Entra-ID-App-Registrierung
3 Minuten Lesezeit
Docusnap kann für die Inventarisierung von Microsoft 365 automatisch eine Anwendung in Azure AD anlegen und mit den erforderlichen Berechtigungen versehen (siehe Kapitel Azure Apps erstellen). Abhängig von in der Umgebung geltenden Azure Policies kann das automatische Anlegen der Anwendung oder die automatische Vergabe einzelner Berechtigungen jedoch unterbunden sein. In diesen Fällen ist die manuelle Erstellung und Konfiguration der Anwendung im Azure-Portal erforderlich.
Die Registrierung einer Anwendung wird über das Azure-Portal (portal.azure.com), im Bereich Microsoft Entra ID unter dem Menüpunkt App-Registrierung durchgeführt.
Registrieren einer Anwendung
API-Berechtigungen
Für den Zugriff auf eine geschützte Ressource wie beispielsweise Teams-Informationen oder SharePoint-Webseiten benötigt Docusnap die Autorisierung des Ressourcenbesitzers. Docusnap braucht für die Inventarisierung von Microsoft 365 nur lesenden Zugriff. Die nachfolgende Tabelle listet alle benötigten Berechtigungen auf. Fehlen einzelne Berechtigungen führt dies lediglich dazu, dass die Informationen nicht vollständig inventarisiert werden können.
| API/Permission Name | Type | Description |
|---|---|---|
| AppCatalog.Read.All | Application | Read all app catalogs |
| Application.Read.All | Application | Read all applications |
| AuditLog.Read.All | Application | Read all audit log data |
| Calendars.Read | Application | Read calendars in all mailboxes |
| Channel.ReadBasic.All | Application | Read the names and descriptions of all channels |
| ChannelMember.Read.All | Application | Read the members of all channels |
| ChannelSettings.Read.All | Application | Read the names, descriptions, and settings of all channels |
| Contacts.Read | Application | Read contacts in all mailboxes |
| Device.Read.All | Application | Read all devices |
| Directory.Read.All | Application | Read directory data |
| Files.Read.All | Application | Read files in all site collections |
| GroupMember.Read.All | Application | Read all group memberships |
| Mail.ReadBasic | Application | Read basic mail in all mailboxes |
| MailboxSettings.Read | Application | Read all user mailbox settings |
| Organization.Read.All | Application | Read organization information |
| Policy.Read.All | Application | Read your organization’s policies |
| Reports.Read.All | Application | Read all usage reports |
| RoleManagement.Read.Directory | Application | Read all directory RBAC settings |
| SharePointTenantSettings.Read.All | Application | Read SharePoint and OneDrive tenant settings |
| Sites.FullControl.All | Application | Have full control of all site collections |
| Sites.Read.All | Application | Read items in all site collections |
| Team.ReadBasic.All | Application | Get a list of all teams |
| TeamMember.Read.All | Application | Read the members of all teams |
| TeamSettings.Read.All | Application | Read all teams settings |
| TeamsTab.Read.All | Application | Read tabs in Microsoft Teams |
| TeamworkDevice.Read.All | Application | Read Teams devices |
| TeamworkTag.Read.All | Application | Read tags in Teams |
| User.Read | Delegated | Sign in and read user profile |
| User.Read.All | Application | Read all users full profiles |
| UserAuthenticationMethod.Read.All | Application | Read all users authentication methods |
„Senden als“ (M365 Exchange Online)
Bei der Inventarisierung von Microsoft 365 werden im Bereich Exchange Online sämtliche Postfach-Berechtigungen durch Docusnap ohne zusätzliche Rollenzuweisungen korrekt ermittelt. Eine Ausnahme bildet die Berechtigung „Senden als“.
Diese wird ausschließlich in Exchange Online verwaltet und kann nur dann ausgelesen werden, wenn der in der Entra-ID-App-Registrierung verwendeten Anwendung die optionale RBAC-Rolle Exchange Recipient Administrator zugewiesen ist.
Da es sich hierbei um eine administrative Rolle handelt, die nicht dem Prinzip der geringstmöglichen Rechte entspricht, wird diese Rolle bei der automatischen App-Erstellung nicht gesetzt. Die Zuweisung erfolgt daher manuell im Microsoft Entra admin center.
Zuweisung im Microsoft Entra admin center
- Entra ID → Rollen & Administratoren öffnen.
- Exchange Recipient Administrator auswählen.
- Assignments → Add assignments wählen.
- Im Auswahldialog Service principals auswählen und die von Docusnap verwendete App markieren.
- Mit Add bestätigen.
- Unter Assignments prüfen, dass die App nun eingetragen ist.
