Skip to main content
Skip table of contents

SharePoint Online-Einrichtung

MyQ lässt sich in SharePoint Online integrieren, sodass Benutzer in den Cloud-Speicher von SharePoint Online scannen und von dort aus drucken können.

Eine einzelne Verbindung kann SharePoint Online in zwei Modi unterstützen:

Einzel-Site-Modus: Der Administrator legt eine bestimmte Site-URL als Ziel fest und optional einen Stammordner. Das Terminal zeigt keine Site-Liste an. Wenn die Ordner-Navigation aktiviert ist, können Benutzer nur innerhalb dieser Site navigieren.

Multi-Site-Modus: Die Website-URL bleibt leer. Das Terminal zeigt eine Liste aller Websites oder nur der abonnierten Websites an; Benutzer wählen eine Website am Terminal aus, und wenn die Ordner-Navigation aktiviert ist, können sie Dokumentbibliotheken und Ordner über SharePoint Online-Websites hinweg durchsuchen.

Um eine Verbindung zwischen MyQ X und SharePoint Online einzurichten, führen Sie die folgenden Schritte aus.

  1. Gehen Sie zu MyQ > Einstellungen > Verbindungen.

  2. Klicken Sie auf „Hinzufügen“ und wählen Sie „SharePoint Online“ aus. Geben
    Sie im Popup-Fenster einen Titel für Ihre Verbindung ein und wählen Sie dann aus:

    • Automatisch erstellen

    • Manuell einrichten

Automatisch erstellen

In diesem Modus kann der Administrator MyQ beauftragen, die Unternehmensanwendung (Service Principal) in seinem Mandanten zu erstellen und dieser Anwendung Berechtigungen für den Zugriff auf SharePoint Online-Ordner und -Dateien zu erteilen.

SharePoint connection - Create automatically

Zu beachten

Wenn Sie zögern, auch nur vorübergehend Administratorzugriff für die Erstellung eines Client-Geheimnisses zu gewähren, steht das automatische Verbindungsverfahren zu SharePoint Online nicht zur Verfügung. In solchen Fällen empfiehlt es sich, eine Anwendung manuell in der Azure-Umgebung Ihrer Organisation zu erstellen und die Verbindung zu MyQ X selbst zu konfigurieren (Modus „Manuell einrichten“). Dieser Ansatz stellt sicher, dass Sie die volle Kontrolle über die Berechtigungen der Anwendung und die Sicherheitsaspekte der Verbindung behalten und diese an die spezifischen Sicherheitsrichtlinien und Compliance-Anforderungen Ihrer Organisation anpassen können.

Voraussetzungen

  • Für die Erstellung des Dienstprinzipals im Tenant des Kunden sind die Rollen „Anwendungsadministrator“ oder „Cloud-Anwendungsadministrator“ erforderlich.

  • Für die Erteilung der Administratorzustimmung für den Dienstprinzipal ist die Rolle „Global Administrator“ erforderlich.

  • Um alle Schritte der automatischen Einrichtung abzuschließen, ist die Rolle „Global Administrator“ erforderlich.

Schritte zur automatischen Einrichtung der SharePoint Online-Anwendung

  1. Der Administrator meldet sich mit seinem Azure-Administratorkonto an. Der Dienstprinzipal „MyQ X SharePoint Online Connector“ wird im Mandanten erstellt.

  2. Der Administrator erteilt die Vertretung zur Verwaltung von Azure-Anwendungen.

    1. In diesem Schritt angeforderte Berechtigungen: Application.ReadWrite.All (zum Erstellen eines Client-Geheimnisses) Directory.Read.All (zum Lesen des Standard-Domänennamens im verbundenen Mandanten)

      Permissions requested dialogue

  3. Der Administrator erteilt der Anwendung die Berechtigungen zum Lesen und Schreiben von Dateien und erteilt die Administratorzustimmung (einzelne Benutzer müssen anschließend nicht zustimmen)

    • In diesem Schritt angeforderte Berechtigungen: Sites.ReadWrite.All

      Granting consent to access SharePoint Online

  4. Sobald der Vorgang abgeschlossen ist, wird der SharePoint Online-Konnektor gespeichert und die Verbindungsdaten werden sicher in MyQ gespeichert.

Neuberechtigung der SharePoint Online-Verbindung

Die automatische Verbindung zu SharePoint Online kann nach ihrer Erstellung geändert werden. Die Option „Erneut autorisieren“ ist im Kontextmenü verfügbar, das durch einen Rechtsklick auf die Verbindung aufgerufen wird.

