In diesem Artikel erfahren Sie, wie Sie die Integration von Microsoft Entra ID in Personio einrichten. Die Integration von Microsoft Entra ID erleichtert Ihrem Unternehmen die On- und Offboardingprozesse. Änderungen an Mitarbeitendeninformationen werden automatisch in Personio (z. B. Rollen- oder Abteilungsänderungen) mit der entsprechenden Nutzenden-ID in Microsoft Entra ID synchronisiert. Die Integration aktualisiert Microsoft Entra ID mit den neuesten Informationen aus Personio. Mit dieser Integration können Sie Berechtigungen oder Geräte für Mitarbeitende verwalten.

Hinweis:
Die automatische Synchronisierung funktioniert nur von Personio zu Microsoft Entra ID. Das Aktualisieren von Informationen in Microsoft Entra ID löst keine automatische Synchronisation in Personio aus.

Bevor Sie beginnen

Stellen Sie vor der Integration sicher, dass Folgendes der Fall ist:

• Sie verfügen über eine Admin-Rolle oder Bearbeitungsberechtigungen für die Marketplace-Integration in Personio. 
• Sie verfügen über privilegierte Admin-Rechte für Rollen für Microsoft Entra ID. Sie benötigen keine globalen Admin-Rechte. Im Oktober 2024 wurden die für die Integration erforderlichen Berechtigungen reduziert. Details finden Sie unter Integrationsberechtigungen prüfen.

Microsoft Entra ID verbinden und authentifizieren

Richten Sie die Integration von Microsoft Entra ID im Marketplace ein. Folgen Sie diesen Schritten:

1. Gehen Sie zu Marketplace in Personio.
2. Suchen Sie nach der Microsoft Entra ID-Integration, und wählen Sie sie aus.
3. Klicken Sie auf Verbinden, um den Konfigurationsassistenten zu öffnen.
4. Geben Sie Ihre Microsoft Entra ID-Mandantennummer ein.
5. Fahren Sie mit dem nächsten Schritt fort, und authentifizieren Sie Microsoft Entra ID.

Microsoft Entra ID authentifizieren

Sie müssen Microsoft Entra ID über den Microsoft-Account authentifizieren, der mit der Microsoft Entra ID verknüpft ist.

1. Befolgen Sie die im Konfigurationsassistenten beschriebenen Schritte.
2. Authentifizieren Sie Microsoft Entra ID.
3. Fahren Sie mit dem nächsten Schritt fort, und authentifizieren Sie Personio.

Authentifizieren Sie Personio

Sie müssen der Integration Zugriff auf die notwendigen Personio Daten gewähren. Folgen Sie diesen Schritten:

1. Überprüfen Sie die Berechtigungen, die für die Microsoft Entra ID-Integration erforderlich sind.
2. Fahren Sie mit dem nächsten Schritt fort, und definieren Sie das UPN-Schema.

Datenübertragung

Bei der Einrichtung der Integration erteilen Sie Personio die folgenden Berechtigungen für die Datenübertragung:

• User.ReadWrite.All
• User.Read
• Group.Read.All
• offline_access

Details zu den einzelnen Berechtigungen finden Sie in der Begleitdokumentation zu Berechtigungen für Microsoft Graph.

UPN-Schema definieren

Wählen Sie das Format für den Nutzendenprinzipnamen (UPN) für die Erstellung neuer Logins. Dies ist in der Regel die geschäftliche E-Mail. Zum Beispiel "john.doe@demo.com". 

1. Sie haben die Möglichkeit, E-Mail-Adressen vorab zuzuweisen oder manuell über ein vorhandenes Personio-Attribut zu definieren. Alternativ können Sie das Format für automatisch generierte E-Mail-Adressen konfigurieren, indem Sie die folgenden Schritte ausführen.
2. Erstellen Sie das UPN-Schema, indem Sie einen UPN-Anfang aus den verfügbaren Attributen auswählen, z. B. „Vorname“. Legen Sie dann fest, ob Sie das gesamte Feld oder nur den Anfangsbuchstaben verwenden möchten.
3. Optional: Fügen Sie ein Trennzeichen hinzu (z. B. „.“)
4. Fügen Sie ein UPN-Ende hinzu (z. B. „Nachname“)
5. Wählen Sie eine bevorzugte Microsoft Entra ID-Domain (z. B. „demo.com“).
6. Fahren Sie mit dem nächsten Schritt fort, und ordnen Sie Attribute zu.

