EntraID/AzureAD Enterprise Application Integration (SSO/O365/SCIM/Calendar-integrasjon)

Når du er logget på GoBright portal med den opprinnelige administratorkontoen, kan du trykke på de fire firkantene øverst til høyre og velge administrasjonssenteret.

Du må gå til integrasjoner, trykk på den blå knappen Legg til øverst til høyre.

Her blir du presentert med et par alternativer som du kan velge avhengig av det eksterne systemet du trenger å integrere med GoBright .

I ditt tilfelle nå, er eksternt system Office 365, autentiseringstype er moderne ved bruk av MS SSO og tillatelsesmodus er applikasjonsmodus ved bruk av en bedriftsapplikasjon.

Du kan allerede koble til O365-leieren, som vil gi oss en melding om å logge på med en Microsoft-konto.

For dette må du bruke en global administrasjonskonto for Azure/Entra ID.

Når du er pålogget, utløses en annen melding som vil be om tillatelser.

Tillatelsene er for GoBright SSO-applikasjon som lar brukere autentisere og logge på med sine O365-kontoer.

Når den er akseptert, opprettes Enterprise Application, og du vil bli brakt tilbake til GoBright portal med Leietaker-status Linked.

Når du blir brakt tilbake til O365-integrasjonen i GoBright du kan se at SSO Tenant Link er koblet, men den vil også vise to andre integrasjoner som ikke er koblet.

Hvis du bruker rombestillingsfunksjonen i GoBright , må du koble kalenderen og team-integrasjonen, da dette vil gi deg muligheten til å integrere romkalenderne med GoBright og for å kunne opprette Teams Meeting Links automatisk når du bestiller et rom gjennom GoBright Portal.

Vennligst dobbeltsjekk og sørg for at rompostboksene du prøver å integrere ikke er skjult i den globale adresselisten på Exchange. Dette kan forårsake valideringsfeil, at objekt-ID-ene ikke er tilgjengelige i det eksterne systemet

Når du trykker på lenken, utløses en melding som vil be om tillatelser for å opprette GoBright Program for kalenderapplikasjonsmodus.

VIKTIG MERK: Standardmåten er å bruke full integrasjon. Hvis du vil bruke begrenset integrasjon, og begrense dette til spesifikke kalendere eller kun ressurskalendere, vennligst bruk 'begrensningspolicyen' som beskrevet i trinn 4 nedenfor.

Når den er akseptert, opprettes Enterprise Application og GoBright kan kommunisere med romkalenderene.

Å koble til Office 365 med PowerShell er den enkleste måten å utføre flere konfigurasjonskommandoer på.

For å koble til Office 365 med MFA-støtte, tilbyr Microsoft EXO V3-modulen , publisert gjennom PowerShell-galleriet, som kan installeres med følgende trinn:

1. Start PowerShell som administrator
   

   De GoBright plattformen håndhever kommunikasjon ved hjelp av TLS 1.2. Avhengig av systemet du bruker, kan dette ikke skje automatisk. Se koden nedenfor og implementer dette i hvert PowerShell-skript som kommuniserer med GoBright .

   Legg også til $ErrorActionPreference for å sikre at den stopper skriptet hver gang det oppstår en feil. Ikke glem å legge til linjene nedenfor i hvert av skriptene dine.

   [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
    $ErrorActionPreference = "Stopp"

2. Installer PowerShell-galleriet PowerShell-modulen:
   • Utfør følgende kommandoer i PowerShell (kjører som administrator)
   • Installer NuGet PackageProvider:
     

     Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force

   • Konfigurer PowerShellGallery som en pålitelig kilde:
     

     Set-PSRepository -Name PSGallery -InstallationPolicy Trusted

   • Installer PowerShellGet-modulen:
     

     Import-Module -Name PowerShellGet

3. Installer EXO V3 (ExchangeOnlineManagement)-modulen:
   

   Install-Module -Name ExchangeOnlineManagement -Force

   Kommandoen ' -Force ' sørger for at den nyeste versjonen av modulen er installert selv når en tidligere installasjon eksisterer.

