Wiki-Quellcode von Unternehmensanwendung registrieren in der Microsoft Entra ID
Zuletzt geändert von Sabrina V. am 2025/06/05 11:26
Verstecke letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
 |
17.1 | 1 | {{aagon.floatingbox/}} |
| 2 | |||
| |
23.1 | 3 | Unternehmensanwendungen werden häufig als Schnittstelle zwischen der Microsoft Entra und intern verwendeten Anwendungen eingesetzt, um so beispielsweise Mitarbeitern den Zugriff auf Microsoft 365 zu ermöglichen. Hierfür ist es notwendig, dass Sie also eine oder mehrere Anwendungen zentral registrieren. In diesem Kapitel finden Sie eine Einleitung dazu, wie Sie Unternehmensanwendungen registrieren und diesen Berechtigungen zuweisen können. Es gilt für die folgenden Anwendungsbereiche: |
| |
6.2 | 4 | |
| |
21.1 | 5 | * [[Intune Management>>doc:ACMP.68.ACMP-Solutions.Intune Management.WebHome]] |
| |
16.1 | 6 | * [[Microsoft 365>>doc:ACMP.68.ACMP-Solutions.Lizenzmanagement.Microsoft 365.WebHome]] |
| |
20.1 | 7 | * [[Einrichtung von OAuth2 am ACMP Server>>doc:ACMP.68.ACMP-Solutions.System.Einstellungen.ACMP Server.OAuth2 am ACMP Server einrichten.WebHome]] |
| |
16.1 | 8 | * [[ACMP Intune Connector>>doc:ACMP.68.ACMP-Solutions.Client-Management.ACMP Intune Connector.WebHome]] |
| |
6.2 | 9 | |
| 10 | = Vorbereitungen für die Microsoft Entra ID = | ||
| 11 | |||
| 12 | Um in einen der oben genannten Anwendungsbereiche arbeiten zu können, müssen Sie zunächst das Microsoft Entra Admin Center öffnen und dort eine Unternehmensanwendung registrieren und innerhalb dieser Anwendung die notwendigen Berechtigungen erteilen. Diese Schritte sind notwendig, damit ACMP auf die benötigten Daten zugreifen darf und diese importieren kann. | ||
| 13 | |||
| 14 | == Unternehmensanwendung registrieren == | ||
| 15 | |||
| 16 | Melden Sie sich zunächst in der [[Mirosoft Entra ID>>https://aad.portal.azure.com/]] an. Klicken Sie dort im linken Bereich innerhalb der Navigation auf den Reiter //Identität// > //Anwendungen //> //App-Registrierungen //und legen Sie dort eine neue App-Registrierung an. | ||
| 17 | |||
| 18 | [[App-Registrierungen in Microsoft Entra ID>>image:68_Unternehmensanwendung registrieren_App Registrierung Oberfläche_1919.png]] | ||
| 19 | |||
| 20 | Geben Sie dort alle notwendigen Informationen an: Vergeben Sie einen App-Namen und wählen Sie die zu unterstützenden Konten aus. Schließen Sie den Vorgang ab, indem Sie auf //Registrieren //klicken. | ||
| 21 | |||
| 22 | [[Anwendung registrieren>>image:68_Unternehmensanwendung registrieren_App Registrierung neue anlegen_1919.png]] | ||
| 23 | |||
| 24 | Wenn Sie nun die erstellte Anwendung öffnen, erhalten Sie eine Zusammenfassung der hinzugefügten Informationen. Dazu gehören u.a. der Anzeigename, die Angaben zu den unterstützten Kontotypen sowie die verschiedenen IDs (Anwendungs-, Objekt- und Verzeichnis-ID). Letztere Angaben (die IDs) benötigen Sie beispielsweise, wenn Sie ein neues Portal für Microsoft 365 anlegen wollen. | ||
| 25 | |||
| 26 | [[Zusammenfassung der Anwendungsinformationen>>image:68_Unternehmensanwendung registrieren_Zusammenfassung der Anwendungsinformationen_1919.png]] | ||
| 27 | |||
| 28 | == Berechtigungen verteilen == | ||
| 29 | |||
| 30 | Erteilen Sie als nächstes der Unternehmensanwendung die notwendigen Berechtigungen, damit auf die Schnittstelle zugegriffen werden kann. Wechseln Sie dafür innerhalb der registrierten App in den Bereich Berechtigungen (//Verwalten// > //API-Berechtigungen//). | ||
