EntraID Discovery und Intune basiertes LAPS

microsoft_entraid

microsoft_entraid

Liebe JDisc Freunde,

JDisc Discovery unterstützt bereits das Scannen von Microsoft Azure Cloud Umgebungen. Mit der aktuellen Version haben wir die Azure EntraID und Intune Erkennung deutlich erweitert.

  1. Wir unterstützen LAPS für Intune verwaltete Geräte. Mit diesem Ansatz müssen Scan-Accounts nicht in JDisc konfiguriert werden, da wir den aktuellen Scan-Benutzernamen und das Passwort von der Intune-API erhalten können.
  2. Wir erhalten mehr EntraID-Artefakte wie Verwaltungseinheiten, Gruppen und Benutzer.

Videos

Wir haben auch Videos erstellt, um zu erklären, wie die Konfiguration funktioniert.

Unser zweites Video erklärt, wie man einen Discovery Job für die Azure Cloud aufsetzt und wie man über Intune verwaltet Geräte über LAPS inventarisiert.

Berechtigungen zum Scannen der Azure-Cloud (einschließlich EntraID und Intune)

Um Informationen aus der Azure-Cloud zu erhalten, müssen Sie eine Anwendung in der App-Registrierung von EntraID erstellen. Der folgende Screenshot listet alle Berechtigungen auf, die zum vollständigen Scannen der Azure-Umgebung einschließlich EntraID und Intune erforderlich sind. Wenn Sie Ressourcen scannen müssen, die für bestimmte Abonnements hinzugefügt wurden, müssen Sie auch Lesezugriff für diese Anwendung für jedes Abonnement separat gewähren.

Vergessen Sie nicht, beim Hinzufügen dieser Berechtigungen die Admin-Zustimmung (Admin Consent) zu erteilen. Sie können den Status der Admin-Zustimmung in der Spalte „Admin-Zustimmung erforderlich“ sehen.

EntraID App Berechtigungen, die von JDisc Discovery benötigt werden.

Einige der Berechtigungen sind optional. In der folgenden Tabelle wird im Einzelnen erläutert, was erforderlich und was optional ist:

  • Directory.Read.All
    Diese Berechtigung ist erforderlich und wird benötigt, um grundlegende Informationen für den Mandanten, die Gruppen und die Verwaltungseinheiten zu lesen.
  • User.Read.All
    Diese Berechtigung ist erforderlich, um Informationen für alle in EntraID angelegten Benutzer zu lesen.
  • DeviceManagementManagedDevices.Read.All
    Diese Berechtigung ist optional. Sie benötigen diese Berechtigung jedoch, wenn Sie die Liste der von Intune verwalteten Geräte lesen möchten. Wenn Sie Intune nicht verwenden, benötigen Sie diese Berechtigung nicht.
  • AuditLog.Read.All
    Diese Berechtigung ist optional. Wir verwenden das Audit-Log von EntraIDs, um das letzte Anmeldedatum der Benutzer zu ermitteln. Ohne diese Berechtigung erhalten Sie das letzte Anmeldedatum für EntraID-verwaltete Benutzer nicht.
  • DeviceLocalCredential.Read.All
    Diese Berechtigung ist optional und nur erforderlich, wenn Ihre Intune-Geräte LAPS verwenden und der Benutzername und das Kennwort des lokalen Administrators in der Intune-Cloud gespeichert sind. Ansonsten benötigen Sie diese Berechtigung nicht.

LAPS für Intune Managed Devices

Microsoft bot in der Vergangenheit zwei LAPS-Versionen an. Die erste Version (Legacy-LAPS) musste zusätzlich zum Betriebssystem installiert werden und Sie mussten das Active Directory-Schema um neue Eigenschaften erweitern. Die zweite LAPS Version ist in das Betriebssystem integriert und kann das aktuelle Passwort im lokalen Active Directory oder in der Cloud (bei Verwendung von Intune managed LAPS) speichern.

JDisc Discovery unterstützte bereits beide LAPS Versionen, wenn die Passwörter im lokalen Active Directory gespeichert werden. Wenn wir ein Gerät scannen, dann lesen wir den aktuellen Login und das Passwort über das LDAP-Protokoll. Wir haben jedoch die Anfrage von Kunden erhalten, auch Fälle zu unterstützen, in denen Geräte von Intune verwaltet werden und auch das lokale LAPS-Administratorkonto und das Passwort in der Intune-Cloud gespeichert werden. Wenn das Kennwort in der Intune-Cloud gespeichert wird, müssen wir das aktuelle Kennwort über die MS Graph API statt über das LDAP-Protokoll abrufen (wenn das Kennwort im lokalen Active Directory gespeichert wird).

Intune managed device with a LAPS account and password stored within the Intune cloud.

Der Screenshot zeigt, was passiert, wenn Sie ein von Intune verwaltetes Gerät mit LAPS scannen, das mit dem Unternehmensnetzwerk verbunden ist. Zuerst identifizieren wir das Gerät in der Datenbank anhand seines Namens und/oder seiner Mac-Adresse. Wenn wir das Gerät gefunden haben, prüfen wir, ob das Gerät von Intune verwaltet wird. Wenn das Gerät mit LAPS konfiguriert ist, können wir den Benutzernamen und das Kennwort des lokalen Administrators für dieses Gerät abfragen. In diesem Fall ist also keine Konfiguration erforderlich!

Verbesserte EntraID-Erkennung

EntraID bietet administrative Einheiten und Gruppen, um Geräte und Benutzer in Ihrem Verzeichnis zu gruppieren. Wir haben JDisc Discovery erweitert, um die Liste der administrativen Einheiten, Gruppen, Benutzer und Geräte zu erhalten und die Beziehungen zwischen ihnen zu erstellen.

EntraID structure and Intune managed devices.

Wir zeigen alle verzeichnisbezogenen Informationen (lokales Active Directory oder EntraID) im Verzeichnisbericht an, der über die Netzwerkberichte verfügbar ist. Die Berichterstattung hat sich leicht geändert, da die Berichte für Verzeichnisbenutzer und -geräte in einen einzigen Directory-Report migriert wurden. Verschiedene Aspekte wie Benutzer, Gruppen oder Geräte werden in den separaten Registerkarten für ein Directory Element angezeigt.

Vielen Dank,
Thomas

About The Author

Thomas Trenz
I own and manage JDisc and its network inventory and discovery products. Before I started JDisc, I worked quite a long time for Hewlett-Packard developing software for network assessments and inventory projects. Feel free to contact me on Linked-In or Xing.

Leave A Comment