Authentifizierungsprobleme durch Änderungen an der PnP PowerShell Registrierung: Viele Skripte nicht mehr lauffähig

Heiko Blumenbach
19. September 2024
Lesezeit: 3 min
Authentifizierungsprobleme durch Änderungen an der PnP PowerShell Registrierung: Viele Skripte nicht mehr lauffähig

Das PnP-Team hat Änderungen an der Art und Weise eingeführt, wie die PnP PowerShell und das CLI für Microsoft 365 zur Verbindung mit Microsoft 365 genutzt werden können. Diese Änderungen betreffen die Verwendung der PnP PowerShell mit der bisher genutzten multi-tenant App-Registrierung (PnP Management Shell). Anwendungen, die diese Registrierung nutzen, sind nicht mehr funktionsfähig und müssen auf eine single-tenant App-Registrierung umgestellt werden. Dieser Artikel beleuchtet die Auswirkungen auf bestehende Skripte und Automatisierungen sowie die Schritte, die Administratoren ergreifen müssen, um ihre Systeme sicher und funktionsfähig zu halten.

Was ist das Problem?

Am 9. September 2024 wurde die bisher genutzte multi-tenant App-Registrierung für die PnP PowerShell gelöscht. Viele Unternehmen haben diese App-Registrierung verwendet, um die Authentifizierung von PnP PowerShell mit Microsoft 365 zu realisieren. Diese Änderung kann bestehende Skripte beeinträchtigen, die weiterhin auf die alte Authentifizierungsmethode zurückgreifen.

Wer ist betroffen?

Von dieser Änderung betroffen sind alle Organisationen, die derzeit die multi-tenant App-Registrierung der PnP PowerShell verwenden, um auf Microsoft 365 zuzugreifen. Auf diese Registrierung wird automatisch referenziert, sobald im Connect-Befehl der Parameter „-Interactive“ ohne Angabe einer ClientId verwendet wird. Dies führt dazu, dass Skripte, die diese Authentifizierungsmethode verwenden, einen Fehler verursachen. Insbesondere Administratoren und Entwickler, die Skripte und Automatisierungen in ihrer Umgebung betreiben, sollten sicherstellen, dass sie nicht von einem Ausfall ihrer Prozesse überrascht werden. Skripte, die die multi-tenant Registrierung nutzen, müssen angepasst werden.

Wie lässt sich das beheben?

Das PnP-Team empfiehlt den Übergang zu einer sogenannten single-tenant App-Registrierung. Diese App-Registrierung ermöglicht es, die erforderlichen Berechtigungen spezifisch für den Tenant festzulegen. Der Vorteil dieser Methode liegt darin, dass nur die Berechtigungen erteilt werden, die für den jeweiligen Anwendungsfall benötigt werden, was die Sicherheit verbessert. Administratoren sollten folgende Schritte unternehmen:

  • Überprüfen Sie, ob Ihre Skripte die multi-tenant App-Registrierung nutzen. Dies ist der Fall, wenn im Connect-Befehl der Parameter „-Interactive“ verwendet wird, aber keine benutzerdefinierte ClientId übergeben wird.
  • Registrieren Sie eine neue single-tenant App in Azure.
  • Passen Sie die Authentifizierungsabschnitte in Ihren Skripten an, um die neue App-Registrierung zu nutzen. Ergänzen Sie dazu im Connect-Befehl den Parameter „-ClientId“ und geben Sie hier die ClientId Ihrer single-tenant App-Registrierung an.

Der eigentliche Funktionsumfang der PnP PowerShell und des CLI für Microsoft 365 bleibt unverändert. Nur die Art der Authentifizierung und Verbindung muss aktualisiert werden.

Fazit

Die Änderungen an der PnP PowerShell in Microsoft 365 sind ein wichtiger Schritt zur Verbesserung der Sicherheit in Microsoft 365. Unternehmen sollten ihre Skripte schnellstmöglich auf eine single-tenant App-Registrierung umstellen, um weiterhin reibungslos mit Microsoft 365 arbeiten zu können. Auch wenn die Umstellung möglicherweise einige Anpassungen erfordert, bleibt die Funktionspalette der PnP PowerShell unverändert und lässt sich mit den richtigen Vorbereitungen problemlos umsetzen.

TL;DR – Zusammenfassung

  • Die PnP PowerShell Authentifizierung mittels multi-tenant App-Registrierung ist seit dem 9. September 2024 nicht mehr möglich.
  • Administratoren und Entwickler müssen ihre Skripte auf eine single-tenant App-Registrierung umstellen, um Ausführungsfehler zu vermeiden.
  • Der Funktionsumfang der PnP PowerShell und des CLI für Microsoft 365 bleibt unverändert, nur die Authentifizierung muss angepasst werden.

Quellen

https://pnp.github.io/blog/post/changes-pnp-management-shell-registration/
https://github.com/pnp/powershell/issues/4250