| 31 | |||
| 32 | [[Berechtigungen hinzufügen>>image:68_Unternehmensanwendung registrieren_Berechtigungen hinzufügen_1919.png]] | ||
| 33 | |||
| 34 | Klicken Sie dort auf //Berechtigung hinzufügen. //Es öffnet sich eine Seite, wo Sie die API-Berechtigungen anfordern können. In diesem Schritt müssen Sie den //Microsoft Graph //auswählen. | ||
| 35 | |||
| |
15.1 | 36 | [[API-Berechtigungen: Microsoft Graph anfordern>>image:68_Unternehmensanwendung registrieren_API-Berechtigungen Microsoft Graph anfordern_850.png||data-xwiki-image-style-alignment="center" height="722" width="701"]] |
| |
6.2 | 37 | |
| 38 | Abhängig davon, für welchen Bereich Sie die Berechtigungen erteilen wollen, wird zwischen den „Delegierten Berechtigungen“ und den „Anwendungsberechtigungen“ unterschieden. Nachfolgend finden Sie für den jeweiligen Bereich in den nachfolgenden Tabellenabschnitten die Berechtigungen, die Sie hier einfügen müssen. | ||
| 39 | |||
| |
22.1 | 40 | === Intune Management === |
| 41 | |||
| 42 | Für die Nutzung des Intune Managements werden folgende Berechtigungen benötigt: | ||
| 43 | |||
| 44 | |**Typ: Anwendung** | ||
| 45 | |get_data_warehouse | ||
| 46 | |get_device_compliance | ||
| 47 | |DeviceManagementApps.ReadWrite.All | ||
| 48 | |DeviceManagementConfiguration.Read.All | ||
| 49 | |DeviceManagementManagedDevices.PrivilegedOperations.All | ||
| 50 | |DeviceManagementManagedDevices.ReadWrite.All | ||
| 51 | |DeviceManagementServiceConfig.Read.All | ||
| 52 | |Group.ReadWrite.All | ||
| 53 | |GroupMember.ReadWrite.All | ||
| 54 | |User.ReadWrite.All | ||
| 55 | |Directory.ReadWrite.All | ||
| 56 | |||
| |
6.2 | 57 | === Microsoft 365 === |
| 58 | |||
| 59 | **Für die Nutzung von Microsoft 365 werden nur die Anwendungsberechtigungen benötigt. Fügen Sie nachfolgend die folgenden Werte einzeln ein und wiederholen Sie die Vorgehensweise, bis die beiden Listeneinträge hinzugefügt wurden:** | ||
| 60 | |||
| 61 | |**Typ: Anwendung** | ||
| 62 | |User.Read.All | ||
| 63 | |Organization.Read.All | ||
| 64 | |||
| 65 | {{aagon.warnungsbox}} | ||
| 66 | Es müssen nur die Anwendungsberechtigungen vergeben werden und nicht die deligierten Berechtigungen! | ||
| 67 | {{/aagon.warnungsbox}} | ||
| 68 | |||
| |
20.1 | 69 | === Einrichtung von OAuth 2 am ACMP Server === |
| 70 | |||
| 71 | |**Typ: Delegiert** | ||
| 72 | |IMAP.AccessAsUser.All | ||
| 73 | |POP.AccessAsUser.All | ||
| 74 | |SMTP.Send | ||
| 75 | |offline_access | ||
| 76 | |||
| |
6.2 | 77 | === ACMP Intune Connector === |
| 78 | |||
| 79 | |**Typ: Delegiert**|**Typ: Anwendung** | ||
| 80 | |DeviceManagementManagedDevices.Read.All|DeviceManagementApps.Read.All | ||
| 81 | |DeviceManagementManagedDevices.ReadWrite.All|DeviceManagementConfiguration.Read.All | ||
| 82 | |User.Read|DeviceManagementManagedDevices.PrivilegedOperations.All | ||
| 83 | | |DeviceManagementManagedDevices.Read.All | ||
| 84 | | |DeviceManagementManagedDevices.ReadWrite.All | ||
| 85 | | |DeviceManagementServiceConfig.Read.All | ||
| 86 | |||
| |
9.2 | 87 | Sobald Sie alle Berechtigungen selektiert haben, klicken Sie auf //Berechtigungen hinzufügen//. Die Einträge können Sie dann der Übersicht entnehmen (nachfolgendes Beispiel beschreibt die hinzugefügten Anwendungsberechtigungen für Microsoft 365). |
