כאשר אתם מחברים את Atera ל-Microsoft Entra ID, אפליקציית Atera מבקשת סט של הרשאות (OAuth 2.0 scopes) מהדייר שלכם. במאמר זה מוסבר על כל הרשאה ש-Atera מבקשת, מה היא מאפשרת ומתי היא באמת בשימוש.
להוראות הגדרה, ראו סנכרון משתמשים ואנשי קשר מ-Microsoft Entra ID.
על המאמר הזה
מאמר זה מיועד לאנשי אבטחת מידע, תאימות ומנהלי מערכת שצריכים להבין בדיוק מה Atera מבקשת במהלך תהליך ההרשאה של Entra ID OAuth — בין אם לפני אישור האינטגרציה או כחלק מביקורת פנימית.
לגבי כל הרשאה, תמצאו:
- את שם ההרשאה כפי שמופיע במסך ההרשאה
- את ה-Scope של Microsoft Graph
- תיאור שנלקח ישירות מהתיעוד הרשמי של מיקרוסופט
חלק מההרשאות מופיעות פעמיים בבקשה של Atera — פעם אחת כהרשאת אפליקציה ופעם אחת כהרשאה מואצלת. זאת משום שחלקים שונים בפלטפורמה פועלים בהקשרים שונים של אימות:
- הרשאות מואצלות משמשות כאשר יש משתמש מחובר.
- הרשאות אפליקציה משמשות כאשר Atera או Robin פועלות באופן עצמאי ברקע ללא סשן משתמש פעיל.
כאשר הרשאה מתבקשת בשני הסוגים, התיאור למטה משתמש בטקסט של הרשאת אפליקציה מתוך התיעוד של מיקרוסופט, מאחר שזו ההרשאה הרחבה יותר. כאשר הרשאה מתבקשת רק כהרשאה מואצלת, יופיע התיאור של הרשאה מואצלת.
חשוב: להבין מתי הרשאות מופעלות
הרשאה אינה אומרת שההרשאה פעילה
ההרשאות המפורטות במאמר זה ניתנות ברגע שמאשרים את אפליקציית Atera Entra ID — ללא קשר לאילו תכונות של Atera מופעלות לאחר מכן. כל סט ה-OAuth scopes נרשם ב-Entra ID גם אם רק חלק מהפונקציונליות של Atera בשימוש, כמו סנכרון משתמשים בלבד.
הענקת ההרשאות האלו לא גורמת בפני עצמה לשום פעולה בסביבת Entra ID שלכם. ההרשאות הן תקרה, לא הוראה.
הרשאות כתיבה ו-Robin (IT Autopilot)
Scopes של קריאה/כתיבה וכתיבה לא יופעלו אלא אם Robin מופעל בסביבת ה-Atera שלכם. כאשר Robin מופעל, הרשאות אלו יופעלו רק בשני מצבים:
- כחלק מתהליך אוטומטי ש-Robin הוגדר לבצע (למשל, תהליך קליטה או סיום עבודה אוטומטי).
- בתגובה ישירה להוראה מפורשת של משתמש שמפעיל את Robin (למשל, טכנאי או משתמש קצה שמבקש מ-Robin לאפס סיסמה או לעדכן הגדרת תיבת דואר).
Robin לא יבצע שום פעולה באופן עצמאי מחוץ לשני ההקשרים האלו.
ההרשאות האפקטיביות מוגבלות על ידי בקרות הגישה הקיימות ב-Entra ID
הפעולות המותרות ב-Entra ID מוגדרות על ידי ה-OAuth 2.0 scopes שהוענקו, אך הן גם כפופות להרשאות הקיימות של המשתמש המורשה ב-Entra ID.
אם למשתמש אין הרשאה מובנית ב-Entra ID לבצע פעולה מסוימת — כמו שינוי שיטות אימות של משתמש אחר, שינוי חברות בקבוצה או עדכון הגדרות תיבת דואר — הוא לא יוכל לבצע את הפעולה הזו דרך Atera או Robin, גם אם ה-OAuth scope הרלוונטי הוענק.
במילים אחרות: ה-OAuth scope קובע מה האפליקציה יכולה לבקש. הגישה של המשתמש עצמו ב-Entra ID קובעת אם הבקשה הזו תאושר.
