Registrieren von Serverinformationen
 | Um Active Directory/LDAP-Server/Microsoft Entra ID als ein zusätzliches Authentifizierungsgerät festzulegen, müssen Sie die Informationen des für die Authentifizierung verwendeten Servers registrieren. Führen Sie bei Bedarf einen Verbindungstest durch. |
1
Starten Sie Remote UI. Starten von Remote UI
2
Klicken Sie auf der Portalseite auf [Einstellungen/Speicherung]. Remote UI-Bildschirm
3
Klicken Sie auf [Anwenderverwaltung] 
[Verwaltung Authentisierung].
[Verwaltung Authentisierung].4
Klicken Sie auf [Einstellungen Server] [Bearbeiten...].
[Bearbeiten...].5
Legen Sie den Authentifizierungsserver und die Domaininformationen fest.
[Active Directory verwenden]Aktivieren Sie das Kontrollkästchen bei der Verwendung von Active Directory.
[Domänliste einstellen:]Entscheiden Sie sich, ob die Active Directory Information des Anmeldeziels automatisch abgerufen oder manuell eingegeben werden soll. Für die manuelle Eingabe wählen Sie [Manuell einstellen] aus, und fügen die Domain des Anmeldeziels unter [Verwaltung Active Directory...] hinzu.
[Zugangsmodus innerhalb der Sites verwenden]Aktivieren Sie das Kontrollkästchen, wenn mehrere Active Directory Server vorhanden sind und Sie dem am selben Standort wie das Gerät befindlichen Active Directory Zugriffspriorität zuweisen möchten. Ändern Sie bei Bedarf die Einstellungen für [Timing für Site-Informationserhalt:] und [Zugangsbereich Site:].
Selbst wenn [Nur Site, zu dem das Gerät gehört] in [Zugangsbereich Site:] eingestellt ist, kann das Gerät bei einem Zugriff auf den Domänencontroller während des Startvorgangs auf zugehörige Standorte außerhalb des eigentlichen Standorts zugreifen. Der Zugriff auf Domänencontroller am selben Standort wie das Gerät wird jedoch priorisiert. In Ausnahmefällen, wenn auf Domänencontroller innerhalb desselben Standortes nicht zugegriffen werden kann, auf Domänencontroller außerhalb des Standortes allerdings zugegriffen werden kann, wird dem Zugriff auf Domänencontroller außerhalb des Standortes Vorrang eingeräumt.
[Anzahl Cache für Service-Ticket:]Legen Sie die Anzahl der Serviceaufträge fest, die das Gerät aufnehmen kann. Ein Serviceauftrag ist eine Active Directory Funktion, die als Aufzeichnung einer vorherigen Anmeldung fungiert, welches den Zeitaufwand desselben Benutzers für die nächste Anmeldung senkt.
[LDAP-Server verwenden]Aktivieren Sie das Kontrollkästchen bei der Verwendung eines LDAP-Servers.
[Periode vor Timeout]Legen Sie das Zeitlimit für den Verbindungsaufbau mit dem Authentifizierungsserver und das Abwarten einer Antwort fest. Wenn [Authentisierungsinformationen für Login-Anwender sichern] aktiviert ist und Sie sich nicht innerhalb der hier festgelegten Zeit anmelden können, wird eine Anmeldung mit den Authentifizierungsinformationen versucht, die im Cache gespeichert sind.
[Standarddomän des Login-Ziels:]Legen Sie die Domain fest, die Verbindungspriorität hat.
