PowerBI – Datenabruf Microsoft Defender API mit delegated access

Mit Power BI die Daten von der Microsoft Defender API zu visualisieren hört sich nach einem nicht ganz so schwierigen Thema an und ist es auch nicht, solange man ein Gerät verwendet, welches dem jeweiligen Azure AD bekannt ist.

Will man als IT-Dienstleister Daten eines Kundentenant abrufen, um diese in Power BI darzustellen, stößt man vor einige Herausforderungen. Die Registrierung einer Applikation und die Berechtigungsvergabe ist gut dokumentiert:

Use Microsoft Defender for Endpoint APIs | Microsoft Docs

Will man mit delegated access dann auf die API zugreifen, muss man sich mit seinem organizational account anmelden:

Und schon steht man vor folgender Meldung:

Sieht man sich im Azure AD Log um, findet man dazu nichts hilfreiches, nur dass das Device anscheinend nicht den richtigen Status aufweist:

Wie in den Screenshots zu sehen, ist der Status vom Device „unregistered“. Somit kann man daraus schließen, dass das Gerät dem Azure AD nicht bekannt ist und somit der Zugriff verwehrt wird.

Verursacht kann dies durch eine Classic MFA Policy werden, welche beim Verbinden vom Intune und Microsoft Defender automatisch erstellt wird. In den Docs versteckt findet man den Hinweis:

Configure Microsoft Defender for Endpoint in Microsoft Intune | Microsoft Docs

Hier findet man diesen „Tip“:

Legt man für sich als IT-Dienstleister pro Kunde einen Administrator im Azure AD an, mit welchem keine Geräte registriert werden, kann man diesen einer AD Gruppe zuweisen und diese dann bei den Ausnahmen hinzufügen:

Danach speichern und im Power BI die Verbindung neu aufbauen.

Top