Office 365-Cloud-App

• Fügen Sie Ihre Workspace-Domain zu Microsoft Office 365 hinzu. Eine Anleitung finden Sie im Hilfeartikel Eine Domain zu Microsoft 365 hinzufügen.
• Installieren Sie PowerShell.

• Konfigurieren Sie die ImmutableID. In Office 365 wird das Attribut ImmutableID für die eindeutige Identifizierung von Nutzern verwendet. Damit die SSO zwischen Google und Office 365 funktioniert, muss jeder Office 365-Nutzer eine ImmutableID haben und das SAML-Attribut mit der Namens-ID , das während der SSO an Office 365 gesendet wird, muss dieser ImmutableID entsprechen.

  Die ImmutableID eines Nutzers in Office 365 hängt davon ab, wie er angelegt wurde. Hier sind die wahrscheinlichsten Szenarien:

  • Noch keine Nutzer in Office 365: Wenn Sie Google so einrichten, dass Nutzer automatisch verwaltet werden, müssen Sie das Attribut „ImmutableID“ nicht konfigurieren. Es wird standardmäßig der E‑Mail-Adresse des Nutzers zugeordnet. Das läuft über den Hauptnamen des Nutzers (UPN, User Principle Name). Fahren Sie mit Schritt 1 fort.

  • Nutzer wurden in der Office 365-Admin-Konsole erstellt : Die ImmutableID sollte leer sein. Legen Sie für solche Nutzer die ImmutableID in Office 365 mithilfe des PowerShell-Befehls „Update-MgUser“ so fest, dass sie dem UPN des Nutzers entspricht:

    Update-MgUser -UserPrincipalName testuser@IhrUnternehmen.de -OnPremisesImmutableId testuser@IhrUnternehmen.de

    Sie können auch „Update-MgUser“ verwenden, um alle Nutzer gleichzeitig zu aktualisieren. Eine Anleitung finden Sie in der PowerShell-Dokumentation.

  • Nutzer wurden über Microsoft Entra ID Sync erstellt : Die ImmutableID ist eine codierte Version der Active Directory-Objekt-GUID. Für diese Nutzer:
    1. Rufen Sie die ImmutableID mit PowerShell aus Entra ID ab. Beispiel für den Abruf der ImmutableID für alle Nutzer und den Export in eine CSV-Datei:

       $exportUsers = Get-MgUser -All | Select-Object UserprincipalName, OnPremisesImmutableId | Export-Csv C:csvfile

    2. Erstellen Sie ein benutzerdefiniertes Attribut in Google und tragen Sie dann im Profil jedes Nutzers die Office 365-ImmutableID ein. Eine Anleitung finden Sie im Hilfeartikel Benutzerdefiniertes Attribut hinzufügen und Nutzerprofil aktualisieren. Sie können den Vorgang auch über GAM (ein Open-Source-Befehlszeilentool) oder die Admin Console APIs automatisieren.

    Weitere Informationen zur ImmutableID finden Sie in der Microsoft-Dokumentation.

1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü AppsWeb- und mobile Apps.

   Web- und mobile Apps aufrufen

   Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

2. Klicken Sie auf App hinzufügenNach Apps suchen.
3. Geben Sie unter App-Namen eingeben die Option Office 365 ein.
4. Bewegen Sie den Mauszeiger in den Suchergebnissen auf Microsoft Office 365 und klicken Sie auf Auswählen.
5. Im Fenster Details zum Google-Identitätsanbieter für Option 2: SSO-URL, Entitäts-ID und Zertifikat kopieren:
   1. Klicken Sie neben SSO-URL auf „Kopieren“ und speichern Sie die URL.
   2. Klicken Sie neben Entitäts-ID auf „Kopieren“ und speichern Sie die Entitäts-ID.
   3. Klicken Sie neben Zertifikat auf „Kopieren“ und speichern Sie das Zertifikat.

