Thema
Dieser Artikel beantwortet häufig gestellte Fragen zur Authentifizierung von Service Principals in NinjaOne SaaS Backup.
Umgebung
NinjaOne SaaS Backup:
Beschreibung
Die Authentifizierung als Service Principal (SP) kann verwendet werden, um bestimmte administrative Funktionen zu gewähren, ohne dass man volle Backup-Admin-Rechte hat. Einige Funktionen, wie z. B. Gruppen und Teams, werden nicht unterstützt. Weitere Einzelheiten finden Sie in den nachstehenden Abschnitten.
Wie lange dauert es, eine benutzerdefinierte Rolle zu erstellen?
Das hängt von der Situation auf Seiten von Microsoft ab. Die Zeitspanne reicht von ein paar Minuten bis zu 3 Tagen.
Benötigt SPA einen Global-Admin?
Ja, ein Global-Admin ist bei der Einrichtung von SPA erforderlich. Darüber hinaus wird für die folgenden Szenarien weiterhin ein Global-Admin innerhalb des Mandanten benötigt:
Sicherungsmodul:
- Backup des öffentlichen Ordners
- Wiederherstellung des öffentlichen Ordners
PowerShell-Modul:
- Erstellung einer Unteranwendung während der Ersteinrichtung und erneute Erstellung, wenn die Unteranwendung ungültig ist.
Angenommen, ich entscheide mich für die automatische Erstellung einer benutzerdefinierten Rolle und stelle fest, dass die Erstellung der Rolle einige Zeit in Anspruch nimmt, so dass ich dazu übergehen möchte, das Skript zur Erstellung der Rolle manuell auszuführen. Wird die Erstellung benutzerdefinierter Rollen dadurch schneller?
Es gibt keine Garantie dafür, dass der Wechsel zu einer manuellen Rolle die Erstellung einer benutzerdefinierten Rolle beschleunigt, da dies davon abhängt, was auf Seiten von Microsoft geschieht.
Was geschieht mit den Mietern, wenn die Erstellung einer benutzerdefinierten Rolle noch aussteht?
Wir erwarten, dass sie bis zu 24 Stunden warten. Jeden Tag werden wir den Vorgang wiederholen, und wenn er immer noch fehlschlägt, schicken wir eine Benachrichtigung per E-Mail und bitten sie, sich an unseren Support zu wenden.
Welche Mieterprotokolle müssen verfügbar sein?
Wir verwenden das "Exchange Online PowerShell V3-Modul", um eine Verbindung zum Mandanten des Kunden herzustellen.
Was sollten die Partner nach der erfolgreichen Autorisierung mit den Berechtigungen des Dienstherrn als nächstes tun?
Wir raten Ihnen, den Backupadmin von Ihrem Konto zu entfernen, nachdem Sie Ihre neue Berechtigung mit dem Auftraggeber des Dienstes überprüft haben.
Ich habe erfolgreich auf Service Principal-Authentifizierung migriert und die Benachrichtigung erhalten, dass ich den Backupadmin und die App-Registrierung im Azure AD bereinigen kann. Warum sind die anderen App-Registrierungen noch aufgeführt?
Nach der Umstellung von der alten Methode auf die Service Principal-Authentifizierung können der Backup-Admin und die zugehörige App-Registrierung gelöscht werden, die verbleibenden Unteranwendungen dürfen jedoch nicht gelöscht werden.
Nach der Migration zu Service Principal-Authentifizierung haben wir festgestellt, dass sie das Kalender-Backup und die Mailbox mit Anhängen bei Groups and Teams nicht unterstützt. Können wir zur alten Methode zurückkehren?
Ja, wenden Sie sich bitte an support@dropsuite.com , um diese Rückabwicklung zu beantragen. Hinweis: Sobald dies abgeschlossen ist, ist eine erneute Authentifizierung mit dem backupadmin erforderlich.
Muss ich mich nach der Umstellung von der alten Methode auf die Service Principal-Authentifizierung immer noch regelmäßig neu authentifizieren?
Nein, da wir nicht mehr über Token für den Backupadmin verfügen, sollte keine erneute Authentifizierung erforderlich sein. Das einzige Mal, dass eine erneute Authentifizierung erforderlich sein könnte, ist, wenn die Token für die Hauptanwendung der Organisation widerrufen werden.
Was ist für die Einrichtung oder Migration zur Service Principal-Authentifizierung erforderlich?
Der Administrator, der für die Autorisierung verwendet wird, muss Zugriff auf das Cmdlet enable-organizationcustomization für die Erstellung benutzerdefinierter Rollen haben, bevor er die ExO-App autorisiert. Remote Powershell sollte für den Benutzer aktiviert sein, der die ExO-App autorisiert. Der Mandant muss über eine Exchange-Lizenz verfügen, um auf den SPA-Fluss zu migrieren, andernfalls kann die benutzerdefinierte Rolle nicht erstellt werden.
Der Status meiner benutzerdefinierten Rolle zeigt 'Getrennt' an. Was kann ich tun?
Wenden Sie sich an support@dropsuite.com, wenn dies in Ihrem Unternehmen der Fall ist.
Nach der Migration zu SPA wird ein Fehler der Anmeldeinformationen angezeigt. Wie kann ich dieses Problem beheben?
Um den Fehler der Anmeldeinformationen zu beheben, der nach der Migration zu SPA auftritt, verwenden Sie irgendeinen Global-Admin innerhalb des M365-Tenants, um die erneute Authentifizierung durchzuführen. Da SPA keine Token für den Backup-Admin enthält, sollte dies die einzige Neuauthentifizierung sein, die durchgeführt werden muss.
Welche Rollen und Scopes sind für die SPA erforderlich?
| Berechtigung | Typ | Zweck |
| Application.Read.WriteAll | Delegiert | Erstellen und Löschen von Unteranwendungen, die für das Backup und die Wiederherstellung verwendet werden |
| AppRoleAssignment.ReadWrite.All | Delegiert | Erteilung der Verwaltungsgenehmigung für Unteranwendungen |
| Calendars.ReadWrite | Anwendung | Kalender-Backup und -wiederherstellung |
| ChannelMessage.Read.All | Anwendung | Backup und Wiederherstellung des Teams-Chats |
| Chat.Read.All | Anwendung | Backup und Wiederherstellung des Teams-Chats |
| Contacts.ReadWrite | Anwendung | Backup und Wiederherstellung von Kontakten |
| Domain.Read.All | Delegiert | Liste der verfügbaren Domains im Mandanten |
| Files.ReadWrite.All | Anwendung | Backup und Wiederherstellung von Dateien |
| Group.ReadWrite.All | Anwendung | Backup und Wiederherstellung von Groups und Teams |
| Mail.ReadBasic.All | Anwendung | Backup und Wiederherstellung von E-Mails |
| Notes.ReadWrite.All | Anwendung | Backup und Wiederherstellung von Notizen |
| offline_access | Delegiert | Erneuerung der Aktualisierungs-Token für ORG-Admin |
| Reports.Read.All | Anwendung | |
| RoleManagement.Read.Directory | Anwendung | Abrufen der Liste der Benutzer:innen und Administrator:innen in der Organisation |
| Sites.Manage.All | Anwendung | Backup und Wiederherstellung von Webseiten |
| Sites.ReadWrite.All | Anwendung | Backup und Wiederherstellung von Webseiten |
| Teamwork.Migrate.All | Anwendung | Wiederherstellung des Teams-Chats |
| User.Read.All | Anwendung | Auflisten der Benutzer:innen |
| User.ReadWrite.All | Delegiert |