Thema
Die Dienstprinzipal-Authentifizierung in unserem SaaS Backup Organization Email Portal zielt darauf ab, den potenziellen Schaden durch versehentliche oder absichtliche Sicherheitsverletzungen zu minimieren. Sie beschränkt die Datenzugriffsrechte auf das für die Ausführung ihrer Aufgaben erforderliche Mindestmaß. Dies ist ein einfacher Prozess, der die Erstellung globaler Administratoren überflüssig macht und die Erstellung benutzerdefinierter Rollen automatisiert.
Umgebung
Beschreibung
NinjaOne SaaS Backup ist eine Cloud-Backup-Plattform, mit der Unternehmen ihre Geschäftsinformationen sicher sichern, verwalten, wiederherstellen und schützen können. Die automatisierten und inkrementellen Backups vereinfachen die Sicherung, Wiederherstellung und Compliance. Die Lösung funktioniert mit Microsoft 365 (Hosted Exchange, Gruppen und Teams, SharePoint, OneDrive), Gmail (einschließlich Kalender, Kontakte und Aufgaben) und anderen IMAP-E-Mail-Servern. NinjaOne verwendet eine 256-Bit-Verschlüsselung (AES) im Ruhezustand und während der Übertragung und unterstützt die Multi-Faktor-Authentifizierung (MFA).
Index
- Authentifizierung von Dienstprinzipalen für neue und bestehende Kunden
- Deaktivierung, inaktive Konten und Backup-Status
- Hinzufügen der Umschaltfunktion für die Dienstprinzipal-Authentifizierung (SPA)
- Häufig gestellte Fragen
Authentifizierung von Dienstprinzipalen für neue und bestehende Clients
Voraussetzungen für die Dienstprinzipal-Authentifizierung
- Für Nutzer, die die Exchange Online-Verwaltungs-App autorisieren, muss PowerShell aktiviert sein .
- Eine Exchange Online-Lizenz und E-Mail-Backups sind erforderlich.
- Organisationen, die nur SharePoint und Gruppen sichern, können die Dienstprinzipal-Authentifizierung nicht verwenden.
- SPA erfordert, dass Nutzer die Exchange Online-Verwaltungs-App mit einer Rolle autorisieren, die über Zugriff auf die erforderlichen Cmdlets in PowerShell verfügt
- "Global Admin" kann verwendet werden
- Wenn "Globale Verwaltung" nicht verwendet wird, kann eine benutzerdefinierte Rolle erstellt werden, die Zugriff auf die erforderlichen Cmdlets hat.
- Der globale Administrator wird einmal verwendet , und der permanente Zugriff bleibt nach Abschluss des Autorisierungsprozesses nicht bei NinjaOne bestehen.
- "Global Admin" kann verwendet werden
- Die erforderlichen PowerShell-Cmdlets sind
- Enable-OrganizationCustomization
- Get-RoleGroup
- Neu-Rollengruppe
- Get-ManagementRole
- Neu-Verwaltungsrolle
- Neue Verwaltungsrollenzuweisung
- Get-ServicePrincipal
- Neu-Dienstprinzipal
- Rollengruppenmitglied abrufen
- Add-RoleGroupMember
Bitte beachten Sie, dass NinjaOne mit SPA in den folgenden Szenarien weiterhin den globalen Administrator innerhalb des Mandanten verwendet (nicht den Backup-Administrator, der für unsere alte Verbindungsmethode erstellt wurde). Dieser globale Administrator benötigt eine Exchange-Lizenz, um ordnungsgemäß darauf zugreifen zu können. Im Falle von öffentlichen Ordnern sollte er auch Eigentümer der Ordner sein.
- Backup-Modul
- Backup öffentlicher Ordner
- Öffentliche Ordner wiederherstellen
- PowerShell-Modul
- Erstellen einer Unteranwendung während der Ersteinrichtung und erneutes Erstellen, wenn die Unteranwendung ungültig wird.
Hinzufügen von M365-Backup mit Dienstprinzipal-Authentifizierung für neue Kunden
Als Partner können Sie Ihre Kunden über das Hinzufügen von M365-Backups mit Autorisierung durch Dienstprinzipal-Authentifizierung informieren, indem Sie ihnen diese Schritte mitteilen, oder Sie können die Aufgabe selbst ausführen, indem Sie sich als Kunde ausgeben.
