Entra-ID-App-Registrierung

  4 Minuten Lesezeit  

Einführung

Durch die Registrierung einer Anwendung wird eine Vertrauensstellung zwischen Docusnap365 und Microsoft Entra ID als Identitätsanbieter hergestellt. Der Zugriff von Docusnap365 auf geschützte Microsoft-365-Ressourcen erfolgt über eine registrierte Anwendung.

In Docusnap365 gibt es zwei Methoden, um eine Entra-ID-App-Registrierung zum Tresor hinzuzufügen. Die erste Methode erlaubt die direkte Erstellung über Docusnap365. Die zweite Methode erfordert eine manuelle Erstellung im Azure-Portal. Ein Nachteil hierbei ist, dass die Berechtigungen einzeln konfiguriert werden müssen.

Entra-ID-App-Registrierung über Docusnap365

Für eine Entra-ID-App-Registrierung mittels Docusnap365 muss der Entra-ID-Benutzer Mitglied der “Globale Administratoren”-Gruppe sein. Authentifizierung und Autorisierung werden direkt über Microsoft Entra geregelt. Die Entra-ID-App-Registrierung ist über den Microsoft-365-Assistenten, die Konfigurationseinstellungen oder das Docusnap Enterprise Gateway möglich.

  1. App-Registrierung anlegen:
    • Auf das Zahnradsymbol oben rechts klicken und zu “Konfiguration” > “Tresor” navigieren. Im Drop-down-Menü “Hinzufügen” die Option “Entra-ID-App erstellen” auswählen.
    • Alternativ: Über den “Microsoft 365”-Inventarisierungsassistenten oder das Docusnap Enterprise Gateway registrieren.
  2. Daten im Dialogfenster eingeben:
    • App-Name: Erlaubt die Eingabe von Buchstaben (a-z, A-Z, ä-ü, Ä-Ü), Sonderzeichen, Leerzeichen und Zahlen.
    • Primäre Domäne/Mandanten-ID: Diese Informationen können im Azure-Portal unter “Microsoft Entra ID” nachgeschlagen werden.
  3. Gerätecode generieren:
    • Auf “Gerätecode erstellen” klicken. Der Code wird automatisch in die Zwischenablage kopiert und kann auch manuell kopiert werden.
  4. Entra-ID-App verifizieren:
    • Nach Klick auf “Entra ID App registrieren” öffnet sich ein neues Browser-Tab zur Eingabe des Gerätecodes.
  5. Anmeldung am Azure-Portal:
    • Im Azure-Portal anmelden, um die App-Registrierung abzuschließen.
  6. Anmeldung bestätigen:
    • Die “Anmeldung über Microsoft Azure CLI” bestätigen.

Nach Abschluss der Schritte erscheint ein neuer Eintrag für die registrierte App in der Tresor-Liste von Docusnap365.

Microsoft-Entra-ID-App-Registration

Entra-ID-App überprüfen

Die Überprüfung einer Entra-ID-App-Registrierung erlaubt es, Zertifikate, Schlüsselinformationen und Berechtigungen zu kontrollieren. Das Verfahren hierfür ist identisch mit dem Anlegen einer neuen App-Registrierung: Gerätecode generieren, Gerätecode verifizieren, im Azure-Portal anmelden und Anmeldung bestätigen.

Microsoft-Entra-ID-App-Überprüfung

Entra-ID-App aktualisieren

Bei der Erstellung von Entra-ID-App-Registrierungen sichern wir diese stets mit einem Zertifikat und Clientschlüsseln. Aktuell vergeben wir nur die Berechtigungen, die zur Inventarisierung erforderlich sind, gemäß dem Prinzip: “So wenig wie möglich, so viel wie nötig”. Bei Erweiterungen könnten zusätzliche Berechtigungen erforderlich werden. Sowohl Zertifikate, Clientschlüssel als auch Berechtigungen können bei Bedarf aktualisiert werden. Das Verfahren hierfür ist identisch mit dem Anlegen einer neuen App-Registrierung: Gerätecode generieren, Gerätecode verifizieren, im Azure-Portal anmelden und die Anmeldung bestätigen.

