Freigeben über

Einrichten eines Connectors zum Importieren physischer Badgingdaten

Richten Sie einen Datenconnector ein, um physische Badgingdaten zu importieren, z. B. die rohen physischen Zugriffsereignisse eines Mitarbeiters oder alle warnungen für den physischen Zugriff, die vom Badgingsystem Ihres organization generiert werden. Beispiele für physische Zugriffspunkte sind der Zugang zu einem Gebäude oder ein Zugang zu einem Serverraum oder Rechenzentrum. Die Microsoft Purview Insider-Risikomanagementlösung verwendet physische Badgingdaten, um Ihre organization vor böswilligen Aktivitäten oder Datendiebstahl in Ihrem organization zu schützen.

Das Einrichten eines physischen Badging-Connectors umfasst die folgenden Aufgaben:

  • Erstellen Sie eine App in Microsoft Entra-ID, um auf einen API-Endpunkt zuzugreifen, der eine JSON-Nutzlast akzeptiert, die physische Badgingdaten enthält.
  • Erstellen Sie die JSON-Nutzlast mit einem Schema, das durch den Connector für physische Badgingdaten definiert wird.
  • Erstellen Sie einen Connector für physische Badgingdaten im Microsoft Purview-Portal.
  • Führen Sie ein Skript aus, um die physischen Badgingdaten per Push an den API-Endpunkt zu übertragen.
  • Optional können Sie planen, dass das Skript automatisch ausgeführt wird, um derzeit physische Badgingdaten zu importieren.

Vor dem Einrichten des Connectors

  • Weisen Sie dem Benutzer, der den physischen Badging-Connector in Schritt 3 erstellt, die Rolle Datenconnector Admin zu. Diese Rolle ist erforderlich, um Connectors auf der Seite Datenconnectors im Microsoft Purview-Portal hinzuzufügen. Diese Rolle ist standardmäßig in mehreren Rollengruppen enthalten. Eine Liste dieser Rollengruppen finden Sie unter Rollen in Microsoft Defender for Office 365 und Microsoft Purview-Compliance. Alternativ kann ein Administrator in Ihrem organization eine benutzerdefinierte Rollengruppe erstellen, die Rolle Datenconnector Admin zuweisen und die entsprechenden Benutzer als Mitglieder hinzufügen. Weitere Anweisungen finden Sie in:

    Hinweis

    Die Rolle Datenconnector Admin wird in GCC High- und DoD-Umgebungen der US-Regierung derzeit nicht unterstützt. Weisen Sie daher die Rolle Postfachimportexport in Exchange Online dem Benutzer zu, der den HR-Connector in GCC High- und DoD-Umgebungen erstellt. Standardmäßig ist diese Rolle keiner Rollengruppe in Exchange Online zugewiesen. Sie können die Rolle Postfachimportexport der Rollengruppe Organisationsverwaltung in Exchange Online hinzufügen. Alternativ können Sie eine neue Rollengruppe erstellen, die Rolle Postfachimportexport zuweisen und die entsprechenden Benutzer als Mitglieder hinzufügen. Weitere Informationen finden Sie in den Abschnitten Erstellen von Rollengruppen oder Ändern von Rollengruppen im Artikel "Verwalten von Rollengruppen in Exchange Online".

  • Bestimmen Sie, wie Daten aus dem physischen Badgingsystem Ihres organization (täglich) abgerufen oder exportiert werden, und erstellen Sie eine JSON-Datei, wie in Schritt 2 beschrieben. Das Skript, das Sie in Schritt 4 ausführen, pusht die Daten in der JSON-Datei an den API-Endpunkt.

