Zuerst stellst du sicher, dass bereits eine Anwendung existiert in deinem Azure-AD. Falls nicht, befolge bitte diese Anleitung: Wie erstelle ich eine Anwendung für den Zugriff auf mein Azure?  


Für den Sensor Microsoft365 Mailbox Überprüfung wird zusätzlich das Recht Exchange.ManageAsApp und full_access_as_app benötigtDiese sind leider etwas versteckt. Die Berechtigung   unter dem Reiter "Von meiner Organisation verwendete APIs" zu finden. 

Einfach nach dem Namen "Office 365 Exchange Online" suchen ( bitte exakt nach diesem Begriff suchen). 


Dort findet sich unter dem Reiter "Anwendungsberechtigungen" und dem Feld Exchange das entsprechende Recht "Exchange.ManagedAsApp". Dasselbe gilt auch für das Recht "full_access_as_app". 


Weitere benötigte Rechte im Bereich der Microsoft Graph API  ( für das Auslesen der Benutzerinformationen und der SKUs) sind:  User.Read.All, ServiceHealth.Read.All, Organization.Read.All und Directory.Read.All.



Zuletzt muss noch die Anwendung im Azure Active Directory unter "Rollen und Administratoren" als Globaler Leser hinzugefügt werden. Manche Rechte, die für das auslesen der Werte notwendig sind existieren nur in der Rolle. 


Achtung: Anscheinend hat Microsoft hier die Anforderungen geändert.  Es scheint das für diese Option nun "Azure AD Premium P1 oder P2" benötigt wird. Das ist leider eine Entwicklung auf die wir keinen Einfluss haben. 


Dazu über Zuweisung hinzufügen den Namen der App suchen und hinzufügen.


Danach kann der Sensor nun alle Abfragen durchführen die benötigt sind. 


Achtung: Der Status muss grün sein, es kann ggf. noch eine explizite Zustimmung durch den Admin notwendig sein.




Optional: Berechtigung auf ein Postfach begrenzen

  • Zuerst wird die Application (client) ID benötigt. 
  • Im Exchange Online Portal eine Mail Security Group über "Gruppe hinzufügen" unter Gruppen hinzufügen. 
  • Eine Application Access Policy erstellen: 
    • Bei Exchange Online mit "connect-exchangeonline" anmelden und folgenden Befehl absetzen, um eine Application Access Policy zu erstellen:
      New-ApplicationAccessPolicy -AppId 12345678-12E4-123A-12EA-123456789012 -PolicyScopeGroupId mailaccessgroup@domain.org -AccessRight RestrictAccess -Description “Begrenze diese App auf Mitglieder der Mailgruppe”
  • Anschließend die Richtlinie testen:
    Test-ApplicationAccessPolicy -Identity testuser@domain.org  -AppId 12345678-12E4-123A-12EA-123456789012
    Ist der Test erfolgreich, erscheint unter AccessCheckResult "Granted" wenn Zugriff gewährt und "Denied" wenn der Zugriff gesperrt ist. 

Weitere Informationen findest du hier: https://www.2azure.nl/2022/10/02/restrict-azure-app-permissions-to-specific-mailboxes-only/