Slik konfigurerer du Azure AD for integrasjon

Denne veiledningen beskriver hvordan du klargjør Microsoft Azure Active Directory (AD) for integrering med eAdm eller eFeide. Prosessen innebærer å opprette en applikasjonsregistrering og deretter tildele de nødvendige tillatelsene.

Du kan trygt ignorere avsnittet om avansert konfigurasjon, med mindre du har fått spesifikke instruksjoner fra Identum.

Del 1: Opprett en Azure AD-applikasjonsregistrering

Logg på Azure-portalen med en administratorkonto.
Naviger til Azure Active Directory.
Velg Appregistreringer i menyen til venstre, og klikk deretter på + Ny registrering.
På siden "Registrer en applikasjon" konfigurerer du følgende innstillinger:
- Navn: Skriv inn et beskrivende navn for applikasjonen. For eksempel Identum eFeide-eAdm User and Group Management.
- Kontotyper som støttes: Velg Kontoer kun i denne organisasjonskatalogen (Single tenant).
- Omdiriger URI: La dette feltet stå tomt.
Klikk på Registrer for å opprette søknaden.
Når applikasjonen er opprettet, kopierer du applikasjons-ID (klient) og katalog-ID (tenant ) fra applikasjonens "Oversikt"-side. Lagre disse verdiene for senere bruk.

Advarsel: Ikke bruk en skråstrek (/) i applikasjonsnavnet, da dette kan forårsake problemer i Azure AD.

Del 2: Tildel API-tillatelser

Deretter må du gi applikasjonen de nødvendige API-tillatelsene til å administrere brukere og grupper.

I den nye applikasjonsregistreringen navigerer du til API-tillatelser i menyen til venstre.
Klikk på + Legg til en tillatelse.
Velg Microsoft Graph.
Velg Programtillatelser.
Legg til følgende tillatelser:
- Directory.Read.All
- Directory.ReadWrite.All
- Group.Create
- Group.Read.All
- Group.ReadWrite.All
- GroupMember.ReadWrite.All
- User.Read.All
- User.ReadWrite.All
- User.EnableDisableAccount.All
Legg også til følgende tillatelser hvis de er relevante for dine spesifikke behov:
- AuditLog.Read.All: Påkrevd hvis du ønsker å synkronisere lastLogonTimeStamp attributtet til eAdm.
- UserAuthenticationMethod.ReadWrite.All: Påkrevd hvis eAdm skal administrere MFA-metoder for brukere.
- Team.Create: Påkrevd hvis eAdm skal opprette nye team.
- Team.ReadBasic.All: Påkrevd hvis eAdm skal lese grunnleggende teaminformasjon.
- Teamwork.Migrate.All: Påkrevd for visse migreringsscenarier.
- TeamTemplates.ReadAll: Påkrevd hvis eAdm skal bruke teammaler.
Når du har lagt til tillatelsene, klikker du på Legg til tillatelser.
På API-tillatelsesskjermbildet klikker du på Gi administratorsamtykke for [Ditt tenantnavn] og bekrefter når du blir bedt om det.

Merk: Tillatelsene som er oppført i fet skrift, er obligatoriske for grunnleggende integrasjon. De andre er påkrevd for spesifikke, vanlige scenarier.

Del 3: Opprett en klienthemmelighet

En klienthemmelighet er et passord som applikasjonen bruker for å autentisere seg selv.

Gå til Sertifikater og hemmeligheter i menyen til venstre.
Klikk på + Ny klienthemmelighet.
Skriv inn en beskrivelse for hemmeligheten, og sett utløpsperioden til 24 måneder.
Klikk på Legg til.
Kopier umiddelbart verdien av den nye klienthemmeligheten fra Verdi-feltet.

Advarsel: Klientens hemmelige verdi vises bare i sin helhet umiddelbart etter opprettelsen. Hvis du ikke kopierer den nå, må du opprette en ny. Oppbevar denne verdien på en sikker måte.

