Zum Hauptinhalt gehen

Wie können wir Ihnen helfen?

Als Admin können Sie jetzt einen Blick auf die neue Personio-Erfahrung werfen!

Gehen Sie zur Startseite und aktivieren Sie die neue Erfahrung, um unsere intelligente HR-Plattform mit frischem Design und neuen Funktionen zu erkunden. Testen Sie ohne Einschränkung, — denn die Änderungen sind während dieser frühen Testphase für Ihre Mitarbeitenden nicht sichtbar.

Microsoft Entra ID (vormals Azure Active Directory)

In diesem Artikel erklären wir, wie Sie die Integration von Microsoft Entra ID mit Personio einrichten. Ist die Verbindung erfolgt, erleichtert die Integration mit Microsoft Entra ID die On- und Offboarding-Prozesse Ihres Unternehmens, indem alle Änderungen von Mitarbeitendeninformationen in Personio (z. B. ein Wechsel der Rolle oder Abteilung) automatisch mit der entsprechenden Nutzenden-ID in Microsoft Entra ID synchronisiert werden. Die Integration aktualisiert Microsoft Entra ID mit den neuesten Informationen aus Personio. Sie ermöglicht die Verwaltung von Zugriffsrechten von Mitarbeitenden oder Geräten.

Hinweis
Die automatische Synchronisierung funktioniert nur von Personio zu Microsoft Entra ID. Die Aktualisierung von Informationen in Microsoft Entra ID löst in Personio keine automatische Synchronisierung aus.

Voraussetzungen für eine erfolgreiche Integration

Stellen Sie vor der Integration sicher, dass Folgendes der Fall ist:

  • Sie haben eine Admin-Rolle oder Bearbeitungsrechte für den Marketplace in Personio. Richten Sie dies unter Einstellungen > Personen > Mitarbeitendenrollen > Zugriffsrechte > Konto-Konfiguration > Integration Marketplace ein.
  • Sie verfügen über privilegierte Administratorrechte für Rollen für Microsoft Entra ID. Sie benötigen keine globalen Administratorrechte. Ab Oktober 2024 sind für die Integration reduzierte Berechtigungen erforderlich. Weitere Details finden Sie unter Integrationsberechtigungen prüfen.
  • Sie müssen die Checkbox für Tray.io, Inc. aktivieren. Sie finden diese unter Einstellungen > Support > Abonnement & Rechnung > Informationen zur Datensicherheit.

Microsoft Entra ID verbinden und authentifizieren

Richten Sie die Integration von Microsoft Entra ID im Marketplace ein. Gehen Sie wie folgt vor:

  1. Gehen Sie in Personio zum Marketplace.
  2. Suchen Sie die Microsoft-Entra-ID-Integration und wählen Sie diese aus.
  3. Klicken Sie auf Verbinden, um den Konfigurationsassistenten zu öffnen.
  4. Geben Sie Ihre Microsoft-Entra-ID-Mandanten-ID ein.
  5. Fahren Sie mit dem nächsten Schritt fort und authentifizieren Sie Microsoft Entra ID.

Microsoft Entra ID authentifizieren

Sie müssen Microsoft Entra ID über das Microsoft-Konto authentifizieren, das mit der Microsoft Entra ID verknüpft ist.

  1. Folgen Sie den im Konfigurationsassistenten beschriebenen Schritten.
  2. Authentifizieren Sie Microsoft Entra ID.
  3. Fahren Sie mit dem nächsten Schritt fort und authentifizieren Sie Personio.

Authentifizieren Sie Personio

Sie müssen der Integration Zugriff auf die erforderlichen Personio-Daten gewähren. Gehen Sie wie folgt vor:

  1. Überprüfen Sie die Berechtigungen, die für die Integration mit Microsoft Entra ID erforderlich sind.
  2. Gehen Sie zum nächsten Schritt und definieren Sie das UPN-Schema.

UPN-Schema definieren

Wählen Sie das Format für den User Principal Name (UPN) zum Erstellen neuer Logins. Dies ist im Allgemeinen die geschäftliche E-Mail-Adresse, beispielsweise „max.mustermann@demo.com“. 

