Entra ID-Berechtigungen
Die MyQ Roger Entra ID App ist in Microsoft 365-Dienste (Microsoft Graph und Universal Print) integriert, um Benutzern sichere Druck-, Dateiverwaltungs- und Kommunikationsfunktionen zu ermöglichen. Sie benötigt bestimmte Berechtigungen, um im Namen der Benutzer und in einigen Fällen als Anwendung (Hintergrunddienst) Druck- und Geräteverwaltungsaufgaben auszuführen.
Arten von Berechtigungen
Entra ID unterscheidet zwischen zwei Arten von Berechtigungen:
Berechtigungen im Rahmen der Vertretung – werden verwendet, wenn ein angemeldeter Benutzer mit der App interagiert. Die App handelt im Namen dieses Benutzers und greift nur auf Daten zu, auf die der Benutzer Zugriff hat.
Anwendungsberechtigungen – werden von Hintergrunddiensten oder Daemons ohne Benutzerinteraktion verwendet.
Diese erfordern die Zustimmung des Administrators.
Gewährte API-Berechtigungen
Microsoft Graph (Benutzer- und Dateizugriff)
Berechtigung | Typ | Beschreibung | Zustimmung des Administrators erforderlich | Zweck |
|---|---|---|---|---|
User.Read | Vertretung | Anmelden und Benutzerprofil lesen | Nein | Ermöglicht der App, den aktuellen Benutzer zu identifizieren. |
OpenID, Profil, E-Mail | Vertretung | Standardmäßige OpenID Connect-Berechtigungen | Nein | Aktiviert die sichere Anmeldung und grundlegende Identitätsinformationen (Name, E-Mail). |
Offline-Zugriff | Vertretung | Behalten Sie den Zugriff auf die von Ihnen gewährten Daten bei. | Nein | Ermöglicht die Hintergrundaktualisierung von Zugriffstoken ohne erneute Anmeldung. |
Files.Read.Selected | Vertretung | Lesen Sie Dateien, die der Benutzer ausdrücklich auswählt. | Nein | Ermöglicht der App das Öffnen einzelner, vom Benutzer ausgewählter Dateien. |
Files.ReadWrite | Vertretung | Vollständiger Zugriff auf die Dateien des Benutzers | Nein | Ermöglicht das Lesen und Ändern von Dateien in OneDrive oder SharePoint. |
Files.ReadWrite.AppFolder | Vertretung | Zugriff auf app-spezifischen Speicher | Nein | Wird zum Speichern von App-Konfigurationen oder temporären Dateien verwendet. |
Files.ReadWrite.All | Vertretung | Vollständiger Zugriff auf alle Dateien, auf die der Benutzer zugreifen kann | Nein | Erforderlich für die erweiterte Integration mit dem Dateispeicher des Benutzers. |
Sites.ReadWrite.All | Vertretung | Elemente in allen Websitesammlungen bearbeiten oder löschen | Nein | Erforderlich für die Arbeit mit SharePoint-Dokumentbibliotheken. |
Mail.ReadWrite | Vertretung | Lese- und Schreibzugriff auf Benutzer-E-Mails | Nein | Wird für E-Mail-Benachrichtigungen und die Verfolgung von Benutzernachrichten verwendet. |
Mail.Send | Vertretung | E-Mails als Benutzer senden | Nein | Ermöglicht der App, Benachrichtigungen im Namen des Benutzers zu senden. |
Microsoft Graph (Drucken und Geräteverwaltung)
Berechtigung | Typ | Beschreibung | Zustimmung des Administrators erforderlich | Zweck |
|---|---|---|---|---|
Printer.Create | Vertretung | Drucker registrieren | Ja | Ermöglicht das Hinzufügen neuer Drucker zur Organisation. |
Drucker.Lesen.Alle | Vertretung / Anwendung | Druckerinformationen lesen | Ja | Ermöglicht der App die Anzeige der Druckerkonfiguration. |
Printer.ReadWrite.All | Vertretung / Anwendung | Druckereinstellungen lesen und aktualisieren | Ja | Ermöglicht Konfigurationsänderungen und Aktualisierungen. |