  • Verstehen Sie, dass das Beispielskript, das Sie in Schritt 4 ausführen, die physischen Badgingdaten aus einer JSON-Datei an die Connector-API pusht, damit sie von der Insider-Risikomanagementlösung verwendet werden können. Dieses Beispielskript wird von keinem Microsoft-Standardsupportprogramm oder -Dienst unterstützt. Es wird ohne jegliche Garantie bereitgestellt. Microsoft schließt ferner alle konkludenten Gewährleistungen, einschließlich, aber nicht beschränkt auf konkludente Gewährleistungen der Marktgängigkeit oder Eignung für einen bestimmten Zweck aus. Sie übernehmen alle Risiken, die sich aus der Verwendung oder Leistung des Beispielskripts und der Dokumentation ergeben. In keinem Fall sind Microsoft, seine Autoren oder andere Personen, die an der Erstellung, Produktion oder Lieferung der Skripts beteiligt sind, für Schäden haftbar, einschließlich Schäden für entgangenen Geschäftsgewinn, Geschäftsunterbrechung, Verlust von Geschäftsinformationen oder andere finanzielle Verluste, die sich aus der Verwendung oder Unfähigkeit der Verwendung der Beispielskripts oder -dokumentation ergeben, auch wenn Microsoft auf die Möglichkeit solcher Schäden hingewiesen wurde.

  • Dieser Connector ist in GCC-Umgebungen in der Microsoft 365 US Government-Cloud verfügbar. Anwendungen und Dienste von Drittanbietern können das Speichern, Übertragen und Verarbeiten der Kundendaten Ihrer organization auf Drittanbietersystemen umfassen, die sich außerhalb der Microsoft 365-Infrastruktur befinden. Daher decken Microsoft Purview und Datenschutzverpflichtungen diese Drittanbietersysteme nicht ab. Microsoft übernimmt keine Zusicherung, dass die Verwendung dieses Produkts zum Herstellen einer Verbindung mit Anwendungen von Drittanbietern bedeutet, dass diese Anwendungen von Drittanbietern FEDRAMP-konform sind.

Schritt 1: Erstellen einer App in Microsoft Entra ID

Erstellen und registrieren Sie zunächst eine neue App in Microsoft Entra ID. Die App entspricht dem physischen Badging-Connector, den Sie in Schritt 3 erstellt haben. Wenn Sie die App erstellen, kann Microsoft Entra-ID die Pushanforderung für eine JSON-Nutzlast authentifizieren, die physische Badgingdaten enthält. Speichern Sie während der Erstellung dieser Microsoft Entra-App die folgenden Informationen. Sie verwenden diese Werte in späteren Schritten.

  • Microsoft Entra Anwendungs-ID (auch als App-ID oder Client-ID bezeichnet)
  • Microsoft Entra Anwendungsgeheimnis (auch als geheimer Clientschlüssel bezeichnet)
  • Mandanten-ID (auch verzeichnis-ID genannt)

Schritt-für-Schritt-Anweisungen zum Erstellen einer App in Microsoft Entra-ID finden Sie unter Registrieren einer Anwendung beim Microsoft Identity Platform.

Schritt 2: Vorbereiten einer JSON-Datei mit physischen Badgingdaten

In diesem Schritt erstellen Sie eine JSON-Datei, die Informationen zu den physischen Zugriffsdaten der Mitarbeiter enthält. Wie im Abschnitt vorab erläutert, müssen Sie bestimmen, wie Sie diese JSON-Datei aus dem physischen Badgingsystem Ihres organization generieren.

Hinweis

Fügen Sie der JSON-Datei keine nicht englischen Zeichen hinzu. Der Connector unterstützt nur englische Zeichen. Wenn der JSON-Code nicht englische Zeichen enthält, schlägt die Datenerfassung möglicherweise fehl.

Die JSON-Datei muss der schemadefinition entsprechen, die für den Connector erforderlich ist. In der folgenden Tabelle werden die erforderlichen Schemaeigenschaften für die JSON-Datei beschrieben:

Eigenschaft Beschreibung Datentyp
UserId Ein Mitarbeiter kann über mehrere digitale Identitäten in allen Systemen verfügen. Die Eingabe muss die Microsoft Entra-ID bereits vom Quellsystem aufgelöst haben. UPN oder E-Mail-Adresse
AssetId Die Referenz-ID der physischen Ressource oder des physischen Zugriffspunkts. Alphanumerische Zeichenfolge
AssetName Der Anzeigename der physischen Ressource oder des physischen Zugriffspunkts. Alphanumerische Zeichenfolge
EventTime Der Zeitstempel des Zugriffs. Datum und Uhrzeit im UTC-Format
AccessStatus Wert von Success oder Failed Zeichenfolge

