Wenn Sie Atera mit Microsoft Entra ID verbinden, fordert die Atera-Anwendung eine Reihe von Berechtigungen (OAuth 2.0-Scopes) von Ihrem Mandanten an. In diesem Artikel werden alle von Atera angeforderten Berechtigungen erklärt, was sie ermöglichen und wann sie tatsächlich verwendet werden.
Eine Anleitung zur Einrichtung finden Sie unter Benutzer und Kontakte aus Microsoft Entra ID synchronisieren.
Über diesen Artikel
Dieser Artikel richtet sich an IT-Sicherheits-, Compliance- und Administratoren, die genau verstehen müssen, welche Berechtigungen Atera während des Entra ID OAuth-Zustimmungsprozesses anfordert – entweder vor der Freigabe der Integration oder im Rahmen eines internen Audits.
Zu jeder Berechtigung finden Sie:
- Den Namen der Berechtigung, wie er im Zustimmungsbildschirm erscheint
- Den Microsoft Graph Scope
- Eine Beschreibung direkt aus der offiziellen Microsoft-Dokumentation
Einige Berechtigungen erscheinen in Ateras Anfrage doppelt – einmal als Anwendungsberechtigung und einmal als Delegierte Berechtigung. Das liegt daran, dass verschiedene Teile der Plattform in unterschiedlichen Authentifizierungskontexten arbeiten:
- Delegierte Berechtigungen werden verwendet, wenn ein angemeldeter Benutzer vorhanden ist.
- Anwendungsberechtigungen werden verwendet, wenn Atera oder Robin eigenständig im Hintergrund ohne aktive Benutzersitzung agiert.
Wenn eine Berechtigung als beide Typen angefordert wird, wird in der Beschreibung unten der Text zur Anwendungsberechtigung aus der Microsoft-Dokumentation verwendet, da dies die weiterreichendere Variante ist. Wird eine Berechtigung nur als delegierte Berechtigung angefordert, wird die Beschreibung der delegierten Berechtigung verwendet.
Wichtig: Wann werden Berechtigungen tatsächlich genutzt?
Erteilt heißt nicht aktiv
Die in diesem Artikel aufgeführten Berechtigungen werden beim Autorisieren der Atera Entra ID-Anwendung gewährt – unabhängig davon, welche Atera-Funktionen anschließend aktiviert werden. Der vollständige Satz an OAuth-Scopes wird bei Entra ID registriert, auch wenn nur ein Teil der Atera-Funktionalität genutzt wird, zum Beispiel nur die Benutzersynchronisierung.
Das Erteilen dieser Scopes führt nicht automatisch zu einer Aktion in Ihrer Entra ID-Umgebung. Die Berechtigungen stellen eine Obergrenze dar, keine Anweisung.
Schreibberechtigungen und Robin (IT Autopilot)
Lese-/Schreib- und schreibfähige Scopes werden nur genutzt, wenn Robin in Ihrer Atera-Umgebung aktiviert ist. Ist Robin aktiviert, werden diese Berechtigungen nur in zwei Szenarien verwendet:
- Im Rahmen eines automatisierten Workflows, den Robin ausführen soll (zum Beispiel eine ausgelöste Onboarding- oder Offboarding-Sequenz).
- Als direkte Reaktion auf eine explizite Anweisung eines Benutzers, der mit Robin interagiert (zum Beispiel, wenn ein Techniker oder Endnutzer Robin bittet, ein Passwort zurückzusetzen oder eine Postfacheinstellung zu ändern).
Robin wird außerhalb dieser beiden Kontexte keine eigenständigen Aktionen durchführen.
Effektive Berechtigungen sind durch Ihre bestehenden Entra ID-Zugriffsrechte begrenzt
Die erlaubten Aktionen innerhalb von Entra ID werden durch die gewährten OAuth 2.0-Scopes definiert, aber auch streng durch die bestehenden Berechtigungen des autorisierenden Benutzers in Entra ID geregelt.
Wenn ein Benutzer nicht über die nativen Entra ID-Berechtigungen für eine Aktion verfügt – zum Beispiel das Ändern der Authentifizierungsmethoden eines anderen Benutzers, das Anpassen von Gruppenmitgliedschaften oder das Aktualisieren von Postfacheinstellungen – kann er diese Aktion auch über Atera oder Robin nicht ausführen, selbst wenn der entsprechende OAuth-Scope gewährt wurde.
Anders gesagt: Der OAuth-Scope legt fest, was die Anwendung anfordern darf. Die rollenbasierte Zugriffssteuerung des Benutzers in Entra ID entscheidet, ob diese Anfrage genehmigt wird.
