# Erforderliche Berechtigungen RealmJoin Portal besteht aus mehreren Apps, die für unterschiedliche Anwendungsfälle verwendet werden. Die folgenden aufgeführten Berechtigungen werden derzeit nicht vom Portal angefordert. Möglicherweise sind Anpassungen erforderlich, um diesen Satz mit den geringsten Rechten hier darzustellen. Dies wird in einer zukünftigen Portalversion behoben. ## RealmJoin Portal Anwendungs-ID: `b0130885-16be-4c6f-83de-5b1042b5d2e3` Benutzer interagieren mit dieser App für Self-Service. Administratoren verwenden diese App, um mit allen Funktionen des RealmJoin Portal zu interagieren. Dazu gehört das Onboarding der [Berechtigungen der Kernfunktionen](#api-permissions-1). Alle folgenden Berechtigungen haben den Berechtigungstyp „**Delegated**“ ( = kann nur ausgeführt werden, wenn ein Benutzer interaktiv angemeldet ist). Außerdem kann diese App **pro Benutzer zugestimmt werden** ( = Admin-Zustimmung ist optional). Alle folgenden Berechtigungen richten sich an [MS Graph API](https://docs.microsoft.com/en-us/graph/api/overview?view=graph-rest-1.0). \ Weitere Informationen zu den einzelnen Berechtigungen finden Sie [hier](https://docs.microsoft.com/en-us/graph/permissions-reference). Diese Berechtigungen sind für die Grundfunktionalität der App pro Benutzer erforderlich. ### API-Berechtigungen Die folgenden Berechtigungen sind vom Typ "Delegated" und werden hauptsächlich für die Anmeldung am Portal verwendet. | Anspruch | Verwendung | | ---------------- | ------------------------------------------------------ | | `User.Read` | Anmelden und grundlegende Benutzereigenschaften lesen | | `profile` | Benutzerinformationen lesen (Name, Bild, Benutzername) | | `email` | Benutzerinformationen lesen (E-Mail-Adresse) | | `openid` | Anmeldung / Authentifizierung | | `offline_access` | Daten pro Benutzer dauerhaft beibehalten | ## RealmJoin Portal - Kernfunktionen Anwendungs-ID: `61fcb903-2868-4c54-91cd-2716c62c5007` Administratoren und Benutzer interagieren nicht direkt mit dieser App. Sie repräsentiert das Backend von RealmJoin, das mit Entra ID und Intune interagiert. Alle von dieser App ausgelösten Aktionen werden durch das interne Berechtigungsmodell (RBAC) von RealmJoin gefiltert, das Entra-Gruppen- und Rollenmitgliedschaften auswerten kann. Alle folgenden Berechtigungen haben den Berechtigungstyp „**Anwendung**“ ( = kann ohne einen angemeldeten Benutzer ausgeführt werden) und richtet sich an [MS Graph API](https://docs.microsoft.com/en-us/graph/api/overview?view=graph-rest-1.0). Weitere Informationen zu den einzelnen Berechtigungen finden Sie [hier](https://docs.microsoft.com/en-us/graph/permissions-reference). Wenn Sie **RealmJoin Core Features (Read-Only)** Funktionen onboarden, werden schreibgeschützte Versionen derselben Berechtigungen onboardet und es wird nur eingeschränkte Funktionalität angeboten. Dies kann verwendet werden, um RealmJoin Portal mit weniger Berechtigungen zu testen. Siehe [unten](#realmjoin-portal-core-features-1) für Details. ### API-Berechtigungen Die folgende Tabelle spiegelt die Berechtigungen (Typ Anwendungsberechtigungen) wider, wenn Administrative Units (AU) **nicht verwendet werden**. Einige der Berechtigungen sind optional, bitte wenden Sie sich an Ihren Onboarding-Partner, um die Zustimmung an Ihre Bedürfnisse anzupassen. | Anspruch | Verwendung | | --------------------------------------------------------- | ---------------------------------------------------------------------------------- | | `User.Read.All` | Benutzer sowie Benutzerselbstservices auflisten / anzeigen | | `Device.Read.All` | Mit Geräten und der Geräteverwaltung interagieren | | `Group.ReadWrite.All` | Gruppen sowie Anwendungsgruppenverwaltung auflisten / anzeigen | | `GroupMember.ReadWrite.All` | Mitgliedschaften von Anwendungszuweisungsgruppen verwalten | | `AuditLog.Read.All` | Letztes Anmeldedatum von Benutzern und Geräten lesen | | `DeviceManagementServiceConfig.Read.All` | Softwarebereitstellung und Geräteverwaltung über Intune verwalten / automatisieren | | `DeviceManagementManagedDevices.PrivilegedOperations.All` | Geräteverwaltungsaufgaben wie "Scan Device" auslösen | | `DeviceManagementManagedDevices.Read.All` | Softwarebereitstellung und Geräteverwaltung über Intune verwalten / automatisieren | | `DeviceManagementConfiguration.ReadWrite.All` | Device Health Scripts verwalten | | `DeviceManagementApps.ReadWrite.All` | Softwarebereitstellung über Intune verwalten / automatisieren | | `AdministrativeUnit.Read.All` (optional) | Wird benötigt, wenn AU verwendet werden. | ## RealmJoin Portal - Sicherheitsfunktionen Anwendungs-ID: `e5713826-15ee-4f6c-91ee-56cb1844e275` Diese App ist für erweiterte Sicherheitsinformationen im ReamJoin Portal zuständig. Bitte wenden Sie sich an Ihren Onboarding-Partner, um die Zustimmung an Ihre Bedürfnisse anzupassen. ### API-Berechtigungen | Anspruch | Verwendung | | --------------------------------- | ---------------------------------------------------------------------------------------------------------------- | | `User.Read.All` | Benutzerprofile lesen; Anmelden und Benutzerprofil lesen | | `NetworkAccessPolicy.Read.All` | URL-Profile lesen; IP-Adressprofile lesen | | `IdentityRiskEvent.Read.All` | Alle IOCs (Indicators of Compromise) lesen | | `SecurityRecommendation.Read.All` | Sicherheitsempfehlungen des Threat and Vulnerability Management lesen | | `SecurityAlert.Read.All` | Alle Warnungen lesen | | `ThreatAssessment.Read.All` | Informationen des Threat and Vulnerability Management lesen; Score des Threat and Vulnerability Management lesen | | `SecurityConfiguration.Read.All` | Alle Sicherheitskonfigurationen lesen | | `Device.Read.All` | Alle Maschinenprofile lesen | | `Files.Read.All` | Dateiprof le lesen | | `SecurityEvents.Read.All` | Erweiterte Abfragen ausführen | ## RealmJoin Agent Anwendungs-ID: `008c704d-20fe-4c15-bab0-c2e6f66a992c` Diese App ist für die Clientanwendung (RealmJoin Agent) (Berechtigungstyp Delegated) und das klassische Portal (Berechtigungstyp Application) zuständig. Bitte wenden Sie sich an Ihren Onboarding-Partner, um die Zustimmung an Ihre Bedürfnisse anzupassen. ### API-Berechtigungen | Anspruch | Verwendung | | ----------------------- | ---------------------------------------------------------------------------------- | | `User.Read` (Delegated) | Clientanwendung: Wird vom RealmJoin Agent verwendet | | `User.Read.All` | Klassisches Portal: Benutzer auflisten / anzeigen | | `Device.Read.All` | Klassisches Portal: Mit Geräten und der Geräteverwaltung interagieren | | `Group.Read.All` | Klassisches Portal: Gruppen sowie Anwendungsgruppenverwaltung auflisten / anzeigen |