circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Key Vault RBAC-Migration

Microsoft verlagert Azure Key Vault zugunsten von Azure RBAC als standardmäßiges Zugriffskontrollmodell für alle neuen Key Vaults beginnend mit der API-Version 2026‑02‑01. Lesen Sie mehr hierarrow-up-right.

Während RBAC nicht strikt verpflichtend ist und bestehende Key Vaults, die Zugriffspolicies verwenden, weiterhin wie bisher funktionieren können, bekommen Mandanten, die nach dem Upgrade auf die neue API einen neuen Key Vault erstellen, standardmäßig RBAC, es sei denn, Zugriffspolicies werden explizit konfiguriert.

Es kann dennoch sinnvoll sein, auf RBAC zu migrieren, da es ein einheitlicheres und skalierbareres Berechtigungsmodell bietet, das mit Microsoft Entra ID abgestimmt ist und Ihre Umgebung zukunftssicher macht, falls Microsoft die Key Vault-Zugriffspolicies einstellt.

hashtag
Migrationsanleitung

circle-exclamation

Berücksichtigen Sie Ausfallzeiten, bevor Sie fortfahren. SCEPman wird nicht in der Lage sein, Zertifikate auszustellen oder zu überprüfen, bis die Berechtigungen erfolgreich migriert wurden.

1

hashtag
Navigieren Sie zu Ihrem SCEPman Key Vault

Navigieren Sie zu Azure > Key Vaults > Ihr SCEPman Key Vault

2

hashtag
Überprüfen Sie Ihre bestehenden Zugriffspolicies

Navigieren Sie zu Zugriffsrichtlinien und dokumentieren Sie die Zugriffspolicies Ihres SCEPman unter Anwendung. Die SCEPman-Zugriffspolicies sollten denselben Namen wie Ihr SCEPman App Service (und alle geografisch redundanten SCEPman App Services) tragen.

Benutzer Zugriffspolicies müssen nicht migriert werden, da sie die SCEPman-Funktionalität nicht beeinträchtigen. Benutzer, die weiterhin Zugriff benötigen, sollten ihre Zugriffspolicies überprüfen lassen und gemäß der folgenden Tabelle auf Azure-Rollen migriert werden: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration?tabs=cli#access-policy-templates-to-azure-roles-mappingarrow-up-right

3

hashtag
Ändern Sie das Berechtigungsmodell

Ändern Sie das Berechtigungsmodell von Vault-Zugriffsrichtlinie zu Azure rollenbasierte Zugriffskontrolle

Durch Drücken von Übernehmen wird Ihre SCEPman-Instanz vom Key Vault getrennt, bis Azure-Rollen zugewiesen sind. Vorherige Zugriffspolicies werden ebenfalls entfernt.

4

hashtag
Azure-Rollen zuweisen

Navigieren Sie zu Zugriffssteuerung (IAM) und weisen Sie die folgenden Rollen der verwalteten Identität Ihres SCEPman App Service (und aller geografisch redundanten SCEPman App Services) zu:

  • Key Vault Certificates Officer

  • Key Vault Crypto Officer

  • Key Vault Secrets User

Rollen müssen einzeln zugewiesen werden, jedoch können mehrere Identitäten einer Rolle zugewiesen werden.

Die verwaltete Identität des Certificate Master (mit -cm im Namen) benötigt keinen Zugriff auf den Key Vault.

5

hashtag
Überprüfen Sie die Key Vault-Konnektivität

Starten Sie Ihren SCEPman App Service neu, navigieren Sie dann zu Ihrer SCEPman-Startseite und stellen Sie sicher, dass Ihr Key Vault verbunden ist.

Zuletzt aktualisiert

War das hilfreich?