Manuelle Erstellung einer “Entra-ID-App-Registrierung”

  1. App-Registrierung manuell anlegen:
    • Auf das Zahnradsymbol oben rechts klicken und zu “Konfiguration” > “Tresor” navigieren. Im Drop-down-Menü “Hinzufügen” die Option “Entra-ID-App-hinzufügen” auswählen.
  2. Daten im Dialogfenster eingeben:
    • App-Name: Erlaubt die Eingabe von Buchstaben (a - z, A - Z, ä - ü, Ä - Ü), Sonderzeichen, Leerzeichen und Zahlen.
    • Primäre Domäne/Mandanten-ID: Diese Informationen können im Azure-Portal unter “Microsoft Entra ID” nachgeschlagen werden.
    • Anwendungs (client) ID: Diese Informationen können im Azure-Portal bei der manuelle erstellten App-Registrierung nachgeschlagen werden.
    • Zertifikat und Zertifikatspasswort: Das bei der App-Registrierung verwendete Zertifikat und entsprechende Passwort.
    • Clientschlüssel: Der Clientschlüssel ist nur einmalig bei der Erstellung der App-Registrierung ersichtlich.

Für die Herstellung einer Verbindung sind folgende Informationen aus der “Entra-ID-App-Registrierung” notwendig:

  • “Primäre Domäne/Mandanten-ID:”
  • “Anwendungs-ID (Client)”
  • “Clientschlüssel”

Die Registrierung einer Anwendung wird über das Azure-Portal (portal.azure.com), im Bereich Microsoft Entra ID unter dem Menüpunkt “App-Registrierung” durchgeführt.

Registrieren einer Anwendung

Registrierung einer Anwendung in Microsoft Azure und Abruf der benötigten Anmeldeinformationen

API-Berechtigungen

Für den Zugriff auf eine geschützte Ressource wie beispielsweise Teams-Informationen oder SharePoint-Webseiten benötigt Docusnap365 die Autorisierung des Ressourcenbesitzers. Docusnap365 braucht für die Inventarisierung von Microsoft 365 nur lesenden Zugriff. Die nachfolgende Tabelle listet alle benötigten Berechtigungen auf. Fehlen einzelne Berechtigungen führt dies lediglich dazu, dass die Informationen nicht vollständig inventarisiert werden können.

“Zuweisen der Microsoft-Graph-API-Berechtigungen zu einer registrierten Anwendung”

API/Permission NameTypeDescription
AppCatalog.Read.AllApplicationRead all app catalogs
Application.Read.AllApplicationRead all applications
AuditLog.Read.AllApplicationRead all audit log data
Calendars.ReadApplicationRead calendars in all mailboxes
Channel.ReadBasic.AllApplicationRead the names and descriptions of all channels
ChannelMember.Read.AllApplicationRead the members of all channels
ChannelSettings.Read.AllApplicationRead the names, descriptions, and settings of all channels
Contacts.ReadApplicationRead contacts in all mailboxes
Device.Read.AllApplicationRead all devices
Directory.Read.AllApplicationRead directory data
Files.Read.AllApplicationRead files in all site collections
GroupMember.Read.AllApplicationRead all group memberships
Mail.ReadBasicApplicationRead basic mail in all mailboxes
MailboxSettings.ReadApplicationRead all user mailbox settings
Organization.Read.AllApplicationRead organization information
Policy.Read.AllApplicationRead your organization’s policies
Reports.Read.AllApplicationRead all usage reports
RoleManagement.Read.DirectoryApplicationRead all directory RBAC settings
SharePointTenantSettings.Read.AllApplicationRead SharePoint and OneDrive tenant settings
Sites.FullControl.AllApplicationHave full control of all site collections
Sites.Read.AllApplicationRead items in all site collections
Team.ReadBasic.AllApplicationGet a list of all teams
TeamMember.Read.AllApplicationRead the members of all teams
TeamSettings.Read.AllApplicationRead all teams settings
TeamsTab.Read.AllApplicationRead tabs in Microsoft Teams
TeamworkDevice.Read.AllApplicationRead Teams devices
TeamworkTag.Read.AllApplicationRead tags in Teams
User.ReadDelegatedSign in and read user profile
User.Read.AllApplicationRead all users full profiles
UserAuthenticationMethod.Read.AllApplicationRead all users authentication methods