Merk: Hvis Privileged Identity Management (PIM) er aktiv i miljøet ditt, er det ikke sikkert at du kan angi en fast utløpsdato.

Del 4: Tilordne en administratorrolle

For å utføre sensitive handlinger som å endre passord eller oppdatere brukerens telefonnummer, trenger applikasjonen en administrativ rolle.

Gå til Azure Active Directory i Azure-portalen.
Velg Roller og administratorer.
Finn og velg rollen Brukeradministrator.
Klikk på Legg til oppgaver.
Søk etter og velg programmet du opprettet tidligere (f.eks, Identum eFeide-eAdm User and Group Management).
På neste skjermbilde angir du Tildelingstype til Aktiv og oppgir en begrunnelse, for eksempel "Nødvendig for at eFeide skal kunne administrere brukerpassord".
Klikk på Tildel for å fullføre rolletildelingen.

Merk: Hvis du bruker rolletildelbare grupper for brukere som administreres av eFeide eller eAdm, krever programmet i stedet rollen Privileged Authentication Administrator. Vennligst se: https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/privileged-roles-permissions?tabs=admin-center#who-can-perform-sensitive-actions

Del 5: Send informasjon til Identum

Når konfigurasjonen er fullført, må du sende følgende informasjon til Identum for å fullføre oppsettet:

tenants navn (f.eks, yourcompany.onmicrosoft.com)
Katalog-ID (tenant)
Applikasjon (klient) ID
Kundehemmelighet

Advarsel: Av sikkerhetsgrunner må du sende klienthemmeligheten separat fra den øvrige informasjonen (f.eks. via SMS eller en annen sikker kanal).

Avansert konfigurasjon

Advarsel: Ikke utfør følgende trinn med mindre du har fått eksplisitt beskjed om å gjøre det av Identum, eller du er ekspertbruker.

Tilordne tillatelser i Exchange Online

Disse tillatelsene er bare nødvendige hvis eAdm eller eFeide skal administrere Exchange Online-funksjoner direkte, for eksempel distribusjonsgrupper eller e-postaktiverte sikkerhetsgrupper.

Gå til API-tillatelser i applikasjonsregistreringen, og klikk på + Legg til en tillatelse.
Bytt til fanen API-er som organisasjonen min bruker.
Søk etter "Office", og velg Office 365 Exchange Online.
Velg Programtillatelser.
Velg den Exchange.ManageAsApp tillatelse og klikk på Legg til tillatelser.
Gi administratortillatelse for den nye tillatelsen.
Tildel applikasjonen rollen Exchange-mottakeradministrator via panelet Roller og administratorer i Azure AD. Dette vil gjøre det mulig å administrere Exchange-objekter.

Mail-aktiverte sikkerhetsgrupper:

Håndtering av e-postaktiverte sikkerhetsgrupper krever en ekstra rolle ("Security Group Creation and Membership" i Exchange Online. Dette kan være litt vanskelig å sette opp. Men nedenfor beskriver vi hvordan du legger til den enkelte rollen (du kan bruke egendefinerte rollegrupper hvis du foretrekker det). Se https://le arn.microsoft.com/en-us/exchange/permissions-exo/application-rbac for bakgrunn og ytterligere instruksjoner:

1. Opprett tjenesteoppdragsgiveren i Exchange Online

Først finner du applikasjonens Object ID fra Azure AD og bruker den til å registrere tjenesteprinsipalen i Exchange Online. Dette trenger bare å gjøres én gang per applikasjon.

PowerShell

# Make sure you are connected to both services
# Connect-MgGraph -Scopes "Application.Read.All"
# Connect-ExchangeOnline

# --- Enter your Application (Client) ID here ---
$appId = "00000000-0000-0000-0000-000000000000"

# Find the application's details in Azure AD
$sp = Get-MgServicePrincipal -Filter "appId eq '$appId'"

# Create the service principal object within Exchange Online
# The -ErrorAction flag prevents an error if it already exists
New-ServicePrincipal -AppId $sp.AppId -ObjectId $sp.Id -DisplayName $sp.DisplayName -ErrorAction SilentlyContinue

2. Tilordne den enkelte rollen til applikasjonen

Nå kan du bruke New-ManagementRoleAssignment cmdlet med -App parameteren for å tilordne rollen direkte til tjenesteprinsipalen du nettopp har opprettet.

