Hinweis: Die Entra ID-Lizenzierung befindet sich in der Pilotphase und ist noch nicht für alle axes4-Produkte verfügbar.
Was ist die Entra ID-Lizenzierung?
Die Entra ID-Lizenzierung erlaubt es, axes4-Produkte ohne jede Kommunikation zu axes4-Servern zu lizenzieren. axes4 erhält dabei keinerlei Zugriff auf die Azure-Umgebung bzw. das Entra ID-Verzeichnis ihrer Kunden.
Die Clients, auf denen ein Produkt von axes4 läuft, müssen Mitglied einer Azure Entra ID Domain sein. Eine Windows Active Directory-Infrastruktur (inhouse) ist nicht kompatibel; dafür stellen wir die separate Active Directory-Lizenzierung bereit.
Funktionsweise
Im Programmordner des axes4 Lizenzmanagers liegt eine Json-Datei, welche unter anderem folgende Informationen enthält:
- Azure Tenant ID
- Object ID einer Entra ID-Gruppe, welche die lizenzierten User enthält
- Anzahl der lizenzierten User
- Ablaufdatum der Lizenz
Die Datei hat das Namensschema LicenseToken_...json.
In der Registry eines Client-Computers stehen zudem folgende Informationen:
- Die Art des Lizenzverfahrens (in diesem Falle entraId)
- Die Client ID einer Azure App Registration
axes4-Produkte prüfen periodisch folgende Punkte:
- Kann der aktuelle User sich beim Entra ID des angegebenen Tenants anmelden?
- Ist der aktuelle User Mitglied der angegebenen Entra ID-Gruppe?
- Stimmt die Anzahl User in der Entra ID-Gruppe mit der Anzahl User in der Lizenz überein?
- Ist das aktuelle Datum im Gültigkeitsbereich der Lizenz?
Wenn alle vier Bedingungen erfüllt sind, werden unsere axes4-Produkte aktiviert – andernfalls laufen sie im Demo-Modus.
Vorgehen am Beispiel von axesWord
- Die Organisation kauft bei axes4 eine Lizenz für Entra ID-Lizenzierung.
- Der Admin erstellt auf Azure eine App Registration
- Der Admin erstellt eine neue Entra ID-Gruppe (Beispiel: „axesWord Users“) und fügt diejenigen Entra ID-User zu dieser Gruppe hinzu, die axesWord nutzen.
- Der Admin teilt axes4 die Azure Tenant ID sowie die Object ID der Entra ID-Gruppe mit. Er erhält eine Lizenztoken-Datei und verteilt diese mittels eines Deployment-Tools (wie InTune) an die Clients, die axesWord nutzen.
- Der Admin passt auf den Clients den Registry-Wert für den Lizenzmanager und die Azure App Registration an.
Technische Details
Azure App Registration
Die Lizenz-Routine der axes4-Produkte muss bestimmte Berechtigungen haben, um die Prüfung im Entra ID auszuführen. Diese Berechtigungen werden in einer Azure App Registration konfiguriert.
Die Client ID der App Registration muss in der Registry der Clients eingetragen werden.
Bitte erstellen und konfigurieren Sie die App Registration gemäß der detaillierten Anleitung.
Azure Entra ID-Gruppe
Die Benutzer, welche lizenziert werden sollen, werden in einer Azure Entra ID-Gruppe verwaltet.
Erstellen Sie in Ihrem Entra ID eine Gruppe und fügen Sie dieser Gruppe die gewünschten Benutzer hinzu. Teilen Sie axes4 die Object ID dieser Gruppe und die Tenant ID Ihres Azure-Verzeichnisses mit.
Verteilung der Lizenztoken-Datei
Anhand der Tenant ID und der Object ID erstellt axes4 eine Lizenz-Token-Datei (Json-Datei) mit den oben beschriebenen Daten und sendet diese Datei an die Lizenznehmer.
