Konfigurieren mit einer Azure AD Premium-Lizenz

Um Ihre Azure AD-Umgebung mit einer Azure AD Premium-Lizenz zu überprüfen, verwendet ADAudit Plus die Microsoft Graph API, um Ereignisse von Azure AD abzurufen.

Erforderliche Berechtigungen bei der Verwendung der Microsoft Graph API

• Application.Read.All
• AuditLog.Read.All
• Directory.Read.All
• IdentityRiskEvent.Read.All
• Group.Read.All
• User.Read.All

Eine Anwendung registrieren

Registrieren Sie eine Anwendung im Azure-Portal, indem Sie die folgenden Schritte ausführen:

1. Gehen Sie zum Azure-Portal und melden Sie sich mit Ihrem Microsoft-Konto an.
2. Wählen Sie Azure Active Directory aus dem Bereich Azure-Dienste.
   
3. Gehen Sie zu Verwalten > App-Registrierungen > + Neue Registrierung, um das Fenster Anwendung registrieren zu öffnen.
   
4. Geben Sie den Anwendungsnamen ein, zum Beispiel ADAudit Plus Application.
5. Stellen Sie sicher, dass unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis (nur zohoadapazure - Einzelmandant) ausgewählt ist.

6. Klicken Sie auf Registrieren.

Gewähren von minimalen Berechtigungen für die Microsoft Graph API

Um die erforderlichen Berechtigungen mithilfe der Microsoft Graph API zu gewähren:

1. Gehen Sie zum Azure-Portal, und melden Sie sich mit Ihrem Microsoft-Konto an.
2. Wählen Sie Azure Active Directory aus dem Bereich Azure-Dienste.
   
3. Gehen Sie zu Verwalten > App-Registrierungen. Wählen Sie Ihre Anwendung unter Eigene Anwendungen.
   
4. Gehen Sie zu Verwalten > API-Berechtigungen und wählen Sie + Eine Berechtigung hinzufügen.
   
   
   
   
5. Wählen Sie Microsoft Graph. Klicken Sie auf Anwendungsberechtigungen als erforderlichen Berechtigungstyp.
6. Wählen Sie aus der Liste Folgendes aus:
   • Application.Read.All
   • AuditLog.Read.All
   • Directory.Read.All
   • IdentityRiskEvent.Read.All
   • Group.Read.All
   • User.Read.All

7. Klicken Sie auf Berechtigungen hinzufügen.
8. Wählen Sie Admin-Zustimmung für <tenantname > gewähren
9. Klicken Sie auf Ja.

Client-ID und Client-Secret erhalten

1. Gehen Sie zum Azure-Portal, und melden Sie sich mit Ihrem Microsoft-Konto an.
2. Wählen Sie den Azure Active Directory-Dienst im Abschnitt Azure-Dienste.
3. Navigieren Sie zu Verwalten > App-Registrierungen. Wählen Sie Ihre Anwendung unter Eigene Anwendungen.
   
4. Gehen Sie zu Verwalten > Zertifikate & Geheimnisse.
   • Klicken Sie auf + Neues Client-Geheimnis.
   • Geben Sie die Beschreibung ein.
   • Wählen Sie 24 Monate als Ablaufdatum; dies ist der maximal verwendbare Wert.
   • Klicken Sie auf Hinzufügen.
   • Kopieren Sie den Wert des Client-Geheimnisses (z.B. "14uCILxkHtIVGR3wkCq12341Nd5VtestkkWTyIPrrE=")




5. Gehen Sie zu Verwalten > App-Registrierungen. Wählen Sie Ihre Anwendung unter Eigene Anwendungen.
6. Navigieren Sie zu Anwendung (Client-ID) und klicken Sie auf In Zwischenablage kopieren.

Einrichten von Azure AD in ADAudit Plus

1. Öffnen Sie die ADAudit Plus-Webkonsole.
2. Gehen Sie zu Konfiguration > Konfigurierter Server > Cloud-Verzeichnis.
3. Wählen Sie +Mandanten hinzufügen in der oberen rechten Ecke.
   
4. Wählen Sie Audit über Azure.
5. Im Fenster Cloud-Verzeichnis wählen Sie den Cloud-Typ basierend auf den nationalen Cloud-Punkten aus der folgenden Liste:
   • Azure AD globaler Dienst (Azure Cloud - Standard)
   • Azure AD für US-Regierung L4 (Azure GCC High Cloud)
   • Azure AD für US-Regierung L5 (Azure DOD Cloud)
   • Azure AD China betrieben von 21Vianet (Azure China Cloud)
   • Azure AD für Deutschland (Azure Germany Cloud)
6. Geben Sie den Mandantennamen, die Client-ID und das Client-Geheimnis. ein.
   
Hinweis: Um den Mandantennamen zu erhalten:
• Gehen Sie zum Azure-Portal und melden Sie sich mit Ihrem Microsoft-Konto an.
• Suchen Sie nach und wählen Sie Microsoft Entra ID.

• Gehen Sie zu Verwalten > Benutzerdefinierte Domänennamen.
• Klicken Sie auf Filter hinzufügen, wählen Sie unter Filter Primär aus dem Dropdown-Menü, und unter Wert wählen Sie Ja aus dem Dropdown-Menü.

• Kopieren Sie den Namen der primären Domäne, die angezeigt wird, und fügen Sie ihn in das Feld Tenant Name ein.

7. Klicken Sie auf Hinzufügen.

Erforderliche Berechtigungen bei der Verwendung der Azure AD Graph API

Die Verwendung der Azure AD Graph API wird nicht mehr empfohlen. Stattdessen wird dringend empfohlen, die Microsoft Graph API zu verwenden, um Ihr Azure AD zu prüfen.

Weitere Details, warum die Azure AD Graph API abgelöst wurde, finden Sie in den FAQ.

Überprüfen Sie, ob Sie die Azure AD Graph API verwenden, und migrieren Sie, falls dies der Fall ist, mit diesen Schritten:

1. Öffnen Sie die ADAudit Plus-Webkonsole.
2. Gehen Sie zu Konfiguration > Konfigurierter Server > Cloud-Verzeichnis.
   • Wenn in der oberen rechten Ecke die Schaltfläche Zu Microsoft Graph API migrieren verfügbar ist, wird die Azure Active Directory Graph API verwendet.
   • Wenn die Schaltfläche Zurück zu Azure AD Graph API verfügbar ist, wird die Microsoft Graph API verwendet.
3. Migrieren Sie zur Microsoft Graph API von der Azure AD Graph API, indem Sie auf Zu Microsoft Graph API migrieren in der oberen rechten Ecke klicken.
4. Klicken Sie im Bestätigungsfenster auf Ja.

Wenn Sie dennoch die Azure AD Graph API verwenden möchten, finden Sie unten die erforderlichen Berechtigungen:

• Directory.Read.All