- Greifen Sie auf das E-Mail-Portal der Organisation zu.
- Klicken Sie auf der Dashboard-Seite auf die Schaltfläche + Backup hinzufügen .
- Klicken Sie auf Mit Microsoft 365 anmelden.
Sie sehen zwei Optionen. Wählen Sie die zweite Option "Autorisieren mit geringsten Berechtigungen" für die Autorisierung und geben Sie das M365-Administratorkonto entsprechend ein. - Scrollen Sie auf der Seite nach unten und klicken Sie auf Akzeptieren.
Sobald die Zustimmung erteilt wurde, wird der Nutzer zur Seite M365 AUTHORIZATION weitergeleitet. Insgesamt sind zwei (2) Schritte erforderlich- Backup-Anwendung erstellen; wir erstellen Unteranwendungen im Mandanten des Nutzers. Dies kann einige Sekunden dauern.
- Klicken Sie unter "Geräteautorisierung" auf den verfügbaren Link. Das System leitet Sie zum neuen Microsoft-Fenster weiter. Kopieren Sie den Code aus dem Portal, fügen Sie ihn ein und klicken Sie auf die Schaltfläche "Weiter ". Wählen Sie den richtigen E-Mail-Administrator aus. Klicken Sie auf die Schaltfläche "Fortfahren ".
- Kehren Sie zum E-Mail-Portal der Organisation zurück und klicken Sie auf "Überprüfen und fortfahren", um den Vorgang abzuschließen.
Nach erfolgreicher Ausführung listet das System alle M365-Konten in diesem Mandanten auf. Bitte warten Sie, bis die Erstellung der benutzerdefinierten Rolle erfolgreich verbunden ist. Dies kann bis zu 24 Stunden dauern. Während dieser Zeit wird der öffentliche Ordner wiederhergestellt und die Journalisierung (für den Archiver-Plan) wird angehalten. Sie können den Status auf der Seite "Kontoeinstellungen" unter der Registerkarte "Anmeldeinformationen" überwachen.
Migrieren der Dienstprinzipal-Authentifizierung für bestehende Clients
Als Partner können Sie Ihre Kunden über das Hinzufügen von M365-Backups mit Autorisierung der Dienstprinzipal-Authentifizierung informieren, indem Sie ihnen diese Schritte mitteilen, oder Sie können die Aufgabe selbst ausführen, indem Sie sich als Kunde ausgeben.
- Wenn Sie beim Portal angemeldet sind, wird ein Banner angezeigt. Klicken Sie auf die Schaltfläche Mehr erfahren.
Sie werden zur Registerkarte Anmeldeinformationen auf der Seite Kontoeinstellungen weitergeleitet. - Klicken Sie auf die Schaltfläche Jetzt migrieren.
- Klicken Sie im Bestätigungsfenster auf die Schaltfläche Ja, fortfahren.
- Wählen Sie die E-Mail-Adresse der richtigen Organisation aus.
- Klicken Sie auf die Schaltfläche "Fortfahren ".
- Schließen Sie den Autorisierungsprozess für das Gerät ab. Wenn der Prozess abgeschlossen ist, können Sie das Fenster schließen.
- Klicken Sie im Organisations-E-Mail-Portal auf die Schaltfläche "Überprüfen und fortfahren " .
Bei erfolgreicher Ausführung listet das System alle M365-Konten dieses Mandanten auf, zusammen mit einem zusätzlichen Banner, das angibt, dass die Migration zur Verwendung der Dienstprinzipal-Authentifizierung erfolgreich war.
Deaktivierung, inaktive Konten und Backup-Status
Wenn einem Konto im Quellmandanten eine gültige E-Mail-Lizenz zugewiesen ist, wird das Backup regelmäßig ausgeführt. Wenn diese Lizenz keinem Konto in der Quelle zugewiesen ist, wird sie im NinjaOne-System als "Inaktiv" markiert, da erkannt wurde, dass der Benutzer keine gültige Lizenz beim E-Mail-Anbieter hat.
Wenn ein Postfach keine Daten enthält, wird es in der Benutzeroberfläche als deaktiviert markiert. NinjaOne überprüft jedoch weiterhin regelmäßig, ob Daten hinzugefügt wurden, und reaktiviert das Postfach automatisch, sobald Daten vorhanden sind.
