Externe gemeinsame Administratorkonten empfangen Warnungen und Fehler, Arbeit mit Azure Schlüssel

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 3192496
Problembeschreibung
Ein externer Benutzer erfolgt Co-Administrator eines Mandanten und Gruppenrichtlinienadministratoren ein neues Azure Schlüssel Depot erstellen. Dieser Benutzer erhält jedoch folgende Warnung Wenn das Depot erstellt wird:

PS C:\ > neue AzureRmKeyVault - VaultName <Key_Vault_Name>- ResourceGroupName <Resource_Group>-Speicherort<Region>
Warnung: Die Verwendung des Markenparameters in diesem Cmdlet wird in zukünftigen Versionen geändert werden. Dies wirkt sich erstellen,
Aktualisieren und Tags für Azure Ressourcen anfügen. Weitere Informationen zum Ändern der besuchen </Region></Resource_Group></Key_Vault_Name>https://github.com/Azure/Azure-PowerShell/issues/726#issuecomment-213545494
Warnung: Gastbenutzer dürfen diese Aktion.

Vault-Name:<Key_Vault_Name>
Name der Ressourcengruppe:<Resource_Group>
Speicherort:<Region>
Ressource
ID: /subscriptions/<SubscriptionID>/resourceGroups/<Resource_Group>/providers/Microsoft.KeyVault/vaults/<Key_Vault_Name>
Vault-URI: </Key_Vault_Name></Resource_Group></SubscriptionID></Region></Resource_Group></Key_Vault_Name>https://. vault.azure.net
Mandanten-ID:<TenantID>
SKU: Standard
Für die Bereitstellung aktiviert? : False
Für die Bereitstellung aktiviert? : False
Datenträger-Verschlüsselung aktiviert? : False
Richtlinien:
Tags:

Warnung: Die Richtlinie ist nicht festgelegt. Benutzer keine Zugriffsberechtigung für diesen Tresor verwendet haben. Verwenden Sie Set AzureRmKeyVaultAccessPolicy, um Richtlinien festzulegen.

</TenantID>
Darüber hinaus alle Versuche Benutzer zum Verwalten der Schlüssel Richtlinie hinzuzufügen oder zu Schlüssel oder Kennwörter Depot Trigger Fehler fehl.

Der externe Benutzer versucht, empfohlene Schritt ausführen Set AzureRmKeyVaultAccessPolicy die Zugriffsrichtlinie konfigurieren, wird der folgende Fehler ausgelöst:

PS C:\ > Set-AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>- ResourceGroupName <Resource_Group>- UserPrincipalName <username>@contoso.com - PermissionsToKeys abrufen, erstellen, löschen, auflisten, aktualisieren, importieren, sichern, Wiederherstellen - PermissionsToSecrets alle
Set-AzureRmKeyVaultAccessPolicy: Gastbenutzer dürfen diese Aktion.
Zeile 1: Char: 1

+ Set-AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>- ResourceGroupName...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: CloseError: (:) [Set-AzureRmKeyVaultAccessPolicy] ODataErrorException
+ FullyQualifiedErrorId: Microsoft.Azure.Commands.KeyVault.SetAzureKeyVaultAccessPolicy
Wenn der Benutzer versucht, das Depot Schlüssel anzeigen schlägt mit diesem Fehler: PS C:\ > Get-AzureKeyVaultKey - VaultName<Key_Vault_Name>
Get-AzureKeyVaultKey: Vorgang "List" ist nicht zulässig.
Zeile 1: Char: 1
+ Get-AzureKeyVaultKey - VaultName<Key_Vault_Name>
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: CloseError: (:) [Get-AzureKeyVaultKey] KeyVaultClientException
+ FullyQualifiedErrorId: Microsoft.Azure.Commands.KeyVault.GetAzureKeyVaultKeyIf der Benutzer versucht, einen Schlüssel Schlüsseltresor hinzufügen mit diesem Fehler: Wenn der Benutzer versucht schlägt, einen Schlüssel Schlüsseltresor hinzufügen mit diesem Fehler: PS C:\ schlägt > Add-AzureKeyVaultKey - VaultName <Key_Vault_Name>-Namen <Key_Encryption_Key>-Ziel-Software

Hinzufügen-AzureKeyVaultKey: Vorgang "erstellen" ist nicht zulässig
Zeile 1: Char: 1
+ Hinzufügen-AzureKeyVaultKey - VaultName <Key_Vault_Name>-Namen KEK-Ziel Softwa...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: CloseError: (:) [Fügen Sie-AzureKeyVaultKey], KeyVaultClientException
+ FullyQualifiedErrorId: Der Benutzer versucht, einen geheimen Schlüssel Depot hinzufügen Microsoft.Azure.Commands.KeyVault.AddAzureKeyVaultKeyIf es nicht mit diesem Fehler: PS C:\ > $Secret = ConvertTo-SecureString-Zeichenfolge 'Kennwort1' - AsPlainText-Kraft
PS C:\ > Set-AzureKeyVaultSecret - VaultName <Key_Vault_Name>-Namen G-Schlüssel - SecretValue $Secret
Set-AzureKeyVaultSecret: Vorgang "festlegen" ist nicht zulässig
Zeile 1: Char: 1

