Microsoft 365
Preparing for the Microsoft Entra ID
To use Microsoft 365, you must first navigate to the Microsoft Entra Admin Centre, register an enterprise application, and grant the necessary permissions within that application. These steps are necessary for ACMP to access and import the required Microsoft 365 data.
Register an Enterprise Application
First, log in to your Microsoft Entra ID . Click the Manage tab > Enterprise Applications and create a new application registration.
Application registrations in Microsoft Entra ID
Enter all required information: Enter an application name and select the accounts to support. Click Register to complete the process.
Registering an application
When you open the created application, you will see a summary of the information added. You will need the application and directory ID from this for the next step when you create a new portal for Microsoft 365.
Application information summary
Distribute permissions
Next, grant the required permissions to the business application so that the interface can be accessed. To do this, go to the Permissions section within the registered application (Security > Permissions).
Permissions
Click Add Permission. This will open a page where you can request API permissions. In this step you need to select Microsoft Graph.
API Permissions: Request Microsoft Graph
Only the application permissions are required to use Microsoft 365. Add the following values one at a time and repeat the process until both list entries are added:
- User.Read.All (Type: Application)
- Organisation.Read.All (Type: Application)
Warning:
You only need to assign the application permissions, not the delegated permissions!
Assigning application permissions
Once you have selected both permissions, click Add Permissions. You will see the entries in the overview.
Assigned privileges (without consent)
You may need to grant permissions if you have not already done so. To do this, click on the 'Grant administrator consent for %your company%' field. This will change the status and provide user consent.
Approved permissions
Upload private client keys or certificates
When you first set up Microsoft 365, you need to specify authentication types. You can choose from two methods supported by the Microsoft Client Credentials Provider: certificates or secret client keys.
Note:
The procedure is different depending on the authentication type you choose. Read below to find out what to do for each method.
Upload a certificate
Note:
Because of the higher level of security, Microsoft recommends that you use a certificate as your credential.
Certificates can be used as an authentication method to log in to Microsoft Entra ID. A certificate always consists of a public and a private part, where the public key is loaded directly into the Microsoft Entra ID. Both parts will be needed later when you can add the certificate to the connection information to create a new portal. This certificate pair must be created beforehand. Read on to find out how to create a certificate using Microsoft or Open SSL.
Note:
The PKCS#12 or PFX/P12 format is often used for certificates. This is not supported by ACMP because the certificate and key file are combined in one file. However, you can use the OpenSSL commands openssl pkcs12 -in path.p12 -out newfile.crt -clcerts –nokeys to generate two files from the file for the certificate and openssl pkcs12 -in path.p12 -out newfile.pem -nocerts –nodes for the private key.
For more information, see the Managing certificates section.
Within the previously registered application, navigate to Certificates & Secrets. In the details section, click the Certificates tab and upload the certificate you created earlier.
Upload certificates
A field will open on the right-hand side for you to upload the certificate. Browse to the appropriate directory and upload the file, then enter an optional description for the certificate. Click Add and the certificate will be saved for the application.
Note:
Please note that only .cer, .pem and .crt file types are supported when uploading a certificate.
Uploaded certificate in Microsoft Entra
Adding a secret client key
The secret client key is a string of characters used by the enterprise application as an authentication key or proof of identity when requesting the token. To do this, go to the Certificates & Secrets section of the registered application. In the details, click on the Secret Client Keys tab and create a new key.
Adding a news client key
When creating a new secret client key, you will be given the option to configure the validity period. Please note that when the validity period expires, a new key must be created and saved.
Adding a secret client key
Note:
You will need the created secret client key when setting up Microsoft 365 to create new portals in the ACMP console. Therefore, save the secret client key so that you can access it later.
Settings for Microsoft 365
The Microsoft 365 section provides an overview of the portals you have saved and from which you want to import information.
Managing Micrsoft 365 portals
To manage the portals, in the open ACMP console, navigate to System > Settings > Licence Management > Microsoft 365. The view is split into two parts. On the left, you will see the action fields where you can add (
), edit (
) or delete (
) the Microsoft 365 portals. At the bottom is a list of all the existing portals that you have previously created. On the right, you can see the details of the portal you selected.
Microsoft 365 portals overview
Add a Microsoft 365 portal
To add a new portal, click the Add button (
) in the toolbar. A wizard will open to guide you through the next steps. First, under General, enter a name for the portal. Note that the portal name is used as a prefix for the imported licences and products and must be unique. Optionally, you can enter a description if you wish to provide additional information. Otherwise, click Next > to proceed.
General information when adding a Microsoft 365 portal
Now enter the Application ID (Client) and Directory ID (Client) in the fields provided. This information refers to the information provided in the Microsoft Entra ID (see Application Properties).
