Skip to content

Azure

För att vScope ska kunna inventera Azure Resource Manager behöver vScope läsrättigheter till den prenumeration du ska läsas ut.  I denna guide går vi igenom hur du skapar en vScope-applikation/program i Azure, ge den läsrättigheter, och hur det läggs in i Discovery i vScope.

Steg-För-Steg: Sammanfattning

  1. Skapa en Appregistrering
  2. Ge Appregistreringen följande API-rättigheter:
    • AuditLog – AuditLog.Read.All (Read all audit log data)
    • DeviceManagementConfiguration – DeviceManagementConfiguration.Read.All (Read Microsoft Intune device configuration and policies)
    • DeviceManagementManagedDevices – DeviceManagementManagedDevices.Read.All (Read Microsoft Intune devices)
    • Directory – Directory.Read.All (Read directory data)
    • Reports – Reports.Read.All (Read all usage reports)
    • AdvancedQuery: AdvancedQuery.Read.All (365 Defender)
    • Machine: Machine.Read.All (365 Defender)
  3. Godkänn rättigheter till prenumeratiuonerna du vill inventera.

Börja med att bekräfta att ditt konto har rätt behörighet/permissions. Detta kan du göra under Mina behörigheter:

Mina rättigheter i Azure

1. Skapa applikationen/programmet

1.1 Gå till Azure Resource Manager och logga in. Öppna Alla tjänster, sök efter och klicka på Appregistreringar.

1.2 Klicka på + Ny registrering för att skapa applikationen/programmet.

1.3 Ge applikationen valfritt namn, vScope Azure i denna guiden.

  • Under Kontotyper som stöds gäller Endast kontot i den här organisationskatalogen.
  • Tryck på Registrera när du är klar.

Registrera applikation i Azure 1.4 Notera Program-ID, detta är ett värde som ska anges i vScope.

Visa Program-ID i Azure

2. Skapa en API-nyckel (Klienthemlighet) för applikationen

2.1 Klicka Certifikat och hemligheter i applikationen som skapades.

2.2 Klicka på Ny klienthemlighet.

  • Skriv en valfri beskrivning, exempelvis vScope.
  • Välj giltighetstiden som du föredrar. När det upphör kan du skapa en ny nyckel och uppdatera vScope.
  • Klicka på “Lägg till”.

3. Lägg till API-behörigheter för Microsoft Graph

Nu är det dags att tilldela vScope-applikationen de behörigheter som krävs för att läsa ut informationen.

  • Klicka på “API-behörigheter” i applikationen som du skapade.
  • Välj sedan “Lägg till en behörighet”.

Under “Lägg till en behörighet” väljer du Microsoft Graph och sedan “Programbehörigheter”.

Behörigheter (API Permissions)

Beroende på dina önskemål om vad du vill inventera, sök fram och markera följande rättigheter:

  • AuditLog: Read all audit log data (nödvändigt för aktivitet hos användare)
  • DeviceManagementManagedDevices: DeviceManagementManagedDevices.Read.All (Read Microsoft Intune devices)
  • DeviceManagementConfiguration: DeviceManagementConfiguration.Read.All (Microsoft Intune enhetskonfigurationer och policies)
  • Directory: Directory.Read.All (Data från Microsoft Entra ID/Azure AD)
  • Reports: Reports.Read.All (Usage reports)
  • AdvancedQuery: AdvancedQuery.Read.All (Microsoft 365 Defender)
  • Machine: Machine.Read.All (Microsoft 365 Defender)

Klicka på Lägg till behörigheter

Inte administratör?

Be din Azure-administratör bevilja rättigheterna. Administratören behöver enbart utföra två enkla steg:

  1. Logga in i Azure-portalen och gå till Applikationen i appregistreringar.
  2. Klicka på API-behörigheter. Api-behörigheter in Azure
  3. Klicka på “Bevilja administratörsgodkännande för…” längst ned på API-sidan. Det kommer då upp en konfirmeringsflik på toppen av sida, klicka Ja.Klicka Ja Api-behörigheter in Azure

Klart!

4. Åtkomstkontroll till prenumerationer

4.1 Gå till Alla tjänster och klicka på Prenumerationer.

4.2 Välj prenumerationen vScope ska ha åtkomst till. (Om du inte kan se några prenumerationer behöver du kontakta prenumerationsägaren).

4.3 Klicka på Åtkomstkontroll (IAM).

  • Tryck på +Lägg till… rolltilldelning
  • Välj rollen Reader
  • Tilldela behörighet till: Användare, grupp eller tjänstetillhörighet
  • Sök fram vScope-applikationen

4.4 Spara!

Lägg till Azure-credential i vScope

När applikationen är skapad och har fått läsarroll till Azure ska du in i vScopes Discovery Manager.

Skapa Credential > Azure RM. Application ID är “Program-ID (klient)” som vi bland annat kunde se i steg 1.4, Domain kan hittas i Azure Active Directory (se bild nedan) och Key är värdet vi sparade i steg 2.4.

Här ser du vilken Domain som ska anges i vScope

Vid test av den nya crendentialen borde Authentication OK dyka upp.

Bra jobbat! vScope är nu redo att inventera Azure Resource Manager. Starta en Discovery (Credentials > [Din Azure Credential] > Rediscover) för att kika på resultatet


Förslag – Matchning av lokala och Azure-domäner

Efter att ha inventerat Azure Resource Manager rekommenderar vi att du i Discovery går till fliken Suggestions. Här kan du förbättra vScope:s datakvalitet genom att skapa regler för hur assets identifieras.

För Azure är det vanligt att ha olika domännamn i ditt lokala Active Directory jämfört med Azure och Microsoft Entra ID. För att hjälpa vScope att tolka detta korrekt bör du skapa ett Custom förslag.

Skapa en regel för domänmatchning i vScope's Discovery

  • Välj de domäner i rullgardinsmenyn som du anser är “samma” (t.ex. infrasightlabs.com och isl.com).
  • Klicka på Apply för att spara.
  • Kör en ny Discovery.

Efter nästa Discovery kommer vScope att känna igen och behandla dessa domäner som samma. Detta förbättrar identifieringen av unika och duplicerade assets.

Last updated: