Dienstprinzipal-Authentifizierung für neue und bestehende Kunden

Service Principal-Authentifizierung für neue und bestehende Kund:innen

Thema

Dieser Artikel erklärt die Authentifizierung des Dienstherrn in NinjaOne SaaS Backup.

Umgebung

NinjaOne SaaS Backup:

Beschreibung

Die Authentifizierung des Dienstherrn in unserem Endbenutzerportal zielt darauf ab, den potenziellen Schaden, der durch versehentliche oder absichtliche Sicherheitsverletzungen entsteht, zu minimieren. Sie beschränkt die Datenzugriffsrechte auf das zur Erfüllung ihrer Aufgaben Notwendigste. Diese Verbesserung stellt einen einfacheren Prozess dar, der die Erstellung globaler Administratoren überflüssig macht und die Erstellung benutzerdefinierter Rollen automatisiert. Bitte beachten Sie, dass die Dienstprinzipalauthentifizierung derzeit weder das Kalender-Backup von Groups & Teams noch die Mailbox von Groups & Teams mit Anhängen unterstützt.

Voraussetzungen für die Dienstprinzipalauthentifizierung

• Für Benutzer, die die Exchange Online Management App autorisieren,mussPowerShell aktiviert werden 
• Eine Exchange Online-Lizenz und E-Mail-Backups sinderforderlich 
  • Organisationen, die nur SharePoint und Gruppen sichern, können die Dienstprinzipalauthentifizierung nicht verwenden
• SPA erfordert, dass Benutzer die Exchange Online Management App autorisieren, indem sie eine Rolle verwenden, die Zugriff auf die erforderlichen Cmdlets in PowerShell hat
  • Global Admin kann verwendet werden
    • Wenn Global Admin nicht verwendet wird, kann eine benutzerdefinierte Rolle erstellt werden, die Zugriff auf die erforderlichen Cmdlets hat
• Die erforderlichen PowerShell-Cmdlets sind:
  • Enable-OrganizationCustomization
  • Get-RoleGroup
  • New-RoleGroup
  • Get-ManagementRole
  • New-ManagementRole
  • New-ManagementRoleAssignment
  • Get-ServicePrincipal
  • New-ServicePrincipal
  • Get-RoleGroupMember
  • Add-RoleGroupMember

Bitte beachten Sie, dass NinjaOne SaaS Backup mit SPA immer noch den Global Admin innerhalb des Tenants verwendet (nicht den Backup Admin, der für unsere Legacy Verbindungsmethode erstellt wird) für die folgenden Szenarien.  Dieser Global-Admin muss über eine Exchange-Lizenz verfügen, um auf diese zugreifen zu können.  Im Falle von öffentlichen Ordnern sollte er auch Eigentümer der Ordner sein.

Sicherungsmodul:

• Backup des öffentlichen Ordners
• Wiederherstellung des öffentlichen Ordners

PowerShell-Modul:

• Erstellen einer Unteranwendung während der Ersteinrichtung und erneutes Erstellen, wenn die Unteranwendung ungültig wird.

Hinzufügen von M365-Backup mit Dienstprinzipalauthentifizierung für neue Clients

Als Partner können Sie Ihren Kund:innen die Schritte zur Hinzufügung des M365-Backups mit SPA-Autorisierung erklären, oder Sie können die Aufgabe selbst durchführen, indem Sie die Kundeneinstellungen anpassen.

1. Anmeldung beim Endbenutzerportal 
2. Klicken Sie auf die Schaltfläche "+ Backup hinzufügen" auf der Dashboard-Seite.
3. Klicken Sie auf die Schaltfläche "Mit Microsoft 365 anmelden ". 
4. Sie werden 2 Optionen sehen. Wählen Sie für die Autorisierung die zweite Option, 'Autorisieren mit Least-Privilege-Berechtigungen', und geben Sie das M365-Administratorkonto entsprechend ein. 
5. Blättern Sie auf der Seite nach unten und klicken Sie auf die Schaltfläche "Akzeptieren ".
6. Sobald die Genehmigung erteilt ist, wird der Benutzer auf die Seite für M365-Autorisierung weitergeleitet. Es gibt insgesamt zwei Schritten: 
   1. Schritt 1: Erstellung einer Backup-Anwendung: Wir erstellen Unteranwendungen im Mandanten des Benutzers. Es kann ein paar Sekunden dauern, bis der Vorgang abgeschlossen ist. 
   2. In Schritt 2: Geräteautorisierung, klicken Sie auf den verfügbaren Link. Das System leitet Sie zu einem neuen Microsoft-Fenster weiter. Kopieren Sie den Code aus dem Portal, fügen Sie ihn ein und klicken Sie auf die Schaltfläche "Weiter ". Wählen Sie den richtigen E-Mail-Admin. Klicken Sie auf die Schaltfläche "Weiter ". 
7. Kehren Sie zum Endbenutzerportal zurück und klicken Sie zum Abschluss auf die Schaltfläche "Verify & Continue".
8. Wenn die Suche erfolgreich war, listet das System alle M365-Konten dieses Mandanten auf. Bitte warten Sie, bis die benutzerdefinierte Rollenerstellung erfolgreich verbunden wurde. Dies kann bis zu 24 Stunden dauern. Während dieser Zeit wird der öffentliche Ordner wiederhergestellt und das Journaling (für den Archiver-Plan) wird gestoppt. Sie können den Status auf der Seite Kontoeinstellungen unter der Registerkarte Anmeldeinformationen überwachen.

Mehr erfahren

Migration der Dienstprinzipalauthentifizierung für bestehende Clients

Als Partner können Sie Ihren Kund:innen die Schritte zur Hinzufügung des M365-Backups mit SPA-Autorisierung erklären, oder Sie können die Aufgabe selbst durchführen, indem Sie die Kundeneinstellungen anpassen.

1. Wenn Sie im Portal angemeldet sind, sehen Sie ein Banner; klicken Sie auf die Schaltfläche "Mehr erfahren".
2. Sie werden zur Registerkarte Anmeldeinformationen auf der Seite Kontoeinstellungen weitergeleitet und klicken dann auf die Schaltfläche "Jetzt migrieren".
3. Klicken Sie im Bestätigungs-Popup auf die Schaltfläche "Ja, weiter".
4. Wählen Sie die richtige E-Mail der Organisation aus. 
5. Klicken Sie auf die Schaltfläche "Weiter ".
6. Sie müssen den Prozess der Geräteautorisierung abschließen. Wenn der Vorgang abgeschlossen ist, können Sie das Fenster schließen.
7. Kehren Sie zum Portal zurück und klicken Sie auf die Schaltfläche "Überprüfen & Fortfahren ".
8. Bei Erfolg listet das System alle M365-Konten dieses Mandanten auf und zeigt in einem zusätzlichen Banner an, dass die Migration zur Verwendung der Dienstprinzipalauthentifizierung erfolgreich war.
9. Wir raten Ihnen, die vorherige Backup-Admin-E-Mail und App-ID im Azure AD-Portal zu entfernen. Gehen Sie zum Azure AD-Portal, um diese Informationen zu entfernen.