Zum Hauptinhalt springen

Microsoft Dynamics 365-Integration: Einrichtung und Sicherheitsübersicht

Technischer Leitfaden für IT- und Sicherheitsteams zur Microsoft Dynamics 365-Integration von Bliro: Authentifizierungsmodell, OAuth-Scopes mit Begründungen, Instanzauswahl und Berechtigungen auf Tool-Ebene.

Verfasst von Laura Fuchs

Dieser Leitfaden richtet sich an IT- und Sicherheitsteams, die Bliro's Integration mit Microsoft Dynamics 365 (CRM) evaluieren. Er behandelt das Authentifizierungsmodell, die Berechtigungen, die Bliro bei der Zustimmung anfordert, wie Dynamics-Umgebungen ausgewählt werden und wie Bliro Berechtigungen auf Tool-Ebene über seine KI-Agenten durchsetzt.

Überblick

Bliro verbindet sich mit Microsoft Dynamics 365 über benutzerdelegiertes OAuth 2.0. Bliro handelt im Namen des angemeldeten Benutzers und kann keine Aktion in Dynamics ausführen, die der Benutzer selbst nicht ausführen dürfte. Die Integration wird über Bliros registrierte Microsoft Enterprise Application bereitgestellt.

  • Anwendungsname: Bliro

  • Anwendungs-ID (Client-ID): f752681c-0e51-4cab-a13b-1134a8477b88

  • Herausgeber: bliro GmbH (von Microsoft verifizierter Herausgeber)

So funktioniert die Integration

Wenn ein Benutzer Microsoft Dynamics in Bliro verbindet, passiert Folgendes:

  1. Bliro initiiert eine OAuth-2.0-Autorisierungsanfrage an login.microsoftonline.com.

  2. Der Benutzer meldet sich mit seinem Microsoft-Geschäftskonto an und stimmt den angeforderten Scopes zu.

  3. Microsoft Entra ID stellt einen Access Token und einen Refresh Token aus, die an den angemeldeten Benutzer gebunden sind.

  4. Bliro verwendet den Access Token, um die Dynamics 365 Web API (Dataverse) im Namen des Benutzers aufzurufen.

  5. Wenn der Access Token abläuft, erneuert Bliro es automatisch über den Refresh Token, bis der Benutzer die Verbindung trennt oder ein Administrator die Zustimmung widerruft.

Alle Dynamics-Anfragen sind auf die eigene Identität und die Dynamics-Sicherheitsrollen des Benutzers beschränkt. Bliro besitzt niemals ein Anwendungs-Credential (Daemon) für deine Dynamics-Umgebung.

Voraussetzungen

  • Der Benutzer hat eine gültige Microsoft Dynamics 365-Lizenz und Zugang zu mindestens einer Dynamics-Umgebung.

  • Dein Microsoft Entra ID-Tenant erlaubt es Benutzern, der Bliro Enterprise Application benutzerdelegierte Berechtigungen zu erteilen. Falls die Benutzerzustimmung in deinem Tenant eingeschränkt ist, muss ein Microsoft Entra-Administrator entweder vorab im Namen der Organisation zustimmen oder dem betroffenen Benutzer die Möglichkeit zur Zustimmung gewähren.

  • Der Benutzer ist bei Bliro angemeldet.

Einrichtung: Bliro mit Microsoft Dynamics verbinden

  1. Öffne in Bliro die Integrationen und wähle Microsoft Dynamics aus.

  2. Klicke auf Verbinden. Bliro leitet dich zur Microsoft-Anmeldeseite (login.microsoftonline.com) weiter.

  3. Wähle das Microsoft-Geschäftskonto aus, das Zugang zu deiner Dynamics-Umgebung hat.

  4. Prüfe den Bildschirm „Angeforderte Berechtigungen" und klicke auf Akzeptieren. Die angeforderten Berechtigungen sind im nächsten Abschnitt detailliert aufgeführt.

  5. Bliro leitet dich zurück zur Integrationsseite. Wähle die Dynamics-Instanz aus, die Bliro verwenden soll (siehe „Dynamics-Instanz auswählen" weiter unten).

  6. Konfiguriere die Tools & Berechtigungen, die Bliro in deinem Namen verwenden darf.

Angeforderte Berechtigungen (OAuth-Scopes)

Bei der Zustimmung fordert Bliro genau die folgenden drei Scopes für die Dynamics-Integration an. Jeder ist unten mit seinem Zweck und seiner Begründung aufgeführt.

Scope

Begründung

Microsoft Entra: openid

Standard-OpenID-Connect-Scope. Erforderlich zur Identifizierung des Benutzers und zur Verknüpfung der Dynamics-Verbindung mit dem richtigen Bliro-Konto.

Microsoft Entra: offline_access

Ermöglicht Bliro den Erhalt eines Refresh Tokens, um das kurzlebige Dataverse Access Token automatisch zu erneuern. Ohne offline_access müsste sich der Benutzer jedes Mal neu authentifizieren, wenn das Access Token abläuft (in der Regel stündlich) - auch für Aktionen nach dem Meeting, die ausgeführt werden, nachdem der Benutzer die App geschlossen hat. Dieser Scope gewährt allein keinen zusätzlichen Datenzugriff.

