Die MyQ Roger Entra ID App ist in Microsoft 365-Dienste (Microsoft Graph und Universal Print) integriert, um Benutzern sichere Druck-, Dateiverwaltungs- und Kommunikationsfunktionen zu ermöglichen. Sie benötigt bestimmte Berechtigungen, um im Namen der Benutzer und in einigen Fällen als Anwendung (Hintergrunddienst) Druck- und Geräteverwaltungsaufgaben auszuführen.
Arten von Berechtigungen
Entra ID unterscheidet zwischen zwei Arten von Berechtigungen:
-
Berechtigungen im Rahmen der Vertretung – werden verwendet, wenn ein angemeldeter Benutzer mit der App interagiert. Die App handelt im Namen dieses Benutzers und greift nur auf Daten zu, auf die der Benutzer Zugriff hat.
-
Anwendungsberechtigungen – werden von Hintergrunddiensten oder Daemons ohne Benutzerinteraktion verwendet.
Diese erfordern die Zustimmung des Administrators.
Gewährte API-Berechtigungen
Microsoft Graph (Benutzer- und Dateizugriff)
|
Berechtigung |
Typ |
Beschreibung |
Zustimmung des Administrators erforderlich |
Zweck |
|---|---|---|---|---|
|
User.Read |
Vertretung |
Anmelden und Benutzerprofil lesen |
Nein |
Ermöglicht der App, den aktuellen Benutzer zu identifizieren. |
|
OpenID, Profil, E-Mail |
Vertretung |
Standardmäßige OpenID Connect-Berechtigungen |
Nein |
Aktiviert die sichere Anmeldung und grundlegende Identitätsinformationen (Name, E-Mail). |
|
Offline-Zugriff |
Vertretung |
Behalten Sie den Zugriff auf die von Ihnen gewährten Daten bei. |
Nein |
Ermöglicht die Hintergrundaktualisierung von Zugriffstoken ohne erneute Anmeldung. |
|
Files.Read.Selected |
Vertretung |
Lesen Sie Dateien, die der Benutzer ausdrücklich auswählt. |
Nein |
Ermöglicht der App das Öffnen einzelner, vom Benutzer ausgewählter Dateien. |
|
Files.ReadWrite |
Vertretung |
Vollständiger Zugriff auf die Dateien des Benutzers |
Nein |
Ermöglicht das Lesen und Ändern von Dateien in OneDrive oder SharePoint. |
|
Files.ReadWrite.AppFolder |
Vertretung |
Zugriff auf app-spezifischen Speicher |
Nein |
Wird zum Speichern von App-Konfigurationen oder temporären Dateien verwendet. |
|
Files.ReadWrite.All |
Vertretung |
Vollständiger Zugriff auf alle Dateien, auf die der Benutzer zugreifen kann |
Nein |
Erforderlich für die erweiterte Integration mit dem Dateispeicher des Benutzers. |
|
Sites.ReadWrite.All |
Vertretung |
Elemente in allen Websitesammlungen bearbeiten oder löschen |
Nein |
Erforderlich für die Arbeit mit SharePoint-Dokumentbibliotheken. |
|
Mail.ReadWrite |
Vertretung |
Lese- und Schreibzugriff auf Benutzer-E-Mails |
Nein |
Wird für E-Mail-Benachrichtigungen und die Verfolgung von Benutzernachrichten verwendet. |
|
Mail.Send |
Vertretung |
E-Mails als Benutzer senden |
Nein |
Ermöglicht der App, Benachrichtigungen im Namen des Benutzers zu senden. |
Microsoft Graph (Drucken und Geräteverwaltung)
|
Berechtigung |
Typ |
Beschreibung |
Zustimmung des Administrators erforderlich |
Zweck |
|---|---|---|---|---|
|
Printer.Create |
Vertretung |
Drucker registrieren |
Ja |
Ermöglicht das Hinzufügen neuer Drucker zur Organisation. |
|
Drucker.Lesen.Alle |
Vertretung / Anwendung |
Druckerinformationen lesen |
Ja |
Ermöglicht der App die Anzeige der Druckerkonfiguration. |
|
Printer.ReadWrite.All |
Vertretung / Anwendung |
Druckereinstellungen lesen und aktualisieren |
Ja |
Ermöglicht Konfigurationsänderungen und Aktualisierungen. |
|
