Entra ID-kontakt

Allmänt

Tilläggsprogrammet Veyon Entra ID Connector utökar Veyon Master så att det kan läsa enheter och deras plats från en Entra ID-instans. När det har konfigurerats behöver datorer och platser inte längre underhållas i den inbyggda nätverksobjektkatalogen. En tidigare konfigurerad LDAP/ActiveDirectory-integration kan ersättas med Entra ID Connector efter migrering av en On Premise ActiveDirectory till Entra ID i Azure-molnet.

Initial inställning

Först och främst måste Veyon Add-ons-paketet installeras. Se till att du laddar ner och installerar den version som motsvarar din Veyon-installation, dvs. Veyon 4.9.1 kräver Veyon Add-ons 4.9.1 medan du för Veyon 4.8.3 behöver installera version 4.8.3 av add-ons. Se Utplacering för ytterligare information.

När installationen har slutförts kommer du att se några nya konfigurationssidor i Veyon Configurator-programmet. En av dem heter Entra ID Connector och gör det möjligt att konfigurera tillägget:

../_images/entra-id-configuration.png — Konfigurationssida för Entra ID Connector

Registrering av app

För att kunna fylla i de obligatoriska fälten måste connectorn först registreras i din Entra ID-instans. För att göra detta öppnar du en webbläsare och går till Entra ID-hanteringsområdet i Azure Portal. Här kan du registrera Veyon Entra ID Connector som en applikation:

../_images/entra-id-azure-portal-app-reg-1.png — App-registrering av Veyon Entra ID Connector - Steg 1

Om du klickar på Ny registrering öppnas en ny dialogruta där du måste ange ett lämpligt namn, t.ex. Veyon Entra ID Connector och klicka på Register:

../_images/entra-id-azure-portal-app-reg-2.png — App-registrering av Veyon Entra ID Connector - Steg 2

När appen har registrerats kan du redan se de ID:n som krävs på sidan Overview. Kopiera Application (client) ID och Directory (tenant) ID till motsvarande fält i Veyon Configurator:

../_images/entra-id-azure-portal-app-reg-3.png — App-registrering av Veyon Entra ID Connector - Steg 3

Klienthemligheter

Därefter måste klienthemligheten eller certifikatet konfigureras med vilket Entra ID Connector kan autentisera sig mot Azure-molnet. Öppna sidan Certificates & secrets och klicka på New client secret. Ge hemligheten ett namn och ange när den ska upphöra att gälla. Välj inte en för kort period eftersom du då måste skapa en ny hemlighet och konfigurera om Veyon varje gång en klienthemlighet har löpt ut:

../_images/entra-id-azure-portal-client-secrets-1.png — Skapa klienthemlighet för Veyon Entra ID Connector - Steg 1

När klienthemligheten har skapats måste du kopiera dess värde till fältet Client secret i Veyon Configurator.

../_images/entra-id-azure-portal-client-secrets-2.png — Skapa klienthemlighet för Veyon Entra ID Connector - Steg 2

Viktigt

Värdet för klienthemligheten måste kopieras omedelbart eftersom det bara visas en gång direkt efter att klienthemligheten har skapats. Om du har glömt att kopiera det måste du ta bort hemligheten och skapa en ny.

Du kan nu verifiera att tenant ID, application ID och client secret är korrekta genom att klicka på knappen Test access.

Råd

Ett bra alternativ till klienthemligheter är klientcertifikat. Detta gör det möjligt att lagra hemligheten på en specifik plats där du kan ställa in åtkomstbehörigheter efter önskemål. Annars lagras klienthemligheten (krypterad) som en del av Veyon-konfigurationen.

API-behörigheter

Den sista viktiga uppgiften är att ställa in behörigheterna för den registrerade appen så att Entra ID Connector kan läsa den information som krävs från Entra ID. Navigera till sidan API-behörigheter, klicka på knappen Lägg till en behörighet och välj Microsoft Graph:

../_images/entra-id-azure-portal-app-permissions-1.png — Konfigurera behörigheter för Veyon Entra ID Connector - Steg 1

Nu måste de faktiska behörigheterna väljas. Välj Application permissions, sök efter behörigheten Device.Read.All och markera den:

../_images/entra-id-azure-portal-app-permissions-2.png — Konfigurera behörigheter för Veyon Entra ID Connector - Steg 2

Upprepa detta steg för behörigheterna Group.Read.All, GroupMember.Read.All och User.Read.All. Om dina enheter hanteras via Microsoft Intune och MAC-adresser ska läsas från Intune, lägg också till behörigheten DeviceManagementManagedDevices.Read.All. När du har kontrollerat alla nödvändiga behörigheter klickar du på Lägg till behörigheter.