Das folgende Beispiel zeigt eine JSON-Datei, die dem erforderlichen Schema entspricht:

[
    {
        "UserId":"sarad@contoso.com",
        "AssetId":"Mid-Sec-7",
        "AssetName":"Main Building 1st Floor Mid Section",
        "EventTime":"2019-07-04T01:57:49",
        "AccessStatus":"Failed"
    },
    {
        "UserId":"pilarp@contoso.com",
        "AssetId":"Mid-Sec-7",
        "AssetName":"Main Building 1st Floor Mid Section",
        "EventTime":"2019-07-04T02:57:49",
        "AccessStatus":"Success"
    }
]

Sie können die Schemadefinition für die JSON-Datei auch aus dem Workflow herunterladen, wenn Sie den Connector für physische Badgings in Schritt 3 erstellen.

{
   "title" : "Physical Badging Signals",
   "description" : "Access signals from physical badging systems",
   "DataType" : {
      "description" : "Identify what is the data type for input signal",
      "type" : "string",
   },
   "type" : "object",
   "properties": {
      "UserId" : {
         "description" : "Unique identifier AAD Id resolved by the source system",
         "type" : "string",
      },
      "AssetId": {
         "description" : "Unique ID of the physical asset/access point",
         "type" : "string",
      },
      "AssetName": {
         "description" : "friendly name of the physical asset/access point",
         "type" : "string",
      },
      "EventTime" : {
         "description" : "timestamp of access",
         "type" : "string",
      },
      "AccessStatus" : {
         "description" : "what was the status of access attempt - Success/Failed",
         "type" : "string",
      },
   }
   "required" : ["UserId", "AssetId", "EventTime" "AccessStatus"]
}

Schritt 3: Erstellen des physischen Badging-Connectors

In diesem Schritt erstellen Sie einen physischen Badging-Connector im Microsoft Purview-Portal. Wenn Sie das Skript in Schritt 4 ausführen, verarbeitet es die JSON-Datei, die Sie in diesem Schritt erstellt haben, und pusht sie an den API-Endpunkt, den Sie in Schritt 1 konfiguriert haben. Achten Sie darauf, die JobId zu kopieren, die beim Erstellen des Connectors generiert wurde. Sie verwenden die JobId, wenn Sie das Skript ausführen.

  1. Melden Sie sich beim Microsoft Purview-Portal an.

  2. Wählen Sie Einstellungen>Datenconnectors aus.

  3. Wählen Sie Meine Connectors und dann Connector hinzufügen aus.

  4. Wählen Sie in der Liste Physisches Badging aus.

  5. Geben Sie auf der Seite Anmeldeinformationen für die Authentifizierung die folgenden Informationen ein, und wählen Sie dann Weiter aus:

    1. Geben Sie die Microsoft Entra Anwendungs-ID für die Azure-App ein, die Sie in Schritt 1 erstellt haben, oder fügen Sie sie ein.

    2. Laden Sie das Beispielschema als Referenz herunter, um die JSON-Datei zu erstellen.

    3. Geben Sie einen eindeutigen Namen für den physischen Badgingconnector ein.

  6. Überprüfen Sie auf der Seite Überprüfen Ihre Einstellungen, und wählen Sie Fertig stellen aus, um den Connector zu erstellen.

  7. Zeigen Sie die Seite status an, die bestätigt, dass der Connector erstellt wurde. Diese Seite enthält auch die Auftrags-ID. Sie können die Auftrags-ID von dieser Seite oder von der Flyoutseite für den Connector kopieren. Sie benötigen diese Auftrags-ID, wenn Sie das Skript ausführen.

    Die seite status enthält auch einen Link zum Skript. In diesem Skript erfahren Sie, wie Die JSON-Datei an den API-Endpunkt gesendet wird.

  8. Wählen Sie Fertig aus.

    Der neue Connector wird in der Liste auf der Registerkarte Connectors angezeigt.

