Schlüsselpunkte
- Erfolgreiche moderne Integrationen mit Microsoft Entra-Nummer erfordern, dass die Benutzer:innen den Gültigkeitsbereich und das Verhalten definieren, um eine zu weitreichende Zugriffsgewährung, Betriebsschwankungen und Zustimmungsermüdung zu vermeiden, die das Vertrauen der Admins sowie die Sicherheitslage beeinträchtigen können.
- Eng gefasste Bereiche führen zu häufig benötigten erneuten Zustimmungen, während breit angelegte Scopes das Risiko und den unnötigen Datenzugriff erhöhen. Durch die richtige Dimensionierung der Bereiche lassen sich Integrationen verantwortungsbewusst skalieren und wiederholte Zugriffsabfragen auf ein Minimum reduzieren.
- Überprüfen Sie Anmelde- und Audit-Protokolle in Entra, um Authentifizierungsprobleme, unerwartetes Zugriffsverhalten und Konfigurations- oder Zustimmungsänderungen zu erkennen, die zu Fehlkonfigurationen und Sicherheitsproblemen führen können.
- NinjaOnes Entra- und Intune-Integrationen behalten einen transparenten, Admin-geführten Scope bei, der nur die notwendigen Berechtigungen für die Funktionalität anfordert und die von den IT-Teams definierten Sicherheitsgrenzen respektiert.
Wenn Sie eine Anwendung mit Microsoft Entra verbinden, authentifizieren Sie nicht nur Benutzer:innen, sondern Sie definieren auch eine betriebliche Vertrauensgrenze. Wie eine integrierte Anwendung den Umfang der Daten festlegt und welche Elemente sie dabei ausklammert, ist Teil der Sicherheitslage der Anwendung.
Deshalb reicht es nicht aus, zu sagen: „Wir integrieren mit Entra“. Wie eine Anwendung integriert wird, ist ebenso wichtig wie die Frage, ob die Anwendung integriert wird. In diesem Blog erfahren Sie, warum Anwendungsbereich und -verhalten bei der Integration mit Microsoft Entra wichtig sind, was gut und schlecht abgesteckte Scopes sind und warum NinjaOne eine zuverlässige Integration mit Microsoft Intune und Entra ist.
Unzureichend definierte Integrationen erschweren die IT-Sicherheit.
Das Verhalten und der Bereich einer Anwendung spielen eine wichtige Rolle
In Microsoft Entra definiert der Scope die spezifischen Berechtigungen und Daten, auf die eine Anwendung zugreifen darf, um sicherzustellen, dass sie mit dem am wenigsten privilegierten Zugriff arbeitet. Wenn die Bereiche richtig konfiguriert sind, stellen sie sicher, dass die Anwendung nur den erforderlichen Mindestzugriff hat, sodass eine unbefugte Datenfreigabe oder zu weitreichende Berechtigungen verhindert werden. Das Verhalten wiederum beschreibt, wie die Anwendung diese Berechtigungen in der Praxis nutzt, indem es die beabsichtigten Aktionen innerhalb der Umgebung umreißt. Mit Hilfe von Scope und Verhalten können Administrator:innen sicherstellen, dass eine Integration nur auf das zugreift, was sie benötigt, und genau wie erwartet funktioniert.
Die Integration einer Anwendung oder Softwarelösung in Ihre Microsoft-Plattform sollte mit der Absicht erfolgen, die Gesamteffizienz und -effektivität Ihrer IT-Abläufe zu verbessern. Es reicht nicht aus, einfach das Tool eines Drittanbieters für Endpunkt-Management, Backups, Patch-Management, Garantieverfolgung usw. auszuwählen. Die Anwendungen sollten auch verantwortungsbewusst integriert werden. Sie sollten:
- Berechtigungen anfordern
- Die Verwendungszwecke dieser Berechtigungen erklären
- Echte Verwaltungskontrollen zur Verfügung stellen
- Den Zugang auf einen definierten, überschaubaren Bereich beschränken
Eine Anwendung, die nicht verantwortungsvoll mit Daten umgeht, erschwert Ihre IT-Abläufe eher, als dass sie diese vereinfacht. Dieser verantwortungslose Umgang mit Daten kann Folgendes umfassen:
- Die Anwendung ruft „nur für den Fall“ alle Daten ab, die sie finden kann
- Sie verbirgt, wie oder wo die Daten verwendet werden
- Sie verwirft einen Großteil der Daten ohne jegliche Transparenz
- Sie verwendet die Daten später indirekt wieder
Der richtige Scope befähigt Integrationen in der Gegenwart und Zukunft
Es ist wichtig, dass die App oder Lösung, die Sie für die Integration in Betracht ziehen, ein Gleichgewicht herstellt zwischen dem, was sofort benötigt wird, und dem, was, realistisch gesehen, in naher Zukunft benötigt wird. Ein zu breit gefasster Bereich ist ein Problem, aber ein zu eng angelegter Scope ist ebenfalls problematisch. Eine Anwendung, die reaktiv eine Genehmigung nach der anderen anfordert, führt zu wiederholten Zustimmungsvorgängen. Mit der Zeit führt dies zu operativem Chaos und Zustimmungsermüdung.