| 88 | |||
| 89 | [[Anwendungsberechtigungen erteilen (ohne Einwilligung)>>image:68_Unternehmensanwendung registrieren_Anwendungsberechtigungen erteilen_1914.png]] | ||
| 90 | |||
| 91 | Sie müssen unter Umständen den Berechtigungen Ihre Einwilligung erteilen, sollte dies im Vorfeld noch nicht bereits passiert sein. Klicken Sie dafür auf das Feld //Administratorzustimmung für „%Ihr Unternehmen%“ erteilen//. Hierdurch verändert sich der Status und es wird die Benutzereinwilligung verteilt. | ||
| 92 | |||
| 93 | [[Bewilligte Anwendungsberechtigungen>>image:68_Unternehmensanwendung registrieren_Status gewährt_1919.png]] | ||
| 94 | |||
| 95 | = Authentifizierungstypen angeben: **Geheimer Clientschlüssel oder Zertifikate hochladen** = | ||
| 96 | |||
| 97 | Unabhängig von der Anwendung ist es für alle Bereiche erforderlich, dass Sie Authentifizierungstypen angeben. Sie können dabei zwischen zwei Methoden entscheiden, die vom Microsoft Client Credentials Provider unterstützt werden: //Zertifikat// oder //Geheimer Clientschlüssel//. | ||
| 98 | |||
| 99 | {{aagon.infobox}} | ||
| 100 | Je nach gewähltem Authentifizierungstyp ist die Vorgehensweise eine andere. Lesen Sie nachfolgend, was Sie bei der jeweiligen Methode zu beachten haben. | ||
| 101 | {{/aagon.infobox}} | ||
| 102 | |||
| 103 | == Zertifikat hochladen == | ||
| 104 | |||
| 105 | {{aagon.infobox}} | ||
| 106 | Aufgrund der höheren Sicherheitsstufe wird von Microsoft empfohlen, ein Zertifikat als Anmeldeinformation zu verwenden. | ||
| 107 | {{/aagon.infobox}} | ||
| 108 | |||
| |
24.1 | 109 | Zertifikate können als Authentifizierungsmethode genutzt werden, mit der Sie sich in der Microsoft Entra ID anmelden können. Ein Zertifikat besteht dabei immer aus einem öffentlichen und privaten Teil, wobei der öffentliche Schlüssel direkt in der Microsoft Entra ID geladen wird. Zum späteren Zeitpunkt, wo Sie das Zertifikat den Verbindungsinformationen für die Erstellung eines neuen Portals hinzufügen können, werden beide Teile benötigt. Dieses Zertifikatspaar muss bereits im Vorfeld erzeugt werden. Lesen Sie hier nach, wie Sie über [[Microsoft>>url:https://learn.microsoft.com/en-us/azure/app-service/configure-ssl-certificate?tabs=apex%2Cportal]] oder über Open SSL ein Zertifikat erstellen können. |
| |
9.2 | 110 | |
| 111 | {{aagon.infobox}} | ||
| 112 | Häufig findet sich das Format PKCS#12 oder PFX/P12 für Zertifikate vor. Dieses wird von ACMP prinzipiell nicht unterstützt, da die Zertifikats- und Schlüsseldatei hier in einer Datei kombiniert sind. Sie haben aber die Möglichkeit, über die OpenSSL-Befehle openssl pkcs12 -in path.p12 -out newfile.crt -clcerts –nokeys für das Zertifikat und openssl pkcs12 -in path.p12 -out newfile.pem -nocerts –nodes für den privaten Schlüssel zwei Dateien aus der Datei zu generieren. | ||
| 113 | Sie finden weitere Informationen zu diesem Thema auch unter dem Abschnitt [[Zertifikate verwalten>>doc:ACMP.68.ACMP-Solutions.System.Einstellungen.ACMP Server.WebHome||anchor="HEnde-zu-Ende-VerschlFCsselung"]]. | ||
| 114 | {{/aagon.infobox}} | ||
| 115 | |||
| |
14.1 | 116 | Navigieren Sie innerhalb der zuvor registrierten Anwendung zu dem Punkt //Zertifikate & Geheimnisse//. Klicken Sie dort in den Details auf den Reiter //Zertifikate //und laden Sie das zuvor erstellte Zertifikat hoch. |
| 117 | |||
