Verwenden von Dienstprinzipalen und verwalteten Identitäten in Azure DevOps
Azure DevOps Services
Hinweis
Azure Active Directory ist jetzt Microsoft Entra ID. Weitere Informationen finden Sie unter Neuer Name für Azure AD.
Fügen Sie Microsoft Entra-Dienstprinzipale und verwaltete Identitäten als Anwendungsidentitäten in Ihre Azure DevOps Services Organisationen ein, um ihnen Zugriff auf die Ressourcen Ihrer Organisation zu gewähren. Bei vielen Teams kann dieses Feature eine praktikable und bevorzugte Alternative zu persönlichen Zugriffstoken (PATs) sein, wenn Sie Anwendungen authentifizieren, die Automatisierungsworkflows in Ihrem Unternehmen nutzen.
Informationen zu Dienstprinzipalen und verwalteten Identitäten
Dienstprinzipale sind Sicherheitsobjekte innerhalb einer Microsoft Entra-Anwendung, die definieren, was eine Anwendung in einem bestimmten Mandanten tun kann. Sie werden während des Anwendungsregistrierungsprozesses im Azure-Portal eingerichtet und für den Zugriff auf Azure-Ressourcen wie Azure DevOps konfiguriert. Durch Hinzufügen von Dienstprinzipalen zu Ihrem organization und Einrichten von Berechtigungen darauf können wir ermitteln, ob ein Dienstprinzipal für den Zugriff auf Ihre Organisationsressourcen autorisiert ist und welche.
Verwaltete Identitäten sind ein weiteres Microsoft Entra-Feature, das ähnlich wie die Dienstprinzipale einer Anwendung fungiert. Diese Objekte stellen Identitäten für Azure-Ressourcen bereit und ermöglichen eine einfache Möglichkeit für Dienste, die die Microsoft Entra-Authentifizierung unterstützen, um Anmeldeinformationen zu teilen. Sie sind eine ansprechende Option, da die Microsoft Entra-ID die Verwaltung und Drehung von Anmeldeinformationen übernimmt. Während das Setup für eine verwaltete Identität im Azure-Portal möglicherweise anders aussieht, behandelt Azure DevOps beide Sicherheitsobjekte genauso wie eine neue Anwendungsidentität in einer Organisation mit definierten Berechtigungen. Im weiteren Verlauf dieses Artikels werden verwaltete Identitäten und Dienstprinzipale austauschbar als Dienstprinzipal bezeichnet, sofern dies nicht angegeben ist.
Führen Sie die folgenden Schritte aus, um diese Identitäten bei Azure DevOps zu authentifizieren, damit sie Aktionen für sich selbst ausführen können.
Konfigurieren von verwalteten Identitäten und Dienstprinzipalen
Ihre Implementierung kann variieren, aber auf hoher Ebene helfen Ihnen die folgenden Schritte bei der Verwendung von Dienstprinzipalen in Ihrem Workflow. Betrachten Sie eines unsererBeispiel-Apps , um Schritt für Schritt folgen zu können.
1. Erstellen einer neuen verwalteten Identität oder eines Anwendungsdienstprinzipals
Erstellen Sie einen Anwendungsdienstprinzipal oder eine verwaltete Identität im Azure-Portal.
Option 1: Erstellen Sie ein Dienstprinzipal für eine Anwendung
Wenn Sie eine neue Anwendungsregistrierung erstellen, wird ein Anwendungsobjekt in der Microsoft Entra-ID erstellt. Der Anwendungsdienstprinzipal ist eine Darstellung dieses Anwendungsobjekts für einen bestimmten Mandanten. Wenn Sie eine Anwendung als mehrinstanzenfähige Anwendung registrieren, gibt es ein eindeutiges Dienstprinzipalobjekt, das das Anwendungsobjekt für jeden Mandanten darstellt, dem die Anwendung hinzugefügt wird.