Wenn ein Benutzer eine Mailbox manuell aus dem Backup deaktiviert, wird in der QuickInfo angezeigt, dass sie manuell deaktiviert wurde. Das System deaktiviert automatisch ein Mailbox-Backup, wenn es vom Mailserver gelöscht wird und die Mailbox aus der in NinjaOne registrierten AD-Gruppe entfernt wird.
Wenn ein Backup-Fehler für ein Postfach auftritt, wird dieser im E-Mail-Dashboard der Organisation angezeigt. Der Backup-Status kann auch auf der Registerkarte "Systemstatus" (E-Mail-Portal der Organisation) und auf der Registerkarte " Support " (Partnerportal) überprüft werden. Unser System wiederholt Backup-Vorgänge bei Fehlern automatisch, sodass der Backup-Prozess nicht unterbrochen wird. Der Backup-Prozess wird nur angehalten, wenn sich ein Postfach im deaktivierten/inaktiven Zustand befindet.
Bitte wenden Sie sich an den NinjaOne-Support, wenn Sie Hilfe bei der Untersuchung von Backup-Fehlern benötigen.
Farben für den Status von Postfächern
- Orange steht für ein inaktives Postfach, das deaktiviert wurde.
- Grau steht für ein inaktives Postfach ohne Daten (leer) auf der M365-Seite. Solche inaktiven Postfächer verwenden keine Lizenz
Funktion zum Umschalten der Dienstprinzipal-Authentifizierung (SPA)
Wo finde ich die SPA-Umschaltfunktion?
- Melden Sie sich beim Partnerportal an.
- Navigieren Sie zur Organisationsseite.
- Wählen Sie eine Organisation aus, klicken Sie auf die Auslassungspunkte und dann auf"Details anzeigen ".
- Die SPA-Umschaltfunktion ist unter der Registerkarte " Funktionen " verfügbar.
Was ist der Standardwert des SPA-Schalters?
Er ist in einem deaktivierten Zustand.
Wie wirkt sich das Aktivieren des Schalters auf das E-Mail-Portal der Organisation aus?
Benutzer werden weitergeleitet, um beim Hinzufügen eines M365-Backups die manuelle Erstellung benutzerdefinierter Rollen zu verwenden. Wenn die Umschaltfläche hingegen deaktiviert ist, werden Benutzer beim Hinzufügen eines M365-Backups weitergeleitet, um die automatische Erstellung benutzerdefinierter Rollen zu verwenden.
Häufig gestellte Fragen
- Wie lange dauert es, eine benutzerdefinierte Rolle zu erstellen?
- Ist für SPA ein globaler Administrator erforderlich?
- Angenommen, ich entscheide mich für die automatische Erstellung benutzerdefinierter Rollen und stelle fest, dass die Erstellung der Rolle einige Zeit in Anspruch nimmt, sodass ich zur manuellen Ausführung des Skripts wechseln möchte, um die Rolle zu erstellen. Wird dadurch die Erstellung benutzerdefinierter Rollen beschleunigt?
- Was passiert mit Mandanten, wenn die Erstellung benutzerdefinierter Rollen noch aussteht?
- Welche Mandantenprotokolle müssen verfügbar sein?
- Was müssen Partner tun, nachdem sie erfolgreich mit den Dienstprinzipalberechtigungen autorisiert wurden?
- Ich habe erfolgreich auf die Dienstprinzipalauthentifizierung migriert und die Aufforderung erhalten, dass ich den backupadmin und die Anwendungsregistrierung in Azure AD bereinigen kann. Warum werden andere Anwendungsregistrierungen weiterhin aufgelistet?
- Nach der Migration zur Dienstprinzipalauthentifizierung haben wir festgestellt, dass die Dienstprinzipalauthentifizierung keine Kalenderbackups für Gruppen und Teams oder Gruppen- und Team-Postfächer mit Anhängen unterstützt. Können wir zur Legacy-Methode zurückkehren?
- Muss ich mich nach dem Switch von der Legacy-Methode zur Dienstprinzipalauthentifizierung weiterhin regelmäßig neu authentifizieren?
- Was ist erforderlich, um die Dienstprinzipalauthentifizierung einzurichten oder darauf zu migrieren?