PowerShell

# Assign the role directly to the application
# Provide a unique name for the role assignment
New-ManagementRoleAssignment -App $appId -Role "Security Group Creation and Membership" -Name "App_SG_Creation_Membership_Direct_Assignment"

Programmet ditt har nå de spesifikke Exchange Online-tillatelsene til å administrere e-postaktiverte sikkerhetsgrupper.

Sertifikatbasert autentisering

Dette trinnet er bare nødvendig hvis Identum trenger å kjøre tilpassede skript mot Exchange Online- eller Azure AD-miljøet ditt. Dette brukes vanligvis for avanserte integrasjoner og vil bli koordinert direkte med deg.

Et selvsignert sertifikat vil bli generert. Du vil få instruksjoner om hvordan dette gjøres.
Gå til Sertifikater og hemmeligheter i applikasjonsregistreringen.
Velg fanen Sertifikater, og klikk på Last opp sertifikat.
Last opp den offentlige nøkkelfilen (.cer, .pem, eller .crt) som du har fått.

Vedlegg: Gjennomgang av nødvendige tillatelser

Tabellen nedenfor beskriver Microsoft Graph API-tillatelsene og årsaken til at de er påkrevd.

Handling	Tillatelse	Beskrivelse	Minimumskrav?
Hent anker, hent bruker	`User.Read.All`	Gjør det mulig for appen å lese alle profilegenskapene til alle brukere i organisasjonen.	Ja
Opprett, oppdater, slett bruker	`User.ReadWrite.All`	Gjør det mulig for appen å lese og skrive hele profilen til alle brukere. Merk: Oppdatering av sensitive data (f.eks. telefonnumre, e-post) eller tilbakestilling av passord krever at appen også er tildelt en administrativ rolle med høye rettigheter, for eksempel "Brukeradministrator".	Ja
Reaktiver bruker	`User.EnableDisableAccount.All`	Gjør det mulig for appen å aktivere og deaktivere brukerkontoer.	Ja
Få grupper	`Group.Read.All`	Gjør det mulig for appen å liste opp grupper og lese av deres egenskaper og medlemskap.	Ja
Opprett, oppdater, slett gruppe	`Group.ReadWrite.All`	Gjør det mulig for appen å opprette, lese og skrive alle gruppeegenskaper og -medlemskap. Krever `User.Read.All` for å legge til brukere som eiere eller medlemmer.	Ja
Oppdater gruppemedlemmer	`GroupMember.ReadWrite.All`	Gjør det mulig for appen å lese og oppdatere gruppemedlemskap.	Nei
Få siste påloggingsaktivitet	`AuditLog.Read.All`	Gjør det mulig å lese `AzureLastLogOnTimeStamp` tilbake til eADM. Hvis dette ikke fungerer, `Directory.Read.All` kan være et alternativ.	nei
Katalogtilgang	`Directory.ReadWrite.All`	Tillater appen å lese og skrive data i katalogen (brukere, grupper). Tillater ikke sletting av brukere/grupper eller tilbakestilling av passord.	Nei
Opprett team	`Team.Create`	Gjør det mulig for appen å opprette team.	Nei
Få team	`Team.ReadBasic.All`	Gjør det mulig for appen å lese navn og beskrivelser av lagene.	Nei
Overfør teamarbeidsdata	`Teamwork.Migrate.All`	Gjør det mulig for appen å opprette chat- og kanalmeldinger uten en pålogget bruker.	Nei
Les teammaler	`TeamTemplates.Read.All`	Gjør det mulig for appen å lese alle tilgjengelige Teams-maler.	Nei

Sist oppdatert: 10. november 2025