Weitere Informationen:
- Anwendungs- und Dienstprinzipalobjekte in Microsoft Entra ID
- Sichern von Dienstprinzipalen
- Erstellen einer Microsoft Entra ID-Anwendung und eines Dienstprinzipals mit Ressourcenzugriff über das Portal
Option 2: Erstellen einer verwalteten Identität
Das Erstellen von verwalteten Identitäten im Azure-Portal unterscheidet sich erheblich von der Einrichtung von Anwendungen mit Dienstprinzipalen. Bevor Sie mit dem Erstellungsprozess beginnen, müssen Sie zunächst überlegen, welche Art von verwalteter Identität Sie erstellen möchten:
- Systemseitig zugewiesene verwaltete Identität: Bei einigen Azure-Diensten können Sie eine verwaltete Identität direkt in einem Dienst instance aktivieren. Wenn Sie eine systemseitig zugewiesene verwaltete Identität aktivieren, wird in Microsoft Entra ID eine Identität erstellt. Die Identität ist an den Lebenszyklus dieser Dienstinstanz gebunden. Azure löscht automatisch die Identität, wenn die Ressource gelöscht wird. Entwurfsbedingt kann nur diese Azure-Ressource diese Identität zum Anfordern von Token von Microsoft Entra ID verwenden.
- Vom Benutzer zugewiesene verwaltete Identität Sie können auch eine verwaltete Identität als eigenständige Azure-Ressource erstellen, indem Sie eine vom Benutzer zugewiesene verwaltete Identität erstellen und sie einer oder mehreren Instanzen eines Azure-Diensts zuweisen. Bei benutzerseitig zugewiesenen verwalteten Identitäten wird die Identität getrennt von den Ressourcen verwaltet, für die sie verwendet wird.
Weitere Informationen finden Sie in den folgenden Artikeln und im Video:
- Was sind verwaltete Identitäten für Azure-Ressourcen?
- Verwalten von benutzerseitig zugewiesenen verwalteten Identitäten
- Konfigurieren von verwalteten Identitäten für Azure-Ressourcen auf einem virtuellen Computer über das Azure-Portal
2. Hinzufügen eines Dienstprinzipals zu einer Azure DevOps-Organisation
Nachdem Sie die Dienstprinzipale im Microsoft Entra Admin Center konfiguriert haben, müssen Sie in Azure DevOps die gleichen Schritte ausführen, indem Sie die Dienstprinzipale zu Ihrer Organisation hinzufügen. Sie können sie über die Seite Benutzer oder mit den ServicePrincipalEntitlements-APIs hinzufügen. Da sie sich nicht interaktiv anmelden können, muss ein Benutzerkonto, das Benutzer zu einem organization, Projekt oder Team hinzufügen kann, diese hinzufügen. Solche Benutzer umfassen Projektsammlungsadministratoren (Project Collection Administrators , PCA) oder Projektadministratoren und Teamadministratoren , wenn die Richtlinie "Team- und Projektadministratoren erlauben, neue Benutzer einzuladen" aktiviert ist.
Tipp
Um dem organization einen Dienstprinzipal hinzuzufügen, geben Sie den Anzeigenamen der Anwendung oder verwalteten Identität ein. Wenn Sie einen Dienstprinzipal programmgesteuert über die ServicePrincipalEntitlements
API hinzufügen möchten, müssen Sie die Objekt-ID des Dienstprinzipals und nicht die Objekt-ID der Anwendung übergeben.
Wenn Sie ein PCA sind, können Sie auch einem Dienstprinzipal Zugriff auf bestimmte Projekte gewähren und eine Lizenz zuweisen. Wenn Sie kein PCA sind, müssen Sie sich an das PCA wenden, um alle Projektmitgliedschaften oder Lizenzzugriffsebenen zu aktualisieren.
Hinweis
Sie können nur eine verwaltete Identität oder einen Dienstprinzipal für den Mandanten hinzufügen, mit dem Ihre Organisation verbunden ist. Dienstprinzipale können mandantenfähig gemacht werden, um auf mehrere Mandanten gleichzeitig zuzugreifen. Verwaltete Identitäten können nur zu einem einzigen Mandanten gehören. Informationen zum Zugriff auf eine verwaltete Identität in einem anderen Mandanten finden Sie in der Problemumgehung in den häufig gestellten Fragen.
3. Festlegen von Berechtigungen für einen Dienstprinzipal
Nachdem Ihre Dienstprinzipale dem organization hinzugefügt wurden, können Sie sie ähnlich wie Standardbenutzerkonten behandeln. Sie können Berechtigungen direkt für einen Dienstprinzipal zuweisen, sie Sicherheitsgruppen und Teams hinzufügen, sie einer beliebigen Zugriffsebene zuweisen und sie aus dem organization entfernen. Sie können auch verwenden, Service Principal Graph APIs
um CRUD-Vorgänge für Dienstprinzipale auszuführen.