Offizielle Microsoft-Referenz
Die Scope- und Beschreibungswerte in den untenstehenden Tabellen stammen direkt aus der offiziellen Microsoft-Berechtigungsreferenz. Sie können jeden Scope überprüfen unter:
https://learn.microsoft.com/de/graph/permissions-reference
Von Atera angeforderte Berechtigungen
Benutzer- und Identitätsberechtigungen
| Berechtigung | Scope | Was sie bewirkt |
|---|---|---|
| Anmelden und Benutzerprofil lesen | User.Read |
Ermöglicht Benutzern die Anmeldung in der App und der App das Lesen des Profils angemeldeter Benutzer. Außerdem kann die App grundlegende Unternehmensinformationen der angemeldeten Benutzer lesen. |
| Alle Basisprofile der Benutzer lesen | User.ReadBasic.All |
Ermöglicht der App das Lesen eines grundlegenden Satzes von Profileigenschaften anderer Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers. Dazu gehören Anzeigename, Vor- und Nachname, E-Mail-Adresse, offene Erweiterungen und Foto. |
| Alle vollständigen Benutzerprofile lesen | User.Read.All |
Ermöglicht der App das Lesen des vollständigen Satzes von Profileigenschaften, Berichten und Vorgesetzten anderer Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers. |
| Alle vollständigen Benutzerprofile lesen und schreiben | User.ReadWrite.All |
Ermöglicht der App das Lesen und Schreiben des vollständigen Satzes von Profileigenschaften, Berichten und Vorgesetzten anderer Benutzer in Ihrer Organisation im Namen des angemeldeten Benutzers. Außerdem kann die App Benutzer erstellen und löschen sowie Benutzerpasswörter im Namen des angemeldeten Benutzers zurücksetzen. |
| Lese- und Schreibzugriff auf Benutzerprofil | User.ReadWrite |
Ermöglicht der App das Lesen Ihres Profils. Außerdem kann die App Ihre Profilinformationen in Ihrem Namen aktualisieren. |
| Alle Authentifizierungsmethoden der Benutzer lesen und schreiben | UserAuthenticationMethod.ReadWrite.All |
Ermöglicht der App das Lesen und Schreiben von Authentifizierungsmethoden aller Benutzer in Ihrer Organisation, ohne dass ein angemeldeter Benutzer erforderlich ist. Authentifizierungsmethoden umfassen beispielsweise Telefonnummern und Einstellungen der Authenticator-App eines Benutzers. |
| Verzeichnis als angemeldeter Benutzer nutzen | Directory.AccessAsUser.All |
Ermöglicht der App denselben Zugriff auf Informationen im Verzeichnis wie dem angemeldeten Benutzer. |
Verzeichnis- und Gruppenberechtigungen
| Berechtigung | Scope | Was sie bewirkt |
|---|---|---|
| Verzeichnisdaten lesen | Directory.Read.All |
Ermöglicht der App das Lesen von Daten im Verzeichnis Ihrer Organisation, wie Benutzer, Gruppen und Apps, ohne dass ein angemeldeter Benutzer erforderlich ist. |
| Verzeichnisdaten lesen und schreiben | Directory.ReadWrite.All |
Ermöglicht der App das Lesen und Schreiben von Daten im Verzeichnis Ihrer Organisation, wie Benutzer und Gruppen. Das Löschen von Benutzern oder Gruppen oder das Zurücksetzen von Benutzerpasswörtern ist nicht möglich. |
| Alle Gruppen lesen und schreiben | Group.ReadWrite.All |
Ermöglicht der App das Erstellen von Gruppen, das Lesen aller Gruppeneigenschaften und Mitgliedschaften, das Aktualisieren von Gruppeneigenschaften und Mitgliedschaften sowie das Löschen von Gruppen. Außerdem kann die App Unterhaltungen lesen und schreiben. Alle diese Vorgänge können von der App ohne angemeldeten Benutzer durchgeführt werden. |
| Apps verwalten, die diese App erstellt oder besitzt | Application.ReadWrite.OwnedBy |
Ermöglicht der App das Erstellen anderer Anwendungen und die vollständige Verwaltung dieser Anwendungen (Lesen, Aktualisieren, Aktualisieren von Anwendungsschlüsseln und Löschen), ohne dass ein angemeldeter Benutzer erforderlich ist. Sie kann keine Apps aktualisieren, deren Besitzer sie nicht ist. |
| Organisationsinformationen lesen | Organization.Read.All |
Ermöglicht der App das Lesen der Organisation und verwandter Ressourcen ohne angemeldeten Benutzer. Verwandte Ressourcen sind beispielsweise abonnierte SKUs und Informationen zum Mandantenbranding. |
