Microsoft Entra ID mit Relution verknüpfen

Einleitung

Mit der Verknüpfung von Microsoft Entra ID und Relution schaffen Sie die Grundlage für Microsoft-basierte Integrationen in Ihrer Organisation. Dazu zählen beispielsweise die Anbindung von Windows-Geräten sowie die Nutzung weiterer Microsoft-Dienste in Verbindung mit Relution.

Darüber hinaus können Benutzer:innen und Gruppen aus Microsoft Entra ID mit Relution synchronisiert werden. Dadurch lassen sich Benutzerkonten zentral in Microsoft verwalten und automatisch in Relution bereitstellen.

Damit sich synchronisierte Benutzer:innen anschließend an Relution anmelden können, muss zusätzlich die OIDC-Authentifizierung eingerichtet werden. Sollen Zugriffe über Conditional Access abgesichert werden, ist sowohl die Verknüpfung von Microsoft Entra ID als auch die Einrichtung von OIDC erforderlich.

Die dafür notwendigen Einstellungen werden teils in Relution und teils im Microsoft-Entra-Adminbereich vorgenommen.

Voraussetzungen

Für die Verknüpfung von Microsoft Entra ID mit Relution müssen folgende Voraussetzungen erfüllt sein:

  • eine bestehende Microsoft-Entra ID- bzw. Azure-Umgebung
  • ausreichende Berechtigungen in Microsoft Entra, in der Regel als Globaler Administrator
  • ein erreichbarer Relution-Server
  • die Server-URL von Relution, die später in Microsoft Entra hinterlegt wird

Verknüpfung in Relution aufrufen

Im Relution-Portal finden Sie den Bereich für die Einrichtung unter Einstellungen > Benutzerverwaltung > Entra ID.

Dort unterstützt eine Anleitung bei der Konfiguration und Verknüpfung mit Microsoft Entra.

Entra ID Verknüpfung in Relution Einstellungen unter Benutzerverwaltung öffnen

Hinzufügen der MDM-Anwendung

Zuerst wird eine neue MDM-Anwendung in Microsoft Entra angelegt und mit den Angaben aus der Relution-Anleitung vervollständigt.

Neue MDM-Anwendung in Azure Active Directory anlegen und konfigurieren

Fügen Sie die Domäne des entsprechenden Relution-Servers in Microsoft Entra ID unter Namen der benutzerdefinierten Domänen hinzu. Dies kann einige Zeit in Anspruch nehmen. Weitere Informationen finden Sie in der Microsoft-Dokumentation.

Microsoft Dokumentation →

Benutzerdefinierte Domäne des Relution-Servers in Azure Active Directory hinzufügen

Unter Mobilität (MDM und MAM) wird anschließend die gewünschte MDM-Anwendung hinzugefügt und aktiviert:

MDM-Anwendung unter Mobilität in Azure Active Directory aktivieren

  1. Wählen Sie die Kachel On-Premises MDM Applikation unten rechts.
  2. Vergeben Sie einen Namen.
  3. Klicken Sie auf Hinzufügen.

On-Premises MDM Applikation in Azure auswählen und benennen

Nun wird die neue MDM-Anwendung mit den Angaben der Relution-Anleitung konfiguriert:

  1. Wählen Sie für MDM-Benutzerbereich die gewünschte Einstellung.
  2. Tragen Sie die URL zu den MDM-Nutzungsbedingungen aus Relution ein:
https://serverurl/api/device/v1/windows/termsOfUse

Microsoft fragt diese URL vor jeder Einschreibung ab. Es wird keine Webseite aufgerufen.

  1. Tragen Sie die MDM discovery URL ein.
https://serverurl
  1. Klicken Sie auf Speichern.

MDM-Benutzerbereich und Discovery-URL für Relution in Azure MDM-Anwendung konfigurieren

Vornehmen der MDM-Anwendungseinstellungen

Nachdem die neue MDM-Anwendung erstellt ist, können die lokalen MDM-Anwendungseinstellungen in Microsoft Entra vorgenommen werden. Hierbei ist es zwingend erforderlich, dass folgende Angaben aus Microsoft Entra in die Relution-Anleitung übertragen werden:

  1. Anwendungs-ID (Client)
  2. Verzeichnis-ID (Mandant)
  3. Wert des Geheimen Clientschlüssel

Anwendungs-ID und Verzeichnis-ID der Azure MDM-Anwendung für Relution kopieren

Klicken Sie anschließend in den lokalen MDM-Anwendungseinstellungen zum Bearbeiten auf Anwendungs-ID-URI.

Anwendungs-ID-URI der Azure MDM-Anwendung bearbeiten

Tragen Sie in der nachfolgenden Ansicht für Anwendungs-ID-URI die entsprechende Server-URL ein.