Das Festlegen dieser Berechtigungen kann sich unterscheiden von der Art und Weise, wie Sie üblicherweise Berechtigungen in einer Microsoft Entra-Anwendung für andere Azure-Ressourcen einrichten. Azure DevOps basiert nicht auf dem Setup "Anwendungsberechtigungen", das für Anwendungsregistrierungen über die Azure-Portal verfügbar ist. Diese Anwendungsberechtigungen gelten für einen Dienstprinzipal über alle mit einem Mandanten verbundenen Organisationen hinweg und haben keine Kenntnis von den in Azure DevOps verfügbaren Organisations-, Projekt- oder Objektberechtigungen. Um Dienstprinzipalen granularere Berechtigungen anzubieten, verwenden wir unser eigenes Berechtigungsmodell anstelle des Entra-ID-Modells
4. Verwalten eines Dienstprinzipals
Die Verwaltung von Dienstprinzipalen unterscheidet sich von Benutzerkonten in den folgenden wichtigen Weisen:
- Dienstprinzipale verfügen nicht über E-Mails und können daher nicht per E-Mail zu einem organization eingeladen werden.
- Gruppenregeln für die Lizenzierung gelten derzeit nicht für Dienstprinzipale. Wenn Sie einem Dienstprinzipal eine Zugriffsebene zuweisen möchten, empfiehlt es sich, dies direkt zu tun.
- Dienstprinzipale können Microsoft Entra-Gruppen (im Azure-Portal) hinzugefügt werden. Aktuell gibt es eine technische Einschränkung, die verhindert, dass wir sie in einer Liste von Microsoft Entra Gruppenmitgliedern anzeigen können. Diese Einschränkung gilt nicht für Azure DevOps-Gruppen. Das heißt, ein Dienstprinzipal erbt weiterhin alle Gruppenberechtigungen, die auf einer Microsoft Entra-Gruppe festgelegt sind, zu der sie gehören.
- Benutzer in einer Microsoft Entra-Gruppe werden nicht sofort Teil einer Azure DevOps-Organisation, nur weil ein Admin eine Gruppe erstellt und ihr eine Microsoft Entra-Gruppe hinzufügt. Wir haben einen Prozess namens "Materialisierung", der geschieht, sobald sich ein Benutzer aus einer Microsoft Entra-Gruppe zum ersten Mal bei der Organisation anmeldet. Ein Benutzer, der sich bei einem organization anmeldet, ermöglicht es uns, zu bestimmen, welchen Benutzern eine Lizenz gewährt werden soll. Da die Anmeldung für Dienstprinzipale nicht möglich ist, muss ein Administrator sie explizit einer organization hinzufügen, wie zuvor beschrieben.
- Sie können den Anzeigenamen oder Avatar eines Dienstprinzipals in Azure DevOps nicht ändern.
- Dienstprinzipale erhalten Lizenzen in jeder Organisation , zu der sie hinzugefügt werden, auch wenn die Abrechnung für mehrere Organisationen ausgewählt ist.
5. Holen Sie sich ein Microsoft Entra-ID-Token
(a) Erwerben Sie ein Microsoft Entra-ID-Token programmgesteuert
Das Abrufen eines Zugriffstokens für eine verwaltete Identität kann mithilfe der Microsoft Entra ID-Dokumentation erfolgen. Sehen Sie sich die Beispiele für Dienstprinzipale und verwaltete Identitäten an.
Das zurückgegebene Zugriffstoken ist ein JSON-Web-Token (JWT) mit den definierten Rollen, das verwendet werden kann, um mit dem Token als Bearer auf Organisationsressourcen zuzugreifen.
(b) Erwerben Sie ein Microsoft Entra-ID-Token mit der Azure CLI.
Für Ad-hoc-Operationen kann es einfacher sein, ein einmaliges Microsoft Entra-ID-Token über die Azure CLI zu beziehen. Dieser Ansatz eignet sich insbesondere für Vorgänge, für die kein persistentes Token regelmäßig rotiert werden muss, wie API-Aufrufe oder Git-Klone.