Note:
The Application ID (Client) is the ID of the registered application. The Directory ID (Client) indicates which client it is running under.
Then select the type of authentication you want to use for the connection information. You can choose between Certificate and Client Secret Key.
Certificate
Select the Certificate authentication type and click the Add button. A new window will open where you must enter the public and private keys. To do this, click on the button 
uand insert the appropriate key that you used earlier prepare the Microsoft Entra ID genutzt haben. Schließen Sie den Schritt ab, indem Sie auf OK klicken.
Client-Zertifikat hinzufügen
Sollten Sie das Zertifikat löschen wollen, müssen Sie auf Entfernen klicken.
Geheimer Clientschlüssel
Um einen geheimen Clientschlüssel hinzuzufügen, müssen Sie unterhalb der Auswahl auf den gleichnamigen Button klicken. Es öffnet sich ein neues Fenster, in dem Sie die geheime ID und den Wert des geheimen Clientschlüssels eingeben müssen. Geben Sie außerdem einen Gültigkeitszeitraum an. Beenden Sie den Schritt, indem Sie auf OK klicken und wieder zu dem Wizard zurückgelangen.
Geheimen Clientschlüssel hinzufügen
Verbindungsinformationen zum Microsoft 365 Portal
Je nachdem für welchen Authentifizierungstypen Sie sich entschieden haben, werden die entsprechenden Felder befüllt. In dieser Erklärung wurde der Authentifizierungstyp Zertifikat verwendet.
Überprüfen Sie Ihre Verbindung, indem Sie auf Verbindung testen klicken. Hierdurch können Sie sicherstellen, dass die bisher eingegebenen Angaben korrekt eingefügt wurden. Klicken Sie auf Weiter >, um mit den Ausschlüssen für den Import fortzusetzen.
Hier haben Sie die Möglichkeit nicht relevante Lizenzen vom Import auszuschließen. Die Seite des Wizards ist dabei zweigeteilt: Auf der linken Seite finden Sie eine Liste mit allen verfügbaren Lizenzen. Durch das Aktivieren der darunterliegenden Checkbox können Sie sich nur die im Portal abonnierten Lizenzen anzeigen lassen.
Ziehen Sie nun sämtliche Einträge auf die rechte Seite (
), die Sie für den Import ausschließen wollen. Die Einträge werden für den kommenden Import explizit ausgenommen. Über den Button (
) können Sie ausgeschlossene Lizenzen aus der Liste entfernen.
Ausschlüsse für den Import
Beenden Sie den Wizard, indem Sie auf Fertig klicken. Sie gelangen wieder zur Übersichtsseite innerhalb der ACMP Einstellungen, wo das neue Portal der Liste hinzugefügt wurde.
Hinzugefügtes Portal in den Einstellungen zu Microsoft 365
Microsoft 365 Portale bearbeiten oder löschen
Bestehende Microsoft 365 Portale können bearbeitet oder gelöscht werden. Möchten Sie ein bestehendes Portal bearbeiten, um beispielsweise den Authentifizierungstypen oder die vom Import ausgeschlossenen Lizenzen zu ändern, klicken Sie auf den Button Bearbeiten (
). Es öffnet sich ein Fenster, in dem Sie die nun vorliegenden Informationen anpassen können. Hierbei sind die Angaben in drei Tabs unterteilt: Allgemein, Verbindungsinformationen und Ausschlüsse für den Import. Ändern Sie die gewünschten Informationen und klicken Sie anschließend dann auf Speichern.
Note:
Berücksichtigen Sie für eventuelle Änderungen die Vorgehensweise aus dem Abschnitt Microsoft 365 Portale hinzufügen und beachten Sie dabei die angegebenen Hinweise.
Note:
Sollten Sie nachträglich Lizenzen von einem Import ausschließen, müssen Sie die unter Umständen bereits importierte Lizenzen und das dazugehörige Produkt im Lizenzmanagement manuell löschen.
Um ein Portal zu löschen, reicht es aus den Button Löschen (
) zu klicken und die Aktion zu bestätigen.
Note:
Nach dem Löschen des Portals bleiben bereits importierte Lizenzen und Produkte bestehen. Diese müssen im Lizenzmanagement manuell gelöscht werden.
Lizenzen, Produkte und Compliance
Für den Import der Lizenzen und Produkte und die Berechnung des Status wird die Ausführung zweier Serveraufgaben benötigt:
| Serveraufgabe | Beschreibung |
| 1. Microsoft 365 Lizenzdaten importieren | Mit der Serveraufgabe werden die Microsoft 365 Lizenz- und Produktdaten für das Lizenzmanagement importiert und die Lizenzen und Produkte erstellt. |
| 2. Neuberechnung der Daten für die Compliance Ansicht | Es wird eine Neuberechnung der Compliance Daten durchgeführt, bei der die Verbraucher und der Status der Lizenz ermittelt werden. |
Note:
Das Ausführungsintervall der geplanten Serveraufgaben hängt von der konfigurierten Startbedingung ab. Den Status der Server Job Ausführungen können Sie über den Servermonitor einsehen.