- Der Status meiner benutzerdefinierten Rolle wird als "Getrennt" angezeigt. Was soll ich tun?
- Nach der Migration zu SPA wird ein Fehler bei den Anmeldeinformationen angezeigt. Wie kann ich diesen beheben?
- Welche Rollen/Scopes sind für SPA erforderlich?
- Was bedeutet die manuelle Erstellung benutzerdefinierter Rollen beim Hinzufügen des M365-Backups?
- Was bedeutet die automatische Erstellung benutzerdefinierter Rollen beim Hinzufügen des M365-Backups?
Wie lange dauert es, eine benutzerdefinierte Rolle zu erstellen?
Das hängt von der Situation auf Seiten von Microsoft ab. Es kann von einigen Minuten bis zu 3 Tagen variieren.
Ist für SPA ein globaler Administrator erforderlich?
Ja, während der Einrichtung von SPA ist ein globaler Administrator erforderlich. Darüber hinaus erfordern die folgenden Szenarien weiterhin einen globalen Administrator innerhalb des Mandanten
Backup-Modul:
- Backup öffentlicher Ordner.
- Öffentliche Ordner wiederherstellen.
PowerShell-Modul:
- Erstellen einer Unteranwendung während der Ersteinrichtung und erneutes Erstellen, wenn die Unteranwendung ungültig ist.
Angenommen, ich entscheide mich für die automatische Erstellung benutzerdefinierter Rollen und stelle fest, dass die Erstellung der Rolle einige Zeit in Anspruch nimmt, sodass ich das Skript manuell ausführen möchte, um die Rolle zu erstellen. Wird die Erstellung benutzerdefinierter Rollen dadurch beschleunigt?
Es ist nicht garantiert, dass die Umstellung auf eine manuelle Rolle die Erstellung der benutzerdefinierten Rolle beschleunigt, da dies davon abhängt, was auf Seiten von Microsoft geschieht.
Was passiert mit Mandanten, wenn die Erstellung benutzerdefinierter Rollen noch aussteht?
Wir gehen davon aus, dass sie bis zu 24 Stunden warten müssen. Wir wiederholen den Vorgang jeden Tag, und wenn er weiterhin fehlschlägt, senden wir eine Benachrichtigungs-E-Mail und bitten sie, sich an unseren Support zu wenden.
Welche Mandantenprotokolle müssen verfügbar sein?
Wir verwenden das "Exchange Online PowerShell V3-Modul", um eine Verbindung zum Mandanten des Kunden herzustellen.
Was müssen Partner tun, nachdem sie mit den Dienstprinzipalberechtigungen erfolgreich autorisiert wurden?
Wir empfehlen Ihnen, den backupadmin aus Ihrem Konto zu entfernen, nachdem Sie Ihre neue Autorisierung mit dem Dienstprinzipal überprüft haben.
Ich habe erfolgreich auf die Dienstprinzipal-Authentifizierung migriert und die Aufforderung erhalten, dass ich den backupadmin und die App-Registrierung in Azure AD bereinen kann. Warum werden ihre anderen App-Registrierungen immer noch aufgelistet?
Sobald Sie von der Legacy-Methode zur Dienstprinzipal-Authentifizierung migriert sind, können der Backup-Administrator und die zugehörige App-Registrierung gelöscht werden. SPA erfordert jedoch, dass die verbleibenden Unteranwendungen nicht gelöscht werden.
Nach der Migration zur Dienstprinzipal-Authentifizierung haben wir erfahren, dass die Dienstprinzipal-Authentifizierung keine Kalender-Backups von Gruppen und Teams oder Gruppen- und Teams-Postfächer mit Anhängen unterstützt. Können wir zur Legacy-Methode zurückkehren?
Ja, wenden Sie sich bitte an den NinjaOne-Support unter, um diese Umkehrung anzufordern. Hinweis: Sobald dies abgeschlossen ist, ist eine erneute Authentifizierung mit dem backupadmin erforderlich.
Muss ich mich nach dem Wechsel von der Legacy-Methode zur Dienstprinzipal-Authentifizierung weiterhin regelmäßig neu authentifizieren?
Nein, da wir keine Token für den backupadmin mehr speichern, sollte keine erneute Authentifizierung erforderlich sein. Eine erneute Authentifizierung ist nur erforderlich, wenn die Token für die Hauptanwendung der Organisation widerrufen werden.