Server-URL als Anwendungs-ID-URI in Azure MDM-Anwendung eintragen

Als Nächstes fügen Sie einen Geheimen Clientschlüssel (Client Secret) unter Zertifikate & Geheimnisse hinzu:

  1. Klicken Sie auf Neuer geheimer Clientschlüssel im Tab Geheime Clientschlüssel.
  2. Geben Sie im Dialogfenster Geheimen Clientschlüssel hinzufügen eine Beschreibung und die Gültigkeit an.
  3. Klicken Sie auf Hinzufügen.

Wenn der Gültigkeitszeitraum abgelaufen ist, besteht keine Verbindung mehr und Relution kann nicht mit Microsoft Entra kommunizieren. In diesem Fall muss ein neuer Geheimer Clientschlüssel für die Anwendung in Microsoft Entra erzeugt und erneut in Relution übertragen werden.

Geheimen Clientschlüssel unter Zertifikate und Geheimnisse in Azure hinzufügen

Anschließend wird in der Auflistung unter dem Tab Geheime Clientschlüssel der neue Eintrag angezeigt.

Der dazugehörige Wert wird nur einmalig angezeigt und muss zwingend kopiert und in Relution übertragen werden.

Konfigurieren der API-Berechtigungen

Im nächsten Schritt werden die API-Berechtigungen konfiguriert:

API-Berechtigungen für Azure Autopilot MDM-Anwendung in Relution konfigurieren

Es kann sein, dass hier nachträglich neue Berechtigungen hinzugefügt werden müssen, wenn zukünftig weitere Funktionen von Microsoft genutzt werden.

Folgende Einstellungen müssen in Microsoft Entra durchgeführt werden:

  1. Klicken Sie unter API-Berechtigungen > Konfigurierte Berechtigungen auf Berechtigung hinzufügen.
  2. Wählen Sie Microsoft Graph unter Microsoft-APIs im Dialogfenster API-Berechtigungen anfordern aus.

Microsoft Graph unter Microsoft-APIs für API-Berechtigungen in Azure auswählen

  1. Wählen Sie im nächsten Schritt die Kachel Anwendungsberechtigungen aus.

Anwendungsberechtigungen für Microsoft Graph in Azure Autopilot auswählen

  1. Wählen Sie User.Read.All für User aus.

User.Read.All Berechtigung für Microsoft Graph in Azure Autopilot aktivieren

  1. Wählen Sie Group.Read.All für Group aus.

Group.Read.All Berechtigung für Microsoft Graph in Azure Autopilot aktivieren

  1. Wählen Sie Device.ReadWrite.All für Device aus und bestätigen Sie die Auswahl mit Berechtigungen hinzufügen.

Device.ReadWrite.All Berechtigung für Microsoft Graph in Azure Autopilot hinzufügen

Bei den neu hinzugefügten API-Berechtigungen wird als Status initial ein Ausrufezeichen angezeigt. Administrator:innen müssen hier einmal zustimmen, damit Microsoft Graph die Berechtigungen letztlich auch erhält. Anschließend wird der Status mit grünem Häkchen für Gewährt dargestellt und die Berechtigungen sind erteilt.

API-Berechtigungen in Azure nach Administrator-Zustimmung als erteilt anzeigen

Definieren der Umleitungs-URI

In der Relution-Anleitung wird anschließend die Umleitungs-URI in Microsoft Entra konfiguriert:

Authentifizierungsplattform für Umleitungs-URI in Azure Autopilot hinzufügen

  1. Klicken Sie unter Authentifizierung auf Plattform hinzufügen.
  2. Wählen Sie im Dialogfenster Plattform konfigurieren die Kachel Web aus.

Web als Plattformtyp für Umleitungs-URI in Azure App-Registrierung auswählen

  1. Geben Sie im nächsten Schritt unter Web die Server-URL bei Umleitungs-URI hinzufügen an.
  2. Deaktivieren Sie die Checkbox ID-Tokens.
  3. Klicken Sie auf Speichern.

Server-URL als Umleitungs-URI in Azure Autopilot hinterlegen und ID-Token deaktivieren

Geräteeinstellungen in Azure Active Directory für Autopilot-Einschreibung prüfen

Damit ist die Einrichtung in Microsoft Entra abgeschlossen.

Wählen der Relution Serviceoptionen und Abschließen der Einrichtung

In der Relution-Anleitung kann optional gewählt werden, ob Microsoft Entra ID-Benutzer:innen und Microsoft Entra ID-Gruppen mit Relution synchronisiert werden sollen:

Azure AD-Benutzer und Gruppen mit Relution synchronisieren aktivieren

Mit Klick auf Speichern ist die Einrichtung und Verknüpfung von Microsoft Entra ID in Relution abgeschlossen.

Zusammenfassung

Nach Abschluss dieser Schritte ist Microsoft Entra ID mit Relution verknüpft. Damit können Benutzer:innen und Gruppen aus Microsoft Entra ID mit Relution synchronisiert sowie weitere Microsoft-bezogene Funktionen genutzt werden.

Für die Anmeldung synchronisierter Benutzer:innen an Relution muss zusätzlich die OIDC-Authentifizierung eingerichtet werden. Dies gilt ebenfalls für die Nutzung von Conditional Access.