Diese Seite listet jede einzelne Microsoft-Graph-API-Permission auf, die clarios in Ihrem Tenant anfordert - zusammen mit der Begründung, warum sie nötig ist, und der Information, ob sie als Delegated oder Application Permission angefordert wird.
Wichtige Hinweise vorab
- Read-Permissions sind Default-Aktiv. Sie werden beim Tenant-Connect angefordert und sind notwendig, damit clarios überhaupt etwas analysieren kann.
- Write-Permissions sind opt-in. Sie werden nur dann angefordert, wenn Sie das Fix-It-Modul aktivieren. Ohne Fix-It-Aktivierung läuft clarios reinem Read-Only-Modus.
- Mail-Permissions sind explizit ausgeschlossen.
Mail.Read,Mail.ReadWrite,MailboxSettings.*werden bewusst NICHT angefordert - auch nicht optional. clarios sieht keine E-Mail-Inhalte. - App-Registrierung jederzeit widerrufbar. Sie können in Entra ID unter „Enterprise Applications” die clarios-App entfernen - sofortiger Widerruf aller Permissions, keine weiteren Zugriffe.
Read-Permissions (Application)
| Permission | Modul | Begründung |
|---|---|---|
Directory.Read.All | Tenant-Check | Tenant- und Verzeichnis-Konfiguration auslesen (Rollen, Domains, Tenant-Settings). |
User.Read.All | Tenant-Check | Heartbeat-User-Erkennung für Lizenz-Counting, Sign-In-Aktivität. |
Group.Read.All | Tenant-Check | Gruppen-Mitgliedschaften für Privileged-Role-Analyse. |
RoleManagement.Read.Directory | Tenant-Check | Welche User haben welche privilegierten Rollen. |
Policy.Read.All | Tenant-Check | Conditional Access Policies, Identity Protection Policies. |
AuditLog.Read.All | Tenant-Check | Sign-In-Logs für Legacy-Auth-Erkennung, Drift-Validierung. |
Reports.Read.All | Tenant-Check, Mail-Modul | Nutzungs-Reports und Sicherheits-Reports. |
DeviceManagementManagedDevices.Read.All | Device-Modul | Intune-Geräte-Inventar und -Compliance-Status. |
DeviceManagementConfiguration.Read.All | Device-Modul | Intune Compliance Policies und Configuration Profiles. |
BitLockerKey.Read.All | Device-Modul | BitLocker-Recovery-Keys für die clarios-Recovery-Oberfläche. |
DeviceLocalCredential.Read.All | Device-Modul | Windows-LAPS-Passwörter. |
SecurityActions.Read.All | Tenant-Check | Defender-Sicherheits-Empfehlungen. |
SecurityEvents.Read.All | Tenant-Check | Defender-Security-Alerts (übersichtsweise, keine Detailauswertung). |
Domain.Read.All | Mail-Modul | Verbundene Domains für DMARC-/SPF-Analyse. |
Application.Read.All | Tenant-Check | Drittanbieter-Apps in Entra (Lieferketten-Sicherheit nach NIS2). |
Write-Permissions (Application, opt-in für Fix-It)
| Permission | Modul | Begründung |
|---|---|---|
Policy.ReadWrite.ConditionalAccess | Tenant-Check | Reaktivieren/anpassen von Conditional Access Policies nach Drift. |
DeviceManagementConfiguration.ReadWrite.All | Device-Modul | Intune-Compliance-Profile bei Fix-It-Aktionen. |
User.ReadWrite.All | Tenant-Check | Account-Disable bei Stale-Accounts; MFA-Aktivierung. |
RoleManagement.ReadWrite.Directory | Tenant-Check | Privileged-Role-Adjustments (nur bei Vier-Augen-Bestätigung). |
Group.ReadWrite.All | Tenant-Check | Gruppen-Mitgliedschaften bei Privileged-Access-Workflows. |
Permissions, die clarios NICHT anfordert
Diese Liste ist absichtlich umfangreich - wir zeigen explizit, was wir nicht haben und nicht haben wollen.
Mail.Read,Mail.ReadWrite,Mail.Send,MailboxSettings.*- keinerlei Mail-InhaltszugriffFiles.Read.All,Files.ReadWrite.All,Sites.Read.All,Sites.ReadWrite.All- kein Zugriff auf SharePoint- oder OneDrive-DateienCalendars.Read,Calendars.ReadWrite- keine Kalender-DatenContacts.Read,Contacts.ReadWrite- keine Kontakt-DatenChat.Read.All,ChatMessage.Read.All- keine Teams-Chat-InhalteNotes.Read.All- keine OneNote-Inhalte
Verifikation
Sie können die tatsächlich angeforderten Permissions jederzeit in Ihrem Entra-Portal verifizieren:
- Entra ID → Enterprise Applications → clarios suchen
- Tab „Permissions” anzeigen
- Liste mit dieser Dokumentation abgleichen
Bei Abweichungen zwischen dieser Seite und dem tatsächlichen App-Manifest melden Sie sich bitte an privacy@clarios.app - wir werden die Diskrepanz innerhalb von 5 Werktagen klären und in jedem Fall transparent dokumentieren.
Historie
Permission-Änderungen werden im Trust Center Changelog dokumentiert und Bestandskunden mindestens 30 Tage vor Inkrafttreten per Mail informiert.