Unternehmensanwendung registrieren in der Microsoft Entra ID
Enterprise applications are often used as an interface between Microsoft Entra and internally used applications, for example to give employees access to Microsoft 365. To do this, you need to register one or more applications centrally. This chapter provides an introduction to how you can register enterprise applications and assign permissions to them. It applies to the following areas of application:
Preparing for the Microsoft Entra ID
In order to work in one of the above application areas, you must first open the Microsoft Entra Admin Centre and register a company application. You will then need to grant the necessary permissions within that application. These steps are necessary to enable ACMP to access and import the required data.
Register an Enterprise Application
First, log in to your Microsoft Entra ID. Click the Identity > Manage tab > Enterprise Applications and create a new application registration.
App registrations in Microsoft Entra ID
Enter all the necessary information there: Assign an app name and select the accounts to be supported. Complete the process by clicking Register.
Register an application
When you open the application you have created, you will see a summary of the information you have added. This includes the display name, details of the supported account types and the various IDs (application, object and directory ID). You will need the latter details (the IDs) if, for example, you want to create a new portal for Microsoft 365.
Summary of application information
Distribute permissions
Next, grant the company application the necessary permissions so that it can access the interface. To do this, switch to the Permissions area within the registered app (Manage > API permissions).
Add permissions
Add permissions Click on Add permission. A page will open where you can request API permissions. In this step, you must select Microsoft Graph.
API permissions: Request Microsoft Graph
Depending on the area for which you want to grant authorisations, a distinction is made between ‘Delegated authorisations’ and ‘Application authorisations’. The tables below show the authorisations that you must insert here for the respective area.
Microsoft 365
Only the application permissions are required to use Microsoft 365. Insert the following values individually and repeat the procedure until both list entries have been added:
| Type: Application |
| User.Read.All |
| Organization.Read.All |
Warning:
Only the application authorisations need to be assigned, not the delegated authorisations!
Setting up OAuth 2 on the ACMP Server
| Type: Delegated |
| IMAP.AccessAsUser.All |
| POP.AccessAsUser.All |
| SMTP.Send |
| offline_access |
ACMP Intune Connector
| Type: Delegated | Type: Applicatione |
| DeviceManagementManagedDevices.Read.All | DeviceManagementApps.Read.All |
| DeviceManagementManagedDevices.ReadWrite.All | DeviceManagementConfiguration.Read.All |
| User.Read | DeviceManagementManagedDevices.PrivilegedOperations.All |
| DeviceManagementManagedDevices.Read.All | |
| DeviceManagementManagedDevices.ReadWrite.All | |
| DeviceManagementServiceConfig.Read.All |
Once you have selected all permissions, click Add permissions. You can then see the items in the overview (the following example describes the application permissions added for Microsoft 365).
Grant application permissions (without consent)
You may need to grant your consent to the permissions if you have not already done so. To do this, click on the field Grant administrator consent for ‘%Your company%’. This changes the status and the user consent is deployed.
Approved application authorisations
Specify authentication types: Secret client key or upload certificates
Regardless of the application, you must specify authentication types for all areas. You can choose between two methods supported by the Microsoft Client Credentials Provider: Certificate or Secret Client Key.
Note:
The procedure varies depending on the authentication type selected. Read below to find out what you need to bear in mind for each method.
Upload certificate
Note:
Due to the higher security level, Microsoft recommends using a certificate as login information.
Certificates can be used as an authentication method to log in to Microsoft Entra ID. A certificate always consists of a public and a private part, with the public key being loaded directly into Microsoft Entra ID. Both parts are required at a later stage when you add the certificate to the connection information for creating a new portal. This certificate pair must be generated in advance. Read here how to create a certificate via Microsoft or Open SSL. Due to the higher security level, Microsoft recommends using a certificate as login information
Note:
The PKCS#12 or PFX/P12 format is often used for certificates. This is not supported by ACMP, as the certificate and key files are combined in a single file. However, you can use the OpenSSL commands openssl pkcs12 -in path.p12 -out newfile.crt -clcerts –nokeys for the certificate and openssl pkcs12 -in path.p12 -out newfile.pem -nocerts –nodes for the private key to generate two files from the file.
You can find continuing info on this topic in the section Managing certificates.
Navigieren Sie innerhalb der zuvor registrierten Anwendung zu dem Punkt Zertifikate & Geheimnisse. Klicken Sie dort in den Details auf den Reiter Zertifikate und laden Sie das zuvor erstellte Zertifikat hoch.
Zertifikat hochladen
Auf der rechten Seite öffnet sich ein Feld, in dem Sie das Zertifikat hochladen können. Durchsuchen Sie den entsprechenden Ordner und laden Sie die Datei hoch und geben Sie eine optionale Beschreibung für das Zertifikat ein. Klicken Sie dann auf Hinzufügen und das Zertifikat wird für die Anwendung hinterlegt.
Note:
Beachten Sie, dass beim Hochladen eines Zertifikats nur die Dateitypen .cer, .pem und .crt unterstützt werden.
Hochgeladenes Zertifikat in Microsoft Entra
Geheimen Clientschlüssel hinzufügen
Der geheime Clientschlüssel ist eine Zeichenfolge, die bei der Unternehmensanwendung beim Anfordern des Tokens als Authentifizierungsschlüssel bzw. Identitätsnachweis verwendet wird. Wechseln Sie dafür innerhalb der registrierten Anwendung in den Bereich Zertifikate & Geheimnisse. Klicken Sie in den Details auf den Reiter Geheime Clientschlüssel und legen Sie einen neuen Schlüssel an.
Geheimer Clientschlüssel
Beim Erstellen eines neuen geheimen Clientschlüssels haben Sie die Möglichkeit, die Gültigkeitsdauer zu konfigurieren. Beachten Sie hierbei, dass nach Ablauf der Gültigkeit ein Schlüssel neu erstellt und dieser neu hinterlegt werden muss.
Geheimen Clientschlüssel hinzufügen
Note:
Sollten Sie den geheimen Clientschlüssel für den ACMP Intune Connector nutzen wollen, müssen Sie den Schlüssel nach Ablauf der Gültigkeit neu erstellen und diesen im AESB hinterlegen.
Note:
Sie benötigen zu einem späteren Zeitpunkt den erstellten geheimen Clientschlüssel noch einmal (z.B. bei der Einrichtung des AESB oder bei Microsoft 365 für das neue Anlegen der Portale in der ACMP Console). Speichern Sie sich deswegen den geheimen Clientschlüssel zwischen, damit Sie später auf ihn zugreifen können.
Weiteres Vorgehen
Nachdem Sie nun die Unternehmensanwendung registriert und die notwendigen Berechtigungen erteilt haben, können Sie in den jeweiligen Anwendungsbereich wechseln und mit Ihren Arbeiten fortfahren: