Read-App erstellen¶
Die Read-App ist die zentrale App-Registrierung, über die TCM365 Konfigurationen aus Ihrem Microsoft 365 Tenant liest. Sie wird für Snapshots, Drift-Erkennung, Compliance-Checks und Sicherheitsanalysen benötigt.
Voraussetzungen¶
- Globaler Administrator oder Anwendungsadministrator im Azure AD Tenant
- Zugang zum Azure Portal
Schritt 1: App-Registrierung anlegen¶
- Öffnen Sie das Azure Portal unter portal.azure.com
- Navigieren Sie zu Azure Active Directory > App-Registrierungen
- Klicken Sie auf Neue Registrierung
- Konfigurieren Sie die Registrierung:
- Name:
TCM365 Read(oder ein Name Ihrer Wahl) - Unterstützte Kontotypen: Nur Konten in diesem Organisationsverzeichnis (Single Tenant)
- Umleitungs-URI: Leer lassen (wird nicht benötigt)
- Name:
- Klicken Sie auf Registrieren
Schritt 2: Client ID und Tenant ID notieren¶
Nach der Registrierung sehen Sie die Übersichtsseite der App. Notieren Sie sich:
- Anwendungs-ID (Client-ID): Die GUID der App (z.B.
a1b2c3d4-e5f6-7890-abcd-ef1234567890) - Verzeichnis-ID (Tenant-ID): Die GUID Ihres Azure AD Tenants
Tipp
Beide IDs finden Sie jederzeit auf der Übersichtsseite der App-Registrierung.
Schritt 3: Client Secret erstellen¶
- Navigieren Sie zu Zertifikate & Geheimnisse
- Klicken Sie auf Neuer geheimer Clientschluessel
- Vergeben Sie eine Beschreibung (z.B.
TCM365 Read Secret) - Wählen Sie die Gueltigkeitsdauer: 24 Monate empfohlen
- Klicken Sie auf Hinzufügen
- Kopieren Sie den Wert sofort -- er wird nur einmal angezeigt
Wichtig
Das Client Secret wird nach dem Erstellen nur einmal vollständig angezeigt. Speichern Sie es an einem sicheren Ort. Wenn Sie es verlieren, müssen Sie ein neues Secret erstellen.
Schritt 4: API-Berechtigungen hinzufügen¶
- Navigieren Sie zu API-Berechtigungen
- Klicken Sie auf Berechtigung hinzufügen
- Wählen Sie Microsoft Graph
- Wählen Sie Anwendungsberechtigungen
- Fügen Sie die folgenden Berechtigungen hinzu:
Entra ID (Pflicht -- 16 Permissions)¶
| Permission | Beschreibung |
|---|---|
Directory.Read.All |
Verzeichnisobjekte lesen (Benutzer, Gruppen, Apps) |
Policy.Read.All |
Conditional Access Policies, Auth Policies lesen |
Policy.Read.PermissionGrant |
Permission Grant Policies lesen |
Application.Read.All |
App-Registrierungen und Enterprise Apps lesen |
Organization.Read.All |
Organisationseinstellungen und Tenant-Info |
RoleManagement.Read.Directory |
Entra Rollen und Zuweisungen lesen |
RoleAssignmentSchedule.Read.Directory |
PIM Rollenzuweisungen lesen |
RoleEligibilitySchedule.Read.Directory |
PIM Rollenberechtigungen lesen |
RoleManagementPolicy.Read.Directory |
PIM Richtlinien lesen |
AccessReview.Read.All |
Zugriffsueberpruefungen lesen |
LifecycleWorkflows.Read.All |
Lifecycle Workflows lesen |
AdministrativeUnit.Read.All |
Administrative Units lesen |
EntitlementManagement.Read.All |
Entitlement Management lesen |
IdentityRiskyUser.Read.All |
Riskante Benutzer lesen |
IdentityRiskEvent.Read.All |
Risikoereignisse lesen |
IdentityRiskyServicePrincipal.Read.All |
Riskante Service Principals lesen |
Intune (5 Permissions)¶
