Entra ID
Entra ID (Azure AD) Integration: Benutzer, Gruppen und S/MIME-Zertifikate synchronisieren.
Entra ID-Integration
Mit der Entra ID-Integration (früher Azure AD) wird Conbool direkt mit Ihrem Microsoft-365-Tenant verbunden. Benutzer, Gruppen und S/MIME-Zertifikate stehen dadurch automatisch für Richtlinien, Verschlüsselung, Routing und Benutzerverwaltung zur Verfügung – ohne manuelle Pflege oder lokale Speicherung sensibler Daten.
Die Integration nutzt die Microsoft Graph API v1.0 und unterstützt sowohl zertifikatsbasierte Authentifizierung als auch Client-Secrets.
Funktionsumfang
- Benutzer-Synchronisierung – Automatischer Import aller Benutzer aus Entra ID inkl. Paginierung bei großen Tenants
- Gruppen-Synchronisierung – Übernahme von Sicherheits- und Microsoft-365-Gruppen
- S/MIME-Zertifikatabruf – Zertifikate werden direkt aus Entra ID geladen und für die E-Mail-Verschlüsselung verwendet
- Change Notifications – Webhook-basierte Benachrichtigungen bei Änderungen im Tenant
- Ablaufüberwachung – Automatische Anzeige des Ablaufdatums von Secrets und Zertifikaten
- Audit-Logging – Jede Konfigurationsänderung an der Entra-ID-Verbindung wird protokolliert
Voraussetzungen
Bevor Sie die Integration einrichten, stellen Sie sicher, dass folgende Punkte erfüllt sind:
- Sie besitzen globale Administrator- oder Cloud-Anwendungsadministrator-Rechte in Ihrem Microsoft-365-Tenant.
- In Azure AD / Entra ID wurde eine App-Registrierung angelegt (oder Sie lassen Conbool diese über den Admin-Consent-Flow automatisch anlegen).
- Die App-Registrierung verfügt über die erforderlichen Microsoft-Graph-API-Berechtigungen (Application Permissions):
User.Read.All– Benutzer lesenGroup.Read.All– Gruppen lesenMail.Read– E-Mail-bezogene Daten (für S/MIME)
- Ein gültiges Zertifikat oder Client-Secret für die App-Registrierung liegt vor.
Verbindung herstellen
Die Verbindung erfolgt über den OAuth2 Admin Consent Flow. Dabei wird kein Benutzerkennwort in Conbool gespeichert – stattdessen erteilt ein Administrator die Zustimmung für die gesamte Organisation.
Schritt-für-Schritt-Anleitung
- Navigieren Sie zu Einstellungen → Integrationen → Entra ID.
- Klicken Sie auf „Mit Microsoft verbinden".
- Sie werden zur Microsoft-Anmeldeseite weitergeleitet. Melden Sie sich mit einem Administratorkonto an.
- Prüfen Sie die angeforderten Berechtigungen und erteilen Sie die Admin-Zustimmung (Admin Consent) für Ihre Organisation.
- Nach erfolgreicher Zustimmung werden Sie automatisch zu Conbool zurückgeleitet (Callback).
- Die Verbindungsdaten – Tenant-ID, Client-ID und Scope – werden automatisch übernommen.
- Wählen Sie den gewünschten Authentifizierungsmodus (siehe unten).
- Klicken Sie auf Speichern.
Nach dem Speichern beginnt Conbool sofort mit der ersten Synchronisierung. Je nach Größe des Tenants kann dieser Vorgang einige Minuten dauern.
Authentifizierungsmodus
Conbool unterstützt zwei Authentifizierungsverfahren gegenüber der Microsoft Graph API. Der Modus wird automatisch erkannt, kann aber auch manuell umgestellt werden.
| Merkmal | Zertifikat (empfohlen) | Client-Secret (Legacy) |
|---|---|---|
| Sicherheitsniveau | Hoch – privater Schlüssel verlässt den Server nicht | Mittel – Shared Secret |
| Rotation | Zertifikat austauschen | Secret regelmäßig erneuern |
| Ablaufüberwachung | Ja, mit Warnhinweis | Ja, mit Warnhinweis |
| Einrichtung | Zertifikat in App-Registrierung hochladen | Secret in Azure Portal generieren |
| Empfehlung | Produktivbetrieb | Testumgebungen, Migration |
Microsoft empfiehlt die zertifikatsbasierte Authentifizierung. Client-Secrets gelten als Legacy-Methode und sollten nur in Ausnahmefällen eingesetzt werden.
Synchronisierte Daten
Benutzerattribute
Die folgenden Felder werden pro Benutzer aus Entra ID abgerufen:
| Entra-ID-Feld | Conbool-Platzhalter | Beschreibung |
|---|---|---|
displayName | {user.display_name} | Anzeigename |
mail | {user.email} | Primäre E-Mail-Adresse |
userPrincipalName | — | Anmeldename (UPN, intern) |
mobilePhone | {user.mobile} | Mobiltelefonnummer |
jobTitle | {user.job_title} | Stellenbezeichnung |
department | {user.department} | Abteilung |
officeLocation | {user.office} | Bürostandort |
city | {user.city} | Stadt |
country | {user.country} | Land |
postalCode | {user.postal_code} | Postleitzahl |
streetAddress | {user.street} | Straße |
businessPhones | {user.phone} | Geschäftliche Telefonnummer |
Diese Attribute stehen als Platzhalter in Disclaimern und Vorlagen zur Verfügung. Verwenden Sie die Conbool-Platzhalternamen (z. B. {user.department}), um dynamische Inhalte in E-Mail-Disclaimern einzufügen.
