Microsoft-Berechtigungen
Betreut von: Aether365 Team Zielgruppe: Microsoft 365 Global Administrators und Sicherheitsteams Umfang: Vollständige Liste der von Aether365 angeforderten Microsoft Graph-Berechtigungen
Wenn Sie einen Microsoft 365 Tenant mit Aether365 verbinden, genehmigt Ihr Global Administrator eine Reihe von schreibgeschützten Berechtigungen auf dem Microsoft-Zustimmungsbildschirm. Diese Seite listet jede Berechtigung, ihren Typ und den Grund auf.
Wichtige Punkte
- Alle Berechtigungen sind auf Anwendungsebene (nicht an einen Benutzer delegiert)
- Alle Berechtigungen sind schreibgeschützt - Aether365 kann keine Daten in Ihrem Tenant erstellen, ändern oder löschen
- Berechtigungen werden einmalig über die Global-Admin-Zustimmung erteilt und bleiben bestehen, bis Sie den Tenant trennen oder den Aether365-Dienstprinzipal aus Ihrem Tenant löschen
- Sie können Berechtigungen jederzeit im Microsoft Entra Admin Center > Unternehmensanwendungen > Aether365 überprüfen und widerrufen
Berechtigungsreferenz
Die Spalte Verwendet von gibt an, welcher Scan-Typ die Berechtigung benötigt: C = Compliance Scan, E = Exposure Scan, C+E = beide.
| Berechtigung | Typ | Verwendet von | Warum benötigt |
|---|---|---|---|
AccessReview.Read.All | Application | E | Zugriffsüberprüfungsdefinitionen und -ergebnisse für Governance-Prüfungen lesen |
AppCatalog.Read.All | Application | E | Unternehmens-App-Katalogeinträge und Genehmigungsrichtlinien lesen |
Application.Read.All | Application | E | Anwendungsregistrierungen und Anmeldedatenkonfigurationen lesen |
AuditLog.Read.All | Application | E | Audit- und Anmeldeprotokolle für EIDSCA- und CISA-Benchmark-Prüfungen lesen |
ConsentRequest.Read.All | Application | E | Benutzerzustimmungsanfragen und Admin-Zustimmungs-Workflow-Status lesen |
CrossTenantInformation.ReadBasic.All | Application | E | Mandantenübergreifende Zugriffseinstellungen für B2B-Zusammenarbeitsprüfungen lesen |
DeviceManagementApps.Read.All | Application | E | Intune-App-Schutz- und App-Konfigurationsrichtlinien lesen |
DeviceManagementConfiguration.Read.All | Application | E | Intune-Gerätekonfigurationsrichtlinien lesen |
DeviceManagementManagedDevices.Read.All | Application | E | Verwaltetes Geräteinventar und Konformitätsstatus lesen |
DeviceManagementRBAC.Read.All | Application | E | Intune-RBAC-Rollenzuweisungen lesen |
Directory.Read.All | Application | C+E | Benutzer, Gruppen, Dienstprinzipale und Verzeichnisobjekte zur Identitätskonfiguration lesen |
DirectoryRecommendations.Read.All | Application | E | Entra ID-Empfehlungen für Verbesserungen der Sicherheitslage lesen |
EntitlementManagement.Read.All | Application | E | Zugriffspakete und Berechtigungsverwaltungsrichtlinien lesen |
ExternalConnection.Read.All | Application | E | Externe Verbindungen und Konnektoren für Datenexpositionsprüfungen lesen |
GroupMember.Read.All | Application | E | Gruppenmitgliedschaften zur Bewertung der Rollen- und Berechtigungsvererbung lesen |
IdentityProvider.Read.All | Application | E | Konfigurierte Identitätsanbieter und Föderationseinstellungen lesen |
IdentityRiskEvent.Read.All | Application | E | Risikoereigniserkennungen von Identity Protection lesen |
IdentityRiskyUser.Read.All | Application | E | Riskante Benutzererkennungen von Microsoft Entra ID Protection lesen |
