Zum Hauptinhalt gehen

Technische Details

Thomas Schempp
  • Aktualisiert

Azure App Registration

Die Lizenz-Routine der axes4-Produkte muss bestimmte Berechtigungen haben, um die Prüfung im Entra ID auszuführen. Diese Berechtigungen werden in einer Azure App Registration konfiguriert.

Die Client ID der App Registration muss in der Registry der Clients eingetragen werden.

Bitte erstellen und konfigurieren Sie die App Registration gemäß der detaillierten Anleitung.

Azure Entra ID-Gruppe

Die Benutzer, welche lizenziert werden sollen, werden in einer Azure Entra ID-Gruppe verwaltet.

Erstellen Sie in Ihrem Entra ID eine Gruppe und fügen Sie dieser Gruppe die gewünschten Benutzer hinzu. Teilen Sie axes4 die Object ID dieser Gruppe und die Tenant ID Ihres Azure-Verzeichnisses mit.

Bitte beachten Sie, dass die Objekt-ID der Entra-ID-Gruppe nach Ausstellung der Lizenz nicht mehr geändert werden kann. Sie können den Namen der Gruppe ändern, aber Sie können keine aktualisierte Lizenz für eine andere Gruppe beantragen.

Verteilung der Lizenztoken-Datei

Anhand der Tenant ID und der Object ID erstellt axes4 eine Lizenz-Token-Datei (Json-Datei) mit den oben beschriebenen Daten und sendet diese Datei an die Lizenznehmer.

Diese Datei muss per Deployment Tool (wie z.B. InTune) in den axes4 License Manager-Programmordner der Clients verteilt werden. Per Default lautet der Pfad

C:\Program Files\axes4 License Manager

Anpassung des Registry Values für den Lizenzmanager und die App Registration

Um die Entra ID-Lizenzierung zu aktivieren, muss ein Registry-Wert gesetzt werden, und zwar an einem der folgenden Schlüssel (mit absteigender Priorität bei der Verarbeitung):

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\axes4\Licensing\Manager
Computer\HKEY_CURRENT_USER\Software\Policies\axes4\Licensing\Manager
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\axes4\Licensing\Manager
Computer\HKEY_CURRENT_USER\Software\axes4\Licensing\Manager

Innerhalb dieser Schlüssel sucht der Lizenzmanager einen String Value mit dem Namen ActiveConnections und dem Wert entraId.

Zudem muss die Client ID der App Registration in der Registry hinterlegt werden. Erstellen Sie dazu einen String Value mit dem Namen EntraIdClientId. Tragen Sie als Wert des String Values die Client ID ihrer App Registration ein.

Screenshot des Windows Registry Editors mit zwei markierten String Values. Der erste lautet 'ActiveConnections' und hat den Wert 'entraId', der zweite lautet 'EntraIdClientId' und hat einen zufälligen GUID-Wert.

 

Zufällige Prüfung der Anzahl lizenzierter User

Die Prüfung der Anzahl der Mitglieder in der Entra ID-Gruppe ist seitens Entra ID nicht performant. Um die Ressourcen zu schonen, findet diese Prüfung je nach Anzahl User nur sporadisch statt.

Überschreitung der Anzahl lizenzierter User

Falls die Entra ID-Gruppe mehr Mitglieder enthält, als in der Lizenztoken-Datei angegeben sind und wenn der Zufallsalgorithmus einen Client dazu auswählt, die Gruppenmitglieder zu zählen, wird dieser eine Client nicht lizenziert. Wenn die Anzahl der Gruppenmitglieder zu hoch bleibt, geschieht dies in gleicher Weise bei nachfolgenden Clients. Alle anderen Clients sind davon nicht betroffen.

Flat-Lizenzen

Die Entra ID Lizenzierung enthält die Möglichkeit, Flat-Lizenzen auszustellen, wenn eine Organisation sämtliche ihrer Mitarbeiterinnen und Mitarbeiter lizenzieren möchte. Dabei gibt es zwei Optionen:

Tenant Flat

Es wird nur geprüft, ob ein User zum richtigen Entra ID gehört. Die Prüfung auf Mitgliedschaft in einer Entra ID-Gruppe entfällt.

Group Flat

Es wird geprüft, ob ein User zum richtigen Entra ID gehört und ob der User Mitglied in der angegebenen Entra ID-Gruppe ist. Mittels dieser Gruppenmitgliedschaft kann ein Admin steuern, wer eine Lizenz erhält. Der Lizenzmanager prüft bei Group Flat nicht, wie viele User in der Entra ID-Gruppe sind.

Konfiguration der App Registration

  1. Tippen Sie im Suchfeld des Azure Portals «App Registrations» ein und rufen Sie das entsprechende Widget auf.
     
  2. Klicken Sie auf New Registration.Screenshot des Azure-Portals. Im Widget
     
  3. Tragen Sie einen beliebigen Namen ein, wählen Sie Single Tenant, keine Redirect URI und keinen Admin Consent.

     
  4. Kopieren Sie die Client ID der App Registration in die Zwischenablage und halten Sie sie zwischenzeitlich in einer Notiz fest.
    Screenshot des Azure-Portals. Im Widget 'App Registrations' ist der Bereich 'Application (client) ID' hervorgehoben.
     
  5. Wechseln Sie in der Navigation zu Authentication und klicken Sie auf Add a platform
    Screenshot des Azure-Portals. Im Widget 'App Registrations' ist der Navigationspunkt 'Authentication' und dort der Button 'Add a platform' hervorgehoben.

     
  6. Wählen Sie Mobile and desktop applications
    Screenshot des Azure-Portals. Im Widget 'Configure platforms' ist der Button 'Mobile and desktop applications' hervorgehoben.

     
  7. Tragen Sie den folgenden Wert in das Feld Custom redirect URIs ein:
    ms-appx-web://microsoft.aad.brokerplugin/Client ID
    Ersetzen Sie Client ID mit dem Wert, den Sie in Schritt 4 festgehalten haben und klicken Sie auf Configure


     
  8. Wechseln Sie in der Navigation zu API permissions und klicken Sie auf Add a permission
    Screenshot des Azure-Portals. Im Widget 'App Registrations' ist der Navigationspunkt 'API permissions' und dort der Button 'Add a permission' hervorgehoben.
     
  9. Wählen Sie Microsoft Graph
    Screenshot des Azure-Portals. Im Widget 'Request API permission' ist der Button 'Microsoft Graph' hervorgehoben.
     
  10. Wählen Sie Delegated permissions
    Screenshot des Azure-Portals. Im Widget 'Request API permission' ist der Button 'Delegated permissions' hervorgehoben.

     
  11. Scrollen Sie zum Kapitel GroupMember und selektieren Sie GroupMember.Read.All
    alt GroupMember.Read.All' hervorgehoben."
     
  12. Scrollen Sie zum Kapitel User. Wählen Sie User.Read und klicken Sie auf Add permissions
    Hinweis: die Berechtigung User.Read ist normalerweise per Default gesetzt.
    alt User.Read' hervorgehoben."
  13. Klicken Sie auf Grant admin consent for Directory
    Screenshot des Azure-Portals. Im Widget 'App registrations' ist der Button 'Grant admin consent for directory' hervorgehoben.
     
  14. Klicken Sie zur Bestätigung auf Yes

Damit ist die Konfiguration abgeschlossen.