  9. Wählen Sie den physischen Badging-Connector aus, den Sie gerade erstellt haben, um die Flyoutseite anzuzeigen, die Eigenschaften und andere Informationen zum Connector enthält.

Schritt 4: Ausführen des Skripts zum POST Ihrer JSON-Datei mit physischen Badgingdaten

Führen Sie zum Einrichten eines Physischen Badging-Connectors ein Skript aus, das die physischen Badgingdaten in der JSON-Datei (erstellt in Schritt 2) an den API-Endpunkt (erstellt in Schritt 1) pusht. Wir stellen ein Beispielskript für Ihre Referenz bereit. Sie können es verwenden oder ein eigenes Skript erstellen, um die JSON-Datei an den API-Endpunkt zu senden.

Nachdem Sie das Skript ausgeführt haben, wird die JSON-Datei, die die physischen Badgingdaten enthält, an Ihre Microsoft 365-organization gepusht, wo die Insider-Risikomanagementlösung darauf zugreifen kann. Es wird empfohlen, täglich physische Badgingdaten zu veröffentlichen. Sie können den Prozess automatisieren, um die JSON-Datei jeden Tag aus Ihrem physischen Badgingsystem zu generieren und dann das Skript für das Pushen der Daten zu planen.

Hinweis

Die API kann eine JSON-Datei mit bis zu 50.000 Datensätzen verarbeiten.

  1. Wechseln Sie zu dieser GitHub-Website , um auf das Beispielskript zuzugreifen.

  2. Wählen Sie die Schaltfläche Roh aus, um das Skript in der Textansicht anzuzeigen.

  3. Kopieren Sie alle Zeilen im Beispielskript, und speichern Sie sie in einer Textdatei.

  4. Ändern Sie bei Bedarf das Beispielskript für Ihre organization.

  5. Speichern Sie die Textdatei als Windows PowerShell Skriptdatei, indem Sie das Dateinamensuffix .ps1 verwenden, z. B. PhysicalBadging.ps1.

  6. Öffnen Sie eine Eingabeaufforderung auf Ihrem lokalen Computer, und wechseln Sie zu dem Verzeichnis, in dem Sie das Skript gespeichert haben.

  7. Führen Sie den folgenden Befehl aus, um die physischen Badgingdaten in der JSON-Datei per Push in die Microsoft-Cloud zu übertragen. Zum Beispiel:

    .\PhysicalBadging.ps1 -tenantId "<Tenant Id>" -appId "<Azure AD App Id>" -appSecret "<Azure AD App Secret>" -jobId "Job Id" -jsonFilePath "<records file path>"

    In der folgenden Tabelle werden die Parameter, die mit diesem Skript verwendet werden sollen, und die erforderlichen Werte beschrieben. Verwenden Sie die Informationen, die Sie in den vorherigen Schritten für diese Werte erhalten haben.

    Parameter Beschreibung
    tenantId Dies ist die ID für Ihre Microsoft 365-organization, die Sie in Schritt 1 erhalten haben. Sie können die tenantId für Ihre organization auch auf dem Blatt Übersicht im Microsoft Entra Admin Center abrufen. Dieser Wert identifiziert Ihre organization.
    appId Dies ist die Microsoft Entra Anwendungs-ID für die App, die Sie in Microsoft Entra ID in Schritt 1 erstellt haben. Microsoft Entra ID verwendet diesen Wert für die Authentifizierung, wenn das Skript versucht, auf Ihre Microsoft 365-organization zuzugreifen.
    appSecret Dies ist das Microsoft Entra Anwendungsgeheimnis für die App, die Sie in Microsoft Entra ID in Schritt 1 erstellt haben. Microsoft Entra ID verwendet diesen Wert auch für die Authentifizierung.
    jobId Dies ist die Auftrags-ID für den physischen Badging-Connector, den Sie in Schritt 3 erstellt haben. Das Skript verwendet diesen Wert, um die physischen Badgingdaten, die es in die Microsoft-Cloud pusht, mit dem physischen Badging-Connector zu verknüpfen.
    JsonFilePath Dies ist der Dateipfad auf dem lokalen Computer (der, den Sie zum Ausführen des Skripts verwenden) für die JSON-Datei, die Sie in Schritt 2 erstellt haben. Diese Datei muss dem in Schritt 3 beschriebenen Beispielschema entsprechen.

