Workloads & Permissions¶
Diese Seite gibt einen Ueberblick, welche Microsoft 365 Workloads in TCM365 verfügbar sind und welche Graph API Permissions sie jeweils benötigen.
Workload-Übersicht¶
| Workload | Read Permissions | Resource Types | Beschreibung |
|---|---|---|---|
| Entra ID | 16 | 29 | Identity, Conditional Access, PIM, Rollen, Risiken |
| Intune | 5 | 22 | Gerätekonfigurationen, Compliance Policies, Apps |
| Defender | 7 | 8 | Sicherheitsereignisse, Alerts, Angriffssimulationen |
| SharePoint | 2 | 2 | Tenant-Einstellungen, Sites |
| Purview | 3 | 5 | Sensitivity Labels, Records Management, eDiscovery |
| Cloud PC | 1 | 6 | Windows 365 Cloud PCs |
| M365 Plattform | 5 | 7 | Domains, Service Health, Teams-Einstellungen |
| Teams/Exchange (UTCM) | 2 + Service Principal | 60 | UTCM Snapshot Jobs (Teams + Exchange Config) |
| Gesamt | 41 + SP | 139 |
Selektive Aktivierung¶
TCM365 ermöglicht die selektive Aktivierung von Workloads. Sie müssen nur die Permissions für die Workloads erteilen, die Sie tatsächlich nutzen möchten.
Empfohlener Einstieg
Beginnen Sie mit Entra ID und Intune -- das sind die häufigsten Workloads für Security-Konfigurationsmanagement. Weitere Workloads können Sie jederzeit nachruesten.
So funktioniert die selektive Aktivierung¶
- Erteilen Sie in der Azure AD App-Registrierung nur die Permissions für die gewünschten Workloads
- Beim Tenant verbinden wählen Sie die entsprechenden Workloads aus
- TCM365 arbeitet nur mit den aktivierten Workloads
- Später können Sie weitere Permissions hinzufügen und Workloads nachtraeglich aktivieren
Detaillierte Permission-Zuordnung¶
Entra ID (16 Permissions, 29 Resource Types)¶
Erfasst werden u.a.: Conditional Access Policies, Named Locations, Authentication Methods, App Registrations, Enterprise Apps, Directory Roles, PIM Assignments, Administrative Units, Access Reviews, Lifecycle Workflows, Entitlement Management, Identity Risk.
Permissions: Directory.Read.All, Policy.Read.All, Policy.Read.PermissionGrant, Application.Read.All, Organization.Read.All, RoleManagement.Read.Directory, RoleAssignmentSchedule.Read.Directory, RoleEligibilitySchedule.Read.Directory, RoleManagementPolicy.Read.Directory, AccessReview.Read.All, LifecycleWorkflows.Read.All, AdministrativeUnit.Read.All, EntitlementManagement.Read.All, IdentityRiskyUser.Read.All, IdentityRiskEvent.Read.All, IdentityRiskyServicePrincipal.Read.All
Intune (5 Permissions, 22 Resource Types)¶
Erfasst werden u.a.: Device Compliance Policies, Configuration Profiles, App Protection Policies, Enrollment Restrictions, RBAC Roles, Managed Devices.
Permissions: DeviceManagementConfiguration.Read.All, DeviceManagementApps.Read.All, DeviceManagementManagedDevices.Read.All, DeviceManagementServiceConfig.Read.All, DeviceManagementRBAC.Read.All
Defender (7 Permissions, 8 Resource Types)¶
Erfasst werden u.a.: Security Alerts, Security Incidents, Attack Simulation, Threat Assessment, Identity Health, Identity Sensors.
Permissions: SecurityEvents.Read.All, SecurityAlert.Read.All, SecurityIncident.Read.All, AttackSimulation.Read.All, ThreatAssessment.Read.All, SecurityIdentitiesHealth.Read.All, SecurityIdentitiesSensors.Read.All
SharePoint (2 Permissions, 2 Resource Types)¶
Erfasst werden: SharePoint Tenant Settings, Sites.
Permissions: SharePointTenantSettings.Read.All, Sites.Read.All
Purview (3 Permissions, 5 Resource Types)¶
Erfasst werden u.a.: Sensitivity Labels, Retention Labels, Records Management, eDiscovery Cases.
Permissions: InformationProtectionPolicy.Read.All, RecordsManagement.Read.All, eDiscovery.Read.All
Cloud PC (1 Permission, 6 Resource Types)¶
Erfasst werden u.a.: Cloud PC Provisioning Policies, Cloud PC Device Images, Cloud PC User Settings.
Permissions: CloudPC.Read.All
M365 Plattform (5 Permissions, 7 Resource Types)¶
Erfasst werden u.a.: Verified Domains, Service Health, Service Messages, Teams Settings, App Catalog.
Permissions: Domain.Read.All, ServiceHealth.Read.All, ServiceMessage.Read.All, Teamwork.Read.All, AppCatalog.Read.All
Teams/Exchange via UTCM (2 Permissions + Service Principal, 60 Resource Types)¶
Erfasst werden u.a.: Teams Messaging Policies, Meeting Policies, Calling Policies, Exchange Mail Flow Rules, OWA Policies, Anti-Spam Policies, Connectors.
Permissions: ConfigurationMonitoring.Read.All, ConfigurationMonitoring.ReadWrite.All
Zusätzlich erforderlich: Der UTCM Service Principal mit Teams Administrator und Exchange Administrator Rollen.
Permissions für Rollback (Write-App)¶
Für Rollback-Operationen werden zusätzliche Schreibberechtigungen in der Write-App benötigt:
| Workload | Write Permission |
|---|---|
| Entra ID | Policy.ReadWrite.All, Organization.ReadWrite.All, Directory.ReadWrite.All, LifecycleWorkflows.ReadWrite.All, EntitlementManagement.ReadWrite.All |
| Intune | DeviceManagementConfiguration.ReadWrite.All, DeviceManagementApps.ReadWrite.All, DeviceManagementServiceConfig.ReadWrite.All |
| Teams/Exchange (UTCM) | ConfigurationMonitoring.ReadWrite.All |