Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Handmatig Attic read only onboarden

Wanneer u kiest voor Read Only onboarding voor Zolder, moeten er drie Microsoft Entra ID-directoryrollen worden toegewezen aan de Attic app in uw tenant.

Normaal gesproken wordt dit automatisch gedaan via een OAuth-consentflow met de Attic read-write applicatie. Als u echter de voorkeur geeft aan volledige controle en de RW-applicatie geen toegang wilt verlenen tot uw omgeving, kunt u deze rollen handmatig toewijzen.

Wij gebruiken de stap "Exchange Online leesrechten" om EntraID-rollen toe te voegen aan de Attic-app. Voer deze stap niet uit en volg in plaats daarvan de onderstaande stappen. Vergeet daarna niet om contact op te nemen met de operator; zij zullen de stap "Exchange Online leesrechten" op afgerond zetten, zodat de rest van de onboarding kan worden voortgezet.

Vereisten

  • U heeft de rol Global Administrator of Privileged Role Administrator nodig in uw Microsoft Entra ID-tenant.
  • De "[ATTIC] M365 RO" enterprise-applicatie (service principal) moet al bestaan in uw tenant. Deze wordt aangemaakt wanneer u toestemming geeft voor de Attic-applicatie tijdens de onboarding.

Toe te wijzen rollen

De volgende drie Entra ID-directoryrollen moeten worden toegewezen aan de "[ATTIC] M365 RO" service principal:

Rol Doel
Global Reader Stelt Attic in staat om alle tenantconfiguratie en -instellingen te lezen
Security Reader Stelt Attic in staat om beveiligingsgerelateerde gegevens te lezen (meldingen, incidenten, beleid)
Teams Reader Stelt Attic in staat om Microsoft Teams-configuratie en -instellingen te lezen

Stappen

Stap 1: Zoek de "[ATTIC] M365 RO" service principal

  1. Meld u aan bij het Microsoft Entra-beheercentrum
  2. Navigeer naar Identity > Applications > Enterprise applications
  3. Zoek naar [ATTIC] M365 RO in de applicatielijst
  4. Klik op de Attic Security-applicatie om deze te openen
  5. Noteer het Object ID op de overzichtspagina -- u heeft dit nodig om de toewijzingen later te verifiëren

Stap 2: Wijs de Global Reader-rol toe

  1. Navigeer naar Identity > Roles & admins > Roles & admins
  2. Zoek naar Global Reader en klik erop
  3. Klik op + Add assignments
  4. Klik op + Select member(s)
  5. Zoek in het zoekveld naar [ATTIC] M365 RO
  6. Selecteer de "[ATTIC] M365 RO" service principal uit de lijst
  7. Klik op Select
  8. Klik op Next
  9. Selecteer Active als toewijzingstype
  10. Voeg optioneel een reden toe (bijv. "Attic Security read-only monitoring")
  11. Klik op Assign

Stap 3: Wijs de Security Reader-rol toe

  1. Ga terug naar Identity > Roles & admins > Roles & admins
  2. Zoek naar Security Reader en klik erop
  3. Klik op + Add assignments
  4. Klik op + Select member(s)
  5. Zoek en selecteer de [ATTIC] M365 RO service principal
  6. Klik op Select
  7. Klik op Next
  8. Selecteer Active als toewijzingstype
  9. Klik op Assign

Stap 4: Wijs de Teams Reader-rol toe

  1. Ga terug naar Identity > Roles & admins > Roles & admins
  2. Zoek naar Teams Reader en klik erop

Let op: Als "Teams Reader" niet verschijnt in de rollenlijst, kan het zijn dat het wordt weergegeven als Teams Communications Reader. U kunt ook zoeken op het template-ID: 1076ac91-f3d9-41a7-a339-dcdf5f480acc.

  1. Klik op + Add assignments
  2. Klik op + Select member(s)
  3. Zoek en selecteer de [ATTIC] M365 RO service principal
  4. Klik op Select
  5. Klik op Next
  6. Selecteer Active als toewijzingstype
  7. Klik op Assign

Stap 5: Controleer de toewijzingen

  1. Navigeer naar Identity > Applications > Enterprise applications
  2. Open de Attic Security-applicatie
  3. Klik op Roles and administrators (onder Security in het linkermenu)
  4. Controleer of de volgende drie rollen zijn toegewezen:
    • Global Reader
    • Security Reader
    • Teams Reader

U kunt dit ook verifiëren via Identity > Roles & admins en de toewijzingslijst van elke rol controleren op de Attic service principal.

Na het voltooien van deze stappen

Zodra de rollen zijn toegewezen, gaat u terug naar het Zolder-onboardingportaal en informeert u uw Attic-contactpersoon dat u de rollen handmatig heeft toegewezen. Het onboardingteam kan deze stap vervolgens als afgerond markeren en doorgaan met de overige onboardingstappen.

Alternatief: via PowerShell

Als u de rollen liever via PowerShell toewijst, kunt u de Microsoft Graph PowerShell-module gebruiken:

# Verbind met Microsoft Graph met de vereiste scopes
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

# Zoek de Attic service principal (vervang met de werkelijke app-weergavenaam)
$sp = Get-MgServicePrincipal -Filter "displayName eq '[ATTIC] M365 RO'"

# Rol template-ID's
$roles = @{
    "Global Reader"   = "f2ef992c-3afb-46b9-b7cf-a126ee74c451"
    "Security Reader" = "5d6b6bb7-de71-4623-b4af-96380a352509"
    "Teams Reader"    = "1076ac91-f3d9-41a7-a339-dcdf5f480acc"
}

# Wijs elke rol toe
foreach ($roleName in $roles.Keys) {
    $roleDefinition = Get-MgRoleManagementDirectoryRoleDefinition -Filter "templateId eq '$($roles[$roleName])'"

    $params = @{
        principalId      = $sp.Id
        roleDefinitionId = $roleDefinition.Id
        directoryScopeId = "/"
    }

    New-MgRoleManagementDirectoryRoleAssignment -BodyParameter $params
    Write-Host "Rol $roleName toegewezen aan $($sp.DisplayName)"
}

Probleemoplossing

Probleem Oplossing
De "[ATTIC] M365 RO" enterprise-applicatie is niet te vinden Zorg ervoor dat de initiële applicatie-consentstap van de onboarding is voltooid. De service principal wordt tijdens die stap aangemaakt.
Foutmelding "Insufficient privileges" U heeft de rol Global Administrator of Privileged Role Administrator nodig om directoryrollen toe te wijzen.
Rol is al toegewezen Dit is geen probleem -- als de rol al is toegewezen, hoeft u voor die rol geen actie te ondernemen.

Dit zijn allemaal leesrollen, passend bij het read-only toegangsmodel -- ze verlenen geen schrijf- of beheerdersrechten in uw tenant.