MailboxSettings.Read | Application | C | Exchange Online-Postfacheinstellungen für CIS-E-Mail-Sicherheitskontrollen lesen |
Organization.Read.All | Application | C+E | Mandantenebene Konfiguration, Lizenzzuweisungen und Organisationsprofil lesen |
Policy.Read.All | Application | C+E | Richtlinien für bedingten Zugriff, Authentifizierungsstärke und andere Sicherheitsrichtlinien lesen |
Policy.Read.ConditionalAccess | Application | E | Details der Richtlinien für bedingten Zugriff für Fehlkonfigurationsprüfungen lesen |
PrivilegedAccess.Read.AzureAD | Application | E | PIM-Rollenberechtigungen und Aktivierungseinstellungen lesen |
PrivilegedEligibilitySchedule.Read.AzureADGroup | Application | E | PIM-Gruppenberechtigungszeitpläne lesen |
Reports.Read.All | Application | C+E | Nutzungsberichte und Anmeldeaktivitäten für CIS- und CISA-Benchmark-Prüfungen lesen |
RoleEligibilitySchedule.Read.Directory | Application | E | PIM-Rollenberechtigungszeitpläne für Just-in-Time-Zugriffsprüfungen lesen |
RoleManagement.Read.All | Application | C+E | Entra ID-Rollenzuweisungen zur Erkennung überprivilegierter Konten lesen |
RoleManagementPolicy.Read.AzureADGroup | Application | E | PIM-Richtlinien für Gruppenrollenzuweisungen lesen |
SecurityEvents.Read.All | Application | C+E | Sicherheitswarnungen und -ereignisse für die Bedrohungsexpositionsbewertung lesen |
SharePointTenantSettings.Read.All | Application | E | SharePoint-mandantenweite Freigabe- und Sicherheitseinstellungen lesen |
Sites.Read.All | Application | E | SharePoint-Websitekonfigurationen und Freigabeeinstellungen lesen |
Team.ReadBasic.All | Application | E | Teams-Teameinstellungen zur Bewertung externer Zugriffs- und Föderationskontrollen lesen |
TeamsAppInstallation.ReadForUser.All | Application | E | Installierte Teams-Apps zur Erkennung nicht genehmigter Drittanbieteranwendungen lesen |
User.Read.All | Application | C+E | Benutzerprofile, Anmeldeeinstellungen und Lizenzzuweisungen lesen |
UserAuthenticationMethod.Read.All | Application | C+E | Registrierte MFA-Methoden zur Überprüfung der benutzerspezifischen Authentifizierungsstärke lesen |
Erteilte Berechtigungen überprüfen
So überprüfen Sie, welche Berechtigungen Aether365 in Ihrem Tenant hat:
- Melden Sie sich beim Microsoft Entra Admin Center an
- Navigieren Sie zu Unternehmensanwendungen
- Suchen Sie nach "Aether365"
- Wählen Sie die Anwendung aus und öffnen Sie Berechtigungen
Die Berechtigungsseite zeigt alle genehmigten Berechtigungen zusammen mit der Information, wer die Zustimmung erteilt hat und wann.
Berechtigungen widerrufen
So widerrufen Sie alle Aether365-Berechtigungen für einen Tenant:
- Wählen Sie im Microsoft Entra Admin Center unter Unternehmensanwendungen Aether365 aus
- Klicken Sie auf Löschen, um den Dienstprinzipal vollständig zu entfernen
Dies widerruft alle Berechtigungen und verhindert, dass Aether365 auf den Tenant zugreifen kann. Zukünftige Scan-Versuche für diesen Tenant schlagen fehl. Um Scans zu stoppen, trennen Sie den Tenant zusätzlich im Aether365-Dashboard (Einstellungen > Verbindungen).
Fragen
Bei Fragen zu einer bestimmten Berechtigung oder wenn Sie den Berechtigungsumfang für ein Enterprise-Deployment besprechen möchten, kontaktieren Sie security@aether365.io.