Ein kleines aber feines Feature um den Usern mehr Übersicht und Ordnung in ihren Azure AD Applications zu verschaffen: Collections
Sämtliche Apps aus den Azure AD Enterprise Applications können zu Collections gruppiert werden. Diese Gruppierungen werden dann AAD Usern und/oder Gruppen zugewiesen, sodass diese dann im NEUEN (Stand 20.08.2020) MyApps-Portal in Reitern sortiert sind. Wie es geht, sehen wir jetzt. Es ist schnell erleidgt.
Collection erstellen
In den Azure AD Enterprise Applications auf Collections gehen und eine neue erstellen.
Einen Namen und Beschreibung vergeben. Das ist später auch der Displayname den die User sehen. Also ggf. auf die Sprache achten!
Die gewünschten Applikationen hinzufügen.
Den Owern zuweisen. Der Owner ist NICHT der Owner der eigentlichen Apps, sondern derjenige, der die Collection administrieren darf.
Anschl. die gewünschten User und/oder Gruppen hinzufügen.
Und fertig. Erstellen und los geht’s.
MyApps Portal
Wer diese Gruppierung nun im MyApps Portal sucht, sucht vergebens. Ebenso, wer sie in der Office-Startseite sucht. Die Gruppierung ist unter folgendem Link zu finden:
https://myapplications.microsoft.com/
Also gehen wir da drauf und schauen uns unsere Collection an.
Leer… Warum leer? Weil die Zuweisung zur Collection selbst keine Berechtigungen auf die Apps verwaltet. Man muss unabhängig von der Collection auf die Apps berechtigt sein.
App Berechtigungen
Im Azure AD auf die Enterprise Applications gehen und validieren, ob wir recht haben… ja, eine User-Zuweisung ist erforderlich.
Aber es sind keine User zugewiesen.
Also, User hinzufügen.
Kaum ist das erledigt, taucht die App dann auch im Portal auf.
Ausblick
Allgemein empfehle ich i.d.R. mit Gruppen zu arbeiten. Je nach internationalem Kontext wäre eine Setup wie folgt gut, aber funktioniert noch nicht!!! Leider gibt es noch keinen Support für nested groups bei der Zuweisung von Apps. Siehe folgende UserVoice: https://feedback.azure.com/forums/169401-azure-active-directory/suggestions/15718164-add-support-for-nested-groups-in-azure-ad-app-acc
Wenn das dann mal implementiert wird, sähe ein gutes Setup wie folgt aus:
- Eine Gruppe für den entsprechenden Kontext pro Land.
- Eine „globale“ Gruppe die alle „Länder-Gruppen“ beinhaltet.
Entsprechende Kollegen kommen in die entsprechenden Ländergruppen.
Die „globale“ Gruppe bekommt die App-Zuweisung.
In den Collections pro „Ländergruppe“ eine eigene Collection erstellen und mit der entsprechenden Sprache, etc. versehen.
Hier für Deutschland.
Hier für Bulgarien
ABER NOCHMAL… leider nein… Kein Support für nested groups bei der App-Zweisung :/ Hoffentlich kommt das bald.
Bis dahin müssen wir uns halt doch damit behelfen, dass alle „Ländergruppen“ direkt auf der App berechtigt werden.
Dann taucht auch die App auf.
Zusammenfassung
- Die Collections bieten uns eine tolle Möglichkeit die User Experience der Anwender zu verbessern.
- Gruppen an sich werden unterstützt und sollten auf jeden Fall genutzt werden.
- Nested groups im Zuge der App-Zuweisung gehen leider noch nicht.
- ABER nested groups im Zuge der Collection-Zuweisung gehen! Auch wenn ich dafür zugegebenermaßen keinen Use-Case parat habe…