op verschillende manieren worden bepaald.

Bron van hostnaam

Als alle apparaatnamen overeenkomen met de hostnamen en kunnen worden omgezet naar IP-adressen met behulp van een interne DNS-server (BIND, AD DS enz.), kunt u de standaardoptie Apparaatnaam behouden. U moet niet vertrouwen op verouderde naamresolutieprotocollen zoals NetBIOS. U kunt dit eenvoudig controleren door nslookup <HOSTNAME>. uit te voeren. Als de apparaatnamen niet kunnen worden omgezet door een DNS-server in uw netwerk, wordt aanbevolen om ze om te zetten via multicast DNS of de daadwerkelijke hostnaam of het hostadres op te slaan in een aangepast Hostnaamattribuut.

MAC-adres bron

Veyon gebruikt MAC-adressen om computers in te schakelen via Wake-on-LAN. Als u van deze functie gebruik wilt maken, kunt u de MAC-adressen van elk apparaat invullen in een bepaald (uitbreidings)attribuut en de naam van dit attribuut invoeren in het veld MAC-adresattribuut. Als uw apparaten worden beheerd via Microsoft Intune, kunt u de instelling ook wijzigen om de Ethernet- of Wi-Fi-MAC-adressen te gebruiken die zijn opgeslagen in Intune. Afhankelijk van de geselecteerde optie worden alleen de Ethernet- of Wi-Fi-MAC-adressen gelezen of een van beide, waarbij de eerste voorrang krijgt (d.w.z. het 2e adres wordt alleen gebruikt als het eerste adres leeg is). Vergeet niet de API-machtiging DeviceManagementManagedDevices.Read.All toe te voegen.

Locaties

In Veyon worden alle computers gegroepeerd op locatie (ruimtes). Om de apparaten die worden gelezen vanuit Entra ID correct te groeperen, moet een geschikte mappingmodus worden gekozen:

Apparaatgroepen gebruiken

Selecteer deze modus als uw apparaten behoren tot (beveiligings)groepen die overeenkomen met locaties. Dit is de meest aanbevolen manier, aangezien het in Entra ID vrij eenvoudig is om groepen voor elke ruimte aan te maken en de apparaten aan de overeenkomstige groepen toe te voegen. Waarschijnlijk moet u een geschikt Apparaatgroepenfilter configureren in het gedeelte Filters, zodat alleen deze groepen (bijvoorbeeld beginnend met de naam Room) als locaties worden weergegeven. Optioneel kunt u de naam van het groepsattribuut configureren dat als locatienaam moet worden gebruikt. Standaard wordt de weergavenaam van de groep gebruikt.

Gebruik locatiekenmerk van apparaat

Als alternatief voor locatiegebaseerde groepen kan de locatie van elke computer ook worden opgeslagen in een (uitbreidings)attribuut. In dat geval moet de naam van dit attribuut worden opgegeven.

Extractie uit hostnaam via standaard expressie

Als de hostnamen de naam van de kamer of locatie bevatten, kunt u Entra ID Connector de locatienaam laten extraheren. Dit gebeurt door een reguliere expressie toe te passen op de hostnamen. De eerste capture-groep van de reguliere expressie wordt vervolgens gebruikt als locatie-/computernaam.

Als de hostnamen bijvoorbeeld de indeling r<ROOM-NUMBER>-c<COMPUTER-NUMBER> (bijvoorbeeld r101-c01.example.org), kunt u de volgende reguliere expressie gebruiken om de locatienaam te achterhalen:

([^-]*)-.*

De eerste opname (tussen accolades) vangt alles op tot het eerste minteken, zodat de locatie die in Veyon Master wordt weergegeven r101 is.

Raadpleeg het Wikipedia-artikel over reguliere expressies voor meer informatie over het concept, de syntaxis en beschikbare patroonopties.

Voltooiing

Ten slotte moet de backend van de netwerkobjectdirectory worden gewijzigd in Entra ID Connector, zodat Veyon Master de add-on Entra ID Connector daadwerkelijk gebruikt.

../_images/entra-id-backend.png

Netwerkobjectdirectory wijzigen in Entra ID Connector

Nu kunt u Veyon Master starten en zou u de locaties en computers uit uw Entra ID directory moeten zien.

Belangrijk

Vanwege beperkingen in de Windows SSP-authenticatie-API is het niet mogelijk om Veyon’s logon-authenticatie te gebruiken met cloud-only Entra ID-accounts. Gebruik in plaats daarvan sleutelbestandauthenticatie of zorg ervoor dat de accounts, inclusief wachtwoord-hashes, worden gesynchroniseerd met een On Premise Active Directory.