Die Lizenzen, Produkte und notwendigen Kontakte werden während des Imports der Daten erstellt. Die Compliance Neuberechnung ist für die Berechnung des Status da.
Note:
Die neuen Kontakte können über Stammdaten (Stammdaten > Kontakte) aufgerufen werden. Die Kontakte sind dafür notwendig, damit die Compliance Berechnung am Ende vollständig ist und sie als Verbraucher der Lizenz erfasst und mit den entsprechenden Lizenzen und Produkten verknüpft werden können.
Rufen Sie im Lizenzmanagement die entsprechenden Produkte und Lizenzen auf, wenn Sie detaillierte Informationen zu ihnen haben wollen.
Note:
Alle Lizenz- und Produktdaten, die aus dem Portal kommen, sind schreibgeschützt und können nicht editiert werden. Das Microsoft 365 Portal ist dabei das führende System und kann nicht vom Administrator geändert werden.
Verknüpftes Produkt aus der Lizenz auslesen
Produkte
Produkte werden während des initialen Erstellens im folgenden Zielordner angelegt: Microsoft 365 > Name des Portals (hier: Microsoft 365 Portal). Die Produkte lassen sich beliebig per Drag&Drop in andere Ordner verschieben. Der Produktname setzt sich aus dem Namen des Portals (Präfix) und der Bezeichnung der Lizenz zusammen.
Microsoft 365 Portal Produkte auslesen
Note:
Für die korrekte Ermittlung der Verbraucher gibt es einen neuen automatischen Verbraucher (Typ: Microsoft 365). Dieser wird nur für den Microsoft 365 Import verwendet und steht beim manuellen Erstellen eines Produkts nicht zur Auswahl.
Compliance Neuberechnung manuell starten
Die Compliance Neuberechnung läuft standardmäßig als Serveraufgabe alle fünf Stunden und hält damit den Abgleich der Daten aktuell. Möchten Sie unabhängig davon und außer der Reihe eine Neuberechnung starten, können Sie dies über Lizenzmanagement > Compliance > Neuberechnen > Komplett neuberechnen durchführen. Klicken Sie in der Ribbonleiste auf den Button und starten Sie manuell die Neuberechnung. Mit der Funktion wird zunächst ein erneuter Import der aktuellen Microsoft 365 Daten gestartet. Abhängig von den Daten im Lizenzmanagement kann die Ausführung des Neuberechnung einige Zeit in Anspruch nehmen. Sollten sich bereits Produkte in der Compliance befinden, werden diese aktualisiert und der dazugehörige Status überprüft und ggf. angepasst.
Status Produkt kann nicht synchronisiert werden
Mit der Compliance Neuberechnung wird der Status der Produkte und Lizenzen abgeglichen. Sollte es während eines Imports der Microsoft 365 Daten dazu kommen, dass Daten für ein bereits importiertes Produkt oder eine importierte Lizenz nicht aktualisiert werden können, sehen Sie das anhand des neuen Status 
Produkt kann nicht synchronisiert werden.
Lizenz Status „Produkt kann nicht synchronisiert werden“
Für den Status kann es drei Gründe geben:
| Grund | Beschreibung | Lösung |
Das Produkt und/oder die Lizenz existieren nicht mehr im Microsoft 365 Portal.
| Das Produkt und/oder die Lizenz wurden aus dem Microsoft 365 Portal gelöscht, weshalb es keine Verbindung zwischen dem ACMP Server und dem Produkt/der Lizenz gibt. | Die Produkte und/oder die Lizenzen können aus ACMP gelöscht werden. Wählen Sie die entsprechenden Einträge aus und entfernen Sie sie, indem Sie in der Ribbonleiste auf Löschen klicken. |
| Die Lizenz wurde nachträglich zum Ausschluss definiert. | Es wurde nachträglich eine Lizenz vom Import ausgeschlossen, weil eine Änderung an einem bestehenden Portal vorgenommen wurde. | Sollte der neu hinzugefügte Lizenzausschluss im Portal von Ihnen gewünscht sein, müssen Sie die bereits importierte Lizenz und die Produkte löschen. Sollte der neu hinzugefügte Ausschluss aufgrund einer Fehlkonfiguration beim Editieren des Portals entstanden sein, können Sie das Portal erneut bearbeiten und den Ausschluss entfernen. Bei der nächsten Ausführung des Microsoft 365 Imports werden die Daten wieder automatisch aktualisiert. Nach der anschließenden Ausführung der Compliance Neuberechnung wird der Status nun korrekt angezeigt. |
| Das Portal wurde gelöscht. | Das komplette Portal wurde aus den Einstellungen gelöscht und existiert nicht mehr. | Wenn Sie das Portal in den ACMP Einstellungen gelöscht haben, müssen Sie in diesem Fall, die bereits importierten Produkte und Lizenzen aus dem Lizenzmanagement manuell löschen. |
Note:
Erfahren Sie hier mehr zu den verschiedenen Status der Lizenzen.
