Security and Compliance PowerShell a podpora autentizace certifikátem

Příznivci automatizací pro Microsoft 365 jistě ocení plánovanou změnu PowerShell modul na správu Security and Compliance centra, která umožní autentizaci pomocí certifikátu a zabrání využívání basic autentizace - Major update MC316448.

Zdroj: Microsoft

Změna může být matoucí, protože Security and Compliance Powershell je součástí Exchange Online Management modulu, který autentizaci certifikátem podporuje více než rok. Rozdíl je v příkazu Connect-IPPSSession, který se používá pro připojení ke službě samotné a který bude brzy přizpůsoben tak, aby umožnoval autentizaci certifikátem, stejně jak to vidíme u příkazu Connect-ExchangeOnline. Změna je ale velice důležitým krokem v rámci procesu ukončení podpory pro basic autentizaci:

• Basic Authentication and Exchange Online – September 2021 Update
• Changes in how customers connect to Security and Compliance Center PowerShell via basic authentication cause some confusion

Metoda ověření skrz certifikát nemusí vypadat zprvu zajímavě, ale sílu získává v kontextu aplikace a service principal objektů, se kterou může být v tenantu svázána. Téma service principal objektů je dosti důležité pro téma podmíněného přístupů a není divu, že jsme se v této oblasti nedávno dočkali dlouho očekávaného preview Conditional Access for single-tenant service principals available in preview.

Zjednodušeně změnu můžeme chápat tak, že pro bezobslužné připojení do Security a Compliance centra, již nebudeme muset používat servisní účet a namísto toho můžeme začít využit certifikát. Certifikát i přístup k jeho privátnímu klíči lze daleko lépe zabezpečit na rozdíl od jména a hesla, takže tím získáváme prostor pro daleko komplexnější formy automatizací.

Na závěr je důležité poznamenat, že změna bude aplikována v polovině příštího měsíce a pokud v prostředí takové automatizace používáte, tak nebude možný jejich provoz přes servisní účet s basic autentizací.

Postup, jakým by měla být vaše automatizace změněna:

• Step 1: Register the application in Azure AD
• Step 2: Assign API permissions to the application
• Step 3: Generate a self-signed certificate
• Step 4: Attach the certificate to the Azure AD application
• Step 5: Assign Azure AD roles to the application

Další užitečné odkazy:

• Connect to Security & Compliance PowerShell
• App-only authentication for unattended scripts in the EXO V2 module
• Certificate-based authentication for Exchange Online Remote PowerShell
• Exchange API permissions missing