Printer.FullControl.All |
Vertretung |
Vollständige Verwaltung von Druckern |
Ja |
Erforderlich für erweiterte Verwaltungsvorgänge. |
|
PrinterShare.ReadWrite.All |
Vertretung |
Druckerfreigaben lesen und ändern |
Ja |
Ermöglicht die Verwaltung freigegebener Drucker. |
|
PrintJob.Read.All, PrintJob.ReadBasic.All |
Anwendung |
Druckauftragsdetails lesen |
Ja |
Erforderlich zur Überwachung und Meldung des Auftragsstatus. |
|
PrintJob.ReadWrite.All, PrintJob.ReadWriteBasic.All |
Anwendung |
Druckaufträge verwalten |
Ja |
Ermöglicht die Verwaltung von Druckaufträgen in der Warteschlange. |
|
PrintJob.Manage.All |
Anwendung |
Erweiterte Druckauftragsoperationen |
Ja |
Ermöglicht das Löschen, Umleiten oder Aktualisieren von Druckaufträgen. |
|
PrintSettings.Read.All |
Anwendung |
Lesen der mandantenweiten Druckeinstellungen |
Ja |
Erforderlich zum Lesen zentraler Druckrichtlinien. |
|
PrintTaskDefinition.ReadWrite.All |
Anwendung |
Druckauftragsdefinitionen verwalten |
Ja |
Wird zum Definieren und Verarbeiten der Druckverarbeitungslogik verwendet. |
Universelle Druckberechtigungen
|
Berechtigung |
Typ |
Beschreibung |
Zustimmung des Administrators erforderlich |
Zweck |
|---|---|---|---|---|
|
Drucker erstellen |
Vertretung |
Neue Drucker erstellen (registrieren) |
Ja |
Ermöglicht die Registrierung von Druckern in Universal Print. |
|
Drucker.Lesen |
Anwendung |
Drucker-Metadaten lesen |
Ja |
Abrufen von Druckerdetails im gesamten Mandanten. |
|
Druckereigenschaften.Lesen/Schreiben |
Anwendung |
Druckereigenschaften lesen/schreiben |
Ja |
Druckerkonfiguration aktualisieren (z. B. Standardeinstellungen). |
|
PrintJob.Read |
Anwendung |
Metadaten und Nutzdaten des Druckauftrags lesen |
Ja |
Zugriff auf Auftragsdaten zur Nachverfolgung oder Überprüfung. |
|
PrintJob.ReadWriteBasic |
Anwendung |
Metadaten des Auftrags lesen und schreiben |
Ja |
Verwalten Sie den Status und grundlegende Informationen von Druckaufträgen. |
Zustimmung und Verwaltung
-
Berechtigungen, die unter „Zustimmung des Administrators erforderlich“ mit „Ja“ gekennzeichnet sind, müssen von einem Globaladministrator oder einem Administrator mit privilegierten Rollen genehmigt werden.
-
Nach der Zustimmung können alle Benutzer im Mandanten die App ohne weitere Aufforderungen verwenden.
-
Die Zustimmung wird für die Organisation erteilt: Beispiel Organisation Ltd. gibt an, dass die Zustimmung für diesen Herausgeber von Ihrer Organisation erteilt wurde.
Schnelle Erteilung oder erneute Beantragung von Zustimmungen für Administratoren – links.myq.cloud
Microsoft-Organisationsadministratoren können die erforderlichen Zustimmungsberechtigungen für die MyQ Roger-Anwendung über eine temporäre Schnellzugriffsseite unter links.myq.cloud erteilen oder erneut beantragen. Dort wird beschrieben, wie Sie den Entra ID-Mandanten abrufen, den entsprechenden Zustimmungslink (Basic, Universal Print oder MDM) auswählen und die Berechtigungen für eine erfolgreiche Integration genehmigen.
Sicherheitshinweise
-
Die App hält sich an das Berechtigungsmodell der Microsoft Graph API und fordert nur die für die Kernfunktionalität erforderlichen Bereiche an (Drucken, Dateizugriff, E-Mail-Benachrichtigungen).
-
Administratoren können die erteilten Zustimmungen jederzeit unter Azure Portal > Microsoft Entra ID > Unternehmensanwendungen > MyQ Roger > Berechtigungen überprüfen.