Änderungen von Dokument ACMP Intune Connector
Zuletzt geändert von Sabrina V. am 2025/06/13 09:48
Von Version 14.1
bearbeitet von Sabrina V.
am 2025/04/10 11:42
am 2025/04/10 11:42
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Auf Version 15.1
bearbeitet von Sabrina V.
am 2025/05/12 09:04
am 2025/05/12 09:04
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Zusammenfassung
-
Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Inhalt
-
... ... @@ -7,179 +7,22 @@ 7 7 Um den ACMP Intune Connector nutzen zu können, müssen folgende Voraussetzungen gegeben sein: 8 8 9 9 * Sie benötigen ein Benutzerkonto mit den entsprechenden Berechtigungen für Microsoft Entra ID 10 + 11 +{{box}} 12 +Lesen Sie im Kapitel [[//Unternehmensanwendung registrieren in der Microsoft Entra ID//>>doc:ACMP.68.Unternehmensanwendung registrieren in der Microsoft Entra ID.WebHome]] nach, wie Sie eine App-Registrierung vornehmen und wie Sie die nötigen Berechtigungen verteilen. 13 +{{/box}} 14 + 10 10 * Es muss eine Verbindung zwischen AESB und ACMP bestehen. Hierfür muss AESB vorhanden sein, sowie die nötigen Angaben der [[SICS-Verbindungen>>doc:||anchor="H1.ACMPConsole:SICS-VerbindunginACMPFCberprFCfen"]] in ACMP hinterlegt werden 11 11 * AESB muss mindestens die Versionsnummer 1.8 haben 12 12 * Sie benötigen eine funktionierende Internetverbindung, da Intune eine Cloudlösung ist und für die Arbeiten eine Netzwerkverbindung erforderlich sind 13 13 * Eine funktionierende Intune Instanz 14 14 15 -= Vorbereitungen für die Microsoft Entra ID = 20 += Vorbereitungen für die Microsoft Entra ID und Berechtigungen verteilen = 16 16 17 -Damit der ACMP Intune Connector auf die Intune API zugreifen darf, müssen Sie als erstes in dem Microsoft Entra Admin Center eine Unternehmensanwendung registrieren und innerhalb dieser Anwendungen die notwendigen Berechtigungen erteilen. 22 +Damit der ACMP Intune Connector auf die Intune API zugreifen darf, müssen Sie als erstes in dem Microsoft Entra Admin Center eine Unternehmensanwendung registrieren und innerhalb dieser Anwendungen die notwendigen Berechtigungen erteilen (siehe [[//Unternehmensanwendung registrieren in der Microsoft Entra ID//>>doc:ACMP.68.Unternehmensanwendung registrieren in der Microsoft Entra ID.WebHome]]). 18 18 19 - ==Unternehmensanwendung registrieren ==24 + 20 20 21 -Melden Sie sich zunächst in der [[Microsoft Entra ID>>https://aad.portal.azure.com/]] an und navigieren Sie in der Übersicht zur Microsoft Entra. Klicken Sie dort auf den Reiter //Verwalten //> //App-Registrierungen //und legen Sie dort eine neue App-Registrierung an. 22 - 23 -{{figure}} 24 -[[image:67_Intune_App-Registrierung in der Entra_2910.png||alt="65_Intune_App-Registrierung in der Azure AD.png" data-xwiki-image-style-alignment="center"]] 25 - 26 -{{figureCaption}} 27 -App-Registrierungen in der Microsoft Entra ID 28 -{{/figureCaption}} 29 -{{/figure}} 30 - 31 -Geben Sie dort alle notwendigen Informationen an: Vergeben Sie einen Namen für die App und wählen Sie die zu unterstützenden Konten aus. Schließen Sie den Vorgang ab, indem Sie auf //Registrieren //klicken. 32 - 33 -{{figure}} 34 -[[image:67_Intune_Anwendung registrieren_2262.png||alt="65_Intune_Anwendung registrieren.png" data-xwiki-image-style-alignment="center"]] 35 - 36 -{{figureCaption}} 37 -Anwendung registrieren 38 -{{/figureCaption}} 39 -{{/figure}} 40 - 41 -Wenn Sie nun die erstellte Anwendung öffnen, erhalten Sie eine Zusammenfassung der hinzugefügten Informationen. Dazu gehören u.a. der Anzeigename, die verschiedenen IDs (Anwendungs-, Objekt- und Verzeichnis-ID) und die Angaben zu den unterstützten Kontotypen. 42 - 43 -{{figure}} 44 -[[image:67_Intune_Zusammenfassung der Anwendungsinformationen_3344.png||alt="65_Intune_Anwendung registrieren.png" data-xwiki-image-style-alignment="center"]] 45 - 46 -{{figureCaption}} 47 -Zusammenfassung der Anwendungsinformationen 48 -{{/figureCaption}} 49 -{{/figure}} 50 - 51 -== Berechtigungen verteilen == 52 - 53 -Vergeben Sie als nächstes der Unternehmensanwendung die notwendigen Berechtigungen, damit auf die Graph API zugegriffen werden kann. Wechseln Sie dafür innerhalb der registrierten App in den Bereich Berechtigungen (//Verwalten //> API-//Berechtigungen//). 