Was ist erforderlich, um die Dienstprinzipalauthentifizierung einzurichten oder darauf zu migrieren?
Der für die Autorisierung verwendete Administrator muss vor der Autorisierung der ExO-Anwendung über Zugriff auf das Cmdlet (enable-organizationcustomization) für die Erstellung benutzerdefinierter Rollen verfügen. Remote Powershell sollte für den Benutzer aktiviert sein, der die ExO-Anwendung autorisiert. Der Mandant sollte über eine Exchange-Lizenz für die Migration zum Dienstprinzipal-Authentifizierungsfluss (SPA) verfügen, da sonst die benutzerdefinierte Rolle nicht erstellt werden kann.
Der Status meiner benutzerdefinierten Rolle wird als "Getrennt" angezeigt. Was soll ich tun?
Bitte wenden Sie sich an den NinjaOne-Support, wenn dies in Ihrer Organisation angezeigt wird.
Nach der Migration zu SPA wird ein Fehler bezüglich der Anmeldeinformationen angezeigt. Wie kann ich diesen beheben?
Um den Fehler bei den Anmeldeinformationen zu beheben, der nach der Migration zu SPA auftritt, verwenden Sie einen beliebigen globalen Administrator innerhalb des M365-Mandanten, um sich erneut zu authentifizieren. Da SPA keine Tokens für den Backup-Administrator speichert, sollte dies die einzige erneute Authentifizierung sein, die durchgeführt werden muss.
Welche Rollen/Scopes sind für SPA erforderlich?
| Berechtigung | Typ | Zweck |
|---|---|---|
| Application.Read.WriteAll | Delegiert | Erstellen und Löschen von Unteranwendungen, die für die Sicherung und Wiederherstellung verwendet werden |
| AppRoleAssignment.ReadWrite.All | Delegiert | Gewähren der administrativen Zustimmung für Unteranwendungen |
| Calendars.ReadWrite | Anwendung | Kalender-Backup und -Wiederherstellung |
| ChannelMessage.Read.All | Anwendung | Teams Chat Backup und Wiederherstellung |
| Chat.Read.All | Anwendung | Teams Chat Backup und Wiederherstellung |
| Kontakte.LesenSchreiben | Anwendung | Kontakte sichern und wiederherstellen |
| Domains.Lesen.Alle | Delegiert | Liste der verfügbaren Domains im Mandanten |
| Dateien.LesenSchreiben.Alle | Anwendung | Dateien sichern und wiederherstellen |
| Gruppe.LesenSchreiben.Alle | Anwendung | Backup und Wiederherstellung von Gruppen und Teams |
| Mail.ReadBasic.Alle | Anwendung | E-Mail-Backup und Wiederherstellung |
| Anmerkungen.LesenSchreiben.Alle | Anwendung | Anmerkungen sichern und wiederherstellen |
| offline-Zugriff | Delegiert | Aktualisierungstoken für ORG-Verwaltung erneuern |
| Berichte.Lesen.Alle | Anwendung | |
| RoleManagement.Read.Directory | Anwendung | Liste der Nutzer und Administratoren in der Organisation abrufen |
| Standorte.Verwalten.Alle | Anwendung | Standorte sichern und wiederherstellen |
| Standorte.LesenSchreiben.Alle | Anwendung | Standorte sichern und wiederherstellen |
| Teamwork.Migrieren Sie.Alle | Anwendung | Teams Chat wiederherstellen |
| Nutzer.Lesen.Alle | Anwendung | Listen Nutzer |
| Nutzer.Lesen.Schreiben.Alle | Delegierte |
Was bedeutet die manuelle Erstellung benutzerdefinierter Rollen beim Hinzufügen des M365-Backups?
Dies bezieht sich auf den manuellen Prozess der Erstellung einer Rolle mit den minimal erforderlichen Berechtigungen zum Ausführen von Backup-Aufgaben. Die Rolle wird durch Ausführen des PowerShell-Skripts erstellt. Im manuellen Ablauf müssen Nutzer das PowerShell-Skript herunterladen und ausführen, anstatt es von NinjaOne ausführen zu lassen. Bitte befolgen Sie diese Schritte, um M365-Backup mit manueller benutzerdefinierter Rollenerstellung hinzuzufügen:
- Melden Sie sich beim E-Mail-Portal der Organisation an.