Wenn Sie kein Trennzeichen und UPN-Ende hinzufügen möchten, geben Sie Keine für beide Optionen ein. Wählen Sie auch Gesamtes Feld oder Erster Buchstabe für das UPN-Ende aus.

Hinweis:
Wenn Sie einen Mitarbeiter mit den gleichen Werten für die ausgewählten Attribute hinzufügen, erstellt Microsoft Entra ID ein Profil mit dem UPN-Schema: UPNBeginning[Separator]UPNEnd_EmployeeID@domain (z.B. johndoe_12345@demo.com).

Attribute zuordnen

Wählen Sie aus, welche Microsoft Entra ID-Attribute mit Personio synchronisiert werden sollen. Folgen Sie diesen Schritten:

1. Überprüfen Sie alle Attribute. Stellen Sie sicher, dass jedes Personio Attribut mit dem entsprechenden Microsoft Entra ID-Attribut übereinstimmt.
2. Fügen Sie bei Bedarf weitere Attribute hinzu.
3. Klicken Sie auf Abschließen, um die Einrichtung der Integration abzuschließen.

Sie können nicht alle Attribute in Personio individuellen Microsoft Entra ID-Attributen zuordnen. Sie können Ihre Personio-Attribute den folgenden Microsoft-Entra-ID-Systemattributen zuordnen:

• Geschäftstelefone
• Ort
• Name des Unternehmens
• Land, Abteilung
• Anzeigename
• Mitarbeitendenart
• Vorname
• Anstelldatum
• Stellenbezeichnung
• Anschrift
• Führungskraft
• Mobiltelefon
• Standort des Arbeitsplatzes
• Postleitzahl
• Straße
• Nachname

Onboarding-, Offboarding- und Rollenänderungs-Workflows

Verknüpfung der nutzenden Personen

Sobald Sie die Integration eingerichtet haben, beginnt der Workflow zur Verknüpfung der Nutzenden. Bei diesem wird das UPN-Attribut in Entra ID dem Attribut E-Mail in Personio zugeordnet. Die Integration verknüpft keine inaktiven Microsoft Entra ID-Profile.

• Wenn das UPN-Attribut in Microsoft Entra ID mit dem E-Mail-Attribut in Personio übereinstimmt, fügt die Integration die entsprechende Mitarbeitenden-ID aus Personio dem Attributfeld Mitarbeitenden-ID in Microsoft Entra ID hinzu.  
• Die Mitarbeitenden-ID verknüpft alle zukünftigen Nutzendenaktualisierungen und Workflows zur Deaktivierung von Nutzenden.
• Über das System werden Profile bereitgestellt, die keine entsprechende Personio-E-Mail haben und in Microsoft Entra ID nicht inaktiv sind. 

Integrationsberechtigungen überprüfen

Im Oktober 2024 wurden die für die Integration erforderlichen Berechtigungen reduziert. Wenn Sie die Integration bereits nutzen und diese reduzierten Berechtigungen anwenden möchten, authentifizieren Sie sich erneut und legen Sie die entsprechenden Rechte in Microsoft Entra ID fest. Lesen Sie dazu den Abschnitt Voraussetzungen für eine erfolgreiche Integration.

Hinweis:
Wird bei der Integration ein Nutzender aufgrund einer privilegierteren Rolle nicht aktualisiert, weisen Sie der App eine höhere Rolle zu. Weitere Informationen zu Admin-Rechten finden Sie in der Microsoft-Dokumentation zu Rollen und Berechtigungen.

Nutzendenbereitstellung

Wenn das Attribut  E-Mail eines Mitarbeiters in Personio nicht mit einem UPN-Attribut in Ihrem Microsoft Entra ID-Konto übereinstimmt:

• Durch die Integration wird ein neues Nutzendenprofil in Microsoft Entra ID erstellt.
• Personio überträgt die „Mitarbeitenden-ID“ in das entsprechende Profil.
• Die Integration löst den Passworterstellungsprozess aus. Dabei wird auch der UPN in Microsoft Entra ID erstellt.

Sie müssen den erstellten UPN als Nutzendenanmeldung in Microsoft Entra ID verwenden. Sie können das UPN-Schema Ihren Bedürfnissen entsprechend erstellen.

Zur Erstellung eines Profils in Microsoft Entra ID muss für das Mitarbeitendenprofil in Personio Folgendes zutreffen:

• Die Felder Vorname, Nachname und E-Mail müssen ausgefüllt sein.
• Der Status ist nicht Inaktiv. 

