Microsoft 365 - Intune

Der DBLAN – IT-Operator – Intune Konnektor umfasst standardmäßig vier Komponenten:

    1. App-Registrierung (App registrations)
    2. Unternehmensanwendung (Enterprise applications)
    3. Benutzergruppe
    4. Rolle

Diese Komponenten werden automatisch erstellt. 

Falls eine Komponente bereits existiert, wird sie aktualisiert.

Weitere Informationen unter Microsoft Intune - App-Registrierung erstellen oder Microsoft Intune - App-Registrierung aktualisieren.


Beim Erstellen der "App-Registrierung" wird auch automatisch die "Unternehmensanwendung" angelegt. 

Diese wird jedoch erst nach einer kurzen Verzögerung sichtbar und ist dann konfigurierbar.

Die erstellte Gruppe (Group DBLAN - IT-Operator Intune users) wird der Rolle (Role DBLAN - IT-Operator Intune) zugeordnet, sodass die Mitglieder der Gruppe automatisch die in der Rolle definierten Berechtigungen erhalten.

App-Registrierung

Die App-Registrierung wird automatisch mithilfe des Installationsassistenten erstellt und konfiguriert. 

Falls eine App-Registrierung bereits vorhanden ist, werden die Einstellungen aktualisiert.


Einstellungen der App-Registrierung:

    • DisplayName: DBLAN - IT-Operator Intune
    • Description:        [Beschreibung]
    • SignInAudience: „AzureADMyOrg“
    • Tags: apiConsumer, desktopApp
    • PasswordCredentials:
      • DisplayName
      • StartDateTime: DateTime.Now
      • EndDateTime: DateTime.Now + 730 Tage
    • PublicClient:
      • https://login.live.com/oauth20_desktop.srf
      • https://login.microsoftonline.com/common/oauth2/nativeclient
      • „ms-appx-web://microsoft.aad.brokerplugin/“ + AppId
      • https://SoftwareSolutions.dblan.eu/Services/getM365AppRequestedAuthorizationsStatus.php
    • Info:
    • LogoUrl: https://www.dblan.eu/wp-content/uploads/dblan/images/products/dbl-it-operator-logo@256px.png
    • MarketingUrl: https://www.dblan.eu/software-solutions/it-operator/
    • PrivacyStatementUrl: https://www.dblan.eu/kontakt/datenschutzerklaerung/
    • SupportUrl: https://www.dblan.eu/support/
    • RequiredResourceAccess: Enthält die Liste RequiredResourceAccessList (Details siehe unten)
    • Applikationslogo:

RequiredResourceAccessList

RequiredResourceAccessList ist vom Typ RequiredResourceAccess und enthält ein einzelnes Objekt mit den folgenden Konfigurationen:

    • ResourceAppId: „00000003-0000-0000-c000-000000000000“
    • ResourceAccess: Verweist auf die ResourceAccessList (Details zu „Application Access“ und „Delegated Access“ siehe weiter unten)

Application Access (Read Only)

Folgende Anwendungsberechtigungen (Application permissions) sind konfiguriert:

    • Application.Read.All
    • Device.Read.All
    • DeviceLocalCredential.Read.All
    • DeviceLocalCredential.ReadBasic.All
    • DeviceManagementApps.Read.All
    • DeviceManagementManagedDevices.Read.All
    • Directory.Read.All
    • Files.Read.All
    • Group.Read.All
    • GroupMember.Read.All
    • User.ManageIdentities.All
    • User.Read.All
    • User.ReadBasic.All

Delegated Access

Folgende delegierte Berechtigungen (Delegated permissions) sind konfiguriert:

    • Directory.AccessAsUser.All
    • Group.ReadWrite.All
    • offline_access
    • openid
    • profile


Falls Sie weitere Fragen zu diesem Thema haben oder die App-Registrierung manuell erstellen möchten, können Sie gerne den DBLAN-Support kontaktieren. 

Wir senden Ihnen auf Wunsch das "Microsoft Graph-App-Manifest" zu, damit Sie die vorgenommenen Einstellungen im Detail einsehen können.

Benutzer Gruppe:

Standardmäßig wird die Gruppe Group DBLAN - IT-Operator Intune users erstellt. 

Diese Gruppe dient dazu, Benutzern die Rolle Role DBLAN - IT-Operator Intune zuzuweisen.

