Konfigurera vScope för Inventering av Azure (Intune, 365 Defender, Azure AD)

No Comments

För att vScope ska kunna inventera Azure Resource Manager behöver vScope läsrättigheter till prenumerationen du ska läsas ut.  I den här guiden kommer vi gå igenom hur du skapar en vScope-applikation/program i Azure, ge den läsrättigheter, och hur det läggs in i Discovery Manager i vScope.

(Click here for English)

Viktig information:

  • För att vScope ska kunna inventera Azure behöver du göra två saker i Azure-portalen:
    1. Skapa en applikation som får läsa Azure Active Directory.
    2. Applikationen från (1) behöver läsrättigheter i prenumerationen du önskar inventera med vScope.
  • För att utföra (1) och (2) behöver du ett Azure-konto som har behörighet att skapa och tilldela rättigheterna.
  • vScope tilldelas enbart läsrättigheter i Azure och tillskrivs INTE någon av andra ovanstående behörigheter.
Sammanfattning

  1. Skapa en Appregistrering
  2. Ge appregistreringen följande API Permissions:
    1. AuditLog – AuditLog.Read.All (Read all audit log data)
    2. DeviceManagementConfiguration – DeviceManagementConfiguration.Read.All (Read Microsoft Intune device configuration and policies)
    3. DeviceManagementManagedDevices – DeviceManagementManagedDevices.Read.All (Read Microsoft Intune devices)
    4. Directory – Directory.Read.All (Read directory data)
    5. Reports – Reports.Read.All (Read all usage reports)

Börja med att konfirmera att ditt konto har rätt behörighet/permissions. Detta kan du göra under Mina behörigheter:

1. Skapa applikationen/programmet

1.1 Gå till Azure Resource Manager (https://portal.azure.com/) och logga in. Öppna “Alla tjänster”, sök efter och klicka på “Appregistreringar”.

1.2 Klicka på “+ Ny registrering” för att skapa applikationen/programmet.

1.3 Ge applikationen valfritt namn, “vScope Azure” i denna guiden.

  • Under “Kontotyper som stöds” gäller “Endast kontot i den här organisationskatalogen”.

Tryck på “Registrera” när du är klar.

1.4 Notera Program-ID, detta är ett värde som ska anges i vScope.

2. Skapa en API-nyckel (Klienthemlighet) för applikationen

2.1 Klicka “Certifikat och hemligheter” i applikationen som skapades.

2.2 Klicka på “Ny klienthemlighet.”

  • Skriv en valfri beskrivning, exempelvis vScope.
  • Välj giltighetstiden som du föredrar. När det upphör kan du skapa en ny nyckel och uppdatera vScope.
  • Klicka på “Lägg till”.

2.3 VIKTIGT! När nyckeln är skapad måste du spara ned värdet vid sidan eller kopiera in det direkt i vScopes Discovery Manager. Detta ska anges i vScope och syns bara en gång i Azure.

3. Lägg till API-behörigheter för Microsoft Graph

Nu är det dags att tilldela vScope-applikationen de behörigheter som krävs för att läsa ut informationen.

  • Klicka på “API-behörigheter” i applikationen som du skapade.
  • Välj sedan “Lägg till en behörighet”.

Under “Lägg till en behörighet” väljer du Microsoft Graph och sedan “Programbehörigheter”.

Programbehörigheter

  • Under fliken AuditLog – Bocka i “Read all audit log data” (nödvändigt för användaraktivitet)
  • Under fliken Directory – Bocka i “Read Directory Data” (nödvändigt för licensinformation)

Klicka på “Lägg till behörigheter”

VIKTIGT! Glöm inte att bevilja behörigheter till applikationen. Detta kan du göra under “Bevilja godkännande”.

Inte admin?

Be din Azure-administratör bevilja rättigheterna. Administratören behöver enbart utföra dessa enkla steg:

  1. Logga in i Azure-portalen och gå till Applikationen i appregistreringar. Klicka på API-behörigheter.
  2. Klicka på “Bevilja administratörsgodkännande för…” längst ned på API-sidan. Det kommer då upp en konfirmeringsflik på toppen av sida, klicka ja.
  3. Klart!

4. Åtkomstkontroll till prenumerationer

4.1 Gå till “Alla tjänster” och klicka på “Prenumerationer”.

4.2 Välj prenumerationen vScope ska ha åtkomst till. (Om du inte kan se några prenumerationer behöver du kontakta prenumerationsägaren).

4.3 Klicka på “Åtkomstkontroll (IAM)”. (Se video nedan)

  • Tryck på “+Lägg till… rolltilldelning”
  • Välj rollen “Reader”
  • Tilldela behörighet till: Användare, grupp eller tjänstetillhörighet
  • Sök fram vScope-applikationen

4.4 Spara!

Lägg till Azure-credential i vScope

När applikationen är skapad och har fått läsarroll till Azure ska du in i vScopes Discovery Manager.

Skapa en “Azure RM”-credential. Application ID är “Program-ID (klient)” som vi bland annat kunde se i steg 1.4, Domain kan hittas i Azure Active Directory (se bild nedan) och Key är värdet vi sparade i steg 2.4.

Här ser du vilken Domain som ska anges i vScope

Vid test av den nya crendentialen borde “Authentication OK” dyka upp.

vScope är nu redo att inventera ditt Azure Resource Manager!

Tags: Office 365, O365, Office, Azure, Cloud Spend, Subscriptions, Spend

Leave a Reply