Zum Hauptinhalt springen

Integration mit Microsoft Entra ID (früher Azure Active Directory)

Erfahren Sie, wie Sie Mitarbeiter- und Teamdaten automatisch mit Microsoft Entra ID synchronisieren.

Diese Woche aktualisiert

Microsoft Entra ID speichert zentrale Mitarbeiterdaten, die synchronisiert werden können, um das Benutzermanagement und organisatorische Aktualisierungen zu vereinfachen. Die Microsoft Entra ID-Integration ermöglicht eine nahtlose Synchronisierung von Benutzer- und Teamdaten.

  • Verfügbar für Benutzer mit der Rolle Owner.
    Erfahren Sie mehr über Rollen und Berechtigungen hier.

  • Verfügbar als kostenpflichtiges Add-on

  • Verfügbar auf Desktop

Vorteile der Integration

  • Automatisierte Benutzererstellung und -aktualisierung: Vermeiden Sie manuelle Eingaben, indem Sie Benutzerdaten direkt aus Microsoft Entra ID in edyoucated synchronisieren.

  • Organisatorische Änderungen widerspiegeln: Aktualisieren Sie automatisch Änderungen in Teamstrukturen, Vorgesetzten und Mitarbeiterstatus.

  • Effiziente Deaktivierung: Deaktivieren Sie automatisch Benutzer, die die Organisation verlassen, und reduzieren Sie manuellen Aufwand.

API-Zugangsdaten aus Microsoft Entra ID abrufen

  1. Melden Sie sich bei Ihrem Microsoft Entra ID-Konto über https://entra.microsoft.com an. Stellen Sie sicher, dass Sie Administratorzugriff haben.

  2. Gehen Sie in der linken Navigationsleiste zu Identity > Applications > App registrations.

  3. Klicken Sie auf New registration.

  4. Geben Sie einen Name ein, ignorieren Sie die verbleibenden Teile und klicken Sie auf Register.

  5. Notieren Sie sich die Application (client) ID und die Directory (tenant) ID. Sie müssen diese später in edyoucated hinzufügen.

  6. Klicken Sie auf Certificates & secrets in der inneren linken Navigationsleiste.

  7. Klicken Sie auf New client secret, geben Sie eine Beschreibung ein und wählen Sie ein Ablaufdatum. Wenn das Ablaufdatum erreicht ist, funktioniert die Integration nicht mehr, bis das aktualisierte Secret in edyoucated eingetragen wird.

  8. Notieren Sie sich den Value. Nach Verlassen der Seite können Sie den Wert nicht mehr kopieren, es sei denn, es wird ein neues Secret erstellt.

  9. Klicken Sie auf API permissions in der inneren linken Navigationsleiste. Klicken Sie auf Add a permission und wählen Sie Microsoft Graph im rechten Seitenbereich. Wählen Sie Application permissions und gewähren Sie anschließend die folgenden Berechtigungen:

    1. User.Read.All

    2. Group.Read.All (nur erforderlich, wenn Sie Gruppen synchronisieren möchten)

    3. GroupMember.Read.All (nur erforderlich, wenn Sie Gruppen synchronisieren möchten)

  10. Die ausgewählten Berechtigungen erscheinen in der Tabelle in der zentralen Ansicht. Sie haben zunächst den Status Not granted for..., daher müssen Sie auf Grant admin consent for... klicken. Nach der Bestätigung sollte sich der Status in Granted for... ändern.

Integration einrichten und aktivieren

Hinweis: Um auf die Integration zuzugreifen und sie zu konfigurieren, müssen Sie Organisationsbesitzer sein. Die Integration ist ein kostenpflichtiges Add-on und muss von Ihrem edyoucated Account Manager aktiviert werden.

  1. Klicken Sie auf Ihr Profilbild oben rechts und wählen Sie Integrations.

  2. Klicken Sie auf Add/Edit integration in der Microsoft Entra ID -Karte. Eine neue Seite öffnet sich.

  3. Zugangsdaten konfigurieren:

    • Geben Sie Ihre Tenant ID, Client ID und Ihr Client Secret aus Microsoft Entra ID ein. Weitere Informationen zum Abrufen der Zugangsdaten finden Sie im Abschnitt oben.

    • Stellen Sie sicher, dass diese Zugangsdaten sicher und vertraulich bleiben.

