Die MyQ Roger Entra ID App lässt sich in Microsoft 365-Dienste (Microsoft Graph und Universal Print) integrieren, um Benutzern sichere Druck-, Dateiverwaltungs- und Kommunikationsfunktionen zu ermöglichen. Sie benötigt bestimmte Berechtigungen, um im Namen der Benutzer zu agieren, und in einigen Fällen als Anwendung (Hintergrunddienst), um Druck- und Gerätemanagementaufgaben auszuführen.
Arten von Berechtigungen
Entra ID unterscheidet zwischen zwei Arten von Berechtigungen:
-
Delegierte Berechtigungen – werden verwendet, wenn ein angemeldeter Benutzer mit der App interagiert. Die App handelt im Namen dieses Benutzers und greift nur auf Daten zu, auf die der Benutzer Zugriff hat.
-
Anwendungsberechtigungen – werden von Hintergrunddiensten oder Daemons ohne Benutzerinteraktion verwendet.
Diese erfordern die Zustimmung des Administrators.
Gewährte API-Berechtigungen
Microsoft Graph (Benutzer- und Dateizugriff)
|
Berechtigung |
Typ |
Beschreibung |
Administratorzustimmung erforderlich |
Zweck |
|---|---|---|---|---|
|
User.Read |
Delegiert |
Anmelden und Benutzerprofil lesen |
Nein |
Ermöglicht der App, den aktuellen Benutzer zu identifizieren. |
|
openid, profile, email |
Delegiert |
Standard-OpenID-Connect-Berechtigungen |
Nein |
Ermöglicht eine sichere Anmeldung und grundlegende Identitätsdaten (Name, E-Mail). |
|
offline_access |
Delegiert |
Behalte den Zugriff auf die Daten, die du gewährt hast |
Nein |
Ermöglicht die Aktualisierung von Zugriffstoken im Hintergrund ohne erneute Anmeldung. |
|
Files.Read.Selected |
Delegiert |
Dateien lesen, die der Benutzer explizit auswählt |
Nein |
Ermöglicht der App, einzelne, vom Benutzer ausgewählte Dateien zu öffnen. |
|
Files.ReadWrite |
Delegiert |
Voller Zugriff auf die Dateien des Benutzers |
Nein |
Ermöglicht das Lesen und Bearbeiten von Dateien in OneDrive oder SharePoint. |
|
Files.ReadWrite.AppFolder |
Delegiert |
Zugriff auf app-spezifischen Speicher |
Nein |
Wird zum Speichern von App-Konfigurationen oder temporären Dateien verwendet. |
|
Files.ReadWrite.All |
Delegiert |
Vollzugriff auf alle Dateien, auf die der Benutzer zugreifen kann |
Nein |
Erforderlich für die erweiterte Integration mit dem Dateispeicher des Benutzers. |
|
Sites.ReadWrite.All |
Delegiert |
Elemente in allen Websitesammlungen bearbeiten oder löschen |
Nein |
Erforderlich für die Arbeit mit SharePoint-Dokumentbibliotheken. |
|
Mail.ReadWrite |
Delegiert |
Lese- und Schreibzugriff auf Benutzer-E-Mails |
Nein |
Wird für E-Mail-Benachrichtigungen und die Nachverfolgung von Benutzernachrichten verwendet. |
|
Mail.Send |
Delegiert |
E-Mail als Benutzer senden |
Nein |
Ermöglicht es der App, Benachrichtigungen im Namen des Benutzers zu senden. |
Microsoft Graph (Drucken und Geräteverwaltung)
|
Berechtigung |
Typ |
Beschreibung |
Administratorzustimmung erforderlich |
Zweck |
|---|---|---|---|---|
|
Printer.Create |
Delegiert |
Drucker registrieren |
Ja |
Ermöglicht das Hinzufügen neuer Drucker zur Organisation. |
|
Printer.Read.All |
Delegiert / Anwendung |
Druckerinformationen lesen |
Ja |
Ermöglicht der App, die Druckerkonfiguration anzuzeigen. |
|
Printer.ReadWrite.All |
Delegiert / Anwendung |
Druckereinstellungen lesen und aktualisieren |
Ja |
Ermöglicht Konfigurationsänderungen und Aktualisierungen. |
|
Printer.FullControl.All |
Delegiert |
