# Entra ID Foto-Sync konfigurieren

{{% info-panel %}}
Diese Funktion ist ab Salto IDM v3.2 verfügbar.
{{% /info-panel %}}

## 1: Überblick {#1-overview}

Salto IDM kann optional Benutzerprofilfotos aus [Microsoft Entra ID](https://www.microsoft.com/en/security/business/identity-access/microsoft-entra-id) (früher Azure AD) synchronisieren.
Wenn diese Option aktiviert ist, werden Benutzerfotos importiert und als Teil des Identitätsdatensatzes in Salto IDM gespeichert, sodass:

- Benutzeridentitäten in IDM ein aktuelles Foto enthalten
- manuelle Foto-Uploads reduziert werden
- Administratoren über eine konsistente Sicht auf Benutzeridentitäten über verschiedene Systeme hinweg verfügen

Die Fotosynchronisierung erfolgt auf Opt-in-Basis und wird über eine dedizierte Einstellung in der Entra ID-Automatisierungskonfiguration gesteuert.

{{% info-panel %}}
Die Fotosynchronisation wirkt sich nur auf Salto IDM aus.
Im Rahmen dieser Funktion werden keine Benutzerfotos an [Salto Space](/space) übertragen.
{{% /info-panel %}}

## 2: Voraussetzungen {#2-prerequisites}

Bevor Sie die Fotosynchronisation aktivieren:

- **Vorhandene Entra ID Automatisierung**
  Sie müssen eine funktionierende Entra ID Automatisierung in Salto IDM konfiguriert haben, die bereits Kernidentitätsattribute (Name, E-Mail, Kennungen usw.) synchronisiert.
- **Microsoft Entra ID Berechtigungen**
  Die von Salto IDM verwendete Entra ID Anwendung muss die Berechtigung haben, Profilfotos über die Microsoft Graph API zu lesen.

  Diese Berechtigungen erfordern eine ausdrückliche Admin-Zustimmung.
- **Benutzer-Fotos Einstellung in IDM**
  Die allgemeine Benutzer-Foto-Funktion in IDM muss für Ihre Umgebung aktiviert sein.

Wenn Sie nicht sicher sind, ob die richtigen Berechtigungen erteilt wurden, wenden Sie sich an Ihren Entra ID Administrator.

## 3: Konfiguration in Salto IDM {#3-configuration-in-salto-idm}

### 3.1 Ort der Einstellung {#31-Einstellung}

Sie finden die Einstellung unter:

**Einstellungen** > **Automatisierungen** > **Microsoft Entra ID (Entra ID-Automatisierung)**

![Entra ID Foto](images/idm-entraid-photo-automations.png)
{.border}

In der Konfiguration:

- **Benutzer-Fotos** (Umbenannt von Benutzerbild)
- **Benutzerfotos synchronisieren** (neuer Schalter)

![Entra ID - Foto umschalten](images/idm-entraid-photo-toggle-on.png)
{.border}

### 3.2 'Benutzerfotos synchronisieren' umschalten {#32-sync-user-photos-toggle}

Ein neuer Schalter ist verfügbar:

- **Bezeichnung:** Benutzerfotos synchronisieren
- **Beschriftung:** Wenn diese Option aktiviert ist, muss die Einstellung **Benutzerfotos** aktiviert sein, damit die Fotos synchronisiert werden.

#### Standardverhalten {#default-behavior}

- Vorhandene Automatisierungen: deaktiviert
- Neue Automatisierungen: deaktiviert

Es werden keine Fotos synchronisiert, es sei denn, dies wurde explizit aktiviert.

## 4: Funktionsweise der Fotosynchronisation {#4-how-photo-synchronization-works}

### 4.1 Wenn die Funktion aktiviert ist {#41-when-the-feature-is-enabled}

Aktivieren:

1. Gehen Sie zur Konfiguration der Entra ID Automatisierung.
2. Stellen Sie sicher, dass **Benutzerfotos = AN** eingestellt ist.
3. Aktivieren Sie **Benutzerfotos synchronisieren**.
4. Speichern und Synchronisierung ausführen/planen.

Wenn beide Schalter AN sind:

- IDM ruft das Profilfoto des Benutzers über Microsoft Graph aus Entra ID ab.
- Das Foto wird im Identitätsdatensatz gespeichert.
- Bei nachfolgenden Synchronisationen:
  - Bei Änderung -> wird aktualisiert
  - Wenn unverändert -> wird ignoriert

Wenn **Benutzer-Fotos = Aus**, werden keine Fotos synchronisiert, auch wenn der Schalter eingeschaltet ist.

### 4.2 Wenn die Funktion deaktiviert ist {#42-when-the-feature-is-disabled}

- Kein Fotoabruf
- Keine Updates
- Bestehende Fotos bleiben unverändert

## 5: Fehlerbehandlung und Protokollierung {#5-error-handling-and-logging}

Foto-Sync arbeitet Non-Blocking:

- Fehler betreffen nur das Abrufen von Fotos
- Synchronisation der Kernattribute läuft weiter

Protokollierte Informationen beinhalten:

- Fotosync-Aktionen
- Erkannte Änderungen
- Fehler oder Berechtigungsprobleme

## 6: Sicherheit und Datenschutz {#6-security-and-privacy}

- Der Zugriff auf Fotos richtet sich nach den Entra ID Berechtigungen und der Zustimmung durch den Administrator.
- Es werden keine Fotos an Salto Space übertragen.
- Administratoren sollten die Datenschutzbestimmungen vor der Aktivierung überprüfen.

## 7: Übliche Anwendungsfälle {#7-typical-use-cases}

- Admin-Portale und Dashboards
- Anwendung in Kiosk oder Terminal
- Support-Teams, die Benutzer identifizieren

## 8: Fehlerbehebung {#8-troubleshooting}

### 8.1 Es werden keine Fotos angezeigt {#81-no-photos-appear}

Überprüfen Sie:

- Benutzerfotos = AN
- Benutzerfotos synchronisieren = AN
- Graph-Berechtigungen + Admin-Zustimmung
- Benutzer hat ein Foto
- Automatisierungsprotokolle

### 8.2 Nur einige Benutzer haben Fotos {#82-only-some-users-have-photos}

- Benutzer hat kein Foto
- Zugriffsbeschränkungen
- Benutzerspezifische Logeinträge

### 8.3 Foto aktualisiert nicht {#83-photo-not-updating}

- Sync wurde nach der Änderung ausgeführt
- Protokolle zeigen Meldungen oder Fehler an