> For the complete documentation index, see [llms.txt](https://docs.realmjoin.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.realmjoin.com/de/automatisierung/connecting-azure-automation/azure-ad-roles-and-permissions.md). # Anforderungen zur Runbook-Ausführung ## PowerShell-Module {% hint style="info" %} Der Abschnitt PowerShell-Module wird automatisch basierend auf dem [öffentlichen Repository](https://github.com/realmjoin/realmjoin-runbooks). {% endhint %} Die gemeinsam genutzten Runbooks, die auf [GitHub](https://github.com/realmjoin/realmjoin-runbooks) verfügbar sind, erwarten/verwenden die folgenden Windows PowerShell-Module: | Modul | Mindestversion in Runbooks | | -------------------------------- | -------------------------- | | `Az.Accounts` | 5.5.0 | | `Az.Compute` | 5.1.1 | | `Az.DesktopVirtualization` | 5.4.1 | | `Az.ManagementPartner` | 0.7.5 | | `Az.Resources` | 9.0.1 | | `Az.Storage` | 9.6.0 | | `ExchangeOnlineManagement` | 3.9.2 | | `Microsoft.Graph.Authentication` | 2.37.0 | | `MicrosoftTeams` | 7.6.0 | | `RealmJoin.RunbookHelper` | 0.8.6 | RealmJoin Portal importiert und installiert diese Module automatisch, wenn sie von innerhalb eines Runbooks referenziert werden. Dieser Import berücksichtigt auch die für Module angegebenen Mindestversionen. ## Berechtigungen {% hint style="info" %} Der Abschnitt Berechtigungen wird automatisch basierend auf dem [öffentlichen Repository](https://github.com/realmjoin/realmjoin-runbooks). {% endhint %} Die gemeinsamen Runbooks von RealmJoin verwenden die [systemzugewiesene verwaltete Identität](https://learn.microsoft.com/en-us/azure/automation/enable-managed-identity-for-automation) um mit Entra ID, der MS Graph API usw. zu interagieren. Die folgende Liste von Rollen und Berechtigungen ermöglicht es Ihnen, alle derzeit in unserem gemeinsamen Repository verfügbaren Runbooks zu verwenden. Es wird nicht empfohlen, diese Rollen/Berechtigungen zu reduzieren, da die Runbooks nur gegen diesen Berechtigungssatz getestet werden. Wenn Sie den Satz an Rollen/Berechtigungen reduzieren, funktionieren einige Runbooks nicht mehr. ### Entra ID-Rollen Bitte weisen Sie der verwalteten Identität die folgenden Entra ID-Rollen zu * Anwendungsentwickler * Cloud Device Administrator * Exchange-Administrator * Teams-Administrator * Benutzeradministrator ### Graph API-Berechtigungen Bitte gewähren Sie der verwalteten Identität die folgenden Graph API-Berechtigungen * `Application.Read.All` * `Application.ReadWrite.OwnedBy` * `AuditLog.Read.All` * `BitlockerKey.Read.All` * `Channel.ReadBasic.All` * `ChannelMember.ReadWrite.All` * `CloudPC.ReadWrite.All` * `Device.ReadWrite.All` * `DeviceLocalCredential.Read.All` * `DeviceManagementApps.ReadWrite.All` * `DeviceManagementConfiguration.ReadWrite.All` * `DeviceManagementManagedDevices.PrivilegedOperations.All` * `DeviceManagementManagedDevices.ReadWrite.All` * `DeviceManagementServiceConfig.ReadWrite.All` * `Directory.Read.All` * `Group.Create` * `Group.ReadWrite.All` * `GroupMember.ReadWrite.All` * `IdentityRiskyUser.ReadWrite.All` * `InformationProtectionPolicy.Read.All` * `Mail.Send` * `Organization.Read.All` * `Place.Read.All` * `Policy.Read.All` * `Reports.Read.All` * `ReportSettings.ReadWrite.All` * `RoleAssignmentSchedule.Read.Directory` * `RoleManagement.Read.All` * `RoleManagement.Read.Directory` * `Team.Create` * `TeamSettings.ReadWrite.All` * `User.ReadWrite.All` * `UserAuthenticationMethod.ReadWrite.All` * `WindowsUpdates.ReadWrite.All` ### Berechtigungen