  4. Wählen Sie eine Standardsprache. Diese definiert die Sprache der E-Mails, die automatisch erstellte Benutzer erhalten, bevor sie ihre Spracheinstellungen anpassen können.

    Wenn die ausgewählte Sprache für transaktionale E-Mails noch nicht gepflegt ist, wird Englisch als Fallback verwendet.

  5. Synchronisierungsregeln definieren: Synchronisierungsregeln legen die Kriterien fest, anhand derer entschieden wird, welche Benutzer aus Ihrem externen System in edyoucated synchronisiert werden. Legen Sie fest, ob Gastbenutzer synchronisiert werden sollen (basierend auf dem Attribut zum Benutzertyp aus Microsoft Entra ID). Reguläre Benutzer werden immer synchronisiert.

  6. Benutzersynchronisierung konfigurieren: Vorname, Nachname und E-Mail sind erforderlich. Legen Sie fest, ob der Job title nach edyoucated synchronisiert werden soll.

  7. Teamsynchronisierung konfigurieren: Legen Sie fest, ob Teams für jede Group und/oder jeden Manager erstellt werden sollen. Wenn Teams für jede Group erstellt werden, werden nur direkte Gruppenmitglieder berücksichtigt. Verschachtelte Gruppenmitgliedschaften werden nicht aufgelöst.

  8. Verwenden Sie die Test-Schaltfläche, um sicherzustellen, dass die Einstellungen vor der Aktivierung korrekt sind.

  9. Sobald der Test erfolgreich ist, klicken Sie oben rechts auf Activate. Es erscheint ein modales Fenster.

  10. Klicken Sie im Modal auf Activate integration, um die Integration zu starten. Dadurch wird der erste Integrationslauf automatisch ausgeführt.

Hinweis: Von der Integration erstellte Teams unterstützen manuelle Ergänzungen. Organisationsbesitzer können Mitglieder hinzufügen und die Rolle Manager in diesen synchronisierten Teams zuweisen. Manuelle Mitgliedschaften bleiben über zukünftige Synchronisierungsläufe hinweg bestehen und werden nur entfernt, wenn das Team selbst gelöscht wird. Wenn ein Benutzer manuell hinzugefügt wird und später durch die Synchronisierung zum selben Team hinzugefügt wird, bleibt die ursprüngliche manuelle Rolle unverändert.

Hinweis: Wenn die Synchronisierung aktiv ist, läuft sie automatisch jeden Tag um 4 Uhr UTC. Wenn eine höhere Frequenz benötigt wird, kontaktieren Sie den edyoucated Kundensupport für Anpassungen.

Tipp: Wenn beispielsweise für jeden Manager Teams erstellt werden und es zehn Manager in Microsoft Entra ID gibt, werden zehn neue Teams erstellt, in denen der Manager aus Microsoft Entra ID die Rolle Supervisor in edyoucated hat und die alle unterstellten Mitarbeitenden des Managers als reguläre Teammitglieder enthalten. Der Teamname enthält den Namen des Supervisors, z. B. Peter Wrights Team.

Konfigurationsbildschirm der Integration

Synchronisierte Benutzerfelder

Standardmäßig müssen die folgenden Felder aus Ihrer Entra ID-Instanz synchronisiert werden:

  • Vorname (givenName)

  • Nachname (surname)

  • E-Mail (userPrincipalName)

Hinweis: Standardmäßig wird der eindeutige User Principal Name (UPN) des Kontos verwendet, um das E-Mail-Attribut in edyoucated zu befüllen (dies wird für Erinnerungen und andere transaktionale E-Mails genutzt). Dies gilt als Best Practice von Microsoft. Wenn sich der UPN Ihrer Organisation von der primären E-Mail-Adresse des Nutzers unterscheidet, wenden Sie sich bitte an das edyoucated Support-Team, damit stattdessen das email-Attribut aus Microsoft Entra ID verwendet wird, um das E-Mail-Attribut in edyoucated zu befüllen.

Optional zu synchronisierende Felder:

  • Jobtitel (jobTitle)

Das Profilfoto wird nicht synchronisiert.