Diese Datei muss per Deployment Tool (wie z.B. InTune) in den axes4 License Manager-Programmordner der Clients verteilt werden. Per Default lautet der Pfad
C:\Program Files\axes4 License Manager
Anpassung des Registry Values für den Lizenzmanager und die App Registration
Um die Entra ID-Lizenzierung zu aktivieren, muss ein Registry-Wert gesetzt werden, und zwar an einem der folgenden Schlüssel (mit absteigender Priorität bei der Verarbeitung):
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\axes4\Licensing\Manager
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\axes4\Licensing\Manager
Computer\HKEY_CURRENT_USER\Software\Policies\axes4\Licensing\Manager
Computer\HKEY_CURRENT_USER\Software\axes4\Licensing\Manager
Innerhalb dieser Schlüssel sucht der Lizenzmanager einen String Value mit dem Namen ActiveConnections und dem Wert entraId.
Zudem muss die Client ID der App Registration in der Registry hinterlegt werden. Erstellen Sie dazu einen String Value mit dem Namen EntraIdClientId. Tragen Sie als Wert des String Values die Client ID ihrer App Registration ein.
Zufällige Prüfung der Anzahl lizenzierter User
Die Prüfung der Anzahl der Mitglieder in der Entra ID-Gruppe ist seitens Entra ID nicht performant. Um die Ressourcen zu schonen, findet diese Prüfung je nach Anzahl User nur sporadisch statt.
Überschreitung der Anzahl lizenzierter User
Falls die Entra ID-Gruppe mehr Mitglieder enthält, als in der Lizenztoken-Datei angegeben sind und wenn der Zufallsalgorithmus einen Client dazu auswählt, die Gruppenmitglieder zu zählen, wird dieser eine Client nicht lizenziert. Wenn die Anzahl der Gruppenmitglieder zu hoch bleibt, geschieht dies in gleicher Weise bei nachfolgenden Clients. Alle anderen Clients sind davon nicht betroffen.
Flat-Lizenzen
Die Entra ID Lizenzierung enthält die Möglichkeit, Flat-Lizenzen auszustellen, wenn eine Organisation sämtliche ihrer Mitarbeiterinnen und Mitarbeiter lizenzieren möchte. Dabei gibt es zwei Optionen:
Tenant Flat
Es wird nur geprüft, ob ein User zum richtigen Entra ID gehört. Die Prüfung auf Mitgliedschaft in einer Entra ID-Gruppe entfällt.
Group Flat
Es wird geprüft, ob ein User zum richtigen Entra ID gehört und ob der User Mitglied in der angegebenen Entra ID-Gruppe ist. Mittels dieser Gruppenmitgliedschaft kann ein Admin steuern, wer eine Lizenz erhält. Der Lizenzmanager prüft bei Group Flat nicht, wie viele User in der Entra ID-Gruppe sind.
Konfiguration der App Registration
- Tippen Sie im Suchfeld des Azure Portals «App Registrations» ein und rufen Sie das entsprechende Widget auf.
- Klicken Sie auf New Registration.
- Tragen Sie einen beliebigen Namen ein, wählen Sie Single Tenant, keine Redirect URI und keinen Admin Consent.
- Kopieren Sie die Client ID der App Registration in die Zwischenablage und halten Sie sie zwischenzeitlich in einer Notiz fest.
- Wechseln Sie in der Navigation zu Authentication und klicken Sie auf Add a platform
- Wählen Sie Mobile and desktop applications
- Tragen Sie den folgenden Wert in das Feld Custom redirect URIs ein:
ms-appx-web://microsoft.aad.brokerplugin/Client ID
Ersetzen Sie Client ID mit dem Wert, den Sie in Schritt 4 festgehalten haben und klicken Sie auf Configure
- Wechseln Sie in der Navigation zu API permissions und klicken Sie auf Add a permission
- Wählen Sie Microsoft Graph
- Wählen Sie Delegated permissions
- Scrollen Sie zum Kapitel GroupMember und selektieren Sie GroupMember.Read.All
GroupMember.Read.All' hervorgehoben."
- Scrollen Sie zum Kapitel User. Wählen Sie User.Read und klicken Sie auf Add permissions
Hinweis: die Berechtigung User.Read ist normalerweise per Default gesetzt.
User.Read' hervorgehoben." - Klicken Sie auf Grant admin consent for Directory
- Klicken Sie zur Bestätigung auf Yes
Damit ist die Konfiguration abgeschlossen.