M365 Changelog: (Aktualisiert) SharePoint-Administratorsteuerung für die App-Registrierung/-Aktualisierung

M365 Changelog: (Aktualisiert) SharePoint-Administratorsteuerung für die App-Registrierung/-Aktualisierung

MC660075 - (Aktualisiert) SharePoint-Administratorsteuerung für die App-Registrierung/-Aktualisierung

Nachrichtenzusammenfassung

Hierbei handelt es sich um eine Erweiterung der Sicherheitsmaßnahmen für die administrative Governance, mit der die Standardverfahren für die SharePoint-App-Registrierung über die Seite AppRegNew.aspx und Berechtigungsaktualisierungen über die Seite AppInv.aspx geändert werden. Nach der Implementierung dieser Änderung kann der Websitesammlungsadministrator keine App-Berechtigungen über die oben genannten Seiten registrieren oder App-Berechtigungen aktualisieren, es sei denn, der SharePoint-Mandantenadministrator hat dies ausdrücklich genehmigt.
Beim Versuch, eine Anwendung auf der Seite AppRegnew.aspx zu registrieren, wird eine Benachrichtigung angezeigt, die besagt, dass Ihr SharePoint-Mandantenadministrator Websitesammlungsadministratoren nicht erlaubt, einen Azure-Zugriffssteuerungsprinzipal (ACS) zu erstellen. Wenden Sie sich an Ihren SharePoint-Mandantenadministrator.
Ebenso wird beim Versuch, App-Berechtigungen auf der Seite AppInv.aspx zu aktualisieren, eine Benachrichtigung angezeigt, die besagt: "Ihr SharePoint-Mandantenadministrator erlaubt Websitesammlungsadministratoren nicht, App-Berechtigungen zu aktualisieren. Wenden Sie sich an Ihren SharePoint-Mandantenadministrator."
Bitte beachten Sie, dass die App-Registrierung und die Berechtigungsaktualisierung über das Microsoft Azure-Portal von dieser Änderung nicht betroffen sind. 

Wann dies geschehen wird

Der Rollout-Prozess soll Ende August beginnen und voraussichtlich Mitte September abgeschlossen sein. 

Wie sich dies auf Ihr Unternehmen auswirken wird

Mit diesem Update können Websitebesitzer keine Apps registrieren/aktualisieren, es sei denn, der Mandantenadministrator lässt dies ausdrücklich zu.
Um das Standardverhalten zu ändern, muss der Mandantenadministrator den folgenden Shellbefehl ausführen, um das Flag explizit als TRUE festzulegen und dadurch den Standardwert FALSE zu ersetzen. Der Dienstprinzipal kann standardmäßig nur vom Mandantenadministrator erstellt oder aktualisiert werden. Wenn das Flag jedoch auf TRUE festgelegt ist, können sowohl der SharePoint-Mandantenadministrator als auch der Websitesammlungsadministrator den Dienstprinzipal über SharePoint erstellen oder aktualisieren.
Der Shell-Befehl lautet: Set-SPOTenant -SiteOwnerManageLegacyServicePrincipalEnabled $true 

Mind. Powershell SharePoint Management Version 16.0.24 erforderlich!

Anmerkung

Die Eigenschaft "SiteOwnerManageLegacyServicePrincipalEnabled" wird in den Mandanteneinstellungen sichtbar, nachdem die SharePoint Online-Verwaltungsshell auf 16.0.23710.12000 oder eine höhere Version aktualisiert wurde. Vor diesem Rollout ist der Wert jedoch immer TRUE, auch wenn er explizit auf FALSE gesetzt ist. Er wird erst nach dem Start des Rollouts automatisch auf FALSE als Standardwert umgestellt.