Microsoft 365 - Entra

Der DBLAN – IT-Operator – Entra Konnektor umfasst standardmäßig vier Komponenten:

    1. App-Registrierung (App registrations)
    2. Unternehmensanwendung (Enterprise applications)
    3. Benutzergruppe
    4. Rolle

Diese Komponenten werden automatisch erstellt. Weitere informationen siehe Microsoft Intune - App-Registrierung erstellen oder Microsoft Intune - App-Registrierung aktualisieren.

Falls eine Komponente bereits existiert, wird sie aktualisiert.

Weitere Informationen unter Microsoft Entra - App-Registrierung erstellen oder Microsoft Entra - App-Registrierung aktualisieren.


Beim Erstellen der "App-Registrierung" wird auch automatisch die "Unternehmensanwendung" angelegt. 
Diese wird jedoch erst nach einer kurzen Verzögerung sichtbar und ist dann konfigurierbar.

Die erstellte Gruppe (Group DBLAN - IT-Operator Entra users) wird der Rolle (Role DBLAN - IT-Operator Entra) zugeordnet, sodass die Mitglieder der Gruppe automatisch die in der Rolle definierten Berechtigungen erhalten.


Da in der Role DBLAN - IT-Operator Entra jedoch nicht alle benötigten Einstellungen konfiguriert werden können, wird für das Setzen von Benutzerpasswörtern zusätzlich die Rolle „User Administrator (Role)“ benötigt. 

Diese Rolle kann entweder einzelnen Benutzern oder der zuvor erstellten Gruppe zugewiesen werden. 

Dabei sollte sorgfältig überlegt werden, welche Benutzer das Recht zum Zurücksetzen von Passwörtern erhalten sollen.

App-Registrierung

Die App-Registrierung wird automatisch mithilfe des Installationsassistenten erstellt und konfiguriert. 

Falls eine App-Registrierung bereits vorhanden ist, werden die Einstellungen aktualisiert.


Einstellungen der App-Registrierung:

    • DisplayName: DBLAN - IT-Operator Entra
    • Description:        [Beschreibung]
    • SignInAudience: „AzureADMyOrg“
    • Tags: apiConsumer, desktopApp
    • PasswordCredentials:
      • DisplayName
      • StartDateTime: DateTime.Now
      • EndDateTime: DateTime.Now + 730 Tage
    • PublicClient:
      • https://login.live.com/oauth20_desktop.srf
      • https://login.microsoftonline.com/common/oauth2/nativeclient
      • „ms-appx-web://microsoft.aad.brokerplugin/“ + AppId
      • https://SoftwareSolutions.dblan.eu/Services/getM365AppRequestedAuthorizationsStatus.php
    • Info:
    • LogoUrl: https://www.dblan.eu/wp-content/uploads/dblan/images/products/dbl-it-operator-logo@256px.png
    • MarketingUrl: https://www.dblan.eu/software-solutions/it-operator/
    • PrivacyStatementUrl: https://www.dblan.eu/kontakt/datenschutzerklaerung/
    • SupportUrl: https://www.dblan.eu/support/
    • RequiredResourceAccess: Enthält die Liste RequiredResourceAccessList (Details siehe unten)
    • Applikationslogo:

RequiredResourceAccessList

RequiredResourceAccessList ist vom Typ RequiredResourceAccess und enthält ein einzelnes Objekt mit den folgenden Konfigurationen:

    • ResourceAppId: „00000003-0000-0000-c000-000000000000“
    • ResourceAccess: Verweist auf die ResourceAccessList (Details zu „Application Access“ und „Delegated Access“ siehe weiter unten)

Application Access (Read Only)

Folgende Anwendungsberechtigungen (Application permissions) sind konfiguriert:

    • Application.Read.All
    • Device.Read.All
    • DeviceLocalCredential.Read.All
    • DeviceLocalCredential.ReadBasic.All
    • Directory.Read.All
    • Files.Read.All
    • Group.Read.All
    • GroupMember.Read.All
    • User.ManageIdentities.All
    • User.Read.All
    • User.ReadBasic.All

Delegated Access

Folgende delegierte Berechtigungen (Delegated permissions) sind konfiguriert:

    • BitlockerKey.Read.All
    • BitlockerKey.ReadBasic.All
    • Contacts.ReadWrite
    • Directory.AccessAsUser.All
    • Directory.ReadWrite.All
    • Group.ReadWrite.All
    • offline_access
    • openid
    • profile
    • TeamSettings.ReadWrite.All
    • User.EnableDisableAccount.All
    • User.ReadWrite
    • User.ReadWrite.All


Falls Sie weitere Fragen zu diesem Thema haben oder die App-Registrierung manuell erstellen möchten, können Sie gerne den DBLAN-Support kontaktieren. 

Wir senden Ihnen auf Wunsch das "Microsoft Graph-App-Manifest" zu, damit Sie die vorgenommenen Einstellungen im Detail einsehen können.

Benutzer Gruppe:

Standardmäßig wird die Gruppe Group DBLAN - IT-Operator Entra users erstellt. 

Diese Gruppe dient dazu, Benutzern die Rolle Role DBLAN - IT-Operator Entra zuzuweisen.

    • Details zur Gruppe:
    • DisplayName: Group DBLAN - IT-Operator Entra users
    • MailNickname: Group_DBLAN_-_IT-Operator_Entra_users
    • Description: Group for DBLAN - IT-Operator Entra users.
    • GroupTypes: Unified
    • MailEnabled: true
    • SecurityEnabled: true
    • IsAssignableToRole: true
    • Logo:

Rolle

Die Rolle Role DBLAN - IT-Operator Entra wird standardmäßig erstellt und dient dazu, Benutzern der Gruppe Group DBLAN - IT-Operator Entra users die erforderlichen Berechtigungen für den DBLAN IT-Operator bereitzustellen.

Rolleninformationen:

    • DisplayName: Role DBLAN - IT-Operator Entra
    • Description: Role for IT-Operator Entra.
    • RolePermissions: "microsoft.directory/users/basic/update"
    • Assignment Required: Yes

Zulässige Berechtigungen (AllowedResourceActions):

Die folgenden Berechtigungen ermöglichen es der Rolle, auf verschiedene Benutzer-, Gruppen- und Geräteeinstellungen in Microsoft Entra zuzugreifen und sie zu aktualisieren:

Benutzerverwaltung:

    • microsoft.directory/users/basic/update – Grundlegende Benutzereigenschaften aktualisieren
    • microsoft.directory/users/manager/update – Manager von Benutzern aktualisieren
    • microsoft.directory/users/jobInfo/update – Jobinformationen von Benutzern ändern
    • microsoft.directory/users/contactInfo/update – Kontaktdaten von Benutzern bearbeiten
    • microsoft.directory/users/parentalControls/update – Jugendschutzeinstellungen anpassen
    • microsoft.directory/users/usageLocation/update – Benutzerstandort ändern
    • microsoft.directory/users/extensionProperties/update – Erweiterte Benutzereigenschaften bearbeiten
    • microsoft.directory/users/passwordPolicies/update – Kennwortrichtlinien anpassen

Gruppenverwaltung:

    • microsoft.directory/groups/allProperties/update – Alle Eigenschaften von Sicherheits- und Microsoft 365-Gruppen bearbeiten
    • microsoft.directory/groups.unified/allProperties/update – Alle Eigenschaften von Microsoft 365-Gruppen ändern
    • microsoft.directory/groups.security/allProperties/update – Alle Sicherheitsgruppeneigenschaften ändern
    • microsoft.directory/groups/basic/update – Grundlegende Eigenschaften von Sicherheitsgruppen und Microsoft 365-Gruppen ändern
    • microsoft.directory/groups/classification/update – Klassifikationseigenschaften von Gruppen aktualisieren
    • microsoft.directory/groups/dynamicMembershipRule/update – Dynamische Mitgliedschaftsregeln anpassen
    • microsoft.directory/groups/members/update – Gruppenmitglieder aktualisieren

Gerätemanagement:

    • microsoft.directory/devices/registeredOwners/update – Registrierte Gerätebesitzer bearbeiten
    • microsoft.directory/devices/enable – Geräte in Microsoft Entra ID aktivieren
    • microsoft.directory/devices/disable – Geräte in Microsoft Entra ID deaktivieren
    • microsoft.directory/deviceRegistrationPolicy/basic/update – Grundlegende Richtlinieneigenschaften zur Geräte-Registrierung aktualisieren

BitLocker-Schlüsselverwaltung:

    • microsoft.directory/bitlockerKeys/key/read – BitLocker-Metadaten und Schlüssel lesen
    • microsoft.directory/bitlockerKeys/metadata/read – Metadaten der BitLocker-Schlüssel abrufen