  1. Sie haben die Möglichkeit, E-Mail Adressen vorab zuzuweisen oder sie manuell über ein bestehendes Personio-Attribut zu definieren. Alternativ können Sie das Format für automatisch generierte E-Mail-Adressen konfigurieren, indem Sie die folgenden Schritte ausführen.
  2. Legen Sie das UPN-Schema an, indem Sie einen UPN-Anfang aus den verfügbaren Attributen auswählen, z. B. „Vorname“. Legen Sie dann fest, ob Sie das gesamte Feld oder nur den Anfangsbuchstaben verwenden möchten.
  3. Optional: Fügen Sie ein Trennzeichen hinzu (z. B. „.“).
  4. Fügen Sie ein UPN-Ende hinzu (z. B. „Nachname“).
  5. Wählen Sie eine bevorzugte Microsoft-Entra-ID-Domain  aus (z. B. „demo.com“).
  6. Fahren Sie mit dem nächsten Schritt fort und ordnen Sie die Attribute zu.

Wenn Sie lieber kein Trennzeichen und kein UPN-Ende hinzufügen möchten, geben Sie für beide Optionen Keines ein. Stellen Sie sicher, dass Sie auch Ganzes Feld oder Anfangsbuchstabe für das UPN-Ende auswählen.

Hinweis
Fall Sie eine mitarbeitende Person mit den gleichen Werten für die gewählten Attribute hinzufügen, erstellt Microsoft Entra ID ein Profil mit dem UPN-Schema: UPNAnfang[Trennzeichen]UPNEnde_MitarbeitendenID@Domain (z. B. maxmustermann_12345@demo.com).

Attribute zuordnen

Wählen Sie aus, welche Microsoft-Entra-ID-Attribute mit Personio synchronisiert werden sollen. Gehen Sie wie folgt vor:

  1. Prüfen Sie alle Attribute. Stellen Sie sicher, dass jedes Personio-Attribut dem entsprechenden Microsoft-Entra-ID-Attribut entspricht.
  2. Fügen Sie bei Bedarf weitere Attribute hinzu.
  3. Klicken Sie auf Fertig stellen, um die Einrichtung der Integration abzuschließen.

Sie können nicht alle Ihre Personio-Attribute individuellen Microsoft-Entra-ID-Attributen zuordnen. Sie können Ihre Personio-Attribute den folgenden Microsoft-Entra-ID-Systemattributen zuordnen:

  • Geschäftstelefone
  • Stadt
  • Unternehmensname
  • Land, Abteilung
  • Anzeigename
  • Mitarbeiterart
  • Vorname
  • Anstelldatum
  • Jobtitel
  • E-Mail
  • Manager
  • Mobiltelefon
  • Bürostandort
  • Postleitzahl
  • Straße
  • Nachname

Workflows für das On- und Offboarding und Ändern von Rollen

Verknüpfung der nutzenden Personen

Sobald Sie die Integration eingerichtet haben, beginnt der Workflow zur Verknüpfung der Nutzenden. Bei diesem wird das UPN-Attribut in Entra ID dem E-Mail-Attribut in Personio zugeordnet. Die Integration verknüpft keine inaktiven Microsoft-Entra-ID-Profile.

  • Wenn das UPN-Attribut in Microsoft Entra ID mit dem E-Mail-Attribut in Personio übereinstimmt, fügt die Integration die entsprechende Mitarbeitenden-ID aus Personio zum Attributsfeld Mitarbeitenden-ID in Microsoft Entra ID hinzu.  
  • Die Mitarbeitenden-ID wird zum Konnektor für alle zukünftigen Workflows zur Aktualisierung von Nutzenden und zur Aufhebung von Bereitstellungen.
  • Das System stellt Profile bereit, die keine passende Personio-E-Mail-Adresse haben und die in Microsoft Entra ID nicht inaktiv sind. 

Integrationsberechtigungen prüfen

Seit Oktober 2024 sind die für die Integration erforderlichen Berechtigungen reduziert. Wenn Sie die Integration bereits verwenden und diese reduzierten Berechtigungen nutzen möchten, authentifizieren Sie sich erneut und legen Sie die entsprechenden Rechte in Microsoft Entra ID fest. Lesen Sie die Voraussetzungen für eine erfolgreiche Integration.

Hinweis
Wenn die Integration eine nutzende Person nicht aktualisiert, weil sie eine höher privilegierte Rolle hat, weisen Sie der App eine höhere Rolle zu. Weitere Informationen zu Admin-Rechten finden Sie in der Microsoft-Dokumentation zu Rollen und Berechtigungen.

 

Erstellen von Nutzenden

Wenn das E-Mail-Attribut einer mitarbeitenden Person in Personio mit keinem UPN-Attribut in Ihrem Microsoft-Entra-ID-Konto übereinstimmt, geschieht Folgendes:

  • Die Integration erstellt in Microsoft Entra ID ein neues Nutzendenprofil.
  • Personio überträgt die „Mitarbeitenden-ID“ in das entsprechende Profil.
  • Die Integration löst den Prozess zur Erstellung eines Passworts aus. Außerdem wird der UPN in Microsoft Entra ID erstellt.