    • Details zur Gruppe:
    • DisplayName: Group DBLAN - IT-Operator Intune users
    • MailNickname: Group_DBLAN_-_IT-Operator_Intune_users
    • Description: Group for DBLAN - IT-Operator Intune users.
    • GroupTypes: Unified
    • MailEnabled: true
    • SecurityEnabled: true
    • IsAssignableToRole: true
    • Logo:

Rolle

Die Rolle Role DBLAN - IT-Operator Intune wird standardmäßig erstellt und dient dazu, Benutzern der Gruppe Group DBLAN - IT-Operator Intune users die erforderlichen Berechtigungen für den DBLAN IT-Operator bereitzustellen.

Rolleninformationen:

    • DisplayName: Role DBLAN - IT-Operator Intune
    • Description: Role for IT-Operator Intune.
    • RolePermissions: "microsoft.directory/users/basic/update"
    • Assignment Required: Yes

Zulässige Berechtigungen (AllowedResourceActions):

Die folgenden Berechtigungen ermöglichen es der Rolle, auf verschiedene Benutzer-, Gruppen- und Geräteeinstellungen in Microsoft Intune zuzugreifen und sie zu aktualisieren:

Alle Eigenschaften aktualisieren

    • microsoft.directory/groups/allProperties/update – Sicherheits- und Microsoft 365-Gruppen
    • microsoft.directory/groups.unified/allProperties/update – Microsoft 365-Gruppen
    • microsoft.directory/groups.unified.assignedMembership/allProperties/update – Microsoft 365-Gruppen mit "zugewiesener" Mitgliedschaft
    • microsoft.directory/groups.security/allProperties/update – Sicherheitsgruppen
    • microsoft.directory/groups.security.assignedMembership/allProperties/update – Sicherheitsgruppen mit "zugewiesener" Mitgliedschaft

Grundlegende Eigenschaften aktualisieren

    • microsoft.directory/groups/basic/update – Sicherheits- und Microsoft 365-Gruppen
    • microsoft.directory/groups.unified/basic/update – Microsoft 365-Gruppen
    • microsoft.directory/groups.unified.assignedMembership/basic/update – Microsoft 365-Gruppen mit "zugewiesener" Mitgliedschaft
    • microsoft.directory/groups.security/basic/update – Sicherheitsgruppen
    • microsoft.directory/groups.security.assignedMembership/basic/update – Sicherheitsgruppen mit "zugewiesener" Mitgliedschaft

Klassifizierungseigenschaften aktualisieren

    • microsoft.directory/groups/classification/update – Sicherheits- und Microsoft 365-Gruppen
    • microsoft.directory/groups.unified/classification/update – Microsoft 365-Gruppen
    • microsoft.directory/groups.unified.assignedMembership/classification/update – Microsoft 365-Gruppen mit "zugewiesener" Mitgliedschaft
    • microsoft.directory/groups.security/classification/update – Sicherheitsgruppen
    • microsoft.directory/groups.security.assignedMembership/classification/update – Sicherheitsgruppen mit "zugewiesener" Mitgliedschaft

Regeln für dynamische Mitgliedschaften aktualisieren

    • microsoft.directory/groups/dynamicMembershipRule/update – Sicherheits- und Microsoft 365-Gruppen
    • microsoft.directory/groups.unified/dynamicMembershipRule/update – Microsoft 365-Gruppen
    • microsoft.directory/groups.security/dynamicMembershipRule/update – Sicherheitsgruppen

Mitglieder aktualisieren

    • microsoft.directory/groups/members/update – Sicherheits- und Microsoft 365-Gruppen
    • microsoft.directory/groups.unified/members/update – Microsoft 365-Gruppen
    • microsoft.directory/groups.unified.assignedMembership/members/update – Microsoft 365-Gruppen mit "zugewiesener" Mitgliedschaft
    • microsoft.directory/groups.security/members/update – Sicherheitsgruppen
    • microsoft.directory/groups.security.assignedMembership/members/update – Sicherheitsgruppen mit "zugewiesener" Mitgliedschaft

Besitzer und Benutzer von Geräten

    • microsoft.directory/devices/registeredOwners/update – Lesen der registrierten Besitzer von Geräten
    • microsoft.directory/devices/registeredUsers/update – Aktualisieren der registrierten Benutzer von Geräten

Gerätestatus verwalten

    • microsoft.directory/devices/enable – Aktivieren von Geräten in Microsoft Intune
    • microsoft.directory/devices/disable – Deaktivieren von Geräten in Microsoft Intune

Geräteregistrierungsrichtlinien

    • microsoft.directory/deviceRegistrationPolicy/basic/update – Aktualisieren der grundlegenden Eigenschaften der Richtlinien zur Geräteregistrierung