Skip to content

Microsoft 365 Integration

TCM365 verbindet sich über die Microsoft Graph API mit Ihrem Microsoft 365 Tenant, um Konfigurationen aus Entra ID, Intune, Defender, Exchange, Teams, SharePoint, Purview und Cloud PC zu erfassen, zu vergleichen und bei Bedarf zurückzusetzen.

Das Zwei-App-Modell

TCM365 nutzt ein Zwei-App-Modell nach dem Principle of Least Privilege. Dadurch können Sie den Lesezugriff (Snapshots, Drift, Compliance) vom Schreibzugriff (Rollback) sauber trennen:

Komponente Zweck Erforderlich?
Read-App Snapshots erstellen, Drift erkennen, Compliance prüfen Ja
Write-App Rollback-Operationen ausführen Optional
UTCM Service Principal Teams- und Exchange-Konfigurationen erfassen Optional 
graph TB
    TCM[TCM365 Plattform]

    subgraph Azure AD Tenant
        RA[Read-App<br/>41 Permissions<br/>Application.Read.All etc.]
        WA[Write-App<br/>ReadWrite Permissions<br/>Policy.ReadWrite.All etc.]
        UTCM[UTCM Service Principal<br/>App ID: 03b07b79-...<br/>Teams Admin + Exchange Admin]
    end

    subgraph Microsoft Graph API
        ENTRA[Entra ID]
        INTUNE[Intune]
        DEFENDER[Defender]
        SP[SharePoint]
        PURVIEW[Purview]
        CLOUDPC[Cloud PC]
    end

    subgraph UTCM API
        TEAMS[Teams Config]
        EXCHANGE[Exchange Config]
    end

    TCM -->|Lesen| RA
    TCM -->|Schreiben| WA
    RA --> ENTRA
    RA --> INTUNE
    RA --> DEFENDER
    RA --> SP
    RA --> PURVIEW
    RA --> CLOUDPC
    WA --> ENTRA
    WA --> INTUNE
    UTCM --> TEAMS
    UTCM --> EXCHANGE
    RA -->|Snapshot Jobs starten| UTCM

Zwei Capture-Strategien

TCM365 nutzt zwei unterschiedliche Strategien, um M365-Konfigurationen zu erfassen:

  1. Direkte Graph API -- Für Entra ID, Intune, Defender, SharePoint, Purview und Cloud PC. Die Read-App ruft die Konfigurationen direkt über GET-Requests ab.
  2. UTCM Snapshot Job API -- Für Teams und Exchange. Microsoft stellt diese Konfigurationen nur über die UTCM API bereit. TCM365 startet einen Snapshot Job und liest das Ergebnis aus.

Hinweis

Ohne den UTCM Service Principal stehen Teams und Exchange nicht zur Verfügung. Alle anderen Workloads funktionieren unabhängig davon.

Einrichtungsschritte

Die Einrichtung der M365-Integration besteht aus folgenden Schritten:

  1. Read-App erstellen -- App-Registrierung im Azure Portal mit Leseberechtigungen
  2. Write-App erstellen -- (Optional) Separate App für Rollback-Operationen
  3. UTCM Service Principal einrichten -- (Optional) Für Teams- und Exchange-Konfigurationen
  4. Workloads & Permissions verstehen -- Ueberblick welche Workloads welche Berechtigungen brauchen
  5. Tenant in TCM365 verbinden -- Credentials eingeben und Verbindung testen

Tipp

Beginnen Sie mit der Read-App und verbinden Sie den Tenant. Write-App und UTCM Service Principal können Sie jederzeit nachruestuen.