Vollständige Verwaltung von Druckern |
Ja |
Erforderlich für erweiterte Verwaltungsvorgänge. |
|
PrinterShare.ReadWrite.All |
Delegiert |
Druckerfreigaben lesen und ändern |
Ja |
Ermöglicht die Verwaltung von freigegebenen Druckern. |
|
PrintJob.Read.All, PrintJob.ReadBasic.All |
Anwendung |
Druckauftragsdetails lesen |
Ja |
Erforderlich zur Überwachung und Meldung des Auftragsstatus. |
|
PrintJob.ReadWrite.All, PrintJob.ReadWriteBasic.All |
Anwendung |
Druckaufträge verwalten |
Ja |
Ermöglicht die Verwaltung von Druckaufträgen in der Warteschlange. |
|
PrintJob.Manage.All |
Anwendung |
Erweiterte Druckjob-Funktionen |
Ja |
Ermöglicht das Löschen, Umleiten oder Aktualisieren von Druckaufträgen. |
|
PrintSettings.Read.All |
Anwendung |
Mandantenweite Druckeinstellungen lesen |
Ja |
Wird zum Lesen zentraler Druckrichtlinien benötigt. |
|
PrintTaskDefinition.ReadWrite.All |
Anwendung |
Druckauftragsdefinitionen verwalten |
Ja |
Wird zum Definieren und Verwalten der Druckverarbeitungslogik verwendet. |
Universelle Druckberechtigungen
|
Berechtigung |
Typ |
Beschreibung |
Zustimmung des Administrators erforderlich |
Zweck |
|---|---|---|---|---|
|
Drucker.Erstellen |
Delegiert |
Neue Drucker erstellen (registrieren) |
Ja |
Ermöglicht die Registrierung von Druckern in Universal Print. |
|
Printers.Read |
Anwendung |
Drucker-Metadaten lesen |
Ja |
Druckerdetails für den gesamten Mandanten abrufen. |
|
Druckereigenschaften.LesenSchreiben |
Anwendung |
Druckereigenschaften lesen/schreiben |
Ja |
Druckerkonfiguration aktualisieren (z. B. Standardeinstellungen). |
|
PrintJob.Read |
Anwendung |
Metadaten und Nutzdaten des Druckauftrags lesen |
Ja |
Auf Jobdaten zugreifen für Nachverfolgung oder Überprüfung. |
|
PrintJob.ReadWriteBasic |
Anwendung |
Auftragsmetadaten lesen und schreiben |
Ja |
Verwalten Sie den Status und grundlegende Informationen von Druckaufträgen. |
Zustimmung und Verwaltung
-
Berechtigungen, die unter „Admin-Zustimmung erforderlich“ mit „Ja“ gekennzeichnet sind, müssen von einem globalen Administrator oder einem Administrator mit privilegierter Rolle genehmigt werden.
-
Nach der Zustimmung können alle Benutzer im Mandanten die App ohne weitere Aufforderungen nutzen.
-
Die Zustimmung wird für die Organisation erteilt: „Beispielorganisation GmbH“ bedeutet, dass die Zustimmung für diesen Herausgeber von Ihrer Organisation erteilt wurde.
Schnelle Erteilung oder erneute Beantragung von Einwilligungen für Administratoren – links.myq.cloud
Microsoft-Organisationsadministratoren können die erforderlichen Einwilligungsberechtigungen für die MyQ Roger-Anwendung über eine temporäre Schnellzugriffsseite unter links.myq.cloud erteilen oder erneut beantragen. Dort wird beschrieben, wie Sie den Entra ID-Mandanten abrufen, den entsprechenden Einwilligungslink (Bereiche „Basic“, „Universal Print“ oder „MDM“) auswählen und die Berechtigungen für eine erfolgreiche Integration genehmigen.
Sicherheitshinweise
-
Die App hält sich an das Berechtigungsmodell der Microsoft Graph API und fordert nur die Bereiche an, die für die Kernfunktionalität erforderlich sind (Drucken, Dateizugriff, E-Mail-Benachrichtigungen).
-
Administratoren können erteilte Berechtigungen jederzeit unter Azure Portal > Microsoft Entra ID > Unternehmensanwendungen > MyQ Roger > Berechtigungen einsehen.