Benutzer in synchronisierten Active-Directory-Gruppen

Benutzersynchronisierung

Benutzerbereitstellung auf Abonnementebene

In der M-Files Cloud wird die Bereitstellung von Benutzern mit M-Files Manage empfohlen, um Benutzergruppen mit Microsoft Entra ID zu synchronisieren. Die Benutzerbereitstellung verwendet das SCIM Protokoll. So erfolgt die Verwaltung der Benutzergruppen in Entra ID und Entra ID verschiebt die Benutzer in M-Files. Der Prozess erstellt Benutzer für das M-Files Abonnement, mit dem Sie auf einfache Weise eine Entra ID Benutzergruppe mit zahlreichen Dokumentenverwaltungen verknüpfen können.

Diese Methode ist nur in der M-Files Cloud verfügbar. Um diese Methode verwenden zu können, benötigen Sie eine Microsoft Entra ID Premium-Lizenz. Weitere Informationen und Konfigurationsanweisungen finden Sie im M-Files Manage User Guide.

Benutzersynchronisierung auf Dokumentenverwaltungsebene

Sie können die Benutzersynchronisierung mit Entra ID auf Dokumentenverwaltungsebene auf zwei Arten einrichten. Bei beiden Methoden erfolgt die Benutzergruppenverwaltung in Entra ID, aber sie unterscheiden sich in der Übertragung von Benutzern in M-Files. Bei der SCIM Methode überträgt Entra ID die Benutzer per Push in M-Files. Bei der Plugin-Methode geben Sie die Benutzergruppen in M-Files Admin an und M-Files ruft die Benutzer regelmäßig per Pull aus Entra ID ab.

Synchronizing Users from Microsoft Entra ID to M-Files with SCIM
- Um diese Methode verwenden zu können, benötigen Sie eine Microsoft Entra ID Premium-Lizenz.
- In einer lokalen Umgebung können Sie nur die Entra ID Authentifizierung für M-Files Desktop verwenden. In einer lokalen Umgebung verwenden Sie stattdessen die Plugin-Methode.
Configuring Azure Active Directory Synchronization Plugin
- In lokalen Umgebungen ist dies die empfohlene Methode für die Benutzersynchronisierung aus Entra ID.

Zusätzlich zum Azure AD Synchronisierungs-Plugin können Sie auch das Okta Plugin für die Synchronisierung von Benutzergruppen verwenden. Weitere Hinweise finden Sie unter Configuring Okta User Group Synchronization Plugin.

Optionale Einstellungen für den Active Directory-Import mit der Plugin-Methode

Nachdem Sie das Synchronisierungs-Plugin konfiguriert haben, können Sie das Verhalten der Synchronisierung von Benutzergruppen über die Active Directory (AD)-Import-Einstellungen anpassen. Dies ist besonders nützlich in Umgebungen mit großen Dokumentenverwaltungen und AD-Gruppen.

Um diese Einstellungen im Advanced Vault Settings Abschnitt von M-Files Admin zu öffnen, wechseln Sie zu User Groups > Active Directory Importing.

Empfehlungen:

Wenn der M-Files Server über zahlreiche Dokumentenverwaltungen verfügt, empfehlen wir zum Verbessern der Systemleistung, die Synchronisierung in jeder Dokumentenverwaltung zu einer anderen Zeit zu starten. Ändern Sie dazu Start Time of First Import für jede Dokumentenverwaltung, um unterschiedliche Startzeiten für den ersten Import nach dem Start des Servers festzulegen.

Wichtige Informationen

Synchronisierung von Änderungen bei AD-Gruppenmitgliedern

In der Tabelle finden Sie Informationen dazu, wie M-Files reagiert, wenn sich die Mitglieder der synchronisierten AD-Gruppen ändern.


Änderung	Auswirkungen
Benutzer, die zu mit M-Files synchronisierten AD-Gruppen hinzugefügt werden	Die Benutzer werden als Dokumentenverwaltungsbenutzer zu der Dokumentenverwaltung hinzugefügt, in der die Benutzergruppe enthalten ist. Falls die hinzugefügten Gruppen noch keine M-Files Benutzerkonten haben, werden neue Benutzerkonten automatisch für die Benutzer erstellt und die in den Synchronisierungseinstellungen spezifizierte Lizenz wird auf die neuen Benutzerkonten angewendet. Bei bestehenden M-Files Benutzerkonten werden keine Änderungen vorgenommen. Falls beispielsweise Benutzern Mehrbenutzerlizenzen zugewiesen wurden und diese einer Gruppe zugewiesen werden, für die Einzelbenutzerlizenzen verwendet werden, behalten die Benutzer die Mehrbenutzerlizenzen.
Benutzer, die aus allen AD-Gruppen entfernt werden, die mit M-Files synchronisiert sind	Die Benutzer werden aus der Benutzergruppe in M-Files entfernt. Sie verlieren sämtliche Berechtigungen, die Ihnen auf Grund der Gruppenzugehörigkeit übertragen wurden. Die Benutzer werden deaktiviert, bleiben jedoch in M-Files erhalten. Die Benutzerkonten bleiben aktiv. Sie behalten die ihnen zugewiesenen Lizenzen. Hinweis: Benutzer werden nicht automatisch deaktiviert, wenn sie Mitglied von mindestens einer AD-Gruppe sind.

Deaktivieren und Löschen von synchronisierten Benutzern in M-Files

In der Tabelle finden Sie Informationen zu den Auswirkungen, wenn Sie synchronisierte Benutzer in der Dokumentenverwaltung deaktivieren oder löschen.


Änderung	Auswirkungen
Synchronisierte Benutzer, die in M-Files deaktiviert werden	Standardmäßig bleiben die Benutzer deaktiviert. Um die Benutzer wieder zu aktivieren, müssen sie in M-Files aktiviert werden. Wenn Sie ein Synchronisierungs-Plugin verwenden, können Sie das Standardverhalten ändern. Wechseln Sie dazu zu den Active Directory Importing Einstellungen, und legen Sie Enable Disabled Users from Imported Groups auf Yes fest.
Synchronisierte Benutzer, die aus M-Files gelöscht werden	Die AD-Gruppensynchronisierung erstellt die gelöschten Benutzer nicht erneut in der Dokumentenverwaltung.