      Sie benötigen diese Details, um die Einrichtung in Office 365 abzuschließen.

Lassen Sie die Google Admin-Konsole geöffnet. Nachdem Sie die Einrichtungsschritte in der App abgeschlossen haben, fahren Sie mit der Konfiguration in der Admin-Konsole fort.

1. Öffnen Sie ein Inkognitofenster im Browser, rufen Sie die Office 365-Anmeldeseite auf und melden Sie sich mit Ihrem Office 365-Administratorkonto an.
2. Erstellen Sie in einem Texteditor PowerShell-Variablen aus den Daten, die Sie in Schritt 1 kopiert haben. Hier sind die Werte, die für jede Variable erforderlich sind:

   Variable	Wert
   $DomainName	"IhrUnternehmen.de"
   $FederationBrandName	„Google Cloud Identity“ (oder ein beliebiger anderer Wert)
   $Authentication	„Federated“
   $PassiveLogOnUrl $ActiveLogOnUri	„SSO-URL“ (aus Schritt 1)
   $SigningCertificate	„Vollständiges Zertifikat hier einfügen“ (aus Schritt 1)*
   $IssuerURI	„Entitäts-ID“ (aus Schritt 1)
   $LogOffUri	"https://accounts.google.com/logout"
   $PreferredAuthenticationProtocol	„SAMLP“

   * Die Variable „$SigningCertifcate“ muss auf einer einzigen Textzeile stehen, sonst gibt PowerShell eine Fehlermeldung zurück.
3. Führen Sie in der PowerShell-Konsole den Befehl „Update-MgDomain“ aus, um Ihre Active Directory-Domain für die Föderation zu konfigurieren. Eine Anleitung finden Sie in der Microsoft-PowerShell-Dokumentation.
4. Optional: Nutzen Sie zum Test der Föderationseinstellungen den folgenden PowerShell-Befehl:

   Get-MgDomainFederationConfiguration -DomainName IhrUnternehmen.de | Formatliste *

Hinweis: Wenn Ihre Domain bereits föderiert ist und Sie die Föderation auf Google umstellen müssen, führen Sie folgenden Befehl mit den oben in der Tabelle aufgeführten Parametern aus:
Update-MgDomainFederationConfiguration

1. Kehren Sie zum Browsertab der Admin-Konsole zurück.
2. Klicken Sie auf Weiter.
3. Gehen Sie auf der Seite Details zum Dienstanbieter so vor:
   1. Markieren Sie das Kästchen neben Signierte Antwort.
   2. Wählen Sie für NameID-Format die Option Persistent aus.
   3. Wählen Sie unter Namens-ID eine Option aus:
      • Wenn Sie ein benutzerdefiniertes Attribut erstellt haben, um die Office 365-ImmutableID den Profilen Ihrer Nutzer hinzuzufügen, wählen Sie das benutzerdefinierte Attribut aus.
      • Falls Sie kein benutzerdefiniertes ImmutableID-Attribut erstellt haben, wählen Sie Allgemeine InformationenPrimäre E‑Mail-Adresse aus.
4. Klicken Sie auf Weiter.
5. Klicken Sie auf der Seite Attributzuordnung auf das Menü Feld auswählen und ordnen Sie folgende Google-Verzeichnisattribute den entsprechenden Office 365-Attributen zu: Das Attribut „IDPEmail“ ist erforderlich.

   Google-Verzeichnisattribut	Office 365-Attribut
   Allgemeine Informationen > Primäre E‑Mail-Adresse	IDPEmail*

6. Optional: Wenn Sie weitere Zuordnungen hinzufügen möchten, klicken Sie auf Zuordnung hinzufügen und wählen Sie die Felder aus, die Sie zuordnen möchten.
7. Optional: So geben Sie Gruppennamen ein, die für diese App relevant sind:
   1. Klicken Sie unter Gruppenmitgliedschaft (optional) auf Nach einer Gruppe suchen, geben Sie einen oder mehrere Buchstaben des Gruppennamens ein und wählen Sie den Gruppennamen aus.
   2. Fügen Sie bei Bedarf weitere Gruppen hinzu (maximal 75 Gruppen).
   3. Geben Sie unter App-Attribut den entsprechenden Gruppenattributnamen des Dienstanbieters ein.

