Konfigurieren von Workplace from Meta für die automatische Benutzerbereitstellung mit Microsoft Entra ID

In diesem Artikel werden die Schritte beschrieben, die Sie sowohl in Workplace from Meta als auch in Microsoft Entra ID ausführen müssen, um die automatische Benutzerbereitstellung zu konfigurieren. Bei der Konfiguration stellt Microsoft Entra ID mithilfe des Microsoft Entra-Bereitstellungsdiensts automatisch Benutzer*innen und Gruppen für Workplace von Meta bereit und hebt die Bereitstellung auf. Wichtige Informationen darüber, was dieser Dienst tut, wie er funktioniert und häufig gestellte Fragen finden Sie unter Automatisieren der Benutzerbereitstellung und -außerbereitstellung für SaaS-Anwendungen mit Microsoft Entra ID.

Unterstützte Funktionen

  • Erstellen von Benutzern in Workplace über Meta
  • Entfernen von Benutzern in Workplace von Meta, wenn sie keinen Zugriff mehr benötigen
  • Benutzerattribute zwischen Microsoft Entra ID und Workplace von Meta synchronisieren
  • Einmaliges Anmelden bei Workplace von Meta (empfohlen)

Voraussetzungen

In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:

Hinweis

Um die Schritte in diesem Artikel zu testen, empfehlen wir die Verwendung einer Produktionsumgebung nicht.

Hinweis

Diese Integration ist auch für die Verwendung aus Microsoft Entra US Government Cloud-Umgebung verfügbar. Sie finden diese Anwendung im Microsoft Entra US Government Cloud Application Gallery und konfigurieren sie auf die gleiche Weise wie in der öffentlichen Cloud.

Um die Schritte in diesem Artikel zu testen, sollten Sie die folgenden Empfehlungen befolgen:

  • Verwenden Sie die Produktionsumgebung nur, wenn dies unbedingt erforderlich ist.
  • Wenn Sie keine Microsoft Entra Testumgebung haben, können Sie eine einmonatige Testversion here erhalten.

Schritt 1: Planen Sie Ihren Bereitstellungsprozess

  1. Erfahren Sie , wie der Bereitstellungsdienst funktioniert.
  2. Definieren Sie den Geltungsbereich für die Bereitstellung.
  3. Bestimmen Sie, welche Daten zwischen Microsoft Entra ID und Workplace von Meta abgeglichen werden sollen.

Schritt 2: Konfigurieren von Workplace von Meta zur Unterstützung der Bereitstellung mit Microsoft Entra ID

Bevor Sie den Bereitstellungsdienst konfigurieren und aktivieren, müssen Sie entscheiden, welche Benutzer in Microsoft Entra ID die Benutzer darstellen, die Zugriff auf Ihre Workplace from Meta-App benötigen. Nachdem Sie sich entschieden haben, können Sie diese Benutzer Ihrer Workplace from Meta-App zuweisen, indem Sie die hier aufgeführten Anweisungen befolgen:

  • Es wird empfohlen, dass ein einzelner Microsoft Entra Benutzer Workplace von Meta zugewiesen wird, um die Bereitstellungskonfiguration zu testen. Möglicherweise werden später weitere Benutzer zugewiesen.

  • Wenn Sie einen Benutzer von Meta zu Workplace zuweisen, müssen Sie eine gültige Benutzerrolle auswählen. Die Rolle „Standardzugriff“ ist für Bereitstellungen nicht geeignet.

Fügen Sie Workplace from Meta aus dem Microsoft Entra Anwendungskatalog hinzu, um mit der Verwaltung der Bereitstellung von Workplace von Meta aus zu beginnen. Wenn Sie Workplace zuvor von Meta für einmaliges Anmelden (Single Sign-On, SSO) eingerichtet haben, können Sie dieselbe Anwendung verwenden. Es wird jedoch empfohlen, beim anfänglichen Testen der Integration eine separate App zu erstellen. Weitere Informationen zum Hinzufügen einer Anwendung aus dem Katalog finden Sie hier.

Schritt 4: Definieren, wer in die Bereitstellung einbezogen werden soll

Mit dem Microsoft Entra Bereitstellungsdienst können Sie festlegen, wer basierend auf der Zuweisung zur Anwendung oder basierend auf Attributen des Benutzers oder der Gruppe bereitgestellt wird. Wenn Sie sich dazu entscheiden, den Kreis der Benutzer und Gruppen, die Ihrer App basierend auf der Zuweisung zugeordnet werden, zu bestimmen, können Sie die Schritte zum Zuweisen von Benutzern und Gruppen zur Anwendung verwenden. Wenn Sie festlegen möchten, für wen die Bereitstellungen ausschließlich basierend auf den Attributen des Benutzers oder der Gruppe erfolgen, können Sie einen Bereichsfilter verwenden.

