Unsere Microsoft Entra ID Enterprise Application kann von einem Azure AD Administrator über diesen Link installiert werden. Während der Installation müssen die folgenden Berechtigungen für alle Benutzer erteilt werden:
Die erforderlichen Berechtigungen sind:
- User.ReadBasic.All: Erlaubt Benutzern, sich bei deskbird anzumelden und erlaubt deskbird, die Profile der angemeldeten Benutzer zu lesen. Beachte, dass deskbird keinen Zugriff auf die Profildaten von Benutzern hat, die sich nie angemeldet haben.
- Group.Read.All: Erlaubt es deskbird, alle Benutzergruppen zu lesen. Dies wird z.B. für den Import von Benutzergruppen im Admin-Portal oder für die Synchronisation von Gruppen bei der Anmeldung von Benutzern verwendet.
Es gibt vier zusätzliche Standardberechtigungen, die automatisch hinzugefügt werden und keine Zustimmung des Administrators erfordern.
- offline_access: Erlaubt deskbird die Verwendung von Refresh-Tokens zum Abrufen von Daten über die Microsoft Graph API.
- email, openid, und profile: Automatisch hinzugefügte Berechtigungen, die deskbird ähnliche Berechtigungen wie user.read gewähren, jedoch mit weniger Profilinformationen.
- Der Berechtigungstyp ist delegiert, was bedeutet, dass deskbird als angemeldeter Benutzer auf die Graph API zugreift, wobei der Zugriff durch die ausgewählte Berechtigung eingeschränkt ist.
Einschränkung des Erlaubnisumfangs durch Anwendungszuweisung
Unternehmen können die Berechtigungen unserer Azure AD Enterprise Application auf bestimmte Benutzer und Benutzergruppen beschränken. Dies kann durch die Zuweisung bestimmter User und Usergruppen zu einer Azure AD Enterprise-Anwendung erfolgen.
- Die Zuweisung zu unserer Anwendung kann in den "Properties"-Einstellungen erstellt werden, indem "Assignment required" auf "Yes" geändert wird.
- Danach haben nur die Benutzer, die dem Abschnitt "Users and groups" hinzugefügt wurden, die Berechtigung, sich mit ihrem Microsoft-Konto bei deskbird anzumelden.
- Hinweis: Ausgewählte Benutzer und Benutzergruppen werden dadurch nicht zu deskbird zugewiesen. Um User und Usergruppen bereitzustellen, benötigen Sie eine separate Azure AD-Anwendung für eine "SCIM"-Synchronisierung.