מקור רשמי של מיקרוסופט
ערכי ה-Scope והתיאור בטבלאות למטה נלקחו ישירות מהתיעוד הרשמי של מיקרוסופט. ניתן לאמת כל scope בכתובת:
https://learn.microsoft.com/en-us/graph/permissions-reference
הרשאות ש-Atera מבקשת
הרשאות משתמש וזהות
| הרשאה | Scope | מה היא עושה |
|---|---|---|
| התחברות וקריאת פרופיל משתמש | User.Read |
מאפשר למשתמשים להתחבר לאפליקציה, ומאפשר לאפליקציה לקרוא את פרופיל המשתמשים המחוברים. בנוסף, מאפשר לאפליקציה לקרוא מידע בסיסי על החברה של המשתמשים המחוברים. |
| קריאת פרופילים בסיסיים של כל המשתמשים | User.ReadBasic.All |
מאפשר לאפליקציה לקרוא סט בסיסי של מאפייני פרופיל של משתמשים אחרים בארגון בשם המשתמש המחובר. זה כולל שם תצוגה, שם פרטי ומשפחה, כתובת אימייל, הרחבות פתוחות ותמונה. |
| קריאת פרופילים מלאים של כל המשתמשים | User.Read.All |
מאפשר לאפליקציה לקרוא את כל מאפייני הפרופיל, דוחות ומנהלים של משתמשים אחרים בארגון, בשם המשתמש המחובר. |
| קריאה וכתיבה של פרופילים מלאים של כל המשתמשים | User.ReadWrite.All |
מאפשר לאפליקציה לקרוא ולכתוב את כל מאפייני הפרופיל, דוחות ומנהלים של משתמשים אחרים בארגון, בשם המשתמש המחובר. בנוסף, מאפשר לאפליקציה ליצור ולמחוק משתמשים וכן לאפס סיסמאות של משתמשים בשם המשתמש המחובר. |
| קריאה וכתיבה לפרופיל המשתמש | User.ReadWrite |
מאפשר לאפליקציה לקרוא את הפרופיל שלך. בנוסף, מאפשר לאפליקציה לעדכן את פרטי הפרופיל שלך בשמך. |
| קריאה וכתיבה של שיטות אימות של כל המשתמשים | UserAuthenticationMethod.ReadWrite.All |
מאפשר לאפליקציה לקרוא ולכתוב שיטות אימות של כל המשתמשים בארגון, ללא משתמש מחובר. שיטות אימות כוללות למשל מספרי טלפון של משתמש והגדרות אפליקציית Authenticator. |
| גישה לספריה בשם המשתמש המחובר | Directory.AccessAsUser.All |
מאפשר לאפליקציה לקבל את אותה גישה למידע בספריה כמו למשתמש המחובר. |
הרשאות ספריה וקבוצות
| הרשאה | Scope | מה היא עושה |
|---|---|---|
| קריאת נתוני ספריה | Directory.Read.All |
מאפשר לאפליקציה לקרוא נתונים בספריה של הארגון, כמו משתמשים, קבוצות ואפליקציות, ללא משתמש מחובר. |
| קריאה וכתיבה של נתוני ספריה | Directory.ReadWrite.All |
מאפשר לאפליקציה לקרוא ולכתוב נתונים בספריה של הארגון, כמו משתמשים וקבוצות. לא מאפשר לאפליקציה למחוק משתמשים או קבוצות, או לאפס סיסמאות של משתמשים. |
| קריאה וכתיבה של כל הקבוצות | Group.ReadWrite.All |
מאפשר לאפליקציה ליצור קבוצות, לקרוא את כל מאפייני הקבוצות והחברות בהן, לעדכן מאפיינים וחברות בקבוצות, ולמחוק קבוצות. בנוסף, מאפשר לאפליקציה לקרוא ולכתוב שיחות. כל הפעולות האלו יכולות להתבצע על ידי האפליקציה ללא משתמש מחובר. |
| ניהול אפליקציות שנוצרו או בבעלות האפליקציה הזו | Application.ReadWrite.OwnedBy |
מאפשר לאפליקציה ליצור אפליקציות אחרות ולנהל אותן באופן מלא (קריאה, עדכון, עדכון סודות אפליקציה ומחיקה), ללא משתמש מחובר. לא ניתן לעדכן אפליקציות שאינן בבעלותה. |
| קריאת מידע על הארגון | Organization.Read.All |
מאפשר לאפליקציה לקרוא את הארגון ומשאבים קשורים, ללא משתמש מחובר. משאבים קשורים כוללים למשל מנויים ומידע מיתוג של הדייר. |
הרשאות דואר ולוח שנה