+ Set-AzureKeyVaultSecret - VaultName <Key_Vault_Name>-Namen G-Schlüssel - SecretValu...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo: CloseError: (:) [Set-AzureKeyVaultSecret] KeyVaultClientException
+ FullyQualifiedErrorId: Microsoft.Azure.Commands.KeyVault.SetAzureKeyVaultSecret
</Key_Vault_Name></Key_Vault_Name></Key_Vault_Name></Key_Encryption_Key></Key_Vault_Name></Key_Vault_Name></Key_Vault_Name></Key_Vault_Name></username></Resource_Group></Key_Vault_Name>
Ursache
Externe Konten Gastkonten haben nicht die erforderliche Zugriffsebene Schlüssel Depots und der Schlüssel und Kennwörter, die in ihnen gespeichert. Dies gilt, obwohl ihre als Co-Administrator des Abonnements aufgeführt ist.
Lösung
Zwei stehen Optionen externen Konten Berechtigungen sie Schlüssel Depots als Co-Administrator im Mandanten verwalten müssen:
  • Ein globaler Administrator die Mandanten können den Besitzer des Schlüssels Depots durch Ausführen des folgenden Befehls Konto Gast:

    PS C:\ > Set-AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>- ResourceGroupName <Resource_Group>- UserPrincipalName <username>@outlook.com - PermissionsToKeys abrufen, erstellen, löschen, auflisten, aktualisieren, importieren, sichern, Wiederherstellen - PermissionsToSecrets alle<b00> </b00> </username> </Resource_Group> </Key_Vault_Name>
  • Wenn das externe Konto mehrere Schlüssel Depots in diesem Mandanten in Zukunft Erstellen des Mieters globaler Administrator möchte nicht alle neuen Schlüssel Tresore Zukunft Berechtigungen erteilen, kann globale Administratoren das Gastkonto Mitglied konvertieren folgendermaßen:

    1. Verwenden Sie Azure Active Directory PowerShell-Modul:

      PS C:\ > installieren-Modul-Namen AzureADPreview

      PS C:\ > Import-Module-Name AzureADPreview
      Globale Administratoren kann Benutzer Gast Member konvertieren den folgenden Befehl ausführen:

      PS C:\ > Get-AzureADUser-Filter "Eq"Firstname Lastname"Displayname" | Set-AzureADUser - Benutzertyp Member
    2. Externe Benutzer kann nun neue Schlüssel Depots problemlos erstellen. Wenn sie wollen, können sie die Richtlinie auf die vorhandenen Schlüssel machen sich des Ersteller-Besitzers festlegen. Dazu sie Shouldrun die folgenden Befehle:

      PS C:\ > Login-AzureRMAccount

      Hinweis Der externe Benutzer ein Microsoft-Konto (MSA) ist, enthalten sie die -TenantID Parameter beim Verbinden mit Verbindung AzureAD, wie im folgenden Beispiel gezeigt. Ausführen Login-AzureRMAccountZunächst können Sie die TenantID. Kopieren Sie die TenantID aus der Ausgabe dieser Anmeldung und Azure Mieter Microsoft-Konto anmelden verwenden.

      PS C:\ > verbinden AzureAD - TenantId<TenantID></TenantID>

    3. Nach der Authentifizierung externer Benutzer lassen selbst Besitzer einer Wölbung Schlüssel sie, die sie früher und für die sie die Warnung erhalten, die im Abschnitt "Symptome" beschriebene haben durch Ausführen des folgenden Befehls erstellt:

      PS C:\ > Set-AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>-ResourceGroupName <Resource_Group>UserPrincipalName- <username>@outlook.com - PermissionsToKeys abrufen, erstellen, löschen, auflisten, aktualisieren, importieren, sichern, Wiederherstellen - PermissionsToSecrets alle</username> </Resource_Group> </Key_Vault_Name>

      Mit diesem gleichen Befehl können externe Benutzer Dienstprinzipale für Azure AD-Anwendung die erforderlichen Berechtigungen zum Zugriff auf Schlüssel und geheime Schlüssel im Tresor gewähren.

      Darüber hinaus können sie Flags wie aktivieren-EnabledForDeployment oder: -EnabledForDiskEncryption durch den folgenden Befehl ausführen:

      PS C:\ > Set-AzureRmKeyVaultAccessPolicy - VaultName <Key_Vault_Name>-ResourceGroupName <Resource_Group>-EnabledForDeployment-EnabledForDiskEncryption</Resource_Group> </Key_Vault_Name>

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 3192496 – Letzte Überarbeitung: 09/19/2016 23:01:00 – Revision: 1.0

  • kbmt KB3192496 KbMtde
Feedback