З’єднувач Entra ID

Загальні

Додаток Veyon Entra ID Connector розширює Veyon Master для читання даних щодо пристроїв та їхнього розташування з примірника Entra ID. Після налаштовування комп’ютери та розташування більше не потрібно підтримувати у вбудованому каталозі об’єктів мережі. Попередньо налаштовану інтеграцію LDAP/ActiveDirectory можна замінити з’єднувачем Entra ID після перенесення локальної ActiveDirectory на Entra ID у хмарі Azure.

Початкове налаштовування

Перш за все потрібно встановити пакунок додатків Veyon. Обов’язково завантажте та встановіть версію, яка відповідає встановленому вами екземпляру Veyon, тобто для Veyon 4.9.1 потрібні додатки Veyon 4.9.1, а для Veyon 4.8.3 вам потрібно встановити додатки версії 4.8.3. Для отримання додаткової інформації зверніться до розділу Розгортання.

Після завершення встановлення ви побачите нові сторінки налаштувань у програмі для налаштовування Veyon. Одна з них називається Entra ID Connector і надає можливість налаштувати додаток:

../_images/entra-id-configuration.png — Сторінка налаштовування Entra ID Connector

Реєстрація програми

Щоб заповнити обов’язкові поля, засіб з’єднання потрібно спочатку зареєструвати у вашому екземплярі Entra ID. Для цього відкрийте веббраузер і перейдіть до області керування Entra ID на порталі Azure. Тут ви можете зареєструвати Veyon Entra ID Connector як додаток:

../_images/entra-id-azure-portal-app-reg-1.png — Реєстрація програми Veyon Entra ID Connector – Крок 1

Натискання кнопки Нова реєстрація відкриває нове діалогове вікно, де слід ввести відповідну назву, напр. Veyon Entra ID Connector і натисніть Реєстрація:

../_images/entra-id-azure-portal-app-reg-2.png — Реєстрація програми Veyon Entra ID Connector – Крок 2

Після реєстрації програми ви вже можете побачити необхідні ідентифікатори на сторінці Огляд. Скопіюйте ідентифікатор програми (клієнта) і ідентифікатор (тимчасового) каталогу у відповідні поля у засобі налаштовування Veyon:

../_images/entra-id-azure-portal-app-reg-3.png — Реєстрація програми Veyon Entra ID Connector – Крок 3

Реєстраційні дані клієнта

Далі слід налаштувати ключ або сертифікат клієнта, за допомогою якого засіб з’єднання Entra ID може автентифікувати себе в хмарі Azure. Відкрийте сторінку Сертифікати та ключі та натисніть Новий ключ клієнта. Дайте ключу назву та вкажіть, коли завершиться строк його дії. Не вибирайте занадто короткий період, оскільки вам доведеться створювати новий ключ і переналаштовувати Veyon щоразу, коли термін дії ключа клієнта завершиться:

../_images/entra-id-azure-portal-client-secrets-1.png — Створення клієнтського ключа для засобу з’єднаня Veyon Entra ID Connector – крок 1

Після створення ключа клієнта вам слід скопіювати його значення до поля Ключ клієнта у засобі налаштовування Veyon.

../_images/entra-id-azure-portal-client-secrets-2.png — Створення клієнтського ключа для засобу з’єднаня Veyon Entra ID Connector – крок 2

Важливо

Значення ключа клієнта слід скопіювати негайно, оскільки його буде показано лише раз, одразу після створення ключа клієнта. Якщо ви забудете його скопіювати, вам доведеться вилучити ключ і створити новий.

Тепер ви можете перевірити ідентифікатор власника, ідентифікатор програми та ключ клієнта натисканням кнопки Перевірити доступ.

Підказка

Доброю альтернативою ключам клієнта є сертифікати клієнта. Це надає можливість зберігати дані у вказаному місці, де ви зможете встановити бажаним чином права доступу. Якщо цього не зробити, ключ клієнта буде збережено (зашифровано) як частину налаштувань Veyon.

Права доступу до програмного інтерфейсу

Останнім важливим завданням є налаштування прав доступу для зареєстрованої програми, щоб засіб з’єднання Entra ID міг зчитати необхідну інформацію з Entra ID. Перейдіть на сторінку Права доступу до програмного інтерфейсу, натисніть кнопку Додати права доступу і виберіть Microsoft Graph:

../_images/entra-id-azure-portal-app-permissions-1.png — Налаштовування прав доступу для Veyon Entra ID Connector – крок 1

Тепер слід вибрати фактичні права доступу. Виберіть Права доступу до програм, знайдіть пункт прав доступу Device.Read.All і позначте його:

../_images/entra-id-azure-portal-app-permissions-2.png — Налаштовування прав доступу для Veyon Entra ID Connector – крок 2

Повторіть цей крок для прав доступу Group.Read.All, GroupMember.Read.All і User.Read.All. Якщо ви керуєте вашими пристроями за допомогою Microsoft Intune, і MAC-адреси має бути прочитано з from, також додайте права доступу DeviceManagementManagedDevices.Read.All. Після перевірки всіх необхідних прав доступу натисніть Додати права доступу.