| 118 | [[Zertifikat hochladen>>image:68_Unternehmensanwendung registrieren_Zertifikat_1915.png]] | ||
| 119 | |||
| 120 | Auf der rechten Seite öffnet sich ein Feld, in dem Sie das Zertifikat hochladen können. Durchsuchen Sie den entsprechenden Ordner und laden Sie die Datei hoch und geben Sie eine optionale Beschreibung für das Zertifikat ein. Klicken Sie dann auf //Hinzufügen// und das Zertifikat wird für die Anwendung hinterlegt. | ||
| 121 | |||
| 122 | {{aagon.infobox}} | ||
| 123 | Beachten Sie, dass beim Hochladen eines Zertifikats nur die Dateitypen .cer, .pem und .crt unterstützt werden. | ||
| 124 | {{/aagon.infobox}} | ||
| 125 | |||
| 126 | |||
| 127 | [[Hochgeladenes Zertifikat in Microsoft Entra>>image:68_Unternehmensanwendung registrieren_Hochgeladenes Zertifikat in Microsoft Entra_1919.png]] | ||
| 128 | |||
| 129 | == Geheimen Clientschlüssel hinzufügen == | ||
| 130 | |||
| 131 | Der geheime Clientschlüssel ist eine Zeichenfolge, die bei der Unternehmensanwendung beim Anfordern des Tokens als Authentifizierungsschlüssel bzw. Identitätsnachweis verwendet wird. Wechseln Sie dafür innerhalb der registrierten Anwendung in den Bereich //Zertifikate & Geheimnisse//. Klicken Sie in den Details auf den Reiter //Geheime Clientschlüssel //und legen Sie einen neuen Schlüssel an. | ||
| 132 | |||
| 133 | [[Geheimer Clientschlüssel>>image:68_Unternehmensanwendung registrieren_Geheimen Clientschlüssel_1919.png]] | ||
| 134 | |||
| 135 | Beim Erstellen eines neuen geheimen Clientschlüssels haben Sie die Möglichkeit, die Gültigkeitsdauer zu konfigurieren. Beachten Sie hierbei, dass nach Ablauf der Gültigkeit ein Schlüssel neu erstellt und dieser neu hinterlegt werden muss. | ||
| 136 | |||
| |
26.1 | 137 | [[Geheimen Clientschlüssel hinzufügen>>image:68_Unternehmensanwendung registrieren_Geheimen Clientschlüssel hinzufügen_1919.png||alt="68_Unternehmensanwendung registrieren_Geheimen Clientschlüssel_1919.png"]] |
| |
14.1 | 138 | |
| 139 | {{aagon.infobox}} | ||
| 140 | Sollten Sie den geheimen Clientschlüssel für den ACMP Intune Connector nutzen wollen, müssen Sie den Schlüssel nach Ablauf der Gültigkeit neu erstellen und diesen im AESB hinterlegen. | ||
| 141 | {{/aagon.infobox}} | ||
| 142 | |||
| 143 | {{aagon.infobox}} | ||
| 144 | Sie benötigen zu einem späteren Zeitpunkt den erstellten geheimen Clientschlüssel noch einmal (z.B. bei der Einrichtung des AESB oder bei Microsoft 365 für das neue Anlegen der Portale in der ACMP Console). Speichern Sie sich deswegen den geheimen Clientschlüssel zwischen, damit Sie später auf ihn zugreifen können. | ||
| 145 | {{/aagon.infobox}} | ||
| |
18.1 | 146 | |
| |
19.1 | 147 | = Weiteres Vorgehen = |
| 148 | |||
| |
18.1 | 149 | Nachdem Sie nun die Unternehmensanwendung registriert und die notwendigen Berechtigungen erteilt haben, können Sie in den jeweiligen Anwendungsbereich wechseln und mit Ihren Arbeiten fortfahren: |
| 150 | |||
| |
21.1 | 151 | * [[Intune Management>>doc:ACMP.68.ACMP-Solutions.Intune Management.WebHome]] |
| |
18.1 | 152 | * [[Microsoft 365>>doc:ACMP.68.ACMP-Solutions.Lizenzmanagement.Microsoft 365.WebHome]] |
| 153 | * [[ACMP Intune Connector>>doc:ACMP.68.ACMP-Solutions.Client-Management.ACMP Intune Connector.WebHome]] | ||
| 154 | * [[Einrichtung von OAuth2 am ACMP Server>>doc:ACMP.68.ACMP-Solutions.System.Einstellungen.ACMP Server.OAuth2 am ACMP Server einrichten.WebHome]] | ||
| 155 | |||
| 156 |