    Hier sehen Sie ein Beispiel für die Syntax für das Connectorskript für physische Badgings, das die tatsächlichen Werte für jeden Parameter verwendet:

    .\PhysicalBadging.ps1 -tenantId d5723623-11cf-4e2e-b5a5-01d1506273g9 -appId 29ee526e-f9a7-4e98-a682-67f41bfd643e -appSecret MNubVGbcQDkGCnn -jobId b8be4a7d-e338-43eb-a69e-c513cd458eba -jsonFilePath 'C:\Users\contosoadmin\Desktop\Data\physical_badging_data.json'

    Wenn der Upload erfolgreich ist, zeigt das Skript die Meldung Upload Successful (Upload erfolgreich) an .

    Wenn Sie über mehrere JSON-Dateien verfügen, führen Sie das Skript für jede Datei aus.

Schritt 5: Überwachen des physischen Badging-Connectors

Nachdem Sie den physischen Badging-Connector erstellt und Ihre physischen Badgingdaten gepusht haben, können Sie den Connector anzeigen und status im Microsoft Purview-Portal hochladen. Wenn Sie die automatische Ausführung des Skripts in regelmäßigen Abständen planen, können Sie auch die aktuelle status nach der letzten Ausführung des Skripts anzeigen.

  1. Melden Sie sich beim Microsoft Purview-Portal an.

  2. Wählen Sie Einstellungen>Datenconnectors aus.

  3. Wählen Sie Meine Connectors und dann den physischen Badgingconnector aus, den Sie erstellt haben, um die Flyoutseite anzuzeigen. Diese Seite enthält die Eigenschaften und Informationen zum Connector.

  4. Wählen Sie unter Letzter Import den Link Protokoll herunterladen aus, um das status Protokoll für den Connector zu öffnen (oder zu speichern). Dieses Protokoll enthält Informationen zu jeder Ausführung des Skripts und lädt die Daten aus der JSON-Datei in die Microsoft-Cloud hoch.

    Die Protokolldatei des physischen Badgingconnectors zeigt die Anzahl der Objekte aus der JSON-Datei an, die hochgeladen wurden.

    Das Feld RecordsSaved zeigt die Anzahl der Datensätze in der JSON-Datei an, die das Skript hochlädt. Wenn die JSON-Datei beispielsweise vier Datensätze enthält, ist der Wert der RecordsSaved-Felder 4, wenn das Skript erfolgreich alle Datensätze in der JSON-Datei hochlädt. Das Feld RecordsSkipped zeigt die Anzahl der Datensätze in der JSON-Datei an, die das Skript überspringt. Vor dem Hochladen von Datensätzen in die JSON-Datei überprüft das Skript die Email IDs. Jeder Datensatz mit einer ungültigen Email-ID wird übersprungen, und die entsprechende Email-ID wird im Feld EmailIdsNotSaved angezeigt.

Wenn Sie das Skript in Schritt 4 nicht ausgeführt haben, wird unter Letzter Import ein Link zum Herunterladen des Skripts angezeigt. Sie können das Skript herunterladen und dann die Schritte in Schritt 4 ausführen, um es auszuführen.

(Optional) Schritt 6: Planen der automatischen Ausführung des Skripts

Um sicherzustellen, dass Tools wie die Insider-Risikomanagementlösung immer über die neuesten physischen Badgingdaten aus Ihrem organization verfügen, sollten Sie das Skript so planen, dass es automatisch auf wiederkehrender Basis ausgeführt wird, z. B. einmal pro Tag. Dieser Zeitplan erfordert das Aktualisieren der physischen Badgingdaten in die JSON-Datei nach einem ähnlichen (wenn nicht demselben) Zeitplan, damit er die neuesten Informationen zu Mitarbeitern enthält, die Ihre organization verlassen. Das Ziel besteht darin, die aktuellsten physischen Badgingdaten hochzuladen, damit der Physische Badging-Connector sie der Insider-Risikomanagementlösung zur Verfügung stellen kann.