Printer.FullControl.All | Vertretung | Vollständige Verwaltung von Druckern | Ja | Erforderlich für erweiterte Verwaltungsvorgänge. |
PrinterShare.ReadWrite.All | Vertretung | Druckerfreigaben lesen und ändern | Ja | Ermöglicht die Verwaltung freigegebener Drucker. |
PrintJob.Read.All, PrintJob.ReadBasic.All | Anwendung | Druckauftragsdetails lesen | Ja | Erforderlich zur Überwachung und Meldung des Auftragsstatus. |
PrintJob.ReadWrite.All, PrintJob.ReadWriteBasic.All | Anwendung | Druckaufträge verwalten | Ja | Ermöglicht die Verwaltung von Druckaufträgen in der Warteschlange. |
PrintJob.Manage.All | Anwendung | Erweiterte Druckauftragsoperationen | Ja | Ermöglicht das Löschen, Umleiten oder Aktualisieren von Druckaufträgen. |
PrintSettings.Read.All | Anwendung | Lesen der mandantenweiten Druckeinstellungen | Ja | Erforderlich zum Lesen zentraler Druckrichtlinien. |
PrintTaskDefinition.ReadWrite.All | Anwendung | Druckauftragsdefinitionen verwalten | Ja | Wird zum Definieren und Verarbeiten der Druckverarbeitungslogik verwendet. |
Universelle Druckberechtigungen
Berechtigung | Typ | Beschreibung | Zustimmung des Administrators erforderlich | Zweck |
|---|---|---|---|---|
Drucker erstellen | Vertretung | Neue Drucker erstellen (registrieren) | Ja | Ermöglicht die Registrierung von Druckern in Universal Print. |
Drucker.Lesen | Anwendung | Drucker-Metadaten lesen | Ja | Abrufen von Druckerdetails im gesamten Mandanten. |
Druckereigenschaften.Lesen/Schreiben | Anwendung | Druckereigenschaften lesen/schreiben | Ja | Druckerkonfiguration aktualisieren (z. B. Standardeinstellungen). |
PrintJob.Read | Anwendung | Metadaten und Nutzdaten des Druckauftrags lesen | Ja | Zugriff auf Auftragsdaten zur Nachverfolgung oder Überprüfung. |
PrintJob.ReadWriteBasic | Anwendung | Metadaten des Auftrags lesen und schreiben | Ja | Verwalten Sie den Status und grundlegende Informationen von Druckaufträgen. |
Zustimmung und Verwaltung
Berechtigungen, die unter „Zustimmung des Administrators erforderlich“ mit „Ja“ gekennzeichnet sind, müssen von einem Globaladministrator oder einem Administrator mit privilegierten Rollen genehmigt werden.
Nach der Zustimmung können alle Benutzer im Mandanten die App ohne weitere Aufforderungen verwenden.
Die Zustimmung wird für die Organisation erteilt: Beispiel Organisation Ltd. gibt an, dass die Zustimmung für diesen Herausgeber von Ihrer Organisation erteilt wurde.
Schnelle Erteilung oder erneute Beantragung von Zustimmungen für Administratoren – links.myq.cloud
Microsoft-Organisationsadministratoren können die erforderlichen Zustimmungsberechtigungen für die MyQ Roger-Anwendung über eine temporäre Schnellzugriffsseite unter links.myq.cloud erteilen oder erneut beantragen. Dort wird beschrieben, wie Sie den Entra ID-Mandanten abrufen, den entsprechenden Zustimmungslink (Basic, Universal Print oder MDM) auswählen und die Berechtigungen für eine erfolgreiche Integration genehmigen.
Sicherheitshinweise
Die App hält sich an das Berechtigungsmodell der Microsoft Graph API und fordert nur die für die Kernfunktionalität erforderlichen Bereiche an (Drucken, Dateizugriff, E-Mail-Benachrichtigungen).
Administratoren können die erteilten Zustimmungen jederzeit unter Azure Portal > Microsoft Entra ID > Unternehmensanwendungen > MyQ Roger > Berechtigungen überprüfen.