Manuelles Festlegen der Active Directory-Domain
1 | Aktivieren Sie das Kontrollkästchen für [Active Directory verwenden] und wählen Sie [Manuell einstellen] für [Domänliste einstellen:] aus. |
2 | Klicken Sie auf [Verwaltung Active Directory...] [OK]. |
3 | Klicken Sie auf [Domän hinzufügen...]. |
4 | Geben Sie die erforderlichen Informationen ein.  [Domänname:]Geben Sie den Domainnamen von Active Directory ein, bei dem es sich um das Anmeldeziel handelt (Beispiel: company.domain.com). [Name NetBIOS]Geben Sie den NetBIOS-Domainnamen ein (Beispiel: company). [Name primärer Host oder IP-Adresse:] / [Name sekundärer Host oder IP-Adresse:]Geben Sie den Hostnamen des Active Directory-Servers oder die IPv4-Adresse ein. Bei Verwendung eines sekundären Servers geben Sie den Namen unter [Name sekundärer Host oder IP-Adresse:] ein. Beispiel: Verwenden eines Hostnames: ad-server1 Verwenden einer IPv4-Adresse: 192.168.18.138 [Anwendername:] / [Passwort:]Geben Sie den Benutzernamen und das für den Zugriff und die Suche des Active Directory Servers zu verwendende Passwort ein. [Startpunkt für Suche:]Geben Sie den Ort (Ebene) für den Zugriff und die Suche nach Benutzerinformationen während der Active Directory-Serverauthentifizierung an. [Login-Name:] / [Angezeigt als] / [E-Mail-Adresse]Legen Sie die Datenfelder (Attributnamen) für den Anmeldenamen, Anzeigenamen und die E-Mail-Adresse des jeweiligen Benutzerkontos im Active Directory Server fest (Beispiel: sAMAccountName, cn, mail). |
5 | Klicken Sie auf [Verbindungstest], um zu prüfen, ob die Verbindung möglich ist, und klicken Sie dann auf [Hinzufügen].  So bearbeiten Sie Serverinformationen Klicken Sie auf [Bearbeiten] bezüglich der Serverinformationen, die Sie bearbeiten möchten; führen Sie die notwendigen Änderungen durch, und klicken Sie auf [Update]. |
Registrieren von LDAP-Serverinformationen
1 | Aktivieren Sie das Kontrollkästchen für [LDAP-Server verwenden], und klicken Sie auf [Verwaltung LDAP-Server...] [OK]. |
2 | Klicken Sie auf [Server hinzufügen...]. |
3 | Geben Sie die LDAP-Server Informationen ein.  [Servername]Geben Sie den Namen für den LDAP-Server ein. Der Name "localhost" kann nicht verwendet werden. Der Servername darf keine Leerstellen enthalten. [Primäre Adresse]Geben Sie die IP-Adresse oder den Hostnamen des LDAP-Servers ein (Beispiel: ldap.example.com). Die Loopback-Adresse (127.0.0.1) kann nicht verwendet werden. [Port:]Geben Sie die für die Kommunikation mit dem LDAP-Server verwendete Portnummer ein. Verwenden Sie dieselbe Einstellung, die auf dem Server konfiguriert ist. Wenn Sie keine Nummer eingeben, wird sie automatisch auf "636" festgelegt, wenn das Kontrollkästchen für [TLS verwenden] aktiviert ist, oder auf "389", wenn das Kontrollkästchen deaktiviert ist. [Sekundäre Adresse:] / [Port:]Geben Sie die IP-Adresse und die Portnummer ein, wenn Sie einen sekundären Server in Ihrer Umgebung verwenden. [Kommentare]Geben Sie bei Bedarf eine Beschreibung oder einen Hinweis ein. [TLS verwenden]Aktivieren Sie das Kontrollkästchen, wenn die TLS-Verschlüsselung für die Kommunikation mit dem LDAP-Server verwendet wird. [Authentisierungsinformationen verwenden]Deaktivieren Sie das Kontrollkästchen, um anonyme Zugriffe auf den LDAP-Server zuzulassen, jedoch nur, wenn der LDAP-Server für anonyme Zugriffe eingerichtet ist. Wenn der Benutzername und das Passwort für die Authentifizierung verwendet werden, aktivieren Sie das Kontrollkästchen, und geben Sie die Werte für [Anwendername:] und [Passwort:] ein.  [Startpunkt für Suche:]Geben Sie die Position (Ebene) an, um nach Benutzerinformationen zu suchen, sobald die LDAP-Serverauthentifizierung durchgeführt wird. |
4 | Geben Sie an, wie Attributnamen und Domainname festzulegen sind.  [Anwendername (Tastatur-Authentisierung):]Legen Sie das LDAP-Datenfeld (Attributname) für den Benutzernamen auf dem LDAP-Server fest (Beispiel: uid). [Login-Name:] / [Name anzeigen] / [E-Mail-Adresse]Legen Sie die LDAP-Datenfelder (Attributnamen) für den Anmeldenamen, Anzeigenamen und die E-Mail-Adresse des jeweiligen Benutzerkontos auf dem LDAP-Server fest (Beispiel: uid, cn, mail). [Domännamen definieren] / [Attributname für Erhalt des Domännamens definieren]Wählen Sie, wie der Domänenname des Anmeldeziels festgelegt werden soll. Um den Domänennamen direkt festzulegen, wählen Sie [Domännamen definieren], und geben Sie den Domänennamen* ein. Um ein LDAP-Datenfeld (Attributname) festzulegen, aus dem der Domänenname auf dem LDAP-Server bezogen wird, wählen Sie [Attributname für Erhalt des Domännamens definieren], und geben Sie dann den Attributnamen ein (Beispiel: dc). |
5 | Klicken Sie auf [Verbindungstest], um zu prüfen, ob die Verbindung möglich ist, und klicken Sie dann auf [Hinzufügen]. |
So bearbeiten Sie Serverinformationen
Klicken Sie auf [Bearbeiten] bezüglich der Serverinformationen, die Sie bearbeiten möchten; führen Sie die notwendigen Änderungen durch, und klicken Sie auf [Update].