Det sista steget är att ge administratörens samtycke till dessa behörigheter. Detta kan enkelt göras genom att klicka på Grant admin consent for <YOUR-ORGANIZATION>:

../_images/entra-id-azure-portal-app-permissions-3.png — Konfigurera behörigheter för Veyon Entra ID Connector - Steg 3

Filter

Filter gör det möjligt att bara läsa ut vissa objekt (enheter, användare och grupper) och göra dem tillgängliga för Veyon. Detta beror till stor del på hur objekten är strukturerade i din Entra ID-instans och vilka av dem som krävs för Veyon. Om till exempel säkerhetsgrupper används som platser (rum) kan filtret Device groups filter justeras så att endast grupper som börjar med Room används som platser. I så fall skulle ett lämpligt filter vara startsWith(displayName, 'Room').

Se Operatorer och funktioner som stöds i filteruttryck för mer information.

Enheter

I det här avsnittet kan du konfigurera hur vissa enhetsegenskaper ska hämtas. Displaynamnet används alltid som datornamn, men både värdnamnet och MAC-adressen kan bestämmas på olika sätt.

Källa för värdnamn: Om alla enhetsnamn matchar värdnamnen och kan lösas till IP-adresser med hjälp av en intern DNS-server (BIND, AD DS etc.) kan du behålla standardalternativet Device name. Du bör inte förlita dig på äldre protokoll för namnupplösning, t.ex. NetBIOS. Du kan enkelt verifiera detta genom att köra nslookup <HOSTNAME>. Om enhetsnamnen inte kan lösas av en DNS-server i ditt nätverk rekommenderas att du antingen löser dem via `multicast DNS <https://en.wikipedia.org/wiki/Multicast_DNS>`_ eller lagrar det faktiska värdnamnet eller värdadressen i ett anpassat Hostname-attribut.
MAC-adress källa: Veyon använder MAC-adresser för att starta datorer via Wake-on-LAN. Om du vill utnyttja den här funktionen kan du fylla i varje enhets MAC-adress i ett visst (tilläggs)attribut och ange namnet på detta attribut i fältet MAC-adressattribut. Om dina enheter hanteras via Microsoft Intune kan du också ändra inställningen så att Ethernet- eller Wi-Fi-MAC-adresserna som lagras i Intune används. Beroende på vilket alternativ som väljs läses endast Ethernet- eller Wi-Fi-MAC-adresserna eller en av dem, medan den första prioriteras (dvs. den andra adressen används endast om den första adressen är tom). Glöm inte att lägga till API-behörigheten DeviceManagementManagedDevices.Read.All.

Platser

I Veyon är alla datorer grupperade i platser (rum). För att korrekt gruppera de enheter som läses från Entra ID måste ett lämpligt mappningsläge väljas:

Använd enhetsgrupper

Välj det här läget om dina enheter tillhör (säkerhets)grupper som motsvarar platser. Detta är det mest föredragna sättet eftersom det i Entra ID är ganska enkelt att skapa grupper för varje rum och lägga till enheterna i motsvarande grupper. Troligtvis måste du konfigurera ett lämpligt Device groups filter i avsnittet Filters så att endast dessa grupper (t.ex. som börjar med namnet Room) visas som platser. Alternativt kan du konfigurera namnet på gruppattributet som ska användas som platsnamn. Som standard används gruppens visningsnamn.

Använd enhetens platsattribut

Som ett alternativ till platsbaserade grupper kan platsen för varje dator också lagras i ett attribut (extension). I så fall måste namnet på detta attribut anges.

Extrahera från värdnamn via reguljärt uttryck

Om värdnamnen innehåller rummets eller platsens namn kan du låta Entra ID Connector extrahera platsnamnet. Detta görs genom att tillämpa ett reguljärt uttryck på värdnamnen. Den första fångstgruppen i det reguljära uttrycket används sedan som plats-/datornamn.

Om värdnamnen t.ex. har formatet r<ROOM-NUMBER>-c<COMPUTER-NUMBER> (t.ex. r101-c01.example.org) kan du använda följande reguljära uttryck för att extrahera platsnamnet:

([^-]*)-.*

Den första fångsten (inom parentes) fångar allt fram till det första minustecknet, så platsen som visas i Veyon Master kommer att vara r101.

Se Wikipediaartikeln om reguljära uttryck <https://en.wikipedia.org/wiki/Regular_expression>`_ för mer information om konceptet, syntaxen och tillgängliga mönsteralternativ.

Slutfört

Slutligen måste backend för Network Object Directory ändras till Entra ID Connector så att Veyon Master faktiskt använder Entra ID Connector-tillägget.

../_images/entra-id-backend.png — Ändra backend för nätverksobjektkatalog till Entra ID Connector

Nu kan du starta Veyon Master och bör se platserna och datorerna från din Entra ID-katalog.

Viktigt

På grund av begränsningar i Windows SSP-autentiserings-API är det inte möjligt att använda Veyons logon-autentisering med Entra ID-konton som endast finns i molnet. Använd nyckelfilautentisering istället eller se till att kontona inklusive lösenordshashar synkroniseras med en lokal Active Directory.