- Operatives Chaos tritt auf, wenn Administrator:innen das Gefühl haben, dass der Anwendung die architektonische Richtung fehlt. Es werden lediglich nach und nach Ergänzungen erstellt, um auf entstehende Bedürfnisse einzugehen.
- Zustimmungsermüdung tritt auf, wenn die Aufforderungen zur Erteilung von Zustimmungen so häufig erfolgen, dass sie nicht mehr als ernsthafter Kontrollpunkt wahrgenommen werden und die Admins lediglich klicken, ohne zu überprüfen, ob die angeforderten Zustimmungen zulässig sind.
Das ideale Integrationsmodell ist so konzipiert, dass es Ihre heutigen Anforderungen erfüllt und auch für künftiges Wachstum geeignet ist. Eine App, die einen angemessenen Scope hat, bietet heute die richtige Unterstützung, antizipiert und passt sich an zukünftige Anforderungen an und schafft Vertrauen bei den IT-Teams, die sie nutzen.
Bei ständiger erneuter Authentifizierung besteht die reale Gefahr, dass etwas schiefgehen kann. Durch die Reduzierung der Anzahl der erforderlichen Authentifizierungsanfragen zur Gewährung oder Aufhebung von Zugriffsbereichen sorgt der Mandant für eine einheitlichere und strengere Berechtigungsverwaltung, und die Integration funktioniert weiterhin mit vollem Funktionsumfang. Das folgende Diagramm fasst die wichtigsten Merkmale von engen, breiten und richtig dimensionierten Anwendungsintegrationen zusammen.
| Zu eng | Zu breit | Die richtige Größe |
| Häufige erneute Zustimmung | Zu groß und unübersichtlich | Konzipiert für Gegenwart + Zukunft |
| Signalisiert Instabilität | Signalisiert Opportunismus | Signalisiert Gestaltungsabsicht |
| Ermüdet Administrator:innen | Belastet Administrator:innen | Schafft Vertrauen |
Darum setzt Group-Scoping die richtige Vertrauensgrenze
Während Scopes festlegen, worauf eine App zugreifen kann, kann mit Group-Scoping bestimmt werden, wer die App verwenden kann. Das Group-Scoping sorgt für einen gezielten, überschaubaren und vertrauten Zugriff auf Microsoft-basierten Umgebungen. Entra und Intune enthalten Gruppen auf ihrer nativen Steuerungsebene. So bilden Entra und Intune Gruppen:
- Klare Zuordnung von Eigentum und Verantwortung
- Spiegelung davon, wie MSPs Mandanten segmentieren
- Unterstützung von zugewiesenen und dynamischen Mitgliedschaften
- Reibungslose und saubere Skalierung bis in den Tausenderbereich
NinjaOne setzt Group-Scoping auch ein, um Partner, die in größerem Umfang tätig sind, besser zu unterstützen. Wir legen nicht nur Wert auf Korrektheit, sondern auch auf die Bedienungsgeschwindigkeit, die schnelle Auflistung von Gruppen, die zügige Suche und die Auswahlmöglichkeit mehrerer Elemente. Diese Funktionen sind für die Verwaltung realer Umgebungen von entscheidender Bedeutung.
Integrationslücken erschweren die Fehlerbehebung mehr als nötig.
Wie kann ich überprüfen, ob das Verhalten einer App mit den in Entra zugewiesenen Scopes übereinstimmt?