Hinweis:
Umlaute im Namen werden für den UPN in Microsoft Entra ID gemäß dem Land Ihrer Rechnungsstellung umgewandelt. Für Kunden in der DACH-Region (z. B. Deutschland) werden Umlaute in ihre alternative Schreibweise umgewandelt: ä → ae, ö → oe, ü → ue, ß → ss. Für alle anderen Länder entfernt das System Umlaute: zum Beispiel ä → a.

Erneut angestellte Mitarbeitende wieder verbinden 

Wenn Sie einen ehemaligen Mitarbeiter erneut anstellen, haben Sie zwei Personio Profile für diese Person: ein inaktives und ein aktives Profil. Entra ID erstellt E-Mail-Adressen basierend auf dem Vor- und Nachnamen des Mitarbeiters, sodass versucht wird, dieselbe E-Mail zu erstellen, die bereits für das inaktive Profil existiert. Da die E-Mail-Adresse bereits existiert, kann Entra ID den Prozess zur Erstellung von Nutzenden nicht abschließen. Dies blockiert den Zugriff des Mitarbeiters und verhindert, dass sich die Person bei Systemen anmelden kann.

Um dies zu beheben, aktualisieren Sie die Mitarbeitenden-ID in Entra-ID, sodass sie mit der ID des neuen Personio Profils übereinstimmt. Diese ID finden Sie in der URL, wenn Sie auf das Mitarbeitendenprofil klicken. Auf diese Weise erkennt Entra ID die vorhandene nutzende Person und versucht nicht, ein neues Profil zu erstellen.

Nutzendenaktualisierung

Damit dieser Workflow erfolgreich ist, müssen Sie die Mitarbeitenden-ID im Microsoft Entra ID-Profil eingeben.

Alle 30 Minuten führt Microsoft Entra ID den Workflow zur Nutzendenaktualisierung aus. Es wird geprüft, ob sich während des Einrichtungsprozesses zugeordnete Attribute in Personio geändert haben. Wenn sich ein Attribut ändert, aktualisiert das System das zugeordnete Attribut in Microsoft Entra ID.

Microsoft Entra ID kann diese Informationen verwenden, um Berechtigungen für bestimmte Tools zu gewähren oder zu widerrufen. Änderungen funktionieren nur von Personio zu Microsoft Entra ID. Wenn Sie ein Attribut in Microsoft Entra ID manuell ändern, wird es in Personio nicht automatisch aktualisiert.

Beispiel

Ein Unternehmen hat das Systemattribut Abteilung für Personio und Microsoft Entra ID zugeordnet. Ein Mitarbeiter wechselt Abteilungen von der Kundenbetreuung in die Vertriebsabteilung. Der HR Manager nimmt diese Veränderung in Personio vor. Microsoft Entra ID erhält automatisch eine Benachrichtigung über die Änderung. Dem Mitarbeiter werden die Berechtigungen auf sein Kundensupport-Tool (z. B. Zendesk) entzogen. Zudem wird dem Mitarbeiter Zugriff auf sein CRM-Tool (z. B. Salesforce) gewährt. 

Deaktivierung von Nutzenden

Microsoft Entra ID widerruft die Zugriffsberechtigung eines Mitarbeiters, sobald sich sein Attribut Status in Personio zu Inaktiv ändert. Sie können das Attribut Status manuell ändern. Es ändert sich auch automatisch, wenn ein Mitarbeiter sein Austrittsdatum in Personio überschreitet.

Der Mitarbeiter kann sich dann bei keinem seiner Accounts mehr anmelden. Der Nutzende wird jedoch nicht gelöscht. Dies hilft Ihnen, den Zugriff auf Details und verknüpfte Dienste wie E-Mail-Postfächer beizubehalten. 

Einschränkungen

• Hybride Microsoft Entra ID / On-Prem AD-Setups
  Personio unterstützt nur vollständige Cloud-Setups. Es unterstützt keine Cloud/On-Prem-Hybrid-Setups. Die Integration erlaubt daher nur die Erstellung, Aktualisierung und Deaktivierung von Nutzenden in Microsoft Entra ID.
• Nutzende zu Gruppen zuweisen
  Die Integration ermöglicht nur die Erstellung von Nutzenden. Es werden keine Nutzenden zu Gruppen hinzugefügt.
• Zurückschreiben von Attributen
  Das System sendet alle in der Zuordnungstabelle ausgewählten Attribute von Personio an Microsoft Entra ID. Die Integration unterstützt keine Synchronisierung von Microsoft Entra ID nach Personio.

Nächster Schritt

Hier erfahren Sie mehr darüber, wie Sie Ihre Identitäts- und Zugriffsverwaltung durch eine Integration für Personio automatisieren.