Write-App erstellen¶
Die Write-App ist eine separate App-Registrierung, die TCM365 ausschliesslich für Rollback-Operationen nutzt. Durch die Trennung von Lese- und Schreibzugriff setzen Sie das Principle of Least Privilege konsequent um.
Warum eine separate App?¶
| Aspekt | Vorteil |
|---|---|
| Least Privilege | Die Read-App hat keinen Schreibzugriff -- selbst bei einem kompromittierten Secret können keine Konfigurationen geändert werden |
| Audit-Transparenz | Schreibvorgaenge sind im Azure AD Audit Log eindeutig der Write-App zuzuordnen |
| Granulare Kontrolle | Sie können die Write-App jederzeit deaktivieren, ohne die Lesefunktionen zu beeinträchtigen |
| Genehmigungsprozesse | In vielen Organisationen durchlaufen Schreibberechtigungen einen separaten Genehmigungsprozess |
Hinweis
Die Write-App ist optional. Ohne sie stehen Snapshots, Drift-Erkennung, Compliance-Checks und alle Sicherheitsanalysen uneingeschraenkt zur Verfügung. Nur die Rollback-Funktion benötigt die Write-App.
Schritt 1: App-Registrierung anlegen¶
Erstellen Sie die Write-App analog zur Read-App:
- Azure Portal > Azure Active Directory > App-Registrierungen > Neue Registrierung
- Name:
TCM365 Write(oder ein Name Ihrer Wahl) - Unterstützte Kontotypen: Nur Konten in diesem Organisationsverzeichnis
- Klicken Sie auf Registrieren
- Notieren Sie die Client ID
- Erstellen Sie ein Client Secret (unter Zertifikate & Geheimnisse)
Schritt 2: Schreibberechtigungen hinzufügen¶
Navigieren Sie zu API-Berechtigungen > Berechtigung hinzufügen > Microsoft Graph > Anwendungsberechtigungen und fügen Sie die folgenden Berechtigungen hinzu:
Entra ID (5 Permissions)¶
| Permission | Beschreibung |
|---|---|
Policy.ReadWrite.All |
Conditional Access Policies und Auth Policies schreiben |
Organization.ReadWrite.All |
Organisationseinstellungen schreiben |
Directory.ReadWrite.All |
Verzeichnisobjekte schreiben |
LifecycleWorkflows.ReadWrite.All |
Lifecycle Workflows schreiben |
EntitlementManagement.ReadWrite.All |
Entitlement Management schreiben |
Intune (3 Permissions)¶
| Permission | Beschreibung |
|---|---|
DeviceManagementConfiguration.ReadWrite.All |
Gerätekonfigurationen schreiben |
DeviceManagementApps.ReadWrite.All |
App-Verwaltung schreiben |
DeviceManagementServiceConfig.ReadWrite.All |
Intune Service-Konfiguration schreiben |
Exchange/Teams via UTCM (1 Permission)¶
| Permission | Beschreibung |
|---|---|
ConfigurationMonitoring.ReadWrite.All |
UTCM Monitore und Konfigurationen schreiben |
Schritt 3: Admin-Einwilligung erteilen¶
- Klicken Sie auf Administratorzustimmung erteilen für [Ihr Tenant]
- Prüfen Sie, dass bei jeder Permission ein gruener Haken erscheint
Schritt 4: In TCM365 hinterlegen¶
Die Write-App-Credentials geben Sie beim Tenant verbinden im Abschnitt Schreibzugriff ein:
- Write Client ID: Die Client ID der Write-App
- Write Client Secret: Das Client Secret der Write-App
Wichtig
Die Write-App erhält ReadWrite-Permissions, die auch das Lesen einschliessen. TCM365 nutzt die Write-App dennoch ausschliesslich für Schreibvorgaenge (Rollbacks). Das Lesen erfolgt immer über die Read-App.
Zusammenfassung¶
| Eigenschaft | Read-App | Write-App |
|---|---|---|
| Zweck | Snapshots, Drift, Compliance, Analysen | Rollback-Operationen |
| Permissions | *.Read.All |
*.ReadWrite.All |
| Erforderlich | Ja | Optional |
| Anzahl Permissions | Bis zu 41 | Bis zu 9 |
Nächster Schritt¶
- UTCM Service Principal einrichten (für Teams/Exchange)
- Tenant in TCM365 verbinden