App-Profil erstellen

Prozedur

Bevor Sie ein App-Profil erstellen, lesen Sie den Abschnitt "Von den Diensten benötigte Apps ", um zu erfahren, welche Apps von den Diensten benötigt werden, die Ihre Organisation verwendet.

Unter Management > App-Managementkönnen der Tenanteigner und die Serviceadministratoren auf Create klicken und die folgenden Schritte ausführen, um ein App-Profil zu erstellen.

Services auswählen -Wählen Sie einen Tenant und Services aus, für die Sie App-Profile erstellen möchten. Klicken Sie auf Weiter.

Anmerkung: Vor dem Erstellen eines App-Profils müssen Sie sicherstellen, dass der Tenant mit IBM® Storage Protect for Cloudverbunden wurde. Weitere Informationen zur Verbindung von Mandanten finden Sie unter "Verbinden Sie Ihre Mandanten mit IBM Storage ".

Konfigurationsmethode auswählen -Lesen Sie die folgenden Informationen und wählen Sie einen Modus auf der Basis Ihres Szenarios aus:

Der moderne Modus wird für alle IBM Storage Cloud-Standardanwendungen empfohlen. In diesem Modus werden die zugehörigen Anwendungen in einer dienstbasierten Ansicht aufgelistet, und Sie können den Anwendungen für die ausgewählten Dienste separat zustimmen.
Beachten Sie Folgendes:
- Bei Google, die eine Standard-Service-App verwenden, kann es zu Drosselungsproblemen kommen, die durch Google verursacht werden. Wenn die Leistung ein Problem darstellt, sollten Sie eine benutzerdefinierte Google für Ihr Unternehmen konfigurieren. Wählen Sie dann den Modus Benutzerdefiniert, um ein App-Profil für die benutzerdefinierte Google zu konfigurieren.
- Bei der automatischen Erkennung führen Scanprofile Aufträge aus und verwenden zufällig Anwendungsprofile, die über die erforderlichen Berechtigungen zum Scannen von Objekten verfügen. Für bestimmte Funktionen in Services verfügen nur die zugehörigen Service-Apps über die erforderlichen Berechtigungen für die Unterstützung. Weitere Einzelheiten zu den Berechtigungen von Service-Apps finden Sie unter Apps für individuelle Dienste.

Der klassische Modus umfasst die Methode der Einwilligung zu einer App, die von mehreren Services verwendet werden kann. Dieser Modus wird nicht angezeigt, wenn er von den ausgewählten Services nicht unterstützt wird.

Beachten Sie bei Auswahl dieses Modus Folgendes:

In der Anwendungsliste können Sie den folgenden Apps, die von mehreren Diensten verwendet werden können, zustimmen: Microsoft 365 (alle Berechtigungen ), Microsoft Entra ID und Viva Engage.

In der folgenden Tabelle sind die Services aufgelistet, die von den Apps in der Anwendungslisteim klassischen Modus unterstützt werden:


Anwendungen	Unterstützte Services	Zustimmungsmethode
Microsoft 365 (Alle Berechtigungen)	IBM Storage Schutz für die Cloud Microsoft 365	Zustimmung zu einer App, die von mehreren Services verwendet werden soll
Viva-Engage	IBM Storage Schutz für die Cloud Microsoft 365
Delegierte App Hinweis: Wenn IBM Storage Protect für Cloud Azure VMs, Storage und Entra ID“ die einzigen Dienste sind, die Sie verwenden möchten, ist der klassische Modus nicht verfügbar.	IBM Storage Schutz für die Cloud Microsoft 365 IBM Storage Protect for Cloud Azure VMs, Speicher und Entra-ID	Zustimmung zur App separat für jeden Service.

In der Service-App-Listekönnen Sie den Apps, die von bestimmten Services verwendet werden, auch gesondert zustimmen.