anderer App-APIs Bitte gewähren Sie der verwalteten Identität die folgenden Office 365 Exchange Online API-Berechtigungen * `Exchange.ManageAsApp` Bitte gewähren Sie der verwalteten Identität die folgenden WindowsDefenderATP API-Berechtigungen * `Machine.Read.All` * `Machine.Isolate` * `Machine.RestrictExecution` * `Ti.ReadWrite.All` Bitte gewähren Sie der verwalteten Identität die folgenden SharePoint API-Berechtigungen * `User.Read.All` * `Sites.Read.All` * `Sites.FullControl.All` ### Rollen und Berechtigungen gewähren Das Gewähren von Berechtigungen für verwaltete Identitäten kann derzeit nicht über das Azure Portal erfolgen. Wir empfehlen hierfür die Verwendung von MS Graph-/PowerShell-Skripting. Sie finden ein Beispiel für diesen Vorgang [hier](https://github.com/Workplace-Foundation/approle-and-directoryrole-granter). ### Azure-Ressourcenberechtigungen Bitte gewähren Sie mindestens den Zugriff "Contributor" auf das Abonnement oder die Ressourcengruppe, die das Azure Automation-Konto für die Runbooks hostet Einige Runbooks verwenden ein Azure Storage Account zum Speichern von Berichten oder Sicherungen. Bitte gewähren Sie mindestens den Zugriff "Contributor" auf das entsprechende Abonnement oder die entsprechende Ressourcengruppe. Die meisten Runbooks können dann die Ressourcen innerhalb der Ressourcengruppe selbst erstellen. ## Authentifizierungsmethoden ### Verwaltete Identitäten Azure Automation unterstützt [Verwaltete Identitäten](https://docs.microsoft.com/en-us/azure/automation/enable-managed-identity-for-automation) (systemzugewiesen) als primäre Authentifizierungsmethode. Dies ersetzt die veralteten RunAs-Konten. Die RealmJoin Runbooks unterstützen derzeit RunAs-Konten, wenn keine verwaltete Identität konfiguriert ist. {% hint style="warning" %} Wenn eine verwaltete Identität und ein RunAs-Konto gleichzeitig konfiguriert sind, verwenden die Runbooks aus dem gemeinsamen Repository von RealmJoin bei neueren Versionen unseres unterstützenden `RealmJoin.RunbookHelper` Moduls ab v0.8.0 automatisch bevorzugt die verwaltete Identität. Ältere Versionen des Moduls konnten verwaltete Identitäten nicht vollständig nutzen und bevorzugten das RunAs-Konto. Bitte stellen Sie sicher, dass Sie der verwalteten Identität die erforderlichen Berechtigungen gewähren oder sie vollständig deaktivieren, um nur das RunAs-Konto zu verwenden. {% endhint %} ### Geheimer Client-Schlüssel Einige private Runbooks benötigen möglicherweise eine Authentifizierung im Stil von Client-ID/Secret. Derzeit gibt es keine gemeinsamen Runbooks, die Client-ID und Secret erfordern. Falls erforderlich, können eine Client-ID und ein Secret in den verwalteten Anmeldeinformationen mit dem Namen "realmjoin-automation-cred" im Azure Automation-Konto gespeichert werden. Derzeit wird die "realmjoin-automation-cred" im Automation-Konto standardmäßig vom RJ-Wizard erstellt, aber mit zufälligen Werten gefüllt - diese müssten mit korrekten Werten befüllt werden. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.realmjoin.com/de/automatisierung/connecting-azure-automation/azure-ad-roles-and-permissions.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.