4. Lukk PowerShell-økten
5. Start en ny PowerShell-økt

Nå kan vi bruke den installerte EXO V3-modulen til å koble til Office 365:

6. Start PowerShell som administrator (sørg for at dette er en ny PowerShell-økt)
   
7. Begynn å koble til ved å logge på, bruk en konto med de nødvendige tillatelsene for å administrere Office 365-miljøet ditt:
   

   Connect-ExchangeOnline -UserPrincipalName [email protected] -ShowProgress $true

8. Når du er logget inn, er vi klare til å fortsette med den videre konfigurasjonen!

Med trinnene nedenfor kan du opprette rom i Office 365-miljøet ditt. Dette vil publisere rommene i Office 365, og gi en kalender for hvert rom.

Hvis du allerede har romkalendere i ditt Office 365-miljø, fortsett med neste trinn, men sørg for at du har e-postadressene til rommene, for du vil trenge dem senere.

Utfør følgende kommandoer via PowerShell-økten.

Utfør følgende kommando, endre MicrosoftOnlineServicesID til rommets e-postadresse du ønsker, og oppgi riktig navn , displaynavn og passord for dette rommet:

New-Mailbox -EnableRoomMailboxAccount $true -Room -MicrosoftOnlineServicesID [email protected] -Name Room1 -DisplayName 'Room 1' -RoomMailboxPassword (ConvertTo-SecureString -String YourPasswordHere -AsPlainText -Force)

Om nødvendig kan du angi Organisasjonsenhet via parameteren -Organisasjonsenhet . Eksempelkommandoen ovenfor forutsetter standard organisasjonsenhet.

Utfør denne kommandoen for hvert rom du vil opprette.

Nå skal brukernes tilgang til rommets postkasse konfigureres.

Utfør følgende kommandoer via PowerShell-økten.

Med følgende kommando setter du standardtilgangen for hver rompostkasse til "skrivebeskyttet, med begrensede detaljer", dette er vanligvis best, slik at brukere ikke kan endre direkte i rommets postkasse. Endre verdien av Identity til e-postadressen til rommet.

Set-MailboxFolderPermission -Identity [email protected]:Calendar -User Default -AccessRights LimitedDetails

Merk: mappenavnet 'Kalender' er avhengig av kulturinnstillingene i rommets postkasse, så 'Kalender' kan også være en oversatt verdi som 'Agenda'. Kommandoen vil mislykkes med en feilmelding hvis du bruker feil mappenavn.

Utfør følgende kommando for å få mappenavnet (f.eks. når kommandoen ovenfor mislykkes):

Get-MailboxFolderStatistics -Identity [email protected] | Where-Object {$_.FolderType -eq "Calendar"} | Select Name,FolderType,Identity

Standardoppførselen til en rompostboks endrer emnet for avtalen og fjerner det private flagget hvis det er angitt. Via følgende kommando konfigureres rompostkassen til automatisk å behandle (godta/avslå) møteforespørsler og holde møtedataene på plass.

Utfør følgende kommando via PowerShell-økten.

Konfigurer oppførselen til rommets postkasse, endre identitetsparameteren til e-postadressen til e-postadressen til rommet:

Set-CalendarProcessing -Identity [email protected] -AutomateProcessing AutoAccept -DeleteSubject $False -DeleteComments $False -AddOrganizerToSubject $False -RemovePrivateProperty $False

Utfør denne kommandoen for hver rompostkasse.

Ved behov kan du endre denne beste fremgangsmåten for å få en annen oppførsel. Følgende parametere er de viktigste:

• AutomateProcessing: AutoAccept vil gjøre rommets postkasse til å behandle møter automatisk (godta/avslå). Det er også mulig å gjøre dette manuelt, via verdien 'Ingen' ( mer info ), men dette betyr også at du må behandle kanselleringer manuelt.
• DeleteSubject: Ved å beholde det opprinnelige emnet, kan vi vise emnet i portalen, appen og skjermene. Dette er mulig via verdien $False. Hvis du bruker verdien $True, vil emnet bli slettet av rommets postkasse.
• DeleteComments: Når DeleteComments er satt til $True, vil ikke innholdet i kommentaren i kalenderelementet bli sendt til GoBright portal og app. Hvis satt til $False, vil alt innholdet i kommentaren din bli sendt til GoBright portal og app. Husk at bare de første 500 tegnene vises på grunn av en begrensning fra Microsoft.
• AddOrganizerToSubject: Rompostkassen kan legge til navnet på arrangøren til emnet, men dette kan bli forvirrende. Ved å bruke verdien $False er dette deaktivert.
• RemovePrivateProperty: Rompostkassen fjerner den private eiendommen fra det innkommende møtet. Ved å bruke verdien $False vil møtet beholde sitt private flagg.