Der benutzerdefinierte Modus wird für Unternehmen empfohlen, die Anwendungsfälle mit extrem begrenzten erforderlichen Berechtigungen identifiziert haben.
Bevor Sie ein App-Profil für eine angepasste App erstellen, lesen Sie Angepasste Apps erstellen , um angepasste Apps zu erstellen, die die Anforderungen Ihrer Services erfüllen. Wenn Sie ein App-Profil für eine benutzerdefinierte App erstellen, lesen Sie den Abschnitt Zustimmung zu benutzerdefinierten Apps, um der benutzerdefinierten App zuzustimmen.
Beachten Sie Folgendes:
- Für Google wird empfohlen, benutzerdefinierte Google zu verwenden, um das durch die Kontingentgrenze verursachte Drosselungsproblem zu vermeiden. Weitere Informationen zu benutzerdefinierten Google Apps finden Sie unter Erstellen einer benutzerdefinierten Google App.
- Wenn Sie sicherstellen möchten, dass die benutzerdefinierten Apps in nur von den IBM Storage Protect for Azure Cloud-Produktionsumgebungen verwendet werden können, können Sie eine Best-Practice-Richtlinie für bedingten Zugriff für benutzerdefinierte Apps in Azure konfigurieren.

Zustimmung zu Apps -Klicken Sie zur Zustimmung zu einer App neben der App auf Zustimmung und lesen Sie die folgenden Informationen, um mit der Zustimmung fortzufahren:
- Für einen Microsoft 365 -Mandanten erfordert das Erstellen von App-Profilen für IBM -Apps in einer Microsoft-Mandantenumgebung ein Konto für einen globalen Administrator von Microsoft 365 oder einen privilegierten Rollenadministrator, der sich im selben Mandanten befindet. Alle Organisationen müssen das erforderliche Administratorkonto verwenden, um Apps in „ IBM Storage Protect for Cloud “ zuzulassen. In „ IBM Storage Protect for Cloud “ ist es nicht zulässig, eine über den „ Azure -approval-flow“ genehmigte App direkt hinzuzufügen. Andernfalls besteht die Gefahr, dass Personen mit geringeren Berechtigungen die Autorisierung umgehen und ohne angemessene Aufsicht Anwendungen in der Umgebung „ IBM Storage Protect for Cloud“ erstellen.
- Weitere Informationen zu diesen Anforderungen finden Sie unter Warum ist die Zustimmung des Administrators erforderlich, um die App „ IBM Storage Protect for Cloud“ zu verwenden? ein. Nicht das Folgende:
  - Der Engage-Administrator, d.h. der Yammer-Administrator in Microsoft Entra ID, kann auch den IBM Storage Protect for Cloud Apps für Viva Engage zustimmen.
  - Wenn die Multi-Faktor-Authentifizierung (MFA) auf einem Microsoft 365 -Konto aktiviert ist, kann dieses Konto weiterhin für die Zustimmung zu App-Profilen verwendet werden. Für Apps mit delegierten Berechtigungen müssen die zugehörigen App-Profile erneut autorisiert werden, wenn MFA auf den Microsoft 365 -Konten der zustimmenden Benutzer aktiviert ist, nachdem diese ihre Zustimmung zu den App-Profilen gegeben haben.
  - Wenn Sie ein App-Profil für eine delegierte App erstellen, die vom Dienst IBM Storage Protect for Cloud Microsoft 365 verwendet wird, müssen Sie auch die Funktionen auswählen, die diese App verwenden sollen.
  - Wenn Sie ein Anwendungsprofil für den Dienst IBM Storage Protect for Cloud Microsoft 365 erstellen, beachten Sie Folgendes:
    - Wenn Sie der delegierten App Cloud Backup für Microsoft 365 zustimmen, müssen Sie auch die Funktionen auswählen, die diese App verwenden sollen. Der Benutzer, der der Anwendung zustimmt, muss die Rolle Microsoft 365 Global Administrator haben. Weitere Informationen finden Sie im Abschnitt „Erforderliche Berechtigungen für delegierte Microsoft-Apps “ im Benutzerhandbuch IBM Storage zu Microsoft 365 Protect for Cloud.
    - Bei der Zustimmung zu einem Viva Engage App-Profil, das von IBM Storage Protect for Cloud Microsoft 365 verwendet wird, muss der zustimmende Benutzer ein Microsoft 365 Global Administrator mit der Viva Engage Produktlizenz sein.
- Weitere Details zum Erstellen eines App-Profils für eine angepasste App in einem Microsoft/Google -Tenant finden Sie im Abschnitt Zustimmung zu angepassten Apps.
- Für einen Google -Tenant erfordert das Erstellen eines App-Profils für die App, die vom IBM Storage Protect for Cloud Google Workspace -Service verwendet wird, die Zustimmung eines Superadministratorkontos.
  Hinweis: Stellen Sie für die von IBM Storage Protect for Cloud Google Workspace verwendete App sicher, dass dem Super Admin-Konto die erforderlichen Lizenzen zugewiesen wurden:
  - Das Modul Google Workspace erfordert Lizenzen für die Dienste Google Mail, Kalender, Kontakte, Drive und Chat. Die folgenden zusätzlichen Lizenzen werden nur für die Verwaltung bestimmter Dienste benötigt: Shared Drive für freigegebene Laufwerke und Vault für Vault-Angelegenheiten.
  - Das Modul Google Classroom erfordert Lizenzen für den Classroom-Dienst.
- Für einen Salesforce Mandanten erfordert das Erstellen eines App-Profils für die von IBM Storage Protect for Cloud Salesforce verwendete App die Zustimmung eines Salesforce Kontos mit dem Systemadministratorprofil oder einem anderen Profil mit denselben Berechtigungen.
Wenn Sie die Erstellung von App-Profilen abgeschlossen haben, können Sie auf Fertigstellen klicken, um den Assistenten App-Profil erstellen zu verlassen.

