Dienstprinzipal-Authentifizierung für neue und bestehende Kunden

Kaitlyn Johnson
Kaitlyn Johnson
  • Aktualisiert

Die Dienstprinzipal-Authentifizierung in unserem Endbenutzerportal zielt darauf ab, den potenziellen Schaden, der durch versehentliche oder absichtliche Sicherheitsverletzungen entsteht, zu minimieren. Sie schränkt die Datenzugriffsrechte auf das zur Erfüllung ihrer Aufgaben erforderliche Minimum ein. Diese Verbesserung ist ein einfacherer Prozess, der die Erstellung globaler Administratoren überflüssig macht und die Erstellung benutzerdefinierter Rollen automatisiert. Bitte beachten Sie, dass die Dienstprinzipal-Authentifizierung derzeit weder das Kalender-Backup von Gruppen und Teams noch die Mailbox von Gruppen und Teams mit Anhängen unterstützt. 

Voraussetzungen für die Dienstprinzipal-Authentifizierung 

  • Für Benutzer, die die Exchange Online -Management -App autorisieren, muss PowerShell aktiviert sein 
  • Eine Exchange Online-Lizenz und ein E-Mail-Backup sind erforderlich 
    • Organisationen, die nur für SharePoint und Gruppen ein Backup erstellen, können die Dienstprinzipal-Authentifizierung nicht verwenden. 
  • SPA erfordert, dass Benutzer die Exchange -Online -Management -App mit einer Rolle autorisieren, die Zugriff auf die erforderlichen Cmdlets in PowerShell hat 
    • Global Admin kann verwendet werden 
      • Wenn Global Admin nicht verwendet wird, kann eine benutzerdefinierte Rolle erstellt werden, die Zugriff auf die erforderlichen Cmdlets hat. 
      • Global Admin wird nur einmal verwendet, und der ständige Zugriff verbleibt nicht bei Dropsuite, sobald der Autorisierungsprozess abgeschlossen ist. 
  • Die erforderlichen PowerShell-Cmdlets sind: 
    • Enable-OrganizationCustomization 
    • Get-RoleGroup 
    • New-RoleGroup 
    • Get-ManagementRole 
    • New-ManagementRole 
    • New-ManagementRoleAssignment 
    • Get-ServicePrincipal 
    • New-ServicePrincipal 
    • Get-RoleGroupMember 
    • Add-RoleGroupMember 

Bitte beachten Sie, dass Dropsuite mit SPA für die folgenden Szenarien immer noch den Global Admin innerhalb des Mandanten verwendet (nicht den Backup-Admin, der für unsere alte Verbindungsmethode erstellt wird). Dieser Global Admin muss über eine Exchange-Lizenz verfügen, um ordnungsgemäß auf diese zuzugreifen. Im Falle von öffentlichen Ordnern sollte er auch ein Eigentümer der Ordner sein.

Sicherungsmodul:

  • Sicherung öffentlicher Ordner.
  • Öffentliche Ordner wiederherstellen.

PowerShell-Modul:

  • Erstellen einer Unteranwendung während der Ersteinrichtung und erneutes Erstellen, wenn die Unteranwendung ungültig wird.
 
 

Hinzufügen von M365-Backup mit Dienstprinzipal-Authentifizierung für neue Kunden 

Als Partner können Sie Ihre Kunden anweisen, M365-Backup mit Dienstprinzipal-Authentifizierung-Autorisierung hinzuzufügen, indem Sie ihnen diese Schritte vorgeben, oder Sie können die Aufgabe selbst durchführen, indem Sie sich als Kunde ausgeben. 

