Welke rechten vraagt ServiceChanger
Overzicht van de Microsoft Graph-permissions die ServiceChanger gebruikt, waarom, en wat het bewust niet vraagt.
Korte versie
ServiceChanger vraagt de Graph-permissions die nodig zijn om groepslidmaatschappen te beheren en gebruik te meten. Het kan groepslidmaatschap schrijven, maar leest verder alleen. Geen mailinhoud, geen files, geen chats, en geen rechten om licenties toe te wijzen.
Hoe consent werkt
Bij het koppelen geef je admin consent op de enterprise application van ServiceChanger in jouw tenant. De toegang verloopt via die service principal, scoped tot de application permissions die je goedkeurt. Zie OAuth2 app-registratie.
De permissions
| Permission | Type | Waarom |
|---|---|---|
User.Read.All | Lezen | Users en hun attributen uitlezen om regels te evalueren. |
Group.Read.All | Lezen | Groepen en hun eigenschappen uitlezen. |
GroupMember.ReadWrite.All | Schrijven | Lidmaatschap van groepen toevoegen en verwijderen volgens je regels. |
Directory.Read.All | Lezen | Tenant-metadata en relaties uitlezen. |
Organization.Read.All | Lezen | Informatie over de licentie-pools (SKU's) van de tenant. |
AuditLog.Read.All | Lezen | Aanmeldactiviteit uit de sign-in-rapportage voor license tracking. |
GroupMember.ReadWrite.All), niet tot het bewerken van users of het beheren van het volledige groep-object.
Optioneel: e-mail
Als je ServiceChanger notificaties wilt laten versturen vanuit een postvak in je tenant, kun je daarnaast mail-scopes goedkeuren (Mail.Send en/of Mail.ReadWrite). Dit is optioneel en staat los van de kernfunctionaliteit.
Wat ServiceChanger niet vraagt
- Geen
User.ReadWrite.All. ServiceChanger wijzigt geen user-attributen en wijst geen licenties toe. - Geen mail-, file-, chat-, contacts- of calendar-rechten voor de kernfunctie.
- Geen policy-rechten zoals
Policy.ReadWrite.All.
Aanmeldactiviteit aan Microsoft-kant
License tracking gebruikt de sign-in-rapportage van Entra ID. Gedetailleerde sign-in-logs vereisen aan Microsoft-kant een Entra ID P1- of P2-licentie. Zonder dat is de gebruiksmeting beperkter.
Intrekken
In Azure Portal: Microsoft Entra ID > Enterprise Applications > ServiceChanger > Delete. Daarna kan ServiceChanger niets meer met je tenant. Bestaande lidmaatschappen blijven zoals ze zijn.