Voraussetzungen
- Azure Mandant-ID und Abonnement-ID: Stellen Sie sicher, dass das Abonnement mit dem Mandanten verbunden ist, der mit der Azure DevOps-Organisation verbunden ist, auf die Sie zugreifen möchten. Wenn Sie die ID Ihres Mandanten oder Abonnements nicht kennen, finden Sie sie im Azure-Portal.
- Azure App-Client-ID und Client-Secret
- Azure CLI
Diese Anweisungen werden von der Databricks-Dokumentation bereitgestellt, und weitere Details finden Sie auf deren Seite.
- Melden Sie sich mit dem Befehl als Dienstprinzipal in der Azure CLI
az devops login
an. - Folgen Sie den Anweisungen auf der Seite und schließen Sie die Anmeldung ab.
# To authenticate a service principal with a password or cert:
az login --service-principal -u <app-id> -p <password-or-cert> --tenant <tenant>
# To authenticate a managed identity:
az login --identity
- Legen Sie das richtige Abonnement für den angemeldeten Dienstprinzipal fest, indem Sie den Befehl eingeben:
az account set -s <subscription-id>
- Generieren Sie ein Microsoft Entra-ID-Zugriffstoken
az account get-access-token
mit der Azure DevOps-Ressourcen-ID:499b84ac-1321-427f-aa17-267ca6975798
.
$accessToken = az account get-access-token --resource 499b84ac-1321-427f-aa17-267ca6975798 --query "accessToken" --output tsv
- Jetzt können Sie Befehle wie gewohnt verwenden
az cli
. Versuchen wir, eine Azure DevOps-API aufzurufen, indem wir sie im Header als TokenBearer
übergeben:
$apiVersion = "7.1-preview.1"
$uri = "https://dev.azure.com/${yourOrgname}/_apis/projects?api-version=${apiVersion}"
$headers = @{
Accept = "application/json"
Authorization = "Bearer $accessToken"
}
Invoke-RestMethod -Uri $uri -Headers $headers -Method Get | Select-Object -ExpandProperty value ` | Select-Object id, name
Hinweis
Verwenden Sie zum Generieren von Token die Azure DevOps-Anwendungs-ID, nicht unsere Ressourcen-URI.
6. Verwenden Sie das Microsoft Entra ID-Token zur Authentifizierung bei Azure DevOps-Ressourcen.
Im folgenden Videobeispiel wechseln wir von der Authentifizierung mit einem PAT zur Verwendung eines Tokens aus einem Dienstprinzipal. Wir beginnen mit der Verwendung eines geheimen Clientschlüssels für die Authentifizierung und wechseln dann zu einem Clientzertifikat.
Ein weiteres Beispiel zeigt, wie Sie eine Verbindung mit Azure DevOps mithilfe einer benutzerseitig zugewiesenen verwalteten Identität innerhalb einer Azure-Funktion herstellen.
Folgen Sie diesen Beispielen, indem Sie den App-Code in unserer Sammlung von Beispiel-Apps suchen.
Einige häufige Szenarien für die Authentifizierung mit Dienstprinzipalen neben der Erstellung von Azure DevOps REST-API-Aufrufen finden Sie in den folgenden Dokumenten:
- Verbinden Sie Ihren Dienstprinzipal mit einem NuGet-Feed mithilfe von Nuget.exe oder dotnet.
- Veröffentlichen Sie Erweiterungen im Visual Studio Marketplace über die Befehlszeile mit Ihrem Dienstprinzipal.
- Erstellen Sie geheimnisfreie Dienstverbindungen in Azure Pipelines ,die von Dienstprinzipalen oder verwalteten Identitäten unterstützt werden.
- Klonen Sie Repositories mit einem Dienstprinzipal und dem Git Credential Manager
Wie unterscheiden sich Dienstprinzipale von Benutzern?
- Sie können den Anzeigenamen oder Avatar eines Dienstprinzipals in Azure DevOps nicht ändern.
- Ein Dienstprinzipal zählt als Lizenz für jede Organisation, zu der er hinzugefügt wird, auch wenn die Abrechnung mit mehreren Organisationen ausgewählt ist.
- Dienstprinzipale können nicht Organisationsbesitzer oder Organisationen erstellen.