Hinweis: Gemäß den nicht interaktiven Benutzeranmeldungen von Microsoft zeigen die Anmeldungsprotokolle die ursprüngliche IP-Adresse, die für die ursprüngliche Token-Ausgabe verwendet wurde, da die IP-Adresse von nicht interaktiven Anmeldungen, die von vertraulichen Clients ( IBM Storage Protect for Cloud ) durchgeführt werden, nicht mit der tatsächlichen ursprünglichen IP-Adresse des Ereignisses übereinstimmt, als sich ein Microsoft-Benutzer angemeldet und einer App zugestimmt hat. Wenn Sie eine App mit delegierten Berechtigungen erstellen, müssen Sie die ursprüngliche IP-Adresse den Richtlinien für bedingten Zugriff Ihres Microsoft-Tenants (sofern vorhanden) hinzufügen. Andernfalls werden die Anwendungen mit delegierten Berechtigungen als ungültig eingestuft. Nachdem Sie die ursprüngliche IP-Adresse zu Ihren Richtlinien für bedingten Zugriff hinzugefügt haben, können Sie das App-Profil manuell erneut berechtigen, seinen Status zu aktualisieren, oder warten, bis IBM Storage Protect for Cloud seinen Status automatisch aktualisiert.
Nach dem Erstellen von App-Profilen für die folgenden Apps müssen Sie das Microsoft Entra Admin Center (oder das Microsoft Azure -Portal) aufrufen, um den Apps Rollen zuzuweisen:
- Wenn eine App zur Verwaltung von Exchange-Postfächern und -Einstellungen / Microsoft Defender-Einstellungen verwendet wird, müssen Sie der App die Rolle „Exchange-Administrator” zuweisen. Weitere Einzelheiten zur Zuweisung der Rolle finden Sie unter Wie weise ich einer Anwendung die Rolle des Exchange-Administrators zu?
Hinweis: Sie benötigen keine anderen als die in diesem Handbuch aufgeführten Berechtigungen oder Microsoft-Lizenzen.