   Unabhängig davon, wie viele Gruppennamen Sie eingeben, enthält die SAML-Antwort nur Gruppen, in denen ein Nutzer direkt oder indirekt Mitglied ist. Weitere Informationen finden Sie unter Zuordnung von Gruppenmitgliedschaften.

8. Klicken Sie auf Fertig.

1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü AppsWeb- und mobile Apps.

   Web- und mobile Apps aufrufen

   Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

2. Klicken Sie auf Office 365.
3. Klicken Sie auf Nutzerzugriff.

4. Wenn Sie einen Dienst für alle Nutzer in Ihrer Organisation aktivieren oder deaktivieren möchten, klicken Sie auf Für alle aktiviert oder Für alle deaktiviert und anschließend auf Speichern.

5. Optional: So aktivieren oder deaktivieren Sie einen Dienst für eine Organisationseinheit:

   1. Wählen Sie links die Organisationseinheit aus.
   2. Wenn Sie den Dienststatus ändern möchten, wählen Sie An oder Aus aus.
   3. Wählen Sie eine Option aus:
      • Wenn der Dienststatus auf Übernommen festgelegt ist und Sie die aktualisierte Einstellung beibehalten möchten, auch wenn sich die übergeordnete Einstellung ändert, klicken Sie auf Überschreiben.
      • Wenn der Dienststatus Überschrieben lautet, klicken Sie auf Übernehmen, um die Einstellung des übergeordneten Elements wiederherzustellen, oder auf Speichern, um die neue Einstellung beizubehalten, auch wenn sich die übergeordnete Einstellung ändert.
        Weitere Informationen zur Organisationsstruktur.
6. Optional: Soll ein Dienst für eine Gruppe von Nutzern aktiviert werden, die zu einer oder zu mehreren Organisationseinheiten gehören, wählen Sie eine Zugriffsgruppe aus. Weitere Informationen finden Sie unter Dienstzugriff mithilfe von Zugriffsgruppen anpassen.
7. Achten Sie darauf, dass die E‑Mail-Domains des Office 365-Nutzerkontos mit der primären Domain des verwalteten Google-Kontos Ihrer Organisation übereinstimmen.

Office 365 unterstützt sowohl vom Identitätsanbieter als auch vom Dienstanbieter initiiertes SSO.

Vom Identitätsanbieter initiiertes SSO testen

1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü AppsWeb- und mobile Apps.

   Web- und mobile Apps aufrufen

   Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

2. Klicken Sie auf Office 365.
3. Klicken Sie im Abschnitt Office 365 auf SAML-Anmeldung testen.

   Die App sollte in einem separaten Tab geöffnet werden. Wenn das nicht der Fall ist, beheben Sie den Fehler und versuchen Sie es noch einmal. Weitere Informationen zur Fehlerbehebung finden Sie im Hilfeartikel Fehlermeldungen zu SAML-Apps.

Vom Dienstanbieter initiiertes SSO testen

1. Schließen Sie alle Browserfenster.
2. Rufen Sie die Office 365-Anmeldeseite auf und melden Sie sich mit Ihrem Office 365-Administratorkonto an.
   Sie sollten automatisch zur Google-Anmeldeseite weitergeleitet werden.
3. Wählen Sie Ihr Konto aus und geben Sie Ihr Passwort ein.

Nachdem Ihre Anmeldedaten authentifiziert wurden, sollte die App geöffnet werden.

Als Super Admin können Sie Nutzer in der App automatisch verwalten. Weitere Informationen finden Sie im Hilfeartikel Nutzerverwaltung für Office 365 konfigurieren.