Re-authorize option

Dem Benutzer wird derselbe Dialog angezeigt wie bei der Erstellung der Verbindung. Der Benutzer kann alle Schritte wiederholen, um einen neuen geheimen Schlüssel für die bestehende SharePoint Online-Verbindung zu erstellen. Oder er kann Schritt 3 – Zustimmung des Administrators – ausführen, falls dieser bei der Erstellung der Verbindung aus irgendeinem Grund nicht abgeschlossen wurde, beispielsweise aufgrund unzureichender Rechte des Azure-Administrators.

Außerdem können Sie mit der Option „Erneut autorisieren“ den Typ der erstellten Verbindung von automatisch auf manuell und umgekehrt ändern.

Anwendungsverwaltung

  • Die Gültigkeitsdauer des Geheimnisses beträgt 2 Jahre. Achten Sie darauf, den Schlüssel zu rotieren, wenn seine Gültigkeit abläuft. Dies können Sie über die Option „Neu autorisieren“ in MyQ tun. Wenn das Geheimnis innerhalb von 30 Tagen abläuft, sendet MyQ eine Health-Check-Warnung.

  • Anmeldeinformationen für Dienstprinzipale sind im Azure-Portal nicht sichtbar. Sie können über PowerShell oder die Microsoft Graph-API verwaltet werden.

  • Falls Sie den Zugriff der App oder den aktuell verwendeten Secret widerrufen müssen, können Sie einfach die gesamte MyQ X SharePoint Online Connector-Unternehmensanwendung in Azure löschen und mit der Option „Re-authorize“ in MyQ eine neue erstellen.

Weitere Informationen

  • Wenn die automatische Einrichtung erneut durchgeführt wird, wird keine neue Instanz der Anwendung im Mandanten erstellt, sondern die aktuelle Anwendung aktualisiert (z. B. wird ein neues Geheimnis für den Dienstprinzipal im Mandanten erstellt). Wenn die MyQ X SharePoint Online Connector-Anwendung aus Azure entfernt wurde, wird sie erneut erstellt.

  • Der Dienstprinzipal (Unternehmensanwendung) wird nach Schritt 1 auf dem Mandanten erstellt (ohne die erforderlichen Berechtigungen, die in Schritt 2 erteilt werden). Schritt 2 kann später abgeschlossen werden (durch Rechtsklick auf den MyQ X SharePoint Online Connector und Auswahl von „Re-authorize“).

  • Um besser zu verstehen, was MyQ in diesem Modus tut, erläutert Microsoft diese Methode in seiner Entwicklerdokumentation – Benutzer- und Administratorzustimmung aus der Perspektive des Anwendungsentwicklers verstehen

MyQ X-Benutzer können mit SharePoint Online-Dateien interagieren, ohne über individuelle Microsoft-Konten zu verfügen oder mit Benutzern aus Microsoft Azure AD synchronisiert zu sein. Die Anwendung handelt im Namen der Benutzer, basierend auf den Berechtigungen, die ihr vom Administrator der Organisation in Azure zugewiesen wurden.

Alle MyQ X-Benutzer erhalten einheitliche Vollzugriffsrechte auf Dateien auf der SharePoint Online-Site, unabhängig davon, ob sie über ein Microsoft-Konto innerhalb der Organisation oder individuelle Berechtigungen verfügen.

Manuelle Einrichtung

Wenn Sie manuell eine Azure-Anwendung erstellen, um mehrere dieser Dienste miteinander zu verknüpfen: Entra ID, OneDrive for Business, SharePoint Online, empfehlen wir Ihnen, eine einzige Anwendung zu erstellen, mit der Sie alle Dienste verknüpfen, anstatt für jeden einzelnen eine eigene.

Weitere Informationen

Es wird erwartet, dass der Administrator die Azure-Anwendung manuell konfiguriert hat. Er kann seiner Anwendung direkt Anmeldeinformationen bereitstellen – Anwendungs-ID (Client-ID) und Sicherheitsschlüssel (geheimer Schlüssel).

In den meisten Fällen reicht es aus, eine vorausgefüllte Verzeichnis- (Mandanten-)ID wie common. Sie sollte eine spezifische Mandanten-ID enthalten, wenn der Zugriff der Anwendung auf den SharePoint Online-Speicher aller Websites aktiviert ist.

image-20260317-130011.png

Wenn Sie ein Upgrade von einer Version vor 10.2 Patch 22 durchführen, wurde die Site-URL vom Connector zu jedem Ziel der Terminal Action verschoben. Bestehende Ziele werden automatisch aktualisiert; weitere Informationen finden Sie in den Versionshinweisen.

