Registrieren von Serverinformationen

 
Um Active Directory/LDAP-Server/Microsoft Entra ID als ein zusätzliches Authentifizierungsgerät festzulegen, müssen Sie die Informationen des für die Authentifizierung verwendeten Servers registrieren. Führen Sie bei Bedarf einen Verbindungstest durch.
1
Starten Sie Remote UI. Starten von Remote UI
2
Klicken Sie auf der Portalseite auf [Einstellungen/Speicherung]. Remote UI-Bildschirm
3
Klicken Sie auf [Anwenderverwaltung]  [Verwaltung Authentisierung].
4
Klicken Sie auf [Einstellungen Server] [Bearbeiten...].
5
Legen Sie den Authentifizierungsserver und die Domaininformationen fest.
[Active Directory verwenden]
Aktivieren Sie das Kontrollkästchen bei der Verwendung von Active Directory.
[Domänliste einstellen:]
Entscheiden Sie sich, ob die Active Directory Information des Anmeldeziels automatisch abgerufen oder manuell eingegeben werden soll. Für die manuelle Eingabe wählen Sie [Manuell einstellen] aus, und fügen die Domain des Anmeldeziels unter [Verwaltung Active Directory...] hinzu.
[Zugangsmodus innerhalb der Sites verwenden]
Aktivieren Sie das Kontrollkästchen, wenn mehrere Active Directory Server vorhanden sind und Sie dem am selben Standort wie das Gerät befindlichen Active Directory Zugriffspriorität zuweisen möchten. Ändern Sie bei Bedarf die Einstellungen für [Timing für Site-Informationserhalt:] und [Zugangsbereich Site:].
Selbst wenn [Nur Site, zu dem das Gerät gehört] in [Zugangsbereich Site:] eingestellt ist, kann das Gerät bei einem Zugriff auf den Domänencontroller während des Startvorgangs auf zugehörige Standorte außerhalb des eigentlichen Standorts zugreifen. Der Zugriff auf Domänencontroller am selben Standort wie das Gerät wird jedoch priorisiert. In Ausnahmefällen, wenn auf Domänencontroller innerhalb desselben Standortes nicht zugegriffen werden kann, auf Domänencontroller außerhalb des Standortes allerdings zugegriffen werden kann, wird dem Zugriff auf Domänencontroller außerhalb des Standortes Vorrang eingeräumt.
[Anzahl Cache für Service-Ticket:]
Legen Sie die Anzahl der Serviceaufträge fest, die das Gerät aufnehmen kann. Ein Serviceauftrag ist eine Active Directory Funktion, die als Aufzeichnung einer vorherigen Anmeldung fungiert, welches den Zeitaufwand desselben Benutzers für die nächste Anmeldung senkt.
[LDAP-Server verwenden]
Aktivieren Sie das Kontrollkästchen bei der Verwendung eines LDAP-Servers.
[Periode vor Timeout]
Legen Sie das Zeitlimit für den Verbindungsaufbau mit dem Authentifizierungsserver und das Abwarten einer Antwort fest. Wenn [Authentisierungsinformationen für Login-Anwender sichern] aktiviert ist und Sie sich nicht innerhalb der hier festgelegten Zeit anmelden können, wird eine Anmeldung mit den Authentifizierungsinformationen versucht, die im Cache gespeichert sind.
[Standarddomän des Login-Ziels:]
Legen Sie die Domain fest, die Verbindungspriorität hat.
Manuelles Festlegen der Active Directory-Domäne
Registrieren von LDAP-Serverinformationen
Festlegen der Microsoft Entra ID-Informationen
6
Geben Sie die Benutzerinformationen ein, und legen Sie die Rechte fest.
[Authentisierungsinformationen für Login-Anwender sichern]
Aktivieren Sie das Kontrollkästchen, um die Authentifizierungsinformationen der Benutzer zu speichern, die sich über das Bedienfeld anmelden. Aktivieren Sie das Kontrollkästchen [Anwenderinformationen bei Authentisierung über Tastatur sichern], um die Informationen der Benutzer, die sich mit der Tastaturauthentifizierung anmelden, im Cache zu speichern. Nachdem die Einstellungen konfiguriert wurden, können die gespeicherten Authentifizierungsinformationen für die Anmeldung verwendet werden, selbst wenn das Gerät keine Verbindung mit dem Server herstellen kann. Ändern Sie die Einstellung [Aufbewahrungsfrist:] nach Bedarf.
[Anwenderattribut zum Durchsuchen:]
Geben Sie das Datenfeld (Attributname) auf dem referenzierten Server ein, der zur Bestimmung der Benutzerrechte (Rollen) verwendet wird. Normalerweise können Sie den voreingestellten Wert von "memberOf" verwenden, der auf die Gruppe hinweist, zu der der Benutzer gehört.
[Rollenname zum Anwenden von [Anwenderattribut zum Durchsuchen] erhalten]
Aktivieren Sie das Kontrollkästchen, um die auf dem Server im Datenfeld unter [Anwenderattribut zum Durchsuchen:] registrierte Zeichenfolge als Rollennamen zu verwenden. Prüfen Sie vor der Konfiguration die Rollennamen, die im Gerät ausgewählt werden können, und registrieren Sie sie auf dem Server.
[Bedingungen]
Sie können die Bedingungen festlegen, welche die Benutzerrechte bestimmen. Die nachstehenden Bedingungen werden in der Reihenfolge angewendet, in der sie aufgelistet sind.
[Suchkriterien]
Wählen Sie die Suchkriterien aus für [Zeichenkette].
[Zeichenkette]
Geben Sie die Zeichenfolge ein, die am Attribut registriert wird und unter [Anwenderattribut zum Durchsuchen:] angegeben ist. Geben Sie den Gruppennamen ein, um die Rechte basierend auf der Gruppe festzulegen, zu der der Benutzer gehört.
[Rolle]
Wählen Sie die Rechte aus, die Sie bei den Benutzern anwenden, die den Kriterien entsprechen.
Einstellungen für [Bedingungen] bei Verwendung von Active Directory-Servern
Die Gruppe "Canon Peripheral Admins" ist bereits im Voraus als Administrator-Benutzergruppe eingerichtet. Weisen Sie unterschiedliche Rechte den anderen Gruppen zu, die auf dem Server angelegt werden.
7
Klicken Sie auf [Update].
8
Starten Sie das Gerät neu. Neustarten des Geräts
DNS-Einstellungen
Die folgenden Einstellungen sind bei einer Änderung der Portnummer, die für Kerberos auf der Seite des aktiven Verzeichnisses verwendet wird, erforderlich.
Informationen für den Kerberos-Dienst des aktiven Verzeichnisses müssen wie folgt als SRV-Datensatz registriert werden:
Dienst: „_kerberos“
Protokoll: „_udp“
Portnummer: Die Portnummer, die vom Kerberos-Dienst der aktiven Verzeichnisdomäne (Zone) verwendet wird.
Host, der diesen Dienst anbietet: Hostname des Domänencontrollers, der den Kerberos-Dienst der aktiven Verzeichnisdomäne (Zone) bereitstellt.