Festlegen der Microsoft Entra ID-Informationen
Wenn Sie Microsoft Entra ID als Authentifizierungsserver verwenden, registrieren Sie die Anwendung mit Microsoft Entra ID.
1 | Aktivieren Sie das Kontrollkästchen [Microsoft Entra ID verwenden]. |
2 | Klicken Sie auf [Domäneinstellungen]. Der Bildschirm [Microsoft Entra ID Domäneinstellungen] wird angezeigt. |
3 | Geben Sie die Informationen zu Microsoft Entra ID an.  [Anmeldungszielname]Geben Sie den Namen ein, der am Anmeldeziel angezeigt werden soll. * Sie dürfen keine Steuerzeichen oder Leerzeichen verwenden. [Domänname]Geben Sie den Domänennamen der Microsoft Entra ID ein, die das Anmeldeziel ist. [Anwendungs ID]Geben Sie die Anwendungs-(Client-)ID ein. [Geheimnis] Geben Sie das von Microsoft Entra ID generierte Geheimnis ein. Bei der Verwendung von [Schlüssel und Zertifikat] müssen Sie dies nicht eingeben. [Schlüssel und Zertifikat]Drücken Sie [Schlüssel und Zertifikat], wenn Sie einen Schlüssel und ein Zertifikat verwenden. Sie können auf [Zertifikat exportieren] drücken, um das Zertifikat zu exportieren und es in Microsoft Entra ID zu registrieren. [URL Authentisierung Microsoft Entra ID] und [Microsoft Entra ID API-URL]Geben Sie die URLs ein. Je nach Ihrer Cloud-Umgebung müssen Sie möglicherweise die Einstellungen ändern. |
4 | Geben Sie die Attribute an.  [Attribut, um Login-Zugang einzustellen] Geben Sie die Attribute für den Anmeldenamen, den Anzeigenamen und die E-Mail-Adresse für jedes Benutzerkonto auf dem Server ein. [Login-Name] Wählen Sie aus dem Pulldown-Menü das Attribut für den Anmeldenamen jedes Benutzerkontos auf dem Server. * Sie können ein Attribut, das nicht im Pulldown-Menü angezeigt wird, auch direkt eingeben. [WindowsLogonName]: displayName wird von Microsoft Entra ID bezogen. displayName wird zum Erzeugen des Anmeldenamens wie folgt geändert: Leerzeichen und die folgenden Zeichen werden aus displayName gelöscht: * + , . / : ; < > = ? \ [ ] |. "@" und alle nachfolgenden Zeichen werden gelöscht. Zeichenfolgen mit mehr als 20 Zeichen werden auf 20 Zeichen oder weniger gekürzt. Beispiel: Wenn "user.001@example.com" der displayName ist, wird der Anmeldename zu "user001". [displayName]: Der von Microsoft Entra ID bezogene displayName wird zum Anmeldenamen. [userPrincipalName]: Der von Microsoft Entra ID bezogene userPrincipalName wird zum Anmeldenamen. [userPrincipalName-Prefix]: Der Teil vor "@" in userPrincipalName, der von Microsoft Entra ID bezogen wird, wird zum Anmeldenamen. Beispiel: Wenn "user.002@mail.test" der userPrincipalName ist, wird der Anmeldename zu "user.002". [Name anzeigen] und [E-Mail-Adresse] Geben Sie die Attribute für den Anzeigenamen und die E-Mail-Adresse für jedes Benutzerkonto auf dem Server ein. |
5 | Geben Sie den Domänennamen des Anmeldeziels in [Domänname] unter [Einzustellender Domänname für Anmeldungskonto] an. |
6 | Geben Sie die Einstellungen in [Automatisches Ausfüllen für Eingabe des Benutzernamens bei Authentisierung über Tastatur] unter [Domänname für automatisches Ausfüllen] an. Geben Sie den Namen der Domäne ein, für die eine automatische Vervollständigung durchgeführt werden soll. Normalerweise wird derselbe Name wie in [Domänname] eingegeben. |
7 | Klicken Sie auf [Verbindungstest], um die Verbindung zu testen. |
8 | Klicken Sie auf [Update]. Der Bildschirm kehrt zum Bildschirm [Server-Einstellungen bearbeiten] zurück. |
6
Geben Sie die Benutzerinformationen ein, und legen Sie die Rechte fest.