Durch die Überwachung des Verhaltens Ihrer Integration in Microsoft Entra können Sie überprüfen, ob sie die richtigen Bereiche verwendet, sich wie erwartet authentifiziert und nur auf die zugelassenen APIs zugreift. Entra stellt Protokolle zur Verfügung, die es IT-Admins ermöglichen, Authentifizierungsversuche, die Nutzung von Berechtigungen und alle Anomalien zu verfolgen.
- Gehen Sie im Entra Admin-Center zu Identität > Anwendungen > Unternehmensanwendungen (oder App-Registrierungen) und suchen Sie den von Ihrer Integration verwendeten Hauptdienst.
- Notieren Sie sich den Namen der integrierten Anwendung und die Objektnummer, da Sie diese zum Filtern der Protokolle benötigen.
- Navigieren Sie zu Identität > Überwachung und Gesundheit > Workload-Identitäten > Anmeldungsprotokolle. In dieser Ansicht werden Authentifizierungsversuche angezeigt und unerwartetes Verhalten aufgedeckt, zum Beispiel wiederholte Fehlversuche, Anrufe von ungewöhnlichen Standorten oder die Verwendung von Anmeldeinformationen, die für die Integration nicht vorgesehen waren.
- Verwenden Sie die Option „Filter hinzufügen“ und filtern Sie nach Dienstprinzip oder Anwendungsnummer, um ausschließlich die Protokolleinträge für Ihre spezifische Integration anzuzeigen. Überprüfen Sie die Anmeldeergebnisse, die Details der Zugriffskontrolle und alle Fehlercodes.
- Gehen Sie zu Identität > Überwachung und Gesundheit > Audit-Logbuch und filtern Sie dann nach „Ziel“ oder „Initiiert von“, um Ereignisse zu finden, die sich auf Ihre Anwendung beziehen. Achten Sie auf Änderungen wie aktualisierte Berechtigungen, neue Admin-Zustimmungen oder Richtlinienänderungen, die das Integrationsverhalten im Laufe der Zeit beeinflussen könnten.
Zusammen liefern diese Protokolle ein klares Bild vom Verhalten der Anwendungsintegration und ermöglichen es IT-Teams, Fehlkonfigurationen oder potenzielle Sicherheitsprobleme schnell zu erkennen, bevor sie den Betrieb stören.
NinjaOne: auf das Kommende hinarbeiten
Während wir bei NinjaOne unsere Integrationen weiter ausbauen, werden wir den Umfang transparent und Admin-geführt halten. Unsere Integration mit Entra optimiert und strafft Ihre IT-Abläufe und reduziert Komplexität und Ineffizienz. NinjaOne fordert nur die Berechtigungen an, die für eine reibungslose Integration erforderlich sind, und respektiert dabei die Grenzen, die Sie Ihren Daten zugewiesen haben. Bei einer Integration mit Entra oder Intune wissen Sie genau, was Sie erwartet.
Wir entwickeln unsere Integrationen mit Bedacht, denn wir sind der Meinung, dass unsere Kunden und Partner immer in der Lage sein sollten, zu sehen, was enthalten ist, warum es enthalten ist und auch was absichtlich nicht im Scope enthalten ist. Dies ist der Unterschied zwischen einer bloßen Verbindung zu Microsoft Entra und einer verantwortungsvollen Integration in dieses System. So gewinnt man Vertrauen.
Ihr Feedback hilft bei der Gestaltung der nächsten Schritte
NinjaOne legt großen Wert auf den Erfolg seiner Kunden. Deshalb entwickeln wir gemeinsam mit ihnen Produkte und veröffentlichen unsere Roadmap. Unsere Integrationen sind Teil davon. Wir hören unseren Partneren und Kunden immer zu, um Anwendungsfälle zu entdecken, die von zusätzlichen Berechtigungsmodellen, mehr Detailangaben oder einer stärkeren Automatisierung profitieren würden.
Wenn Sie uns Feedback zu dieser oder anderen (aktuellen oder zukünftigen) Integrationen geben möchten, kontaktieren Sie uns unter [email protected] oder besuchen Sie unseren Discord-Feedback-Kanal, um sich an der Diskussion zu beteiligen. Wir freuen uns, von Ihnen zu hören.
Erfahren Sie mehr über die Integration von NinjaOne in Microsoft Intune