Som standard er den opprettede 'Calendar Integration Enterprise Application' i stand til å gjøre full integrasjon, noe som maksimerer verdien for brukeren.

Hvis du ønsker å begrense integrasjonen til spesifikke (rom) kalendere, kan dette gjøres med en Application Access Policy.

Merk: Dette gjelder kun når bestillingen gjøres fra GoBright portal. Hvis du bestiller et rom fra Outlook ved hjelp av Outlook-tillegget, vil det ikke være noen begrensning, og brukeren vil være arrangør.

Retningslinjer for begrensning av programtilgang

Retningslinjene for tilgangsbegrensninger for applikasjoner påvirker også hvordan rombestillinger opprettes gjennom GoBright Portal:

• Når Ubegrenset / Full Integration – Brukeren er arrangøren av møtet.
• When Restricted / Restricted Integration – Room er arrangøren av møtet.

Når begrenset policy brukes på rommene, vil ikke personen som opprettet møtet være arrangøren og kan ikke se endringer i møtet direkte i innboksen sin, i stedet vil alle endringene gå til innboksen til rommet, siden rommet vil være arrangøren av møtet og personen vil bare være en deltaker.

For å opprette policyen, må vi opprette en gruppe som vil inneholde alle rommene vi ønsker å begrense programmet til, og deretter bruke policyen på den gruppen.

Til dette bruker vi PowerShell som et universelt språk, og det er raskere og enklere enn å forklare det gjennom Exchange Online Admin Panel.

Trinn som skal følges for å bruke retningslinjene:

Start med å koble til Exchange Online PowerShell:

1. Start PowerShell som admin

2. Connect-ExchangeOnline -ShowProgress $true -UserPrincipalName [email protected]

Først må du liste opp e-postadressene som skal brukes i grensen eller ekskluderingen.
Dette må være en "e-postaktivert sikkerhetsgruppe" i Exchange, som vi oppretter en i neste
trinn:

1. Opprett først den "e-postaktiverte sikkerhetsgruppen":
   

   New-DistributionGroup -Type Security -Name "GoBright Accesslist" -PrimarySmtpAddress [email protected]

2. Legg deretter til medlemmer, som følger:
   

   Add-DistributionGroupMember -Identity [email protected] -Member [email protected]

3. Og du kan sjekke medlemslisten som følger:
   

   Get-DistributionGroupMember -Identity [email protected]

4. Mer dokumentasjon her: https://learn.microsoft.com/enus/exchange/recipients/mail-enabled-security-groups?view=exchserver-2019
5. Du kan også opprette og administrere den fra Exchange Admin Center

Nå kan du koble den «e-postaktiverte sikkerhetsgruppen» til å fungere som en begrensning:

1. New-ApplicationAccessPolicy -AppId 15a00ef4-864a-4704-a9c9-ed5f5cef70e6 -PolicyScopeGroupId [email protected] -AccessRight RestrictAccess -Description "Restrict the GoBright platform access to members of [email protected]."

2. Nå kan du teste tilgangen til en spesifikk kalender med denne kommandoen:
   

   Test-ApplicationAccessPolicy -Identity [email protected] -AppId 15a00ef4-864a-4704-a9c9-ed5f5cef70e6

Viktige merknader:

• Testkommandoen vil fungere direkte, men de reelle tilgangsbegrensningene kan ta opptil 90 minutter, men noen ganger 24-48 timer. å bli aktiv.
• ApplicationAccessPolicy vil ikke bli slettet automatisk hvis du sletter
  Bedriftsapplikasjon.

Å slette en ApplicationAccessPolicy fungerer slik:

1. List opp ApplicationAccessPolicies for GoBright :
   

   Get-ApplicationAccessPolicy | Where { $_.AppId -eq "15a00ef4-864a-4704-a9c9-ed5f5cef70e6" } | Format-List

2. Kopier 'Identity' (en veldig lang streng) til ApplicationAccessPolicy du vil slette
3. Utfør deretter:
   

   Remove-ApplicationAccessPolicy -Identity "xxxxxxxxxxxxxxxxx"

Følg trinnene i denne artikkelen for å fortsette.

SCIM er et kraftig verktøy som kan klargjøre tildelte brukere til GoBright med en dedikert rolle, samt administrere, deaktivere og slette dem.

Azure AD / Active Directory-synkroniseringen er i stand til automatisk å opprette, oppdatere og deaktivere brukere fra Azure AD eller Active Directory.