Registrieren einer Anwendung bei Microsoft Entra ID

Gehen Sie wie folgt vor, um eine Anwendung bei Microsoft Entra ID zu registrieren.
Der Registrierungsprozess kann sich bei Service-Updates ändern. Weitere Informationen finden Sie auf der Microsoft-Website.
1
Melden Sie sich bei Microsoft Entra ID an.
2
Klicken Sie im Navigationsmenü auf [Microsoft Entra ID].
3
Registrieren Sie die Anwendung.
1
Klicken Sie im Navigationsmenü auf [App-Registrierungen]  [Neuen Ablauf spch.].
2
Geben Sie den Namen der Anwendung ein.
Sie können einen beliebigen Namen eingeben.
Beispiel für eine Eingabe:
Anmeldung Canon <Druckername>
3
Wählen Sie den Typ des Kontos, und klicken Sie auf [Speichern].
Die Anwendungs-(Client-)ID wird erzeugt.
Notieren Sie sich die erzeugte ID.
4
Erstellen Sie ein Geheimnis, oder registrieren Sie ein Zertifikat.
Wenn ein Geheimnis erstellt wird
1
Klicken Sie im Navigationsmenü auf [Zertifikate & Geheimnisse].
2
Klicken Sie auf [Neuer geheimer Clientschlüssel].
3
Geben Sie im Dialogfeld [Geheimen Clientschlüssel hinzufügen] die Beschreibung und das Ablaufdatum ein, und klicken Sie auf [Hinzufügen].
Eine Geheimnis-ID und ein Geheimniswert werden erstellt.
Notieren Sie sich den erstellten Geheimniswert. Sie benötigen die Geheimnis-ID nicht.
* Der Geheimniswert wird nur einmal angezeigt. Wenn Sie sich den Wert nicht notieren konnten, erstellen Sie ein neues Client-Geheimnis.
Wenn ein Zertifikat registriert wird
Das Zertifikat des Geräts muss im Voraus exportiert werden. Sie können das Zertifikat exportieren, wenn Sie die Microsoft Entra ID-Informationen konfigurieren. Festlegen der Microsoft Entra ID-Informationen
1
Klicken Sie im Navigationsmenü auf [Zertifikate & Geheimnisse].
2
Klicken Sie auf [Zertifikat hochladen].
3
Wählen Sie die Datei aus, und klicken Sie auf [Hinzufügen].
Notieren Sie sich nach dem Hochladen des Zertifikats den Wert von [Thumbprint].
5
Klicken Sie im Navigationsmenü auf [API-Berechtigungen].
6
Klicken Sie auf [Berechtigung hinzufügen].
7
Wählen Sie unter [API-Berechtigungen anfordern] die Option [Microsoft Graph].
8
Wählen Sie unter dem Typ der Berechtigungen die Option [Delegierte Berechtigungen], und erteilen Sie die Berechtigungen.
Erteilen Sie die folgenden Berechtigungen:
User.Read.All
Group.Read.All
GroupMember.Read.All
9
Wählen Sie unter dem Typ der Berechtigungen die Option [Anwendungsberechtigungen], und erteilen Sie die Berechtigungen.
Erteilen Sie die folgenden Berechtigungen:
User.Read.All
User.ReadWrite.All (wenn eine IC-Karte im Gerät registriert oder aus dem Gerät gelöscht wird)
Group.Read.All
GroupMember.Read.All
* Verwenden Sie die Berechtigungen, wenn Sie die IC-Kartenauthentifizierung nutzen oder wenn Sie sich aufgrund eines Multifaktor-Authentifizierungsfehlers nicht am Gerät anmelden können. Dies ist je nach Funktion und Umgebung nicht erforderlich.
10
Klicken Sie auf [Bestätigung der Administratorenwilligung], und klicken Sie auf [Ja].
Für die ausgewählten Berechtigungen wird die Zustimmung des Administrators erteilt.
AC13-0F8