:

    Entra-ID-App-Registrierung

      4 Minuten Lesezeit  

    Einführung

    Durch die Registrierung einer Anwendung wird eine Vertrauensstellung zwischen Docusnap365 und Microsoft Entra ID als Identitätsanbieter hergestellt. Der Zugriff von Docusnap365 auf geschützte Microsoft-365-Ressourcen erfolgt über eine registrierte Anwendung.

    In Docusnap365 gibt es zwei Methoden, um eine Entra-ID-App-Registrierung zum Tresor hinzuzufügen. Die erste Methode erlaubt die direkte Erstellung über Docusnap365. Die zweite Methode erfordert eine manuelle Erstellung im Azure-Portal. Ein Nachteil hierbei ist, dass die Berechtigungen einzeln konfiguriert werden müssen.

    Entra-ID-App-Registrierung über Docusnap365

    Für eine Entra-ID-App-Registrierung mittels Docusnap365 muss der Entra-ID-Benutzer Mitglied der “Globale Administratoren”-Gruppe sein. Authentifizierung und Autorisierung werden direkt über Microsoft Entra geregelt. Die Entra-ID-App-Registrierung ist über den Microsoft-365-Assistenten, die Konfigurationseinstellungen oder das Docusnap Enterprise Gateway möglich.

    1. App-Registrierung anlegen:
      • Auf das Zahnradsymbol oben rechts klicken und zu “Konfiguration” > “Tresor” navigieren. Im Drop-down-Menü “Hinzufügen” die Option “Entra-ID-App erstellen” auswählen.
      • Alternativ: Über den “Microsoft 365”-Inventarisierungsassistenten oder das Docusnap Enterprise Gateway registrieren.
    2. Daten im Dialogfenster eingeben:
      • App-Name: Erlaubt die Eingabe von Buchstaben (a-z, A-Z, ä-ü, Ä-Ü), Sonderzeichen, Leerzeichen und Zahlen.
      • Primäre Domäne/Mandanten-ID: Diese Informationen können im Azure-Portal unter “Microsoft Entra ID” nachgeschlagen werden.
    3. Gerätecode generieren:
      • Auf “Gerätecode erstellen” klicken. Der Code wird automatisch in die Zwischenablage kopiert und kann auch manuell kopiert werden.
    4. Entra-ID-App verifizieren:
      • Nach Klick auf “Entra ID App registrieren” öffnet sich ein neues Browser-Tab zur Eingabe des Gerätecodes.
    5. Anmeldung am Azure-Portal:
      • Im Azure-Portal anmelden, um die App-Registrierung abzuschließen.
    6. Anmeldung bestätigen:
      • Die “Anmeldung über Microsoft Azure CLI” bestätigen.

    Nach Abschluss der Schritte erscheint ein neuer Eintrag für die registrierte App in der Tresor-Liste von Docusnap365.

    Microsoft-Entra-ID-App-Registration

    Entra-ID-App überprüfen

    Die Überprüfung einer Entra-ID-App-Registrierung erlaubt es, Zertifikate, Schlüsselinformationen und Berechtigungen zu kontrollieren. Das Verfahren hierfür ist identisch mit dem Anlegen einer neuen App-Registrierung: Gerätecode generieren, Gerätecode verifizieren, im Azure-Portal anmelden und Anmeldung bestätigen.

    Microsoft-Entra-ID-App-Überprüfung

    Entra-ID-App aktualisieren

    Bei der Erstellung von Entra-ID-App-Registrierungen sichern wir diese stets mit einem Zertifikat und Clientschlüsseln. Aktuell vergeben wir nur die Berechtigungen, die zur Inventarisierung erforderlich sind, gemäß dem Prinzip: “So wenig wie möglich, so viel wie nötig”. Bei Erweiterungen könnten zusätzliche Berechtigungen erforderlich werden. Sowohl Zertifikate, Clientschlüssel als auch Berechtigungen können bei Bedarf aktualisiert werden. Das Verfahren hierfür ist identisch mit dem Anlegen einer neuen App-Registrierung: Gerätecode generieren, Gerätecode verifizieren, im Azure-Portal anmelden und die Anmeldung bestätigen.