  • Beginnen Sie klein. Testen Sie mit einer kleinen Anzahl von Benutzern und Gruppen, bevor Sie es auf alle anwenden. Wenn der Bereich für die Bereitstellung auf zugewiesene Benutzer und Gruppen festgelegt ist, können Sie dies steuern, indem Sie der App einen oder zwei Benutzer oder Gruppen zuweisen. Wenn der Bereich auf alle Benutzer und Gruppen festgelegt ist, können Sie einen attributbasierten Bereichsdefinitionsfilter angeben.

  • Wenn Sie zusätzliche Rollen benötigen, können Sie das Anwendungsmanifest aktualisieren, um neue Rollen hinzuzufügen.

Schritt 5: Konfigurieren der automatischen Benutzerbereitstellung für Workplace von Meta aus

Dieser Abschnitt führt Sie durch die Schritte zum Konfigurieren des Microsoft Entra Bereitstellungsdiensts zum Erstellen, Aktualisieren und Deaktivieren von Benutzern in Workplace von Meta App basierend auf Benutzerzuweisungen in Microsoft Entra ID.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloud-Anwendungsadministrator an.

  2. Navigieren Sie zu Entra ID>Enterprise apps

    Screenshot des Enterprise-Anwendungen-Blades.

  3. Wählen Sie in der Anwendungsliste "Workplace" aus "Meta" aus.

    Screenshot des Links

  4. Wählen Sie die Registerkarte "Bereitstellung" aus .

    Screenshot der Optionen zum Verwalten mit aufgerufener Bereitstellungsoption

  5. Wählen Sie + Neue Konfiguration aus.

    Screenshot der Registerkarte „Bereitstellung“, automatisch.

  6. Stellen Sie sicher, dass der Abschnitt "Mandanten-URL" mit dem richtigen Endpunkt gefüllt ist: https://scim.workplace.com/. Wählen Sie im Abschnitt "Administratoranmeldeinformationen" die Option "Autorisieren" aus. Sie werden von der Autorisierungsseite von Meta zu Workplace umgeleitet. Geben Sie Ihren Workplace von Meta-Benutzernamen ein, und wählen Sie die Schaltfläche Weiter aus. Wählen Sie Test-Verbindung aus, um sicherzustellen, dass Microsoft Entra ID über Meta eine Verbindung mit Workplace herstellen können. Wenn die Verbindung fehlschlägt, stellen Sie sicher, dass Ihr Workplace-Konto über Administratorberechtigungen verfügt, und versuchen Sie es erneut.

    Screenshot: Dialogfeld „Administratoranmeldeinformationen“ mit der Option „Autorisieren“

    Screenshot der Autorisierung.

    Hinweis

    Wenn die URL nicht zu https://scim.workplace.com/ geändert wird, tritt ein Fehler beim Speichern der Konfiguration auf.

  7. Wählen Sie "Erstellen" aus, um Ihre Konfiguration zu erstellen.

  8. Wählen Sie auf der Seite "Übersicht" die Option "Eigenschaften" aus.

  9. Wählen Sie das Symbol "Bearbeiten" aus, um die Eigenschaften zu bearbeiten. Aktivieren Sie Benachrichtigungs-E-Mails, und stellen Sie eine E-Mail bereit, um Quarantänebenachrichtigungen zu erhalten. Aktivieren Sie die Verhinderung versehentlicher Löschungen. Um die Änderungen zu speichern, wählen Sie Übernehmen aus.

    Screenshot der Bereitstellungseigenschaften.

  10. Wählen Sie im linken Bereich die Attributzuordnung aus, und wählen Sie Benutzer aus.

  11. Überprüfen Sie die Benutzerattribute, die aus Microsoft Entra ID mit Workplace aus Meta synchronisiert werden, im Abschnitt Attribute-Mapping. Die Attribute, die als Übereinstimmende Eigenschaften ausgewählt wurden, werden verwendet, um die Benutzerkonten in Workplace von Meta für Aktualisierungen abzugleichen. Wenn Sie das übereinstimmende Zielattribute ändern möchten, müssen Sie sicherstellen, dass Workplace von der Meta-API das Filtern von Benutzern basierend auf diesem Attribut unterstützt. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.

