Damit unsere Sensoren über die Azure API verschiedenste Informationen auslesen können (über Azure Backup, Office365 usw.) ist es notwendig eine Anwendung im gewünschten Azure-AD zu erstellen.
Dies ist notwendig, weil in einem Umfeld mit aktiviertem MFA, keine Benutzeranmeldung mehr verwendet werden kann.
Glücklicherweise ist das Anlegen einer Anwendung sehr einfach.
App Erstellung
Dazu gehst Du einfach in das entsprechende Azure-AD unter den Punkt "App-Registrierungen". Dort siehst Du alle bereits existierenden Anwendungen in Eurem AD. Für Server-Eye kann eine einzige App für alle Sensoren genutzt werden. Diese Entscheidung liegt im Endeffekt bei Euch.
Dann erstellst Du eine neue Anwendung über "Neue Registrierung".
Hier reicht ein Ausfüllen des Namen. Die restlichen Standardeinstellungen sind ausreichend. Ein Klick auf "Registrieren" und die Anwendung ist erstellt.
Wichtig für die Nutzung in den entsprechenden Sensoren ist die Verzeichnis-ID und die Anwendungs-ID. Diese dienen zur Identifizierung Deines Azure-ADs und der Anwendung an sich.
Bitte beachten: es kann einige Zeit dauern, bis nach der App-Registrierung die Punkte für die Zugangsdaten erscheinen.
Zugangsdaten erstellen
Nun benötigen wir nur noch ein Zugangspasswort, den sogenannten Geheimen Clientschlüssel, den Du unter Zertifikate & Geheimnisse erstellen kannst.
Lege hier einfach mit einem Klick auf "Neuer geheimer Clientschlüssel" deine Zugangsdaten an. Dazu vergibst Du einen Namen und eine Gültigkeit nach den gewünschten Sicherheitsrichtlinien.
Das erstellte Passwort muss dann sicher verwahrt werden, da es nur ein einziges Mal bei der Erstellung angezeigt wird. Verlierst Du den Schlüssel, hilft nur Löschen und wieder neu anlegen.
Der Schlüssel, den Du im Sensor einträgst, ist der Punkt "Wert" (siehe Screenshot).
Berechtigungen
Standardmäßig startet die erstellte Anwendung nun mit einer einfachen Berechtigung. Diese ist für manche Sensoren an der Stelle schon ausreichend.
Achtung: Der Status muss grün sein, es kann ggf. noch eine explizite Zustimmung durch den Admin notwendig sein:
Explizite API-Berechtigungen sind hier aufgelistet:
- Welche Berechtigungen brauche ich für Azure Backup
- Welche Berechtigungen brauche ich für Microsoft365 Dienste Gesundheit?
- Welche Berechtigungen brauche ich für Microsoft365 Mailbox Überprüfung?
- Welche Berechtigungen brauche ich für Microsoft Defender 365?
- Welche Berechtigungen brauch ich für den Microsoft365 SharePoint Überprüfung Sensor?