Dataverse: user_impersonation

Erforderlich, um die Dynamics 365 Web API (Dataverse) im Namen des angemeldeten Benutzers aufzurufen. Dieser Scope ermöglicht es Bliro, CRM-Datensätze zu lesen oder zu schreiben, jedoch stets strikt innerhalb der bestehenden Dynamics-Sicherheitsrollen, des Geschäftsbereichsumfangs und der Sicherheit auf Feldebene des Benutzers. Bliro kann keine Datensätze lesen oder ändern, die der Benutzer selbst nicht lesen oder ändern kann.

Dynamics-Instanz auswählen

Ein einzelnes Microsoft-Konto kann Zugang zu mehreren Dynamics-Umgebungen haben (zum Beispiel eine Produktions- und eine Sandbox-Instanz). Nach dem Verbinden wird der Benutzer gefragt, welche Dynamics-Instanz Bliro verwenden soll.

Organisationen können diese Auswahl zentral festlegen, sodass alle Benutzer im Workspace zur selben Dynamics-Umgebung geleitet werden. Das eliminiert das Risiko, dass ein Benutzer Bliro versehentlich auf die falsche Instanz verweist. Kontaktiere deinen Bliro-Administrator oder [email protected], um einen zentral verwalteten Standard zu konfigurieren.

Tools und Berechtigungen

Auch wenn der Dataverse-Scope gewährt wurde, führt Bliro standardmäßig keine Dynamics-Operation aus. Jede einzelne Aktion, die Bliro ausführen kann - zum Beispiel „Account lesen", „Kontakt erstellen" oder „Lead aktualisieren" - ist als Tool mit einer eigenen Berechtigungsstufe modelliert, die von einem Organisationsadministrator konfiguriert wird.

Für Microsoft Dynamics können Administratoren auch benutzerdefinierte Tools erstellen, indem sie ein beliebiges Dynamics-Objekt auswählen. Bliro generiert dann automatisch die entsprechenden Tools zum Lesen, Erstellen und Aktualisieren.

Eine vollständige Erklärung des Tool-Modells, der Berechtigungsstufen, des „Um Erlaubnis fragen"-Flows und wie Bliro verweigerte Tools durchsetzt, findest du unter KI-Tools und Berechtigungen.

Sicherheitsaspekte

  • Ausschließlich benutzerdelegiert. Bliro besitzt niemals ein Anwendungs-Credential für deine Dynamics-Umgebung. Jeder API-Aufruf wird als der Benutzer authentifiziert, und Dynamics wendet die Sicherheitsrollen, den Geschäftsbereichsumfang und die Sicherheit auf Feldebene des Benutzers bei jeder Anfrage an.

  • Token-Speicherung. Refresh Tokens werden verschlüsselt im Ruhezustand gespeichert. Access Tokens sind kurzlebig und werden nur für die Dauer eines Vorgangs gehalten.

  • Nachvollziehbarkeit in Dynamics. Da Bliro als der Benutzer agiert, wird jeder Lese- und Schreibvorgang dem jeweiligen Benutzer in den Dynamics-Audit-Logs zugeordnet, sodass Aktivitäten über native Dynamics-Werkzeuge überprüfbar sind.

  • Conditional Access. Alle Conditional-Access-Richtlinien, die dein Tenant auf Dataverse anwendet (MFA, konformes Gerät, benannte Standorte usw.), gelten gleichermaßen für Bliros Aufrufe.

Verbindung trennen und Zugriff widerrufen

Benutzer können Dynamics jederzeit über den Integrationsbildschirm in Bliro trennen, indem sie auf Trennen klicken. Dadurch wird das Refresh Token auf Bliros Seite gelöscht und Bliros Möglichkeit, Dynamics im Namen des Benutzers aufzurufen, beendet.

Zusätzlich können Administratoren Bliros benutzerdelegierte Berechtigungen tenantweit jederzeit über das Microsoft Entra-Portal widerrufen unter Enterprise Applications → Bliro → Berechtigungen, oder pro Benutzer über https://myapps.microsoft.com.

IT-Sicherheitsmaterial

Für Bliros allgemeinen Ansatz zu Sicherheit und Datenschutz besuche bitte unser Trust Center.

Kontakt und Hilfe

Fragen zur Dynamics-Integration, zu Scope-Begründungen oder zur zentralen Administration? Kontaktiere [email protected].

Verwandte Artikel
Salesforce-Integration: Einrichtung und Sicherheitsübersicht
HubSpot-Integration: Einrichtung und Sicherheitsübersicht
Microsoft Outlook Calendar-Integration: Einrichtung und Sicherheitsübersicht
Google Calendar-Integration: Einrichtung und Sicherheitsübersicht
Hat dies deine Frage beantwortet?