Sie müssen den erstellten UPN in Microsoft Entra ID als Nutzenden-Login verwenden. Sie können das UPN-Schema Ihren Bedürfnissen entsprechend anlegen.

Zur Erstellung eines Profils in Microsoft Entra ID muss für die mitarbeitende Person in Personio Folgendes zutreffen:

  • Die Felder Vorname, Nachname und E-Mail müssen ausgefüllt sein.
  • Die Person darf nicht im Status Inaktiv sein. 

Hinweis
Umlaute im Namen werden für den UPN in Microsoft Entra ID gemäß dem Land Ihrer Rechnungsstellung umgewandelt. Für Kunden in der DACH-Region (z. B. Deutschland) werden Umlaute in ihre alternative Schreibweise umgewandelt: ä → ae, ö → oe, ü → ue, ß → ss. Für alle anderen Länder entfernt das System Umlaute, z. B. ä → a.

 

Aktualisierung von Nutzenden

Damit dieser Workflow erfolgreich ist, müssen Sie die Mitarbeitenden-ID im Microsoft-Entra-ID-Profil eingeben.

Alle 30 Minuten führt Microsoft Entra ID den Workflow zur Aktualisierung von Nutzenden aus. Es wird geprüft, ob sich Attribute, die während des Einrichtungsprozesses zugeordnet wurden, in Personio geändert haben. Wenn ein Attribut geändert wurde, aktualisiert das System das zugeordnete Attribut in Microsoft Entra ID.

Microsoft Entra ID kann diese Informationen verwenden, um Zugriffsrechte für bestimmte Tools zu gewähren oder zu widerrufen. Änderungen werden nur von Personio zu Microsoft Entra ID übertragen. Wenn Sie ein Attribut in Microsoft Entra ID manuell ändern, wird dies in Personio nicht automatisch aktualisiert.

Beispiel
Ein Unternehmen hat das Systemattribut „Abteilung“ zwischen Personio und Microsoft Entra ID zugeordnet. Eine Mitarbeitende wechselt von der Kundendienstabteilung in den Verkauf. Die entsprechende Änderung wird vom HR-Management in Personio vorgenommen. Microsoft Entra ID erhält automatisch eine Benachrichtigung über die Änderung. Es entzieht der Mitarbeitenden die Zugriffsrechte auf ihr Kundendienst-Tool (z. B. Zendesk) und gibt ihr Zugriff auf ihr neues CRM-Tool (z. B. Salesforce). 

Deaktivierung von Nutzenden

Microsoft Entra ID widerruft die Zugriffsberechtigung von Mitarbeitenden, sobald sich ihr Status-Attribut in Personio zu Inaktiv geändert hat. Sie können das Status-Attribut manuell ändern. Dieses ändert sich auch automatisch, wenn Mitarbeitende ihr Austrittsdatum in Personio überschreiten.

Mitarbeitende können sich dann ihren Accounts nicht mehr anmelden, aber das System löscht sie nicht als Nutzende. So haben Sie weiterhin Zugriff auf ihre Details und die mit ihnen verbundenen Dienste, wie E-Mail-Inboxen. 

Einschränkungen

  • Hybride Microsoft-Entra-ID- / On-Premise-Konfigurationen von AD
    Personio unterstützt nur Konfigurationen, die komplett in der Cloud eingerichtet sind, d. h. hybride Cloud-/On-Premise-Konfigurationen werden nicht unterstützt Die Integration erlaubt daher nur die Erstellung, Aktualisierung und Deaktivierung von Nutzenden in Microsoft Entra ID.
  • Zuweisung von Nutzenden zu Gruppen
    Die Integration lässt nur das Erstellen von Nutzenden zu. Sie fügt Nutzende nicht zu Gruppen hinzu.
  • Rücksendung von Attributen
    Das System sendet alle in der Zuordnungstabelle ausgewählten Attribute von Personio an Microsoft Entra ID. Die Integration unterstützt keine Synchronisierung von Microsoft Entra ID nach Personio. 

Erfahren Sie mehr darüber, wie Sie Ihre Identitäts- und Zugriffsverwaltung durch die Integration mit Personio automatisieren.    

Helfen Sie uns, uns zu verbessern. Ist diese Seite hilfreich?