| Permission | Beschreibung |
|---|---|
DeviceManagementConfiguration.Read.All |
Gerätekonfigurationen lesen |
DeviceManagementApps.Read.All |
App-Verwaltung lesen |
DeviceManagementManagedDevices.Read.All |
Verwaltete Geräte lesen |
DeviceManagementServiceConfig.Read.All |
Intune Service-Konfiguration lesen |
DeviceManagementRBAC.Read.All |
Intune RBAC lesen |
Defender (7 Permissions)¶
| Permission | Beschreibung |
|---|---|
SecurityEvents.Read.All |
Sicherheitsereignisse lesen |
SecurityAlert.Read.All |
Sicherheitswarnungen lesen |
SecurityIncident.Read.All |
Sicherheitsvorfälle lesen |
AttackSimulation.Read.All |
Angriffssimulationen lesen |
ThreatAssessment.Read.All |
Bedrohungsbewertungen lesen |
SecurityIdentitiesHealth.Read.All |
Identity Health lesen |
SecurityIdentitiesSensors.Read.All |
Identity Sensoren lesen |
SharePoint (2 Permissions)¶
| Permission | Beschreibung |
|---|---|
SharePointTenantSettings.Read.All |
SharePoint Tenant-Einstellungen lesen |
Sites.Read.All |
Websites lesen |
Purview (3 Permissions)¶
| Permission | Beschreibung |
|---|---|
InformationProtectionPolicy.Read.All |
Sensitivity Labels lesen |
RecordsManagement.Read.All |
Records Management lesen |
eDiscovery.Read.All |
eDiscovery-Faelle lesen |
Cloud PC (1 Permission)¶
| Permission | Beschreibung |
|---|---|
CloudPC.Read.All |
Windows 365 Cloud PCs lesen |
M365 Plattform (5 Permissions)¶
| Permission | Beschreibung |
|---|---|
Domain.Read.All |
Domains lesen |
ServiceHealth.Read.All |
Service Health lesen |
ServiceMessage.Read.All |
Service Messages lesen |
Teamwork.Read.All |
Teams-Einstellungen lesen |
AppCatalog.Read.All |
App-Katalog lesen |
UTCM -- für Teams/Exchange (2 Permissions)¶
| Permission | Beschreibung |
|---|---|
ConfigurationMonitoring.Read.All |
UTCM Snapshots und Monitore lesen |
ConfigurationMonitoring.ReadWrite.All |
UTCM Monitore verwalten |
Schritt 5: Admin-Einwilligung erteilen¶
- Klicken Sie auf Administratorzustimmung erteilen für [Ihr Tenant]
- Bestätigen Sie mit Ja
- Prüfen Sie, dass bei jeder Permission ein gruener Haken unter "Status" erscheint
Wichtig
Ohne Admin Consent funktionieren die Permissions nicht. Der grüne Haken muss bei jeder einzelnen Permission erscheinen. Wenn bei einer Permission "Nicht erteilt" steht, klicken Sie erneut auf "Administratorzustimmung erteilen".
Zusammenfassung¶
Nach Abschluss dieser Schritte haben Sie:
- Eine App-Registrierung
TCM365 Readin Ihrem Azure AD Tenant - Bis zu 41 Anwendungsberechtigungen (abhängig von den gewählten Workloads)
- Ein Client Secret mit 24 Monaten Laufzeit
- Admin Consent für alle erteilten Berechtigungen
- Client ID, Tenant ID und Client Secret für die TCM365-Konfiguration notiert
Schrittweise Einrichtung
Sie müssen nicht alle 41 Permissions auf einmal hinzufügen. TCM365 arbeitet nur mit den Workloads, die freigeschaltet sind. Beginnen Sie z.B. mit den Entra-ID-Permissions und fügen Sie später Intune, Defender etc. hinzu.
Nächster Schritt¶
- Write-App erstellen (optional, für Rollback)
- UTCM Service Principal einrichten (optional, für Teams/Exchange)
- Direkt zum Tenant verbinden