Handbuch

Einleitung

Ab April 2026 wird Microsoft seinen Authentifizierungs-Service Azure ACS (Access Control Services) einstellen und auf Microsoft Entra ID umsteigen. Dies betrifft alle Microsoft SharePoint Online Konnektoren, die derzeit von Mindbreeze Kunden genutzt werden. Weitere Informationen zur Einstellung von Azure ACS finden Sie unter https://learn.microsoft.com/en-us/sharepoint/dev/sp-add-ins/retirement-announcement-for-azure-acs.

Um proaktiv auf diese Änderung zu reagieren und die Funktionsfähigkeit des Microsoft SharePoint Online Konnektors, des Principal Resolution Service und des Authorization Service sicherzustellen, wird die Authentifizierungsmethode auf zertifikatsbasierte Authentifizierung umgestellt. In den folgenden Kapiteln werden die erforderlichen Schritte beschrieben, um die bestehende Azure Applikation vorzubereiten, die Berechtigung “Sites.Selected” hinzuzufügen und die existierende Berechtigung “FullControl” für die zertifikatsbasierte Authentifizierung zu migrieren.

Voraussetzungen

Bitte überprüfen Sie die folgenden Voraussetzungen:

• Der Microsoft Administrator verfügt über die entsprechenden Berechtigungen für die Azure Applikation. Eine der beiden folgenden Optionen muss erfüllt sein:
  • Option 1: Der Microsoft Administrator hat die Rolle „Global Administrator“.
  • Option 2: Der Microsoft Administrator verfügt über die Rollen „SharePoint Administrator“ und „Application Administrator“.
• Eine registrierte Applikation wurde erstellt oder ist bereits vorhanden für den SharePoint Online Connector im Azure Portal/Microsoft Entra ID admin center.
  • Weitere Informationen zur Registrierung einer Applikation finden Sie in der Microsoft-Dokumentation: How to register an application.

Erstellung des Zertifikates

Für die Migration auf die zertifikatsbasierte Authentifizierung wird ein Zertifikat benötigt, das in die Azure Applikation hochgeladen wird, die dann mit Mindbreeze InSpire verbunden wird. Dieses Zertifikat kann erstellt werden und kann entweder ein von einer vertrauenswürdigen Zertifizierungsstelle signiertes Zertifikat oder ein selbstsigniertes Zertifikat (.cer, .crt oder .pem) sein.

Weitere Informationen zur Erstellung eines selbstsignierten Zertifikats finden Sie in der Microsoft Dokumentation: https://learn.microsoft.com/en-us/dotnet/core/additional-tools/self-signed-certificates-guide#with-openssl

Bitte stellen Sie nach der Erstellung des Zertifikats sicher, dass Sie das Zertifikat einschließlich des „Private Key“ speichern und es dem Mindbreeze InSpire Administrator zur Verfügung stellen.

Zertifikat hinzufügen und Azure Applikation aktualisieren

Schritt 1: Zertifikat zur Azure Applikation hinzufügen

Um das Zertifikat hochzuladen und einer bestehenden Azure Applikation hinzuzufügen, melden Sie sich beim Azure Portal/Microsoft Entra ID admin center an.

Gehen Sie anschließend zu „Microsoft Entra ID“ und wählen Sie unter „Overview“ den Punkt „App registrations“ aus. Wählen Sie die vorhandene Azure Applikation aus, die Sie mit Mindbreeze InSpire verbinden möchten.

Wechseln Sie in der Azure Applikation zur Seitennavigation und öffnen Sie den Menüpunkt „Manage“. Um das Zertifikat hochzuladen, gehen Sie zum Untermenüpunkt „Certificates & secrets“. Klicken Sie auf „Upload certificate“ und wählen Sie die Datei mit dem „public“ Zertifikat (.cer, .crt oder .pem) aus. Klicken Sie anschließend auf „Add“.

Weitere Informationen finden Sie in der Microsoft Dokumentation How to add credentials to an application.

Schritt 2: Migration von SiteCollection-Wide API-Berechtigungen

Aufgrund der Einstellung von Azure ACS für SharePoint Online können über AppInv.aspx keine „FullControl“-Berechtigungen auf „SiteCollection“-Ebene mehr erteilt werden (vor der Einstellung von Azure ACS war es möglich, über die SharePoint Seite AppInv.aspx eine Berechtigung mit „FullControl“-Rechten auf „SiteCollection“-Ebene hochzuladen). Diese Möglichkeit muss nun über Applikationsberechtigungen in Microsoft Entra ID konfiguriert werden. Künftig wird der Zugriff auf SharePoint über Azure Applikationsberechtigungen verwaltet.

Um die API-Berechtigung “Sites.Selected” zur Azure Applikation hinzuzufügen, rufen Sie im Azure Portal/Microsoft Entra ID admin center die vorhandene Azure Applikation auf, die Sie mit Mindbreeze InSpire verbinden möchten. Öffnen Sie den Menüpunkt „Manage“ und klicken Sie auf „API permissions“.

Klicken Sie dann auf „Add a permission“ und wählen Sie unbedingt „SharePoint“ aus.

Wählen Sie als Berechtigungstyp „Application permissions“ aus. Erweitern Sie anschließend die Berechtigungsoption „Sites“ und wählen Sie die Berechtigung „Sites.Selected“ aus. Klicken Sie abschließend auf „Add permissions“.

