# Key Vault RBAC-Migration
Microsoft verlagert Azure Key Vault ab der API-Version auf Azure RBAC als Standard-Zugriffsmodell für alle neuen Key Vaults **2026‑02‑01**. Mehr erfahren [hier](https://learn.microsoft.com/en-us/azure/key-vault/general/access-control-default?tabs=azure-cli).
Während RBAC nicht zwingend erforderlich ist und **bestehende Key Vaults mit Zugriffsrichtlinien unverändert weiter betrieben werden können,** Mandanten, die nach dem Upgrade auf die neue API einen neuen Key Vault erstellen, erhalten standardmäßig RBAC, sofern Zugriffsrichtlinien nicht ausdrücklich konfiguriert werden.
Es kann dennoch sinnvoll sein, unabhängig davon zu RBAC zu migrieren, da es ein einheitlicheres und skalierbareres Berechtigungsmodell bietet, das an Microsoft Entra ID ausgerichtet ist, und Ihre Konfiguration zukunftssicher macht, falls Microsoft die Key Vault-Zugriffsrichtlinien irgendwann abkündigt.
## Migrationsleitfaden
{% hint style="warning" %}
Planen Sie vor dem Fortfahren Ausfallzeiten ein. SCEPman kann keine Zertifikate ausstellen oder überprüfen, bis die Berechtigungen erfolgreich migriert wurden.
{% endhint %}
{% stepper %}
{% step %}
### Navigieren Sie zu Ihrem SCEPman Key Vault
Navigieren Sie zu Azure > Key Vaults > *Ihrem SCEPman Key Vault*
{% endstep %}
{% step %}
### Überprüfen Sie Ihre vorhandenen Zugriffsrichtlinien
Navigieren Sie zu **Zugriffsrichtlinien** und dokumentieren Sie die Zugriffsrichtlinien Ihres SCEPman unter **Anwendung***.* Die Zugriffsrichtlinien von SCEPman sollten denselben Namen haben wie Ihr SCEPman App Service (und alle geo-redundanten SCEPman App Services).
*Benutzer* Zugriffsrichtlinien müssen nicht migriert werden, da sie die Funktionalität von SCEPman nicht beeinträchtigen. Benutzer, die weiterhin Zugriff benötigen, sollten ihre Zugriffsrichtlinien anhand der folgenden Tabelle überprüft und auf Azure-Rollen migriert bekommen:
{% endstep %}
{% step %}
### Ändern Sie das Berechtigungsmodell
Ändern Sie das Berechtigungsmodell von **Vault-Zugriffsrichtlinie** nach **Azure rollenbasierte Zugriffssteuerung**
Durch Klicken auf **Übernehmen** wird Ihre SCEPman-Instanz vom Key Vault getrennt, bis Azure-Rollen zugewiesen wurden. Frühere Zugriffsrichtlinien werden ebenfalls entfernt.
{% endstep %}
{% step %}
### Azure-Rollen zuweisen
Navigieren Sie zu Zugriffssteuerung (IAM) und weisen Sie die folgenden Rollen der **verwalteten Identität** Ihres SCEPman App Service (und aller geo-redundanten SCEPman App Services) zu:
* Key Vault Certificates Officer
* Key Vault Crypto Officer
* Key Vault Secrets User
Rollen müssen einzeln zugewiesen werden, jedoch können mehreren Identitäten eine Rolle zugewiesen werden.
Die verwaltete Identität des Certificate Master (mit -cm in ihrem Namen) **unterstützt nicht** erfordert Zugriff auf den Key Vault.
{% endstep %}
{% step %}
### Überprüfen Sie die Key Vault-Konnektivität
Starten Sie Ihren SCEPman App Service neu, navigieren Sie dann zu Ihrer SCEPman-Startseite und stellen Sie sicher, dass Ihr Key Vault verbunden ist.
{% endstep %}
{% endstepper %}
