2LRN4 security awareness platform
← Zurück zum Support

Synchronisation mit Microsoft Entra

Die Synchronisation mit Microsoft Entra synchronisiert die folgenden Attribute: Vorname, Nachname, E-Mail-Adresse, Login, Abteilung, Manager, Status (deaktiviert), PreferredLanguage und Country. Die Synchronisation funktioniert einseitig: von Microsoft Entra zu 2LRN4 (nicht umgekehrt).

Bitte beachten:

  • Azure-Import ist die Basisstufe, die es erlaubt, Abteilungen später mit allen verfügbaren Optionen zu ändern.
  • CSV-Import ist die nächste Stufe, die Abteilungsänderungen aus dem Azure-Import einschränkt.
  • Administratorzuweisung ist die höchste Stufe und blockiert Änderungen über Importe vollständig. Wird eine Abteilung von einem Administrator zugewiesen, kann sie über Importe nicht geändert werden.

Anleitung

Schritt-für-Schritt-Anleitung zur Synchronisation von 2LRN4 mit Ihrer Microsoft Entra ID (über das Menü Azure Graph).

  • Sie benötigen mindestens eine Microsoft Azure Premium P1 Lizenz.
  • Wenn Sie neue Abteilungen anlegen, müssen Sie diese trotzdem den passenden Kategorien und Kursen zuordnen.
  1. Gehen Sie zu https://portal.azure.com/#home.
  2. Klicken Sie auf Microsoft Entra ID.
  3. Erstellen Sie eine Sicherheitsgruppe in Microsoft Entra mit allen Benutzern, die Zugriff auf 2LRN4 benötigen.
    • Navigieren Sie zu Gruppen und wählen Sie Neue Gruppe.
    • Geben Sie Gruppenname und Eigenschaften ein.
    • Fügen Sie einen Testbenutzer hinzu, um die Verbindung später zu prüfen.

    Erstellen Sie vorzugsweise getrennte Gruppen pro Rolle (z. B. Admin, Manager, Benutzer). Beginnen Sie mit einem Benutzer und erweitern Sie später.

  4. Kehren Sie zu Home zurück und öffnen Sie Weitere Dienste.
  5. Wählen Sie Identität im linken Menü.
  6. Öffnen Sie Unternehmensanwendungen und klicken Sie auf Neue Anwendung.
  7. Wählen Sie Eigene Anwendung erstellen, geben Sie einen Namen ein und wählen Sie die Registrierung für Microsoft Entra ID.
  8. Wählen Sie Multitenant (Konten in jedem Organisationsverzeichnis) und registrieren Sie die App (Redirect URI leer lassen).
  9. Gehen Sie zu App-Registrierungen und öffnen Sie Ihre neu erstellte App.
  10. Öffnen Sie Zertifikate & Geheimnisse und erstellen Sie ein Neues Client-Geheimnis.
  11. Kopieren Sie den Geheimniswert und speichern Sie ihn sicher (Sie benötigen ihn in 2LRN4).
  12. Kopieren Sie die Anwendungs-(Client-)ID.
  13. Fügen Sie die erforderlichen API-Berechtigungen hinzu und erteilen Sie Admin-Zustimmung.
  14. Weisen Sie die zuvor erstellte Sicherheitsgruppe unter Benutzer und Gruppen in der Unternehmensanwendung zu.
  15. Kopieren Sie die Tenant-ID aus Microsoft Entra (Sie benötigen sie in 2LRN4).
  16. Gehen Sie zu https://portal.2lrn4.com und öffnen Sie Azure Graph.
  17. Erstellen Sie eine neue Azure-Graph-Konfiguration und tragen Sie Tenant-ID, Client-ID und Client-Geheimnis ein.
  18. Testen Sie die Synchronisation über BenutzerAus Azure AD importieren.
  19. Warnung: Synchronisieren Sie die Admin-Gruppe nicht als „Benutzer“. Das kann Berechtigungen reduzieren und Sie aussperren.

Azure-AD-Synchronisation planen

  1. Gehen Sie zu Azure Graph Schedules und erstellen oder bearbeiten Sie einen Zeitplan.
  2. Erstellen Sie pro Sicherheitsgruppe (und pro Verbindung, falls mehrere) einen eigenen Zeitplan.
  3. Verwenden Sie die Object-ID der Sicherheitsgruppe als Group ID, wählen Sie die korrekte Rolle und definieren Sie den Zeitplan.

Tipp: Planen Sie die Admin-Gruppe (customer/admin) zuletzt, z. B. 30 Minuten nach den anderen Gruppen. Das hilft, Berechtigungskonflikte zu vermeiden und zu lösen.

Fehler und Lösungen

FehlermeldungMögliche Lösung
Invalid_client / unauthorized_clientWahrscheinlich wurde die Secret-ID statt des Geheimniswerts kopiert. Erstellen Sie ein neues Client-Geheimnis und verwenden Sie den Geheimniswert.
Diese Benutzer können nicht importiert werden: invalid_clientPrüfen Sie, ob das Token (Client-Geheimnis) noch gültig ist und die Group-ID stimmt.
Fehler 504 Gateway Time-outPrüfen Sie, ob das Token noch gültig ist, und versuchen Sie es erneut.
Azure-Client-FehlerStellen Sie sicher, dass die korrekten Application permissions hinzugefügt wurden und die Admin-Zustimmung erteilt ist.
Fehler 403: Action unauthorizedSie haben sich möglicherweise selbst ausgesperrt, indem Sie die falsche Gruppe mit der falschen Rolle synchronisiert haben. Kontaktieren Sie den Support und nutzen Sie geplante Synchronisationen.
Benutzer werden nicht synchronisiertPrüfen Sie, ob der Benutzer eine eindeutige E-Mail-Adresse hat und Mitglied der synchronisierten Sicherheitsgruppe ist.
Disabled-Status wird nicht synchronisiertPrüfen Sie, ob der Benutzer in AD deaktiviert ist, eine eindeutige E-Mail-Adresse hat und Mitglied der Sicherheitsgruppe ist.
Synchronisation wird nicht ausgeführtNach dem Erstellen oder Ändern eines Zeitplans kann es bis zu 24 Stunden dauern, bis er läuft.
Konten werden nach der Synchronisation nicht entferntDas ist kein Fehler. Diese Funktion ist bewusst deaktiviert, um Fehler zu vermeiden.
Abteilungen werden nicht synchronisiert
  • Azure-Import ist die Basisstufe.
  • CSV-Import schränkt Änderungen aus dem Azure-Import ein.
  • Administratorzuweisung oder CSV-Import blockiert Änderungen über den Azure-Import.

Sie kommen nicht weiter?

Stellen Sie Ihre Frage oder buchen Sie eine kurze Demo. Wir helfen weiter.

Kontakt Zurück zum Support