Sure, you can handle it. But should you?
Let our experts manage the tech maintenance while you focus on your business.
Let our experts manage the tech maintenance while you focus on your business.
Handbuch
Migration von Tenant-Wide-Berechtigungen für den MS SharePoint Online Connector
Einleitung
Ab April 2026 wird Microsoft seinen Authentifizierungs-Service Azure ACS (Access Control Services) einstellen und auf Microsoft Entra ID umsteigen. Dies betrifft alle Microsoft SharePoint Online Konnektoren, die derzeit von Mindbreeze Kunden genutzt werden. Weitere Informationen zur Einstellung von Azure ACS finden Sie unter https://learn.microsoft.com/en-us/sharepoint/dev/sp-add-ins/retirement-announcement-for-azure-acs.
Um proaktiv auf diese Änderung zu reagieren und die Funktionsfähigkeit des Microsoft SharePoint Online Konnektors, des Principal Resolution Service und des Authorization service sicherzustellen, wird die Authentifizierungsmethode auf zertifikatsbasierte Authentifizierung umgestellt. In den folgenden Kapiteln werden die erforderlichen Schritte beschrieben, um die bestehende Azure Applikation vorzubereiten und die bestehenden Tenant-Wide Berechtigungen für die zertifikatsbasierte Authentifizierung zu migrieren.
Voraussetzungen
Bitte überprüfen Sie die folgenden Voraussetzungen:
- Der Microsoft Administrator verfügt über die entsprechenden Berechtigungen für die Azure Applikation. Eine der beiden folgenden Optionen muss erfüllt sein:
- Option 1: Der Microsoft Administrator hat die Rolle „Global Administrator“.
- Option 2: Der Microsoft Administrator verfügt über die Rollen „SharePoint Administrator“ und „Application Administrator“.
- Eine registrierte Applikation wurde erstellt oder ist bereits vorhanden für den SharePoint Online Connector im Azure Portal/Microsoft Entra ID admin center.
- Weitere Informationen zur Registrierung einer Applikation finden Sie in der Microsoft-Dokumentation: How to register an application.
Erstellung des Zertifikates
Für die Migration auf die zertifikatsbasierte Authentifizierung wird ein Zertifikat benötigt, das in die Azure Applikation hochgeladen wird, die dann mit Mindbreeze InSpire verbunden wird. Dieses Zertifikat kann erstellt werden und kann entweder ein von einer vertrauenswürdigen Zertifizierungsstelle signiertes Zertifikat oder ein selbstsigniertes Zertifikat (.cer, .crt oder .pem) sein.
Weitere Informationen zur Erstellung eines selbstsignierten Zertifikats finden Sie in der Microsoft Dokumentation: https://learn.microsoft.com/en-us/dotnet/core/additional-tools/self-signed-certificates-guide#with-openssl
Bitte stellen Sie nach der Erstellung des Zertifikats sicher, dass Sie das Zertifikat einschließlich des „Private Key“ speichern und es dem Mindbreeze InSpire Administrator zur Verfügung stellen.
Zertifikat hinzufügen und Azure Applikation aktualisieren
Schritt 1: Zertifikat zur Azure Applikation hinzufügen
Um das Zertifikat hochzuladen und einer bestehenden Azure Applikation hinzuzufügen, melden Sie sich beim Azure Portal/Microsoft Entra ID admin center an.
Gehen Sie anschließend zu „Microsoft Entra ID“ und wählen Sie unter „Overview“ den Punkt „App registrations“ aus. Wählen Sie die vorhandene Azure Applikation aus, die Sie mit Mindbreeze InSpire verbinden möchten.
Wechseln Sie in der Azure Applikation zur Seitennavigation und öffnen Sie den Menüpunkt „Manage“. Um das Zertifikat hochzuladen, gehen Sie zum Untermenüpunkt „Certificates & secrets“. Klicken Sie auf „Upload certificate“ und wählen Sie die Datei mit dem „public“ Zertifikat (.cer, .crt oder .pem) aus. Klicken Sie anschließend auf „Add“.
Weitere Informationen finden Sie in der Microsoft Dokumentation How to add credentials to an application.
Schritt 2: Migration der Tenant-Wide API-Berechtigungen
Aufgrund der Einstellung von Azure ACS für SharePoint Online können über AppInv.aspx keine „FullControl“-Berechtigungen auf „Tenant“-Ebene mehr erteilt werden (vor der Einstellung von Azure ACS war es möglich, über die SharePoint Seite AppInv.aspx eine Berechtigung mit „FullControl“-Rechten auf „Tenant“-Ebene hochzuladen). Diese Möglichkeit muss nun über Applikationsberechtigungen in Microsoft Entra ID konfiguriert werden. Künftig wird der Zugriff auf SharePoint über Azure Applikationsberechtigungen verwaltet.
Um die Tenant-Wide API-Berechtigungen in Azure zu migrieren, rufen Sie im Azure Portal/Microsoft Entra ID admin center die vorhandene Azure Applikation auf, die Sie mit Mindbreeze InSpire verbinden möchten. Öffnen Sie den Menüpunkt „Manage“ und klicken Sie auf „API permissions“.
Klicken Sie dann auf „Add a permission“ und wählen Sie unbedingt „SharePoint“ aus.
Wählen Sie als Berechtigungstyp „Application permissions“ aus. Erweitern Sie anschließend die Berechtigungsoption „Sites“ und wählen Sie die Berechtigung „Sites.FullControl.All“ aus. Klicken Sie abschließend auf „Add permissions“.
Weitere Informationen finden Sie in der Microsoft Dokumentation: How to update application permissions
Mit den API-Berechtigungen nun migriert, ist die Azure Applikation wieder vollständig konfiguriert und bereit für die Verwendung mit dem SharePoint Online Connector und der zertifikatsbasierten Autorisierung.
Konfigurationsschritte in Mindbreeze InSpire
Nachdem die Azure Applikation vollständig aktualisiert wurde, besteht der nächste Schritt darin, die zertifikatsbasierte Autorisierung im SharePoint Online Connector in Mindbreeze InSpire zu konfigurieren. Die Konfigurationsschritte werden beschrieben in Konfiguration - Microsoft SharePoint Online Connector - Konfigurationsschritte in Mindbreeze InSpire.