Verwenden Sie die Taskplaner-App in Windows, um das Skript automatisch täglich auszuführen.

  1. Wählen Sie auf Ihrem lokalen Computer die Windows-Schaltfläche Start aus, und geben Sie aufgabenplaner ein.

  2. Wählen Sie die App Aufgabenplanung aus, um sie zu öffnen.

  3. Wählen Sie im Abschnitt Aktionen die Option Aufgabe erstellen aus.

  4. Geben Sie auf der Registerkarte Allgemein einen beschreibenden Namen für den geplanten Vorgang ein, z. B. physisches Badging-Connectorskript. Sie können auch eine optionale Beschreibung hinzufügen.

  5. Gehen Sie unter Sicherheitsoptionen wie folgt vor:

    1. Entscheiden Sie, ob das Skript nur ausgeführt werden soll, wenn Sie am Computer angemeldet sind, oder ob es ausgeführt werden soll, wenn Sie angemeldet sind oder nicht.

    2. Stellen Sie sicher, dass das Kontrollkästchen Mit den höchsten Berechtigungen ausführen aktiviert ist.

  6. Wählen Sie die Registerkarte Trigger aus , wählen Sie Neu aus, und führen Sie dann die folgenden Schritte aus:

    1. Wählen Sie unter Einstellungen die Option Täglich aus, und wählen Sie dann ein Datum und eine Uhrzeit für die erste Ausführung des Skripts aus. Das Skript wird täglich zur angegebenen Zeit ausgeführt.

    2. Stellen Sie sicher, dass unter Erweiterte Einstellungen das Kontrollkästchen Aktiviert aktiviert ist.

    3. Wählen Sie OK aus.

  7. Wählen Sie die Registerkarte Aktionen aus, wählen Sie Neu aus, und führen Sie dann die folgenden Schritte aus:

    Aktionseinstellungen zum Erstellen einer neuen geplanten Aufgabe für das Connectorskript für physisches Badging.

    1. Stellen Sie in der Dropdownliste Aktion sicher, dass Programm starten ausgewählt ist.

    2. Wählen Sie im Feld Programm/Skript die Option Durchsuchen aus, wechseln Sie zum folgenden Speicherort, und wählen Sie ihn aus, damit der Pfad im Feld angezeigt wird: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe.

    3. Fügen Sie im Feld Argumente hinzufügen (optional) den gleichen Skriptbefehl ein, den Sie in Schritt 4 ausgeführt haben. Beispiel: .\PhysicalBadging.ps1-tenantId "d5723623-11cf-4e2e-b5a5-01d1506273g9" -appId "c12823b7-b55a-4989-faba-02de41bb97c3" -appSecret "MNubVGbcQDkGCnn" -jobId "e081f4f4-3831-48d6-7bb3-fcfab1581458" -jsonFilePath "C:\Users\contosoadmin\Desktop\Data\physical_badging_data.json"

    4. Fügen Sie im Feld Start in (optional) den Ordnerspeicherort des Skripts ein, das Sie in Schritt 4 ausgeführt haben. Beispiel: C:\Users\contosoadmin\Desktop\Scripts.

    5. Wählen Sie OK aus, um die Einstellungen für die neue Aktion zu speichern.

  8. Wählen Sie im Fenster Aufgabe erstellendie Option OK aus, um die geplante Aufgabe zu speichern. Möglicherweise werden Sie aufgefordert, Ihre Anmeldeinformationen für Ihr Benutzerkonto einzugeben.

    Die neue Aufgabe wird in der Taskplanerbibliothek angezeigt.

    Die neue Aufgabe wird in der Taskplanerbibliothek angezeigt.

Der Zeitpunkt, zu dem das Skript zuletzt ausgeführt wurde, und die nächste geplante Ausführung wird angezeigt. Sie können die Aufgabe doppelt auswählen, um sie zu bearbeiten.

Sie können auch überprüfen, zu ob das Skript zuletzt auf der Flyoutseite des entsprechenden physischen Badging-Connectors im Compliance Center ausgeführt wurde.