54 - 55 -{{figure}} 56 -[[image:67_Intune_API Berechtigungen_2720.png||alt="65_Intune_API Berechtigungen.png" data-xwiki-image-style-alignment="center"]] 57 - 58 -{{figureCaption}} 59 -API-Berechtigungen 60 -{{/figureCaption}} 61 -{{/figure}} 62 - 63 -Klicken Sie dort auf //Berechtigung hinzufügen//. Es öffnet sich eine Seite, wo Sie die API-Berechtigungen anfordern können. In diesem Schritt müssen Sie den //Microsoft Graph// auswählen. 64 - 65 -{{figure}} 66 -[[image:67_Intune_Microsoft Graph anfordern_3636.png||alt="65_Intune_Microsoft Graph anfordern.png" data-xwiki-image-style-alignment="center"]] 67 - 68 -{{figureCaption}} 69 -API-Berechtigungen: Microsoft Graph anfordern 70 -{{/figureCaption}} 71 -{{/figure}} 72 - 73 -Unterschieden wird zwischen „Delegierten Berechtigungen“ und „Anwendungsberechtigungen“. Fügen Sie unter „Delegierte Berechtigungen“ die folgenden Werte einzeln ein und wiederholen Sie die Vorgehensweise nach einander, indem Sie jeden der nachfolgenden Listeneinträge eingeben: 74 - 75 -* DeviceManagementManagedDevices.Read.All 76 -* DeviceManagementManagedDevices.ReadWrite.All 77 -* User.Read 78 - 79 -{{figure}} 80 -[[image:67_Intune_Deligierte Berechtigungen verteilen_3822.png||alt="65_Intune_Delegierte Berechtigungen verteilen.png" data-xwiki-image-style-alignment="center"]] 81 - 82 -{{figureCaption}} 83 -Delegierte Berechtigungen verteilen 84 -{{/figureCaption}} 85 -{{/figure}} 86 - 87 -Haken Sie die jeweiligen Einträge an und scrollen Sie wieder nach ganz oben und klicken Sie auf das Feld der //Anwendungsberechtigungen// und fügen Sie die folgenden Berechtigungen hinzu: 88 - 89 -* DeviceManagementApps.Read.All 90 -* DeviceManagementConfiguration.Read.All 91 -* DeviceManagementManagedDevices.PrivilegedOperations.All 92 -* DeviceManagementManagedDevices.Read.All 93 -* DeviceManagementManagedDevices.ReadWrite.All 94 -* DeviceManagementServiceConfig.Read.All 95 -* User.Read.All 96 - 97 -Sobald Sie alle Berechtigungen selektiert haben, klicken Sie auf //Berechtigungen hinzufügen//. Die Einträge können Sie der Übersicht entnehmen. 98 - 99 -{{figure}} 100 -[[image:67_Intune_Verteilte Berechtigungen (ohne Einwilligung)_2818.png||alt="65_Intune_Verteilte Berechtigungen (ohne Einwilligung).png" data-xwiki-image-style-alignment="center"]] 101 - 102 -{{figureCaption}} 103 -Verteilte Berechtigungen (ohne Einwilligung) 104 -{{/figureCaption}} 105 -{{/figure}} 106 - 107 -Sie müssen unter Umständen den Berechtigungen Ihre Einwilligung erteilen, sollte dies im Vorfeld noch nicht bereits passiert sein. Klicken Sie dafür auf das Feld //Administratorzustimmung für „%Ihr Unternehmen%“ erteilen//. Hierdurch verändert sich der Status und es wird die Benutzereinwilligung verteilt. 108 - 109 -{{figure}} 110 -[[image:67_Intune_Verteilte Berechtigungen (mit Einwilligung)_2818.png||alt="65_Intune_Bewilligte Berechtigungen.png" data-xwiki-image-style-alignment="center"]] 111 - 112 -{{figureCaption}} 113 -Bewilligte Berechtigungen 114 -{{/figureCaption}} 115 -{{/figure}} 116 - 117 -== //Geheimer Clientschlüssel oder Zertifikate hochladen// == 118 - 119 -Es ist im späteren Verlauf der Ersteinrichtung vom ACMP Intune Connector erforderlich, dass Sie in der AESB Console einen Authentifizierungstypen angeben. Sie können sich dabei zwischen zwei Methoden entscheiden, die vom Microsoft Client Credentials Provider unterstützt werden: //Zertifikat //oder //Geheimer Clientschlüssel//. 120 - 121 -{{aagon.infobox}} 122 -Je nach gewähltem Authentifizierungstyp ist die Vorgehensweise eine andere. Lesen Sie nachfolgend, was Sie bei der jeweiligen Methode zu beachten haben. 