    Merkmal Typ
    Nutzername Schnur
    Anzeigename Schnur
    active Boolean
    title Boolean
    emails[type eq "work"].value Schnur
    name.givenName Schnur
    name.familyName Schnur
    name.formatted Schnur
    addresses[type eq "work"].formatted Schnur
    addresses[type eq "work"].streetAddress Schnur
    addresses[type eq "work"].locality Schnur
    addresses[type eq "work"].region Schnur
    addresses[type eq "work"].country Schnur
    addresses[type eq "work"].postalCode Schnur
    addresses[type eq "other"].formatted Schnur
    phoneNumbers[type eq "work"].value Schnur
    phoneNumbers[type eq "mobile"].value Schnur
    phoneNumbers[type eq "fax"].value Schnur
    externalId Schnur
    bevorzugteSprache Schnur
    urn:scim:schemas:extension:enterprise:1.0.manager Schnur
    urn:scim:schemas:extension:enterprise:1.0.department Schnur
    urn:scim:schemas:extension:enterprise:1.0.division Schnur
    urn:scim:schemas:extension:enterprise:1.0.organization Schnur
    urn:scim:schemas:extension:enterprise:1.0.costCenter Schnur
    urn:scim:schemas:extension:enterprise:1.0.employeeNumber Schnur
    urn:scim:schemas:extension:facebook:auth_method:1.0:auth_method Schnur
    urn:scim:schemas:extension:facebook:frontline:1.0.is_frontline Boolean
    urn:scim:schemas:extension:facebook:starttermdates:1.0.startDate Integer

  12. Informationen zum Konfigurieren von Bereichsfiltern finden Sie in den Anweisungen im Artikel "Bereichsfilter".

  13. Verwenden Sie die On-Demand-Bereitstellung , um die Synchronisierung mit einigen Benutzern zu überprüfen, bevor Sie die Bereitstellung in Ihrer Organisation umfassender durchführen.

  14. Wenn Sie bereit für die Bereitstellung sind, wählen Sie auf der Seite "Übersicht" die Option "Bereitstellung starten" aus.

Schritt 6: Überwachen der Bereitstellung

Nachdem Sie die Bereitstellung konfiguriert haben, verwenden Sie die folgenden Ressourcen, um Ihre Bereitstellung zu überwachen:

  1. Verwenden Sie die Bereitstellungsprotokolle , um zu ermitteln, welche Benutzer erfolgreich oder erfolglos bereitgestellt werden.
  2. Überprüfen Sie den Fortschrittsbalken, um den Status des Bereitstellungszyklus zu sehen und zu erfahren, wie nahe er an der Fertigstellung ist.
  3. Wenn sich die Bereitstellungskonfiguration in einem fehlerhaften Zustand zu befinden scheint, wird die Anwendung unter Quarantäne gestellt. Weitere Informationen zum Quarantänestatus finden Sie im Artikel über den Anwendungsbereitstellungs-Quarantänestatus.

Tipps zur Problembehandlung

  • Wenn ein Benutzer nicht erfolgreich erstellt wurde und ein Überwachungsprotokollereignis mit dem Code "1789003" vorhanden ist, bedeutet dies, dass der Benutzer aus einer nicht überprüften Domäne stammt.
  • In einigen Fällen erhalten Benutzer folgenden Fehler: „FEHLER: Fehlendes Feld ‚Email‘: Sie müssen eine E-Mail-Adresse angeben. Fehler von Facebook zurückgegeben: Bei der Verarbeitung der HTTP-Anforderung trat eine Ausnahme auf. Weitere Informationen finden Sie in der HTTP-Antwort, die von der Response-Eigenschaft dieser Ausnahme zurückgegeben wurde. Dieser Vorgang wurde kein einziges Mal wiederholt. Der Vorgang wird nach diesem Datum erneut wiederholt." Die Ursache dieses Fehler ist, dass Kunden der Facebook-E-Mail „mail“ anstelle von „userPrincipalName“ zuordnen, einige Benutzer jedoch kein mail-Attribut haben. Ändern Sie die Attributzuordnung in Workplace vom mail-Attribut von Facebook in Coalesce([mail],[userPrincipalName]), heben Sie die Zuordnung des Benutzers von Workplace zu Facebook auf, oder stellen Sie eine E-Mail-Adresse für den Benutzer bereit, um die Fehler zu vermeiden und die fehlerhaften Benutzer erfolgreich über Facebook in Workplace bereitstellen zu können.
  • In Workplace gibt es eine Option, die das Vorhandensein von Benutzern ohne E-Mail-Adressen ermöglicht. Wenn diese Einstellung in Workplace aktiviert wird, muss die Bereitstellung auf der Azure-Seite neu gestartet werden, damit Benutzer ohne E-Mail-Adressen erfolgreich in Workplace erstellt werden können.