Fehlermeldungen beim Zugriff auf die Microsoft 365 GraphAPI
Beim Zugriff auf die Microsoft 365 GraphAPI wird ein sogenannter Access Token benötigt. Dieser Token wird von der geplanten Serveraufgabe beim Import der Microsoft 365 Daten für jedes konfigurierte Portal generiert. Sollte es beim Generieren des Tokens zu Problemen kommen, wird Ihnen dies als Fehlermeldung im Log angezeigt. Den Eintrag dazu finden Sie im Servermonitor.
Generell gibt es zwei grundsätzliche Fehler, die auftreten können:
- Ein von der GraphAPI gemeldeter Fehler wurde vom entsprechenden Webserver generiert.
- Es ist zu einem Fehler gekommen, der bei der Verbindung vom ACMP Server zur GraphAPI oder bei der Auswertung der Antwort der GraphAPI aufgetreten ist.
Nachfolgend einige detaillierte Fehlermeldungen, die bei Ihnen erscheinen können:
Fehlermeldung | Fehlerbeschreibung |
Die GraphAPI meldet einen Fehler und eine Fehlerbeschreibung. | Der ACMP Server konnte die Microsoft GraphAPI erreichen und bekam einen Fehler gemeldet. Die Fehlerbeschreibungen stammen von Microsoft und geben die Art des Fehlers wieder, die von der Microsoft GraphAPI gemeldet wurde. |
„Could not connect to GraphAPI server.“ | Der ACMP Server konnte keine Verbindung zur Microsoft GraphAPI aufbauen. Lösung: Überprüfen Sie, ob Sie die notwendigen URLs für Ihre Umgebung freigegeben haben. |
„GraphAPI webcall returned success but information could not be deserialized.“ | Der ACMP Server konnte eine Verbindung aufbauen und die Gegenstelle meldete einen Erfolg (HTTP Status 200), allerdings konnte die gelieferte Antwort nicht erfolgreich ausgewertet werden. Hier kann es sein, dass das Format ein anderes ist, als erwartet. Mögliche Fehlerquelle ist, wenn ein System Informationen im Cache behält und diese als Antwort zurückliefert. Überprüfen Sie beispielsweise Ihre Proxyeinstellungen, ob der ACMP Server die richtigen Konfigurationen hinterlegt hat, um die URL auflösen zu können. Sollte das von Ihnen ausgeschlossen worden sein, wenden Sie sich bitte an unseren Support. |
„GraphAPI webcall returned failure but error information could not be deserialized.“ | Der ACMP Server konnte erfolgreich eine Verbindung aufbauen, jedoch meldet die Gegenstelle einen Fehler. Die gelieferte Antwort konnte nicht ausgewertet werden. Lösung: Überprüfen Sie, ob die Firewall/Proxy Einstellungen richtig konfiguriert sind. Sollte das von Ihnen ausgeschlossen worden sein, wenden Sie sich bitte an unseren Support. |
„Thumbprint from public key could not be read.“ | Dieser Fehler tritt ausschließlich auf, wenn Sie als Authentifizierungsmethode das Zertifikat verwendet haben. In diesem Fall versucht der ACMP Server einen JSON Web Token für die GraphAPI zu generieren. Hierbei muss der Fingerabdruck des öffentlichen Schlüssels des Zertifikats vermerkt werden. Beim Auslesen dieses Wertes trat ein Fehler auf. Lösung: Spielen Sie beim Auftreten des Fehlers das Zertifikat neu ein. |
„JSON Web Token generation for authentication with GraphAPI failed.“ | Dieser Fehler tritt ausschließlich auf, wenn Sie als Authentifizierungsmethode das Zertifikat verwendet haben. Der ACMP Server versucht einen JSON Web Token für die GraphAPI mit dem privaten Schlüssel des Zertifikats zu signieren. Hierbei tritt ein Fehler auf. Lösung: Möglicherweise kann es sich um ein abgelaufenes Zertifikat handeln. Legen Sie entweder ein neues Zertifikat an oder spielen Sie beim Auftreten des Fehlers das Zertifikat erneut ein. |