Останнім кроком є надання згоди адміністратора на ці права доступу. Це можна легко зробити, натиснувши Надати згоду адміністратор для 1:

../_images/entra-id-azure-portal-app-permissions-3.png — Налаштовування прав доступу для Veyon Entra ID Connector – крок 3

Фільтри

Фільтри дають змогу зчитувати лише певні об’єкти (пристрої, користувачі та групи) і робити їх доступними для Veyon. Це значною мірою залежить від того, як структуровано об’єкти у вашому екземплярі Entra ID і які з них потрібні для Veyon. Якщо, наприклад, групи безпеки використовуються як розташування (кімнати), Фільтр груп пристоїв можна відповідно налаштувати так, щоб як розташування використовувалися лише групи, які починаються з Room . У цьому випадку відповідним фільтром буде startsWith(displayName, 'Room').

Перегляньте `Оператори та функції, підтримку яких передбачено у виразах фільтрів <https://learn.microsoft.com/en-US/graph/filter-query-parameter?tabs=http#operators-and-functions-supported-in-filter-expressions> `_ для отримання додаткової інформації.

Пристрої

У цьому розділі ви можете налаштувати спосіб отримання певних властивостей пристрою. Хоча для назви комп’ютера завжди буде використано показану назву, назву вузла та MAC-адресу можна визначити різними способами.

Джерело назви вузла: Якщо всі назви пристроїв збігаються з назвами вузлів і можуть бути перетворені на IP-адреси за допомогою внутрішнього DNS-сервера (BIND, AD DS тощо), ви можете залишити типовий варіант для параметра Назва пристрою. Не слід покладатися на застарілі протоколи визначення назв, такі як NetBIOS. Ви можете легко перевірити це, запустивши ``nslookup ``. Якщо назви пристроїв не можуть бути розпізнані DNS-сервером у вашій мережі, рекомендуємо визначати їх на основі трансляційного DNS або зберегти фактичну назву вузла або адресу вузла у спеціальному атрибуті назви вузла.
Джерело MAC-адрес: Veyon використовує MAC-адреси для вмикання комп’ютерів за допомогою Wake-on-LAN. Якщо ви хочете скористатися цією функцією, ви можете заповнити MAC-адреси кожного пристрою у певному атрибуті (розширення) і ввести назву цього атрибута в поле Атрибут MAC-адреси. Якщо вашими пристроями керують через Microsoft Intune, ви також можете змінити налаштування, щоб використовувати MAC-адреси Ethernet або Wi-Fi, збережені в Intune. Залежно від вибраного варіанта, зчитуються лише MAC-адреси Ethernet або Wi-Fi або одна з них, у той час як перша має пріоритет (тобто друга адреса використовується, лише якщо перша адреса порожня). Не забудьте додати права доступу програмного інтерфейсу DeviceManagementManagedDevices.Read.All.

Місця

У Veyon усі комп’ютери групуються за місцями (кімнатами). Щоб належним чином згрупувати пристрої, які прочитано з Entra ID, слід вибрати належний режим прив’язування:

Використовувати групи пристроїв

Виберіть цей режим, якщо ваші пристрої належать до груп (безпеки), які відповідають місцям. Це найбільш бажаний спосіб, оскільки в Entra ID досить легко створювати групи для кожної кімнати та додавати пристрої до відповідних груп. Швидше за все, вам доведеться налаштувати відповідний Фільтр груп пристроїв у розділі Фільтри, щоб лише ці групи (наприклад, що починаються зі слова Кімната) було показано у списку місць. Якщо хочете можете налаштувати назву атрибута групи, який використовуватиметься як назва місця. Типово буде використано показану назву групи.

Використовувати атрибут місця пристрою

Альтернативно групам на основі місця, можна зберігати в атрибуті (розширенні) місце кожного комп’ютера. У цьому випадку слід вказати назву цього атрибута.

Видобути із назви вузла за допомогою формального виразу

Якщо назва кімнати або місця міститься у назвах вузлів, ви можете дозволити Entra ID Connector отримати назву місця. Це робиться шляхом застосування формального виразу до назв вузлів. Потім перша група захоплення формального виразу використовується як назва місця або комп’ютера.

Наприклад, якщо назви вузлів мають формат r<ROOM-NUMBER>-c<COMPUTER-NUMBER> (наприклад r101-c01.example.org), ви можете скористатися таким формальним виразом для видобування назви місця:

([^-]*)-.*

У першому захопленні (у дужках) буде усе, аж до першого символу мінуса, тому місцем, яке буде показано у Veyon Master, є r101.

Будь ласка, зверніться до статті у Вікіпедії щодо формальних виразів, щоб дізнатися більше про поняття, синтаксис та можливі варіанти взірців.

Завершення

Нарешті, модуль керування каталогом мережевих об’єктів слід змінити на Entra ID Connector, щоб Veyon Master насправді використовував додаток засобу з’єднання Entra ID.

../_images/entra-id-backend.png — Зміна модуля каталогу мережевих об’єктів на Entra ID Connector

Тепер ви можете запустити Veyon Master і маєте побачити місця і комп’ютери з вашого каталогу Entra ID.

Важливо

Через обмеження у програмному інтерфейсі розпізнавання Windows SSP не можна використовувати розмізнавання на вході Veyon з хмарними обліковими записами Entra ID. Натомість використовуйте розпізнавання за файлом ключа або переконайтеся, що облікові записи, включаючи хеші паролів, синхронізовано з локальним каталогом Active Directory.