- Klicken Sie auf der Dashboard-Seite auf die Schaltfläche +Backup hinzufügen.
- Klicken Sie auf die Schaltfläche Mit Microsoft 365 anmelden.
- Geben Sie das globale M365-Administratorkonto entsprechend ein.
- Klicken Sie auf die Schaltfläche Akzeptieren.
- Sobald die Zustimmung erteilt wurde, wird der Nutzer zur Seite M365 AUTORISIERUNG weitergeleitet. Insgesamt sind zwei Schritte erforderlich
- Backup-Anwendung erstellen – Unteranwendungen werden im Mandanten des Nutzers erstellt (dies kann einige Sekunden dauern).
- Klicken Sie auf die Schaltfläche Prüfen & Fortfahren, um die Autorisierung abzuschließen. Bitte befolgen Sie alle drei Anweisungen, um ein erfolgreiches Ergebnis zu erzielen.
- Laden Sie das PowerShell-Skript herunter, indem Sie auf die entsprechende Schaltfläche klicken.
- Öffnen Sie die PowerShell-Eingabeaufforderung und führen Sie das Skript (Punkt 2.1) aus, bis es vollständig ausgeführt ist.
- Ein kurzer FAQ-Abschnitt wurde hinzugefügt, um Ihnen das Verständnis des Flusses zu erleichtern.
- Sobald die Autorisierung erfolgreich war, werden Sie zur M365-Kontoliste weitergeleitet, wo Sie mit der Auswahl der zu sichernden Postfächer beginnen können.
Was bedeutet die automatische Erstellung benutzerdefinierter Rollen beim Hinzufügen des M365-Backups?
Dies bezieht sich auf den automatisierten Prozess der Erstellung einer Rolle mit den minimal erforderlichen Berechtigungen, um Backup-Vorgänge durchzuführen. Die Rolle wird durch Ausführen eines PowerShell-Skripts erstellt. Im automatisierten Ablauf führt NinjaOne das PowerShell-Skript aus, anstatt dies den Benutzern zu überlassen. Befolgen Sie die folgenden Schritte, um ein M365-Backup mit automatischer Erstellung benutzerdefinierter Rollen hinzuzufügen:
- Melden Sie sich beim E-Mail-Portal der Organisation an.
- Klicken Sie auf der Dashboard-Seite auf die Schaltfläche +Backup hinzufügen.
- Klicken Sie auf die Schaltfläche Mit Microsoft 365 anmelden.
- Das System zeigt zwei Optionen an
- Wählen Sie die zweite Zeile, um die Authentifizierung des Dienstprinzipals (SPA) zu erleben.
- Die erste Zeile entspricht der aktuellen Autorisierung, die weiterhin die Erstellung eines globalen Administrators erfordert.
- Geben Sie das M365-Administratorkonto entsprechend ein.
- Scrollen Sie nach unten und klicken Sie auf die Schaltfläche Akzeptieren, um das Erstellen eines Backups unserer Anwendung zuzulassen.
- Sobald die Zustimmung erteilt wurde, wird der Nutzer zur Seite M365 AUTORISIERUNG weitergeleitet. Insgesamt sind zwei Schritte erforderlich
- Backup-Anwendung erstellen – Unteranwendungen werden im Mandanten des Nutzers erstellt (dies kann einige Sekunden dauern).
- Geräteautorisierung – beginnen Sie, indem Sie auf den verfügbaren Link klicken.
- Das System leitet Sie zum neuen Microsoft-Fenster weiter, kopieren Sie den Code aus dem Portal und klicken Sie auf die Schaltfläche Weiter.
- Wählen Sie den richtigen E-Mail-Administrator aus.
- Klicken Sie auf die Schaltfläche "Fortfahren ".
Sobald dieser Bildschirm angezeigt wird, ist die Geräteautorisierung abgeschlossen. Sie können das Fenster schließen. - Zurück im Organisations-E-Mail-Portal klicken Sie auf die Schaltfläche "Überprüfen und fortfahren", um diesen Schritt abzuschließen.
Nach erfolgreicher Ausführung listet das System alle M365-Konten in diesem Mandanten auf. Wählen Sie das Konto aus, das Sie zum Backup hinzufügen möchten.