Integrationsläufe anzeigen

  1. Klicken Sie auf Ihr Profilbild oben rechts und wählen Sie Integrations.

  2. Klicken Sie auf Add/Edit integration in der Microsoft Entra ID -Karte. Eine neue Seite öffnet sich.

  3. Öffnen Sie den Runs-Tab.

Im Runs-Tab finden Sie eine Tabelle mit allen ausgeführten Läufen der Integration. Diese Tabelle bietet folgende Informationen zu jedem Lauf:

  • Triggered at: Gibt Datum und Uhrzeit an, zu denen der Lauf ausgeführt wurde.

  • Triggered by: Zeigt an, ob der Lauf automatisch oder manuell von einem Benutzer gestartet wurde. Bei manuell werden der Benutzername, die E-Mail-Adresse und das Benutzerbild angezeigt.

  • Status: Ein grünes Häkchen zeigt einen erfolgreichen Lauf an, während ein rotes X einen Fehler bedeutet.

  • Error: Wenn der Lauf fehlgeschlagen ist, enthält diese Spalte eine Fehlermeldung.

Runs-Tab-Tabelle

Durch Klicken auf einen Lauf in der Tabelle wird eine Seitenleiste auf der rechten Seite des Bildschirms eingeblendet. Diese Seitenleiste bietet zusätzliche Laufdetails:

  • Wenn der Lauf erfolgreich war, werden die durchgeführten Aktionen angezeigt, z. B. die Anzahl der erstellten, aktualisierten oder deaktivierten Benutzer oder Teams.

  • Wenn der Lauf fehlgeschlagen ist, werden Informationen über den aufgetretenen Fehler bereitgestellt.

Hinweis: In Szenarien, in denen ein manuell hinzugefügter Benutzer später durch die Synchronisierung ebenfalls zum selben Team hinzugefügt wird, kann der Lauf "1 team updated" anzeigen, auch wenn keine effektiven Änderungen vorgenommen wurden (manuelle Mitgliedschaft und Rolle bleiben unberührt).

Seitenleiste mit Laufdetails

Integration deaktivieren

Um die Integration zu stoppen, klicken Sie oben rechts auf die Schaltfläche Deactivate. Es werden keine weiteren Läufe ausgeführt. Sie können die Integration jederzeit wieder aktivieren.

Fehlerbehandlung

  • Tritt während der Synchronisierung ein Fehler auf, wird er protokolliert und Organisationsinhaber erhalten eine E-Mail-Benachrichtigung.

  • Die automatische Synchronisierung pausiert, bis der Fehler behoben ist.

FAQs und Einschränkungen

  • SCIM-Provisioning: Derzeit nicht unterstützt. Die Integration nutzt Microsoft Graph. Wenn Sie SCIM benötigen, kontaktieren Sie bitte den edyoucated Support; dies erfordert zusätzlichen Entwicklungsaufwand.

  • Profilbilder: Die Synchronisierung von Benutzerprofilfotos wird nicht unterstützt.

  • Verschachtelte Gruppen: Verschachtelte Gruppenmitgliedschaften werden nicht aufgelöst oder konvertiert. Aus Entra-Gruppen erstellte Teams enthalten nur direkte Mitglieder dieser Gruppen.

  • Zustellbarkeit von E-Mails und Whitelisting: Eine dedizierte DKIM-Eigenschaft ist verfügbar, um beim E-Mail-Whitelisting zu unterstützen. Wenn Ihre Organisation dies konfigurieren muss, kontaktieren Sie bitte den edyoucated Support, um die Details zu erhalten.

  • Manuelle Mitglieder in synchronisierten Teams: Organisationsbesitzer können manuell Mitglieder und Manager zu durch die Integration erstellten Teams hinzufügen. Diese manuellen Einträge bleiben über Synchronisierungsläufe hinweg bestehen und werden nur entfernt, wenn das Team gelöscht wird.

  • Doppelte Mitgliedschaften: Wenn ein Benutzer manuell hinzugefügt wird und später durch die Synchronisierung zum selben Team hinzugefügt wird, bleibt die ursprüngliche manuelle Rolle unverändert.

Verwandte Artikel
Teams erstellen und verwalten
Mit Personio integrieren
Single sign-on (SSO) in edyoucated mit Microsoft Entra ID einrichten
Benutzer erstellen und verwalten
Organisationen auf edyoucated beitreten oder wechseln
Hat dies deine Frage beantwortet?