[Authentisierungsinformationen für Login-Anwender sichern]Aktivieren Sie das Kontrollkästchen, um die Authentifizierungsinformationen der Benutzer zu speichern, die sich über das Bedienfeld anmelden. Aktivieren Sie das Kontrollkästchen [Anwenderinformationen bei Authentisierung über Tastatur sichern], um die Informationen der Benutzer, die sich mit der Tastaturauthentifizierung anmelden, im Cache zu speichern. Nachdem die Einstellungen konfiguriert wurden, können die gespeicherten Authentifizierungsinformationen für die Anmeldung verwendet werden, selbst wenn das Gerät keine Verbindung mit dem Server herstellen kann. Ändern Sie die Einstellung [Aufbewahrungsfrist:] nach Bedarf.
[Anwenderattribut zum Durchsuchen:]Geben Sie das Datenfeld (Attributname) auf dem referenzierten Server ein, der zur Bestimmung der Benutzerrechte (Rollen) verwendet wird. Normalerweise können Sie den voreingestellten Wert von "memberOf" verwenden, der auf die Gruppe hinweist, zu der der Benutzer gehört.
[Rollenname zum Anwenden von [Anwenderattribut zum Durchsuchen] erhalten]Aktivieren Sie das Kontrollkästchen, um die auf dem Server im Datenfeld unter [Anwenderattribut zum Durchsuchen:] registrierte Zeichenfolge als Rollennamen zu verwenden. Prüfen Sie vor der Konfiguration die Rollennamen, die im Gerät ausgewählt werden können, und registrieren Sie sie auf dem Server.
[Bedingungen]Sie können die Bedingungen festlegen, welche die Benutzerrechte bestimmen. Die nachstehenden Bedingungen werden in der Reihenfolge angewendet, in der sie aufgelistet sind.
[Suchkriterien] | Wählen Sie die Suchkriterien aus für [Zeichenkette]. |
[Zeichenkette] | Geben Sie die Zeichenfolge ein, die am Attribut registriert wird und unter [Anwenderattribut zum Durchsuchen:] angegeben ist. Geben Sie den Gruppennamen ein, um die Rechte basierend auf der Gruppe festzulegen, zu der der Benutzer gehört. |
[Rolle] | Wählen Sie die Rechte aus, die Sie bei den Benutzern anwenden, die den Kriterien entsprechen. |
Einstellungen für [Bedingungen] bei Verwendung von Active Directory-Servern
Die Gruppe "Canon Peripheral Admins" ist bereits im Voraus als Administrator-Benutzergruppe eingerichtet. Weisen Sie unterschiedliche Rechte den anderen Gruppen zu, die auf dem Server angelegt werden.
7
Klicken Sie auf [Update].
8
Starten Sie das Gerät neu. Neustarten des Geräts
 |
DNS-EinstellungenDie folgenden Einstellungen sind bei einer Änderung der Portnummer, die für Kerberos auf der Seite des aktiven Verzeichnisses verwendet wird, erforderlich. Informationen für den Kerberos-Dienst des aktiven Verzeichnisses müssen wie folgt als SRV-Datensatz registriert werden: Dienst: „_kerberos“ Protokoll: „_udp“ Portnummer: Die Portnummer, die vom Kerberos-Dienst der aktiven Verzeichnisdomäne (Zone) verwendet wird. Host, der diesen Dienst anbietet: Hostname des Domänencontrollers, der den Kerberos-Dienst der aktiven Verzeichnisdomäne (Zone) bereitstellt. |
Registrieren einer Anwendung bei Microsoft Entra ID
Gehen Sie wie folgt vor, um eine Anwendung bei Microsoft Entra ID zu registrieren.