Mail- und Kalenderberechtigungen
| Berechtigung | Scope | Was sie bewirkt |
|---|---|---|
| Benutzerkalender lesen | Calendars.Read |
Ermöglicht der App das Lesen von Ereignissen in Benutzerkalendern. |
| Kalender in allen Postfächern lesen und schreiben | Calendars.ReadWrite |
Ermöglicht der App das Erstellen, Lesen, Aktualisieren und Löschen von Ereignissen aller Kalender ohne angemeldeten Benutzer. |
| Alle Postfacheinstellungen der Benutzer lesen und schreiben | MailboxSettings.ReadWrite |
Ermöglicht der App das Erstellen, Lesen, Aktualisieren und Löschen von Postfacheinstellungen der Benutzer ohne angemeldeten Benutzer. Beinhaltet keine Berechtigung zum Senden von E-Mails. |
| Alle E-Mails in allen Postfächern lesen und schreiben | Mail.ReadWrite |
Ermöglicht der App das Erstellen, Lesen, Aktualisieren und Löschen von E-Mails in allen Postfächern ohne angemeldeten Benutzer. Beinhaltet keine Berechtigung zum Senden von E-Mails. |
| Als beliebiger Benutzer E-Mails senden | Mail.Send |
Ermöglicht der App das Senden von E-Mails als beliebiger Benutzer ohne angemeldeten Benutzer. |
| Zugriff auf Daten behalten, für die Sie Zugriff gewährt haben | offline_access |
Ermöglicht der App das Anzeigen und Aktualisieren der Daten, für die Sie ihr Zugriff gewährt haben, auch wenn Benutzer die App gerade nicht verwenden. Dies gewährt der App keine zusätzlichen Berechtigungen. |
Datei- und SharePoint-Berechtigungen
| Berechtigung | Scope | Was sie bewirkt |
|---|---|---|
| Vollzugriff auf alle Dateien, auf die der Benutzer Zugriff hat | Files.ReadWrite.All |
Ermöglicht der App das Lesen, Erstellen, Aktualisieren und Löschen aller Dateien, auf die der angemeldete Benutzer Zugriff hat. |
| Elemente in allen Websitesammlungen bearbeiten oder löschen | Sites.ReadWrite.All |
Ermöglicht der Anwendung das Bearbeiten oder Löschen von Dokumenten und Listeneinträgen in allen Websitesammlungen im Namen des angemeldeten Benutzers. |
| Vollzugriff auf alle Websitesammlungen | Sites.FullControl.All |
Ermöglicht der App das Erstellen oder Löschen von Dokumentbibliotheken und Listen in allen Websitesammlungen ohne angemeldeten Benutzer. |
Kontaktberechtigungen
| Berechtigung | Scope | Was sie bewirkt |
|---|---|---|
| Vollzugriff auf Benutzerkontakte | Contacts.ReadWrite |
Ermöglicht der App das Erstellen, Lesen, Aktualisieren und Löschen aller Kontakte in allen Postfächern ohne angemeldeten Benutzer. |
Berichts- und Administratorberechtigungen
| Berechtigung | Scope | Was sie bewirkt |
|---|---|---|
| Alle Nutzungsberichte lesen | Reports.Read.All |
Ermöglicht einer App das Lesen aller Nutzungsberichte von Diensten ohne angemeldeten Benutzer. Dienste, die Nutzungsberichte bereitstellen, sind unter anderem Office 365 und Microsoft Entra ID. |
| Administrator-Berichtseinstellungen lesen und schreiben | ReportSettings.ReadWrite.All |
Ermöglicht der App das Lesen und Aktualisieren von Administrator-Berichtseinstellungen, wie z. B. ob ausgeblendete Informationen in Berichten angezeigt werden, im Namen des angemeldeten Benutzers. |
| Alle Unternehmensstandorte lesen | Place.Read.All |
Ermöglicht der App das Lesen von Unternehmensstandorten (Konferenzräume und Raumlisten) für Kalenderereignisse und andere Anwendungen ohne angemeldeten Benutzer. |
Geräte- und Endpunktberechtigungen
| Berechtigung | Scope | Was sie bewirkt |
|---|---|---|
| Microsoft Intune-Geräte lesen und schreiben | DeviceManagementManagedDevices.ReadWrite.All |
Ermöglicht der App das Lesen und Schreiben der Eigenschaften von Geräten, die von Microsoft Intune verwaltet werden, ohne angemeldeten Benutzer. Hochwirksame Aktionen wie Remote-Löschung und Passwortzurücksetzung beim Gerätebesitzer sind nicht möglich. |
| Cloud-PCs lesen und schreiben | CloudPC.ReadWrite.All |
Ermöglicht der App das Lesen und Schreiben der Eigenschaften von Cloud-PCs ohne angemeldeten Benutzer. |
