Wie lange dauert es, eine benutzerdefinierte Rolle zu erstellen?
Das hängt von der Situation seitens Microsoft ab. Es kann von ein paar Minuten bis zu 3 Tagen dauern.
Ist für SPA ein globaler Administrator erforderlich?
Ja, ein globaler Administrator ist während der Einrichtung von SPA erforderlich. Darüber hinaus wird für die folgenden Szenarien weiterhin ein Global Admin innerhalb des Mandanten benötigt
Sicherungsmodul:
- Sicherung des öffentlichen Ordners.
- Wiederherstellung von öffentlichen Ordnern.
PowerShell-Modul:
- Erstellen einer Unteranwendung während der Ersteinrichtung und erneutes Erstellen, wenn die Unteranwendung ungültig ist.
Angenommen, ich habe mich für die automatische Erstellung einer benutzerdefinierten Rolle entschieden und stelle fest, dass die Erstellung der Rolle einige Zeit in Anspruch nimmt, so dass ich das Skript manuell ausführen möchte, um die Rolle zu erstellen. Wird dadurch die Erstellung der benutzerdefinierten Rolle beschleunigt?
Es gibt keine Garantie dafür, dass durch die Entscheidung für eine manuelle Rolle die Erstellung einer benutzerdefinierten Rolle schneller geht, da dies davon abhängt, was seitens von Microsoft geschieht.
Was geschieht mit den Mandanten, wenn die Erstellung einer benutzerdefinierten Rolle noch nicht abgeschlossen ist?
Wir gehen davon aus, dass sie bis zu 24 Stunden warten müssen. Jeden Tag wiederholen wir den Vorgang, und wenn er immer noch fehlschlägt, schicken wir eine Benachrichtigung per E-Mail und bitten sie, sich an unseren Support zu wenden.
Welche Mandantenprotokolle müssen verfügbar sein?
Wir verwenden das „Exchange Online PowerShell V3-Modul“, um eine Verbindung zum Mandanten des Kunden herzustellen.
Was sollten Partner als nächstes tun, nachdem sie erfolgreich mit den Berechtigungen des Dienstprinzipals autorisiert wurden?
Wir raten Ihnen, den globalen Admin aus Ihrem Konto zu entfernen, nachdem Sie Ihre neue Autorisierung beim Dienstprinzipal überprüft haben.
Ich habe die Migration zur Dienstprinzipal-Authentifizierung erfolgreich durchgeführt und die Aufforderung erhalten, den Backup-Admin und die App-Registrierung im Azure AD zu löschen. Warum sind die anderen App-Registrierungen weiterhin aufgeführt?
Nach der Migration von der Legacy-Methode zur Dienstprinzipal-Authentifizierung können der Backup-Admin und die zugehörige App-Registrierung gelöscht werden, aber SPA verlangt, dass die übrigen Unter-Apps nicht gelöscht werden.
Nach der Migration auf die Dienstprinzipal-Authentifizierung wurde festgestellt, dass die Dienstprinzipal-Authentifizierung das Kalender-Backup von Gruppen und Teams oder die Mailbox von Gruppen und Teams mit Anhängen nicht unterstützt. Kann man zur alten Methode zurückkehren?
Ja, bitte wenden Sie sich an „support@dropsuite.com“, um diese Umkehrung zu beantragen. Hinweis: Nach Abschluss dieses Vorgangs ist eine erneute Authentifizierung mit dem Backup-Admin erforderlich.
Muss man sich nach der Umstellung von der alten Methode auf die Dienstprinzipal-Authentifizierung immer noch regelmäßig neu authentifizieren?
Nein, da wir keine Token mehr für den Backup-Admin besitzen, sollte keine erneute Authentifizierung erforderlich sein. Eine erneute Authentifizierung kann nur dann erforderlich sein, wenn die Token für die Hauptanwendung der Organisation widerrufen werden.
Was ist zum Einrichten oder Migrieren auf die Dienstprinzipal-Authentifizierung erforderlich?
Der Administrator, der für die Autorisierung verwendet wird, muss Zugriff auf das Cmdlet (enable-organizationcustomization) für die Erstellung benutzerdefinierter Rollen haben, bevor er die ExO-App autorisiert. Remote Powershell sollte für den Benutzer aktiviert sein, der die ExO-App autorisiert. Der Mandant sollte über eine Exchange-Lizenz verfügen, um auf den Flow der Dienstprinzipal-Authentifizierung (SPA) zu migrieren, andernfalls kann die benutzerdefinierte Rolle nicht erstellt werden.
Welche Rollen und Bereiche sind für die Dienstprinzipal-Authentifizierung erforderlich?
| Berechtigung | Typ | Zweck |
| Application.Read.WriteAll | Delegiert | Erstellen und Löschen von Unteranwendungen, die für Backups und Wiederherstellungen verwendet werden |
| AppRoleAssignment.ReadWrite.All | Delegiert | Erteilen einer administrativen Genehmigung für Unteranwendungen |
| Calendars.ReadWrite | Anwendung | Backup und Wiederherstellung des Kalenders |
| ChannelMessage.Read.All | Anwendung | Backup und Wiederherstellung von Team-Chats |
| Chat.Read.All | Anwendung | Backup und Wiederherstellung von Team-Chats |
| Contacts.ReadWrite | Anwendung | Backup und Wiederherstellung von Kontakten |
| Domain.Read.All | Delegiert | Liste der verfügbaren Domains im Mandanten |
| Files.ReadWrite.All | Anwendung | Backup und Wiederherstellung von Dateien |
| Group.ReadWrite.All | Anwendung | Backup und Wiederherstellung von Gruppen und Teams |
| Mail.ReadBasic.All | Anwendung | E-Mail-Backup und -Wiederherstellung |
| Notes.ReadWrite.All | Anwendung | Backup und Wiederherstellung von Notizen |
| offline_access | Delegiert | Aktualisierungstoken für ORG-Administrator erneuern |
| Reports.Read.All | Anwendung | |
| RoleManagement.Read.Directory | Anwendung | Abrufen der Liste der Benutzer und Administratoren in der Organisation |
| Sites.Manage.All | Anwendung | Backup und Wiederherstellung von Websites |
| Sites.ReadWrite.All | Anwendung | Backup und Wiederherstellung von Websites |
| Teamwork.Migrate.All | Anwendung | Wiederherstellung von Team-Chats |
| User.Read.All | Anwendung | Benutzer auflisten |
| User.ReadWrite.All | Delegiert |