Anwendungsweiten Zugriff aktivieren

Wenn die Option „Anwendung hat Zugriff auf den SharePoint Online-Speicher aller Websites“ in den Verbindungseinstellungen aktiviert ist, gewährt sie MyQ X-Benutzern anwendungsweiten Zugriff zum Lesen und Schreiben von Dateien auf jeder ausgewählten SharePoint Online-Website. Dies wird erreicht, indem die Anwendung in Azure so konfiguriert wird, dass sie über die erforderlichen Berechtigungen für den Zugriff auf den SharePoint Online-Speicher über alle Websites hinweg verfügt.

Um diese Funktionalität zu implementieren, muss die Anwendung in Azure Entra ID mit den entsprechenden Berechtigungen für den Zugriff auf SharePoint Online registriert werden. Die erforderliche Berechtigung ist Sites.ReadWrite.All, die es der Anwendung ermöglicht, Dateien in allen Websitesammlungen zu lesen und zu schreiben, ohne dass einzelne Benutzeranmeldungen erforderlich sind. Diese Berechtigung wird durch die Zustimmung eines Administrators im Azure-Portal erteilt.

Konfigurationsschritte

  1. Registrieren Sie MyQ X als Anwendung in Microsoft Entra ID (Azure).

  2. Weisen Sie der Sites.ReadWrite.All Berechtigung der Anwendung in Azure AD zu.

  3. Zur Aktivierung dieser Berechtigungen für die Anwendung ist die Zustimmung eines Administrators erforderlich.

  4. Geben Sie in den MyQ X-Verbindungseinstellungen die SharePoint Online-Site anhand ihrer URL an.

  5. Aktivieren Sie die Option „Anwendung hat Zugriff auf den SharePoint Online-Speicher aller Websites“.

Wenn diese Option aktiviert ist, können MyQ X-Benutzer mit SharePoint Online-Dateien interagieren, ohne über individuelle Microsoft-Konten zu verfügen oder mit Benutzern aus Microsoft Azure AD synchronisiert zu sein. Die Anwendung handelt im Namen der Benutzer auf der Grundlage der Berechtigungen, die ihr vom Administrator der Organisation in Azure zugewiesen wurden.
Alle MyQ X-Benutzer erhalten einheitliche Vollzugriffsrechte auf Dateien auf der SharePoint Online-Site, unabhängig davon, ob sie über ein Microsoft-Konto innerhalb der Organisation oder individuelle Berechtigungen verfügen.

Deaktivieren des anwendungsweiten Zugriffs

Wenn die Option deaktiviert ist, müssen Benutzer ihren SharePoint Online-Speicher einzeln über die MyQ X-Weboberfläche verbinden. Sie müssen sich über einen connect Link anmelden, wofür ein Microsoft-Konto innerhalb ihrer Organisation erforderlich ist. Nach der Verbindung wird ein Zugriffstoken für SharePoint Online in MyQ X gespeichert.

Damit Benutzer nur SharePoint-Websites durchsuchen können, denen sie folgen, deaktivieren Sie den anwendungsweiten Zugriff und verwenden Sie die Option „Nur verfolgte Websites“, wenn Sie die Cloud-Speicherparameter der Scan- oder Terminal Action konfigurieren.

Benutzer-Token-Authentifizierung

Wenn der anwendungsweite Zugriff deaktiviert ist, wird jede Aktion, die an Dateien innerhalb der SharePoint Online-Site durchgeführt wird, unter dem Konto des jeweiligen Benutzers ausgeführt. Das Zugriffstoken des Benutzers ist eindeutig und unterliegt den spezifischen Berechtigungen des Microsoft-Kontos dieses Benutzers. Dies stellt sicher, dass Dateiinteraktionen sicher verwaltet werden und den Zugriffskontrollrichtlinien der Organisation entsprechen.

Sicherheitsaspekte

  • Bei der Aktivierung des anwendungsweiten Zugriffs ist es entscheidend, die Sicherheitsauswirkungen zu verstehen, die sich aus der Gewährung umfangreicher Berechtigungen für die Anwendung in SharePoint Online ergeben. Administratoren sollten die Notwendigkeit dieser Berechtigungen im Hinblick auf die Sicherheitsrichtlinien ihrer Organisation sorgfältig abwägen.

  • Die Authentifizierung über individuelle Benutzertoken bietet eine feinere Zugriffskontrolle, da die spezifischen Berechtigungen des Microsoft-Kontos jedes Benutzers auf dessen Interaktionen mit SharePoint Online-Dateien angewendet werden.

 

Erfahren Sie hier, wie Sie Ihr SharePoint OnlineScan to SharePoint Online als Ziel für Easy Scans nutzen können.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close