    Manuelle Erstellung einer “Entra-ID-App-Registrierung”

    1. App-Registrierung manuell anlegen:
      • Auf das Zahnradsymbol oben rechts klicken und zu “Konfiguration” > “Tresor” navigieren. Im Drop-down-Menü “Hinzufügen” die Option “Entra-ID-App-hinzufügen” auswählen.
    2. Daten im Dialogfenster eingeben:
      • App-Name: Erlaubt die Eingabe von Buchstaben (a - z, A - Z, ä - ü, Ä - Ü), Sonderzeichen, Leerzeichen und Zahlen.
      • Primäre Domäne/Mandanten-ID: Diese Informationen können im Azure-Portal unter “Microsoft Entra ID” nachgeschlagen werden.
      • Anwendungs (client) ID: Diese Informationen können im Azure-Portal bei der manuelle erstellten App-Registrierung nachgeschlagen werden.
      • Zertifikat und Zertifikatspasswort: Das bei der App-Registrierung verwendete Zertifikat und entsprechende Passwort.
      • Clientschlüssel: Der Clientschlüssel ist nur einmalig bei der Erstellung der App-Registrierung ersichtlich.

    Für die Herstellung einer Verbindung sind folgende Informationen aus der “Entra-ID-App-Registrierung” notwendig:

    • “Primäre Domäne/Mandanten-ID:”
    • “Anwendungs-ID (Client)”
    • “Clientschlüssel”

    Die Registrierung einer Anwendung wird über das Azure-Portal (portal.azure.com), im Bereich Microsoft Entra ID unter dem Menüpunkt “App-Registrierung” durchgeführt.

    Registrieren einer Anwendung

    Registrierung einer Anwendung in Microsoft Azure und Abruf der benötigten Anmeldeinformationen

    API-Berechtigungen

    Für den Zugriff auf eine geschützte Ressource wie beispielsweise Teams-Informationen oder SharePoint-Webseiten benötigt Docusnap365 die Autorisierung des Ressourcenbesitzers. Docusnap365 braucht für die Inventarisierung von Microsoft 365 nur lesenden Zugriff. Die nachfolgende Tabelle listet alle benötigten Berechtigungen auf. Fehlen einzelne Berechtigungen führt dies lediglich dazu, dass die Informationen nicht vollständig inventarisiert werden können.

    “Zuweisen der Microsoft-Graph-API-Berechtigungen zu einer registrierten Anwendung”

    API/Permission NameTypeDescription
    AppCatalog.Read.AllApplicationRead all app catalogs
    Application.Read.AllApplicationRead all applications
    AuditLog.Read.AllApplicationRead all audit log data
    Calendars.ReadApplicationRead calendars in all mailboxes
    Channel.ReadBasic.AllApplicationRead the names and descriptions of all channels
    ChannelMember.Read.AllApplicationRead the members of all channels
    ChannelSettings.Read.AllApplicationRead the names, descriptions, and settings of all channels
    Contacts.ReadApplicationRead contacts in all mailboxes
    Device.Read.AllApplicationRead all devices
    Directory.Read.AllApplicationRead directory data
    Files.Read.AllApplicationRead files in all site collections
    GroupMember.Read.AllApplicationRead all group memberships
    Mail.ReadBasicApplicationRead basic mail in all mailboxes
    MailboxSettings.ReadApplicationRead all user mailbox settings
    Organization.Read.AllApplicationRead organization information
    Policy.Read.AllApplicationRead your organization’s policies
    Reports.Read.AllApplicationRead all usage reports
    RoleManagement.Read.DirectoryApplicationRead all directory RBAC settings
    SharePointTenantSettings.Read.AllApplicationRead SharePoint and OneDrive tenant settings
    Sites.FullControl.AllApplicationHave full control of all site collections
    Sites.Read.AllApplicationRead items in all site collections
    Team.ReadBasic.AllApplicationGet a list of all teams
    TeamMember.Read.AllApplicationRead the members of all teams
    TeamSettings.Read.AllApplicationRead all teams settings
    TeamsTab.Read.AllApplicationRead tabs in Microsoft Teams
    TeamworkDevice.Read.AllApplicationRead Teams devices
    TeamworkTag.Read.AllApplicationRead tags in Teams
    User.ReadDelegatedSign in and read user profile
    User.Read.AllApplicationRead all users full profiles
    UserAuthenticationMethod.Read.AllApplicationRead all users authentication methods