Weitere Informationen finden Sie in der Microsoft Dokumentation: How to update application permissions

Nachdem die API-Berechtigung nun bei der Azure Applikation migriert wurde, können die Sites, die von Mindbreeze InSpire indiziert werden sollen, vorbereitet werden, indem die API-Berechtigung für jede Site migriert wird.

Schritt 3: Migration der API-Berechtigung für jede Site mit Microsoft Graph Explorer

Nachdem die API-Berechtigung „Sites.Selected“ bei der Azure Applikation migriert wurde, muss die API-Berechtigung jeder Site, die von Mindbreeze InSpire indiziert werden soll, migriert werden. In diesem Schritt wird die API-Berechtigung „FullControl“ für eine Site migriert, um denselben Zugriffsumfang wie vor dem Migrationsprozess zu gewährleisten. Dies geschieht durch die Ausführung von Abfragen im Microsoft Graph Explorer.

Hinweis: Bitte beachten Sie, dass in diesem Schritt nur die API-Berechtigung einer Site migriert wird. Wenn der Inhalt mehrerer Sites indiziert werden soll, muss dieser Schritt für jede Site einzeln durchgeführt werden.

Gehen Sie zum Microsoft Graph Explorer und melden Sie sich mit dem erforderlichen Microsoft Konto an. Um die API-Berechtigung für eine Site zu migrieren, muss die Site ID bekannt sein. Sollte die Site ID unbekannt, kann die folgende GET-Abfrage verwendet werden, um die Site ID zu ermitteln:

https://graph.microsoft.com/v1.0/sites/<Host>:<Site>

Die Site ID für die Site „ExampleSite1“ lässt sich beispielsweise mit folgender Abfrage ermitteln:

https://graph.microsoft.com/v1.0/sites/company.sharepoint.com:/sites/ExampleSite1

Da die Site ID nun bekannt ist, können die API-Berechtigungen mit der folgenden POST-Abfrage und dem folgenden „Request Body“ migriert werden:

Um beispielsweise die API-Berechtigung für die Site „ExampleSite1“ zu migrieren, sehen die POST-Abfrage und der „Request Body“ wie folgt aus:

Nachdem die POST-Abfrage und der Request Body ausgeführt wurden, sollte die Antwort zeigen, dass das Attribut „roles“ für diese Site nun auf „fullControl“ gesetzt ist (wie im obigen Screenshot zu sehen).

Hinweis: Nachdem das Zertifikat und die API-Berechtigung „Sites.Selected“ zur Azure Applikation hinzugefügt und migriert wurden, ist es nun auch möglich, über die SharePoint-Rest API oder CSOM auf die Site zuzugreifen. Weitere Informationen finden Sie in der Microsoft-Dokumentation https://techcommunity.microsoft.com/blog/spblog/develop-applications-that-use-sites-selected-permissions-for-spo-sites-/3790476.

Die API-Berechtigung einer Site wurde nun erfolgreich migriert, und die Inhalte der Site können vom Microsoft SharePoint Online Crawler, dem Principal Resolution Service und dem Authorization Service genutzt werden. Falls mehrere Sites indiziert werden sollen, wiederholen Sie den gesamten Schritt bitte für die übrigen Sites.

Konfigurationsschritte in Mindbreeze InSpire

Nachdem die Azure Applikation vollständig aktualisiert wurde, besteht der nächste Schritt darin, die zertifikatsbasierte Autorisierung im SharePoint Online Connector in Mindbreeze InSpire zu konfigurieren. Die Konfigurationsschritte werden beschrieben in Konfiguration - Microsoft SharePoint Online Connector - Konfigurationsschritte in Mindbreeze InSpire

Alternative: Tenant-wide-Applikation für vereinfachte Verwaltung und Wartung von Sites und Berechtigungen

Die Migration der API-Berechtigungen für jede Site, die von Mindbreeze InSpire indiziert werden soll, kann einen erheblichen Aufwand bedeuten, insbesondere wenn eine große Anzahl von Sites migriert werden muss. Auch nach der Migration ist weiterhin ein erheblicher Aufwand für die Pflege der Sites erforderlich, da Änderungen oder Aktualisierungen an den Sites in Abstimmung mit dem Mindbreeze-Administrator vorgenommen werden müssen.

Um den Aufwand für die Migration der Azure Applikation, der Sites und die anschließende Wartung erheblich zu reduzieren und zu optimieren, kann der Übergang von einer „Sites.Selected“-Applikation zu einer Tenant-Wide-Applikation in Betracht gezogen werden. Mit dem Übergang zu einer Tenant-Wide-Applikation ergeben sich folgende Vorteile:

• Berechtigungen können von einer zentralen Stelle aus verwaltet werden, anstatt die Berechtigungen für jede Site einzeln zu verwalten. Die Pflege und Aktualisierung von Berechtigungen ist zudem einfacher und mit deutlich geringerem Aufwand möglich.
• „Site collections“ werden automatisch von der „Site Discovery“-Funktion erkannt. Daher werden die Indizes in Mindbreeze InSpire häufiger aktualisiert und nehmen neue Sites und Dokumente schneller auf. Mit dieser Funktion wird zudem sichergestellt, dass alle neuen Dokumente in Mindbreeze InSpire nutzbar sind.

Der Übergang zu einer Tenant-Wide-Applikation ist einfacher als die Migration einer „Sites.Selected“-Applikation, wie aus der folgenden Tabelle hervorgeht:

Weitere Informationen für die Migration zu einer Tenant-Wide-Applikation finden Sie unter Handbuch - Migration von Tenant-Wide-Berechtigungen für den MS SharePoint Online Connector.