[Introduction]
Wir freuen uns, bekannt zu geben, dass die SharePoint Online Management Shell nun appbasierte, zertifikatgestützte Authentifizierung unterstützt. Dieses Update geht auf den geschäftlichen Bedarf nach sicherer, unbeaufsichtigter Automatisierung in Umgebungen ein, in denen beispielsweise Multi-Faktor-Authentifizierung (MFA) durchgesetzt wird. Mit dieser Verbesserung können Kunden Automatisierungsskripte mit App-Identitäten ausführen, wodurch die Einhaltung von Sicherheitsrichtlinien gewährleistet und gleichzeitig die Betriebseffizienz aufrechterhalten wird.
[Wann dies geschieht:]
Diese Funktion ist jetzt allgemein verfügbar. Die Mindestversion der SPO Management Shell, die hierfür erforderlich ist, ist 16.0.26712.12000.
[Auswirkungen für Ihre Organisation:]
Wer ist betroffen: SharePoint-Administratoren und Automation Engineers, die die SharePoint Online Management Shell für Skripting und Automatisierung verwenden.
Was passiert:
- Kunden können Skripte jetzt mit App-Identitäten, die in Microsoft Entra ID (ehemals Azure AD) registriert sind, anstatt mit Benutzeranmeldeinformationen authentifizieren.
- Dies ermöglicht die nahtlose Ausführung unbeaufsichtigter Skripte, selbst wenn MFA durchgesetzt wird.
- Wir erwarten, dass die meisten Szenarien mit der App-Only-Authentifizierung funktionieren. In seltenen Fällen könnte jedoch eine API aus Sicherheitsgründen ein explizites Benutzertoken benötigen. In solchen Fällen sollten Mandantenadministratoren interaktive Abläufe mit Admin-/Benutzeranmeldedaten verwenden. Kontaktieren Sie uns gerne bei Bedarf.
[Was Sie zur Vorbereitung tun können:]
Befolgen Sie diese einmaligen Schritte, um Ihre App zu registrieren und die zertifikatbasierte Authentifizierung zu aktivieren:
- Schritt 1: Registrieren Sie die Anwendung in Microsoft Entra ID.
- Schritt 2: Weisen Sie der Anwendung API-Berechtigungen zu:
- Tenant Admin APIs erlauben App-Only-Berechtigungen für SPO-Ressourcen mit dem App-Only-Bereich
Sites.FullControl.All. - Wir arbeiten daran, granularere Bereiche für Tenant-APIs zu unterstützen. Für aktuelle Informationen siehe Authentifizierung und Autorisierung von SharePoint Admin APIs.
- Sie können Berechtigungen zuweisen, indem Sie:
- API-Berechtigungen im Portal auswählen und zuweisen.
- optional dem Dienstprinzipal eine Administratorrolle zuweisen.
- das App-Manifest zur Zuweisung von API-Berechtigungen bearbeiten (erforderlich für Microsoft 365 GCC High- und DoD-Organisationen).
- Weitere Informationen: Schritt 2: Weisen Sie der Anwendung API-Berechtigungen zu
- Tenant Admin APIs erlauben App-Only-Berechtigungen für SPO-Ressourcen mit dem App-Only-Bereich
- Schritt 3: Erstellen Sie ein selbstsigniertes Zertifikat oder besorgen Sie eines von einer Zertifizierungsstelle.
- Schritt 4: Binden Sie das Zertifikat an die Microsoft Entra-Anwendung.
Nach Abschluss dieser Schritte aktualisieren Sie die Connect-SPOService-Zeile am Anfang Ihrer Skripte, um die App-Identität statt Benutzeranmeldeinformationen zu verwenden. Beispiele hierzu finden Sie in den Beispielen 7, 8 und 9 in diesem Artikel: Connect-SPOService (Microsoft.Online.SharePoint.PowerShell).
[Compliance-Überlegungen:]
Es wurden keine Compliance-Bedenken festgestellt, prüfen Sie dies jedoch angemessen für Ihre Organisation.