Gruppen
Alle Sicherheitsgruppen und Microsoft-365-Gruppen werden synchronisiert. Gruppen können in Richtlinien als Bedingung verwendet werden, z. B. „Nur Mitglieder der Gruppe Vertrieb dürfen unverschlüsselt senden."
S/MIME-Zertifikate
Conbool ruft S/MIME-Zertifikate direkt über die Microsoft Graph API ab. Die Zertifikate werden nicht lokal gespeichert, sondern bei Bedarf in Echtzeit geladen. Damit ist sichergestellt, dass immer das aktuelle Zertifikat aus Entra ID verwendet wird.
Konfigurationsfelder
| Feld | Beschreibung | Beispiel |
|---|---|---|
| Tenant-ID | Eindeutige ID Ihres Microsoft-365-Mandanten | a1b2c3d4-e5f6-... |
| Client-ID | ID der App-Registrierung in Entra ID | f7g8h9i0-j1k2-... |
| Scope | API-Berechtigungsumfang | https://graph.microsoft.com/.default |
| Auth-Modus | Zertifikat oder Client-Secret (wird automatisch erkannt) | certificate / client_secret |
| Secret-Ablaufdatum | Wird automatisch angezeigt, wenn ein Secret konfiguriert ist | 2026-12-31 |
Verbindung trennen
Um die Entra-ID-Integration zu deaktivieren:
- Navigieren Sie zu Einstellungen → Integrationen → Entra ID.
- Klicken Sie auf „Verbindung trennen" bzw. deaktivieren Sie den Schalter.
- Bestätigen Sie die Trennung.
Nach dem Trennen werden keine weiteren Daten aus Entra ID synchronisiert. Bereits synchronisierte Benutzerdaten bleiben in Conbool erhalten, bis sie manuell entfernt werden. Zertifikate, die nur aus Entra ID geladen wurden, stehen nicht mehr zur Verfügung.
Um die Verbindung auch auf Microsoft-Seite zu entfernen, löschen Sie die Admin-Zustimmung in der Azure-Portal-Unternehmensanwendung oder entfernen Sie die App-Registrierung.
Fehlerbehebung
Verbindung schlägt fehl
- Tenant-ID oder Client-ID falsch – Überprüfen Sie die Werte in der Azure-Portal-App-Registrierung unter Übersicht.
- Fehlende Admin-Zustimmung – Stellen Sie sicher, dass ein globaler Administrator die Berechtigungen erteilt hat. Unter API-Berechtigungen muss der Status „Gewährt für [Organisation]" angezeigt werden.
- Netzwerkeinschränkungen – Conbool muss
login.microsoftonline.comundgraph.microsoft.comüber HTTPS erreichen können.
Benutzer werden nicht synchronisiert
- Paginierung – Bei Tenants mit mehr als 999 Benutzern nutzt Conbool automatische Paginierung. Prüfen Sie, ob die Synchronisierung noch läuft.
- Lizenzfilter – Nur lizenzierte Benutzer mit gültigem
mail-Attribut werden synchronisiert. - Berechtigungen – Die App benötigt
User.Read.Allals Application Permission (nicht Delegated).
Zertifikate nicht verfügbar
- S/MIME-Zertifikate müssen im Benutzerprofil in Entra ID hinterlegt sein.
- Prüfen Sie, ob die API-Berechtigung
Mail.Readerteilt wurde.
Secret abgelaufen
- Conbool zeigt das Ablaufdatum des Secrets in den Einstellungen an. Erneuern Sie das Secret rechtzeitig im Azure Portal und aktualisieren Sie es in Conbool.
- Erwägen Sie den Umstieg auf zertifikatsbasierte Authentifizierung, um die Abhängigkeit von ablaufenden Secrets zu reduzieren.
Sicherheitshinweise
- Keine lokale Speicherung von Zertifikaten – S/MIME-Zertifikate werden bei Bedarf aus Entra ID geladen und nicht dauerhaft in Conbool gespeichert.
- Audit-Trail – Alle Änderungen an der Entra-ID-Konfiguration (Aktivierung, Deaktivierung, Änderung der Zugangsdaten) werden vollständig protokolliert und sind im Audit-Log einsehbar.
- Prinzip der geringsten Berechtigung – Erteilen Sie der App-Registrierung nur die tatsächlich benötigten Graph-API-Berechtigungen.
- Zertifikatsbasierte Authentifizierung bevorzugen – Vermeiden Sie Client-Secrets im Produktivbetrieb. Zertifikate bieten ein höheres Sicherheitsniveau, da kein Shared Secret übertragen wird.
- Regelmäßige Überprüfung – Kontrollieren Sie regelmäßig die erteilten Berechtigungen in der Azure-Portal-Unternehmensanwendung und entfernen Sie nicht mehr benötigte Zugänge.
- Webhook-Sicherheit – Change Notifications werden über gesicherte HTTPS-Endpunkte empfangen und validiert.
Weiterführende Dokumentation
- Integrationsübersicht – Alle verfügbaren Integrationen im Überblick.
- Platzhalter – Verwendung von Benutzerattributen wie
{user.department}in Disclaimern und Vorlagen. - Gruppen – Gruppenverwaltung und Nutzung synchronisierter Gruppen in Richtlinien.