| הרשאה | Scope | מה היא עושה |
|---|---|---|
| קריאת לוחות שנה של משתמשים | Calendars.Read |
מאפשר לאפליקציה לקרוא אירועים בלוחות השנה של המשתמשים. |
| קריאה וכתיבה של לוחות שנה בכל תיבות הדואר | Calendars.ReadWrite |
מאפשר לאפליקציה ליצור, לקרוא, לעדכן ולמחוק אירועים בכל לוחות השנה ללא משתמש מחובר. |
| קריאה וכתיבה של כל הגדרות תיבת הדואר של המשתמשים | MailboxSettings.ReadWrite |
מאפשר לאפליקציה ליצור, לקרוא, לעדכן ולמחוק הגדרות תיבת דואר של משתמשים ללא משתמש מחובר. לא כולל הרשאה לשליחת דואר. |
| קריאה וכתיבה של דואר בכל תיבות הדואר | Mail.ReadWrite |
מאפשר לאפליקציה ליצור, לקרוא, לעדכן ולמחוק דואר בכל תיבות הדואר ללא משתמש מחובר. לא כולל הרשאה לשליחת דואר. |
| שליחת דואר בשם כל משתמש | Mail.Send |
מאפשר לאפליקציה לשלוח דואר בשם כל משתמש ללא משתמש מחובר. |
| שמירה על גישה לנתונים שהורשיתם לה | offline_access |
מאפשר לאפליקציה לראות ולעדכן את הנתונים שהורשיתם לה, גם כאשר המשתמשים לא משתמשים כרגע באפליקציה. זה לא מעניק לאפליקציה הרשאות נוספות. |
הרשאות קבצים ו-SharePoint
| הרשאה | Scope | מה היא עושה |
|---|---|---|
| גישה מלאה לכל הקבצים שהמשתמש יכול לגשת אליהם | Files.ReadWrite.All |
מאפשר לאפליקציה לקרוא, ליצור, לעדכן ולמחוק את כל הקבצים שהמשתמש המחובר יכול לגשת אליהם. |
| עריכה או מחיקה של פריטים בכל אוספי האתרים | Sites.ReadWrite.All |
מאפשר לאפליקציה לערוך או למחוק מסמכים ופריטים ברשימות בכל אוספי האתרים בשם המשתמש המחובר. |
| שליטה מלאה בכל אוספי האתרים | Sites.FullControl.All |
מאפשר לאפליקציה ליצור או למחוק ספריות מסמכים ורשימות בכל אוספי האתרים ללא משתמש מחובר. |
הרשאות אנשי קשר
| הרשאה | Scope | מה היא עושה |
|---|---|---|
| גישה מלאה לאנשי הקשר של המשתמש | Contacts.ReadWrite |
מאפשר לאפליקציה ליצור, לקרוא, לעדכן ולמחוק את כל אנשי הקשר בכל תיבות הדואר ללא משתמש מחובר. |
הרשאות דיווח וניהול
| הרשאה | Scope | מה היא עושה |
|---|---|---|
| קריאת כל דוחות השימוש | Reports.Read.All |
מאפשר לאפליקציה לקרוא את כל דוחות השימוש בשירותים ללא משתמש מחובר. שירותים שמספקים דוחות שימוש כוללים את Office 365 ו-Microsoft Entra ID. |
| קריאה וכתיבה של הגדרות דוחות ניהול | ReportSettings.ReadWrite.All |
מאפשר לאפליקציה לקרוא ולעדכן הגדרות דוחות ניהול, כמו האם להציג מידע מוסתר בדוחות, בשם המשתמש המחובר. |
| קריאת כל המקומות של החברה | Place.Read.All |
מאפשר לאפליקציה לקרוא מקומות של החברה (חדרי ישיבות ורשימות חדרים) עבור אירועי לוח שנה ואפליקציות אחרות, ללא משתמש מחובר. |
הרשאות מכשירים ונקודות קצה
| הרשאה | Scope | מה היא עושה |
|---|---|---|
| קריאה וכתיבה של מכשירי Microsoft Intune | DeviceManagementManagedDevices.ReadWrite.All |
מאפשר לאפליקציה לקרוא ולכתוב מאפיינים של מכשירים המנוהלים על ידי Microsoft Intune, ללא משתמש מחובר. לא מאפשר פעולות בעלות השפעה גבוהה כמו מחיקה מרחוק ואיפוס סיסמה של בעל המכשיר. |
| קריאה וכתיבה של Cloud PCs | CloudPC.ReadWrite.All |
מאפשר לאפליקציה לקרוא ולכתוב מאפיינים של Cloud PCs, ללא משתמש מחובר. |