123 -{{/aagon.infobox}} 124 - 125 -=== Zertifikat hochladen === 126 - 127 -{{aagon.infobox}} 128 -Aufgrund der höheren Sicherheitsstufe wird von Microsoft empfohlen, ein Zertifikat als Anmeldeinformation zu verwenden. 129 -{{/aagon.infobox}} 130 - 131 -Zertifikate können als Authentifizierungsmethode genutzt werden, mit der Sie sich in der AESB Console in der Microsoft Entra ID anmelden können. Ein Zertifikat besteht dabei immer aus einem öffentlichen und privaten Teil, wobei der öffentliche Schlüssel direkt in Microsoft Entra geladen wird. Der private Teil wird in der AESB Console verwendet. Dieses Zertifikatspaar muss im Vorfeld bereits erzeugt werden. Lesen Sie hier nach, wie Sie über [[Microsoft>>url:https://learn.microsoft.com/en-us/azure/app-service/configure-ssl-certificate?tabs=apex%2Cportal]] oder über [[Open SSL>>url:https://stackoverflow.com/questions/6307886/how-to-create-pfx-file-from-certificate-and-private-key]] ein Zertifikat erstellen können. 132 - 133 -Navigieren Sie innerhalb der zuvor registrierten Anwendung zu dem Punkt //Zertifikate & Geheimnisse//. Klicken Sie dort in den Details auf den Reiter //Zertifikate //und laden Sie das zuvor erstellte Zertifikat hoch. 134 - 135 -{{figure}} 136 -[[image:67_Intune_Zertifikat hochladen_3356.png||alt="65_Intune_Zertifikat hochladen.png" data-xwiki-image-style-alignment="center"]] 137 - 138 -{{figureCaption}} 139 -Zertifikat hochladen 140 -{{/figureCaption}} 141 -{{/figure}} 142 - 143 -Auf der rechten Seite öffnet sich ein Feld, in dem Sie das Zertifikat hochladen können. Durchsuchen Sie den entsprechenden Ordner und laden Sie die Datei hoch und geben Sie eine optionale Beschreibung für das Zertifikat ein. Klicken Sie dann auf //Hinzufügen// und das Zertifikat wird für die Anwendung hinterlegt. 144 - 145 -{{aagon.infobox}} 146 -Beachten Sie, dass beim Hochladen eines Zertifikats nur die Dateitypen .cer, .pem und .crt unterstützt werden. 147 -{{/aagon.infobox}} 148 - 149 -{{figure}} 150 -[[image:67_Intune_Hochgeladenes Zertifikat in Entra_3052.png||alt="65_Intune_Hochgeladenes Zertifikat in der Azure Active Directory.png" data-xwiki-image-style-alignment="center"]] 151 - 152 -{{figureCaption}} 153 -Hochgeladenes Zertifikat in der Microsoft Entra ID 154 -{{/figureCaption}} 155 -{{/figure}} 156 - 157 -=== Geheimen Clientschlüssel hinzufügen === 158 - 159 -Der geheime Clientschlüssel ist eine Zeichenfolge, die bei der Unternehmensanwendung beim Anfordern des Tokens als Authentifizierungsschlüssel bzw. Identitätsnachweis verwendet wird. Wechseln Sie dafür innerhalb der registrierten App in den Bereich //Zertifikate & Geheimnisse//. Klicken Sie in den Details auf den Reiter //Geheime Clientschlüssel //und legen Sie einen neuen Schlüssel an. 160 - 161 -{{figure}} 162 -[[image:67_Intune_Neuen Clientschlüssel hinterlegen_3052.png||alt="65_Intune_Neuen Clientschlüssel hinterlegen.png" data-xwiki-image-style-alignment="center"]] 163 - 164 -{{figureCaption}} 165 -Neuen Clientschlüssel hinterlegen 166 -{{/figureCaption}} 167 -{{/figure}} 168 - 169 -Beim Erstellen eines neuen geheimen Clientschlüssels haben Sie die Möglichkeit, die Gültigkeitsdauer zu konfigurieren. Beachten Sie hierbei, dass nach Ablauf der Gültigkeit ein Schlüssel neu erstellt und dieser im AESB hinterlegt werden muss. 170 - 171 -{{figure}} 172 -[[image:67_Intune_Geheimen Clientschlüssel hinzufügen_3052.png||alt="65_Intune_Geheimen Clientschlüssel hinterlegen.png" data-xwiki-image-style-alignment="center"]] 173 - 174 -{{figureCaption}} 175 -Geheimen Clientschlüssel hinzufügen 176 -{{/figureCaption}} 177 -{{/figure}} 178 - 179 -{{aagon.infobox}} 180 -Sie benötigen den erstellten geheimen Clientschlüssel bei der Einrichtung des AESB. Speichern Sie sich diesen zwischen, damit Sie später drauf zugreifen können. 181 -{{/aagon.infobox}} 182 - 183 183 = Konfigurationen in AESB und ACMP = 184 184 185 185 Bevor Sie Intune in ACMP nutzen können, müssen gewisse Vorarbeiten in den ACMP und AESB Consolen erfolgen.