  1. Melden Sie sich beim Endbenutzerportal an  
  2. Klicken Sie auf der Dashboard-Seite auf die Schaltfläche „+ Backup Hinzufügen“. 
  3. Klicken Sie auf die Schaltfläche „Mit Microsoft 365 Anmelden“ 
  4. Sie sehen zwei Optionen. Wählen Sie für die Autorisierung die zweite Option „Autorisieren mit den geringsten Berechtigungen“ und geben Sie das M365-Administratorkonto entsprechend ein.  
  5. Scrollen Sie auf der Seite nach unten und klicken Sie auf die Schaltfläche „Akzeptieren“. 
  6. Sobald die Zustimmung erteilt ist, wird der Benutzer auf die M365-AUTORISIERUNGSSEITE weitergeleitet. Es gibt insgesamt 2 Schritte:
    1. Schritt 1: Backup-Anwendung erstellen, erstellen wir Unteranwendungen im Mandanten des Benutzers. Der Vorgang kann ein paar Sekunden in Anspruch nehmen.  
    2. In Schritt 2: Klicken Sie zur Geräteautorisierung auf den verfügbaren Link. Das System leitet Sie zum neuen Microsoft-Fenster weiter. Kopieren Sie den Code aus dem Portal, fügen Sie ihn ein und klicken Sie dann auf die Schaltfläche „Weiter“. Wählen Sie den richtigen E-Mail-Administrator aus. Klicken Sie auf die Schaltfläche „Weiter“
  7. Gehen Sie zurück zum Endbenutzerportal und klicken Sie zum Abschluss auf die Schaltfläche „Überprüfen und Fortfahren“. 
  8. Sobald der Vorgang erfolgreich war, listet das System alle M365-Konten für diesen Mandanten auf. Bitte warten Sie, bis die benutzerdefinierte Rollenerstellung erfolgreich verbunden wurde. Dies kann bis zu 24 Stunden dauern. Während dieser Zeit wird der Öffentliche Ordner wiederhergestellt und das Journaling (für den Archiver-Plan) wird gestoppt. Sie können den Status auf der Seite „Kontoeinstellungen“ auf dem Tab „Anmeldedaten “ überwachen.
 

Dienstprinzipal-Authentifizierung für bestehende Kunden Migrieren 

Als Partner können Sie Ihre Kunden anweisen, M365-Backup mit Dienstprinzipal-Authentifizierung-Autorisierung hinzuzufügen, indem Sie ihnen diese Schritte vorgeben, oder Sie können die Aufgabe selbst durchführen, indem Sie sich als Kunde ausgeben. 

  1. Wenn Sie im Portal angemeldet sind, sehen Sie ein Banner. Klicken Sie auf die Schaltfläche „Mehr erfahren“. 
  2. Sie werden zum Tab „Anmeldedaten “ auf der Seite „Kontoeinstellungen“ weitergeleitet und klicken dann auf die Schaltfläche „Jetzt Migrieren“. 
  3. Klicken Sie im Bestätigungs-Popup auf die Schaltfläche „Ja, Fortfahren“. 
  4. Wählen Sie die richtige E-Mail-Adresse der Organisation aus.  
  5. Klicken Sie auf die Schaltfläche „Weiter“. 
  6. Sie müssen den Vorgang zur Autorisierung des Geräts abschließen. Wenn der Vorgang abgeschlossen ist, können Sie das Fenster schließen. 
  7. Kehren Sie zum Portal zurück und klicken Sie auf die Schaltfläche „Überprüfen und Fortfahren“.
  8. Wenn der Vorgang erfolgreich war, listet das System alle M365-Konten in diesem Mandanten auf und zeigt in einem zusätzlichen Banner an, dass die Migration zur Verwendung der Dienstprinzipal-Authentifizierung erfolgreich war. 
  9. Wir empfehlen Ihnen, die vorherige Backup-Admin-E-Mail und App-ID im Azure AD-Portal zu entfernen. Gehen Sie zum Azure AD-Portal, um diese Informationen zu entfernen. 

War dieser Beitrag hilfreich?

0 von 1 fanden dies hilfreich

Haben Sie Fragen? Anfrage einreichen