Der Registrierungsprozess kann sich bei Service-Updates ändern. Weitere Informationen finden Sie auf der Microsoft-Website.
Der Registrierungsprozess kann sich bei Service-Updates ändern. Weitere Informationen finden Sie auf der Microsoft-Website.
1
Melden Sie sich bei Microsoft Entra ID an.
2
Klicken Sie im Navigationsmenü auf [Microsoft Entra ID].
3
Registrieren Sie die Anwendung.
1 | Klicken Sie im Navigationsmenü auf [App-Registrierungen] [Neuen Ablauf spch.]. |
2 | Geben Sie den Namen der Anwendung ein. Sie können einen beliebigen Namen eingeben. Beispiel für eine Eingabe: Anmeldung Canon <Druckername> |
3 | Wählen Sie den Typ des Kontos, und klicken Sie auf [Speichern]. Die Anwendungs-(Client-)ID wird erzeugt. Notieren Sie sich die erzeugte ID. |
4
Erstellen Sie ein Geheimnis, oder registrieren Sie ein Zertifikat.
Wenn ein Geheimnis erstellt wird
1 | Klicken Sie im Navigationsmenü auf [Zertifikate & Geheimnisse]. |
2 | Klicken Sie auf [Neuer geheimer Clientschlüssel]. |
3 | Geben Sie im Dialogfeld [Geheimen Clientschlüssel hinzufügen] die Beschreibung und das Ablaufdatum ein, und klicken Sie auf [Hinzufügen]. Eine Geheimnis-ID und ein Geheimniswert werden erstellt. Notieren Sie sich den erstellten Geheimniswert. Sie benötigen die Geheimnis-ID nicht. * Der Geheimniswert wird nur einmal angezeigt. Wenn Sie sich den Wert nicht notieren konnten, erstellen Sie ein neues Client-Geheimnis. |
Wenn ein Zertifikat registriert wird
Das Zertifikat des Geräts muss im Voraus exportiert werden. Sie können das Zertifikat exportieren, wenn Sie die Microsoft Entra ID-Informationen konfigurieren. Festlegen der Microsoft Entra ID-Informationen
1 | Klicken Sie im Navigationsmenü auf [Zertifikate & Geheimnisse]. |
2 | Klicken Sie auf [Zertifikat hochladen]. |
3 | Wählen Sie die Datei aus, und klicken Sie auf [Hinzufügen]. Notieren Sie sich nach dem Hochladen des Zertifikats den Wert von [Thumbprint]. |
5
Klicken Sie im Navigationsmenü auf [API-Berechtigungen].
6
Klicken Sie auf [Berechtigung hinzufügen].
7
Wählen Sie unter [API-Berechtigungen anfordern] die Option [Microsoft Graph].
8
Wählen Sie unter dem Typ der Berechtigungen die Option [Delegierte Berechtigungen], und erteilen Sie die Berechtigungen.
Erteilen Sie die folgenden Berechtigungen:
User.Read.All
Group.Read.All
GroupMember.Read.All
9
Wählen Sie unter dem Typ der Berechtigungen die Option [Anwendungsberechtigungen], und erteilen Sie die Berechtigungen.
Erteilen Sie die folgenden Berechtigungen:
User.Read.All
User.ReadWrite.All (wenn eine IC-Karte im Gerät registriert oder aus dem Gerät gelöscht wird)
Group.Read.All
GroupMember.Read.All
* Verwenden Sie die Berechtigungen, wenn Sie die IC-Kartenauthentifizierung nutzen oder wenn Sie sich aufgrund eines Multifaktor-Authentifizierungsfehlers nicht am Gerät anmelden können. Dies ist je nach Funktion und Umgebung nicht erforderlich.
10
Klicken Sie auf [Bestätigung der Administratorenwilligung], und klicken Sie auf [Ja].
Für die ausgewählten Berechtigungen wird die Zustimmung des Administrators erteilt.