- Dienstprinzipale können keine Token erstellen, z. B . persönliche Zugriffstoken (PATs) oder SSH-Schlüssel. Sie können ihre eigenen Microsoft Entra-ID-Token generieren, und diese Token können verwendet werden, um Azure DevOps REST-APIs aufzurufen.
- Azure DevOps OAuth wird nicht für Dienstprinzipale unterstützt.
Häufig gestellte Fragen
Allgemein
F: Warum sollte ich anstelle eines PAT einen Dienstprinzipal oder eine verwaltete Identität verwenden?
A: Viele unserer Kunden suchen nach einem Dienstprinzipal oder einer verwalteten Identität, um ein vorhandenes PAT (persönliches Zugriffstoken) zu ersetzen. Solche PATs gehören häufig zu einem Dienstkonto (shared team account), das sie zum Authentifizieren einer Anwendung mit Azure DevOps-Ressourcen verwendet. PATs müssen immer wieder mühsam rotiert werden (mindestens 180 Tage). Unsachgemäß gespeicherte PATs können in die falschen Hände geraten und während ihrer oft längeren Lebensdauer missbraucht werden. Microsoft Entra-Tokens verfallen stündlich, was im Falle eines Lecks den Gesamtrisikofaktor begrenzt. Für gängige PAT-Szenarien teilen wir einige Beispiele, wie Sie stattdessen ein Microsoft Entra-Token verwenden könnten.
Sie können keinen Dienstprinzipal verwenden, um ein persönliches Zugriffstoken zu erstellen.
F: Welche Ratenlimits gelten für Dienstprinzipale und verwaltete Identitäten?
A: Dienstprinzipale und verwaltete Identitäten haben dieselben Rechte ate limits wie Benutzer.
F: Kostet die Verwendung dieses Features mehr?
A: Dienstprinzipale und verwaltete Identitäten werden basierend auf der Zugriffsebene ähnlich berechnet wie Benutzer. Eine wichtige Änderung betrifft die Behandlung der "multi-organisationsübergreifenden Abrechnung" für Dienstprinzipale. Benutzer werden als nur eine Lizenz gezählt, unabhängig davon, in wie vielen Organisationen sie sich gerade befindet. Dienstprinzipale werden pro organization Benutzer als eine Lizenz gezählt. Dieses Szenario ähnelt der standardmäßigen "Benutzerzuweisungsbasierte Abrechnung".
F: Kann ich meiner organization eine verwaltete Identität aus einem anderen Mandanten hinzufügen?
A: Sie können nur eine verwaltete Identität aus demselben Mandanten hinzufügen, mit dem Ihr organization verbunden ist. Wir haben jedoch eine Problemumgehung, mit der Sie eine verwaltete Identität im "Ressourcenmandanten" einrichten können, wobei alle Ihre Ressourcen vorhanden sind. Anschließend können Sie es aktivieren, um es von einem Dienstprinzipal im "Zielmandanten" zu verwenden, in dem Ihre Organisation verbunden ist. Führen Sie die folgenden Schritte als Problemumgehung aus:
- Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität in Azure-Portal für Ihren Ressourcenmandanten.
- Stellen Sie eine Verbindung mit einem virtuellen Computer her, und weisen Sie ihm diese verwaltete Identität zu.
- Erstellen Sie einen Schlüsseltresor , und generieren Sie ein Zertifikat (darf nicht vom Typ "PEM") sein. Wenn Sie dieses Zertifikat generieren, wird auch ein Geheimnis mit demselben Namen generiert, das wir später verwenden.
- Gewähren Sie Zugriff auf die verwaltete Identität, damit sie den privaten Schlüssel aus dem Schlüsseltresor lesen kann. Erstellen Sie eine Zugriffsrichtlinie im Schlüsseltresor mit den Berechtigungen "Abrufen/Liste" (unter "Geheime Berechtigungen" und suchen Sie unter "Prinzipal auswählen" nach der verwalteten Identität.
- Laden Sie das erstellte Zertifikat im CER-Format herunter, um sicherzustellen, dass es nicht den privaten Teil Ihres Zertifikats enthält.
- Erstellen Sie eine neue Anwendungsregistrierung im Zielmandanten.
- Laden Sie das heruntergeladene Zertifikat auf diese neue Anwendung auf der Registerkarte "Zertifikate und geheime