Aktualisieren einer Workplace von Meta-Anwendung zur Verwendung des Workplace von Meta SCIM 2.0-Endpunkts

Im Dezember 2021 wurde von Facebook ein SCIM 2.0-Connector veröffentlicht. Führen Sie die angegebenen Schritte aus, um Anwendungen, die für die Verwendung eines SCIM 1.0-Endpunkts konfiguriert sind, für SCIM 2.0-Endpunkte zu aktualisieren. Mit diesen Schritten werden alle Anpassungen entfernt, die zuvor an der Workplace-Anwendung von Meta vorgenommen wurden, einschließlich:

  • Authentifizierungsdetails
  • Bereichsfilter
  • Benutzerdefinierte Attributzuordnungen

Hinweis

Achten Sie darauf, alle Änderungen zu beachten, die an den im vorherigen Abschnitt aufgeführten Einstellungen vorgenommen wurden, bevor Sie die folgenden Schritte ausführen. Falls dies nicht geschieht, gehen angepasste Einstellungen verloren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloud-Anwendungsadministrator an.

  2. Navigieren Sie zu Entra ID>Enterprise apps>Workplace von Meta.

  3. Kopieren Sie im Abschnitt Eigenschaften der neuen benutzerdefinierten App die Objekt-ID.

    Screenshot von Workplace aus der Meta-App im Azure-Portal

  4. Wechseln Sie in einem neuen Webbrowserfenster zu https://developer.microsoft.com/graph/graph-explorer, und melden Sie sich als Administrator für den Microsoft Entra Mandanten an, in dem Ihre App hinzugefügt wird.

    Screenshot Microsoft Graph Explorer-Anmeldeseite

  5. Vergewissern Sie sich, dass das verwendete Konto über die richtigen Berechtigungen verfügt. Um diese Änderung vorzunehmen, ist die Berechtigung „Directory.ReadWrite.All“ erforderlich.

    Screenshot der Microsoft Graph Einstellungen

    Screenshot der Microsoft Graph-Berechtigungen

  6. Führen Sie mit der zuvor in der App ausgewählten ObjectID den folgenden Befehl aus:

    GET https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/

  7. Wenn Sie den Wert „id“ aus dem Antworttext derGET-Anforderung aus dem vorherigen Beispiel verwenden, führen Sie den folgenden Befehl aus, und ersetzen Sie "[job-id]" durch den ID-Wert aus derGET-Anforderung. Der Wert sollte das Format „FacebookAtWorkOutDelta.xxxxxxxxxxxxxxx.xxxxxxxxxxxxx“ aufweisen:

    DELETE https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs/[job-id]

  8. Führen Sie im Microsoft Graph Explorer den folgenden Befehl aus. Ersetzen Sie „[object-id]“ durch die Dienstprinzipal-ID (Objekt-ID), die Sie im dritten Schritt kopiert haben.

    POST https://graph.microsoft.com/beta/servicePrincipals/[object-id]/synchronization/jobs { "templateId": "FacebookWorkplace" }

    Screenshot der Microsoft Graph-Anforderung

  9. Wechseln Sie wieder zurück zum ersten Webbrowserfenster, und wählen Sie die Registerkarte „Bereitstellung“ für Ihre Anwendung aus. Ihre Konfiguration wird zurückgesetzt. Sie können bestätigen, dass das Upgrade erfolgreich ist, indem Sie bestätigen, dass die Auftrags-ID mit "FacebookWorkplace" beginnt.

  10. Aktualisieren Sie die Mandanten-URL im Abschnitt "Administratoranmeldeinformationen" auf die folgende URL: https://scim.workplace.com/

    Screenshot der Administratoranmeldeinformationen in der Workplace von Meta-App im Azure-Portal

  11. Stellen Sie alle vorherigen Änderungen wieder her, die Sie an der Anwendung vorgenommen haben (Authentifizierungsdetails, Bereichsfilter, benutzerdefinierte Attributzuordnungen), und aktivieren Sie die Bereitstellung wieder.

    Hinweis

    Fehler beim Wiederherstellen der vorherigen Einstellungen können dazu führen, dass Attribute (z. B. name.formatted) unerwartet in Workplace aktualisiert werden. Überprüfen Sie die Konfiguration, bevor Sie die Bereitstellung aktivieren.

Änderungsprotokoll

  • 09/10/2020 – Unterstützung für Unternehmensattribute "division", "organization", "costCenter" und "employeeNumber" hinzugefügt. Unterstützung für benutzerdefinierte Attribute "startDate", "auth_method" und "Frontline" hinzugefügt.
  • 07.22.2021 – Aktualisiert die Tipps zur Problembehandlung für Kunden mit einer Zuordnung von E-Mails zu Facebook-E-Mails, aber einige Benutzer haben kein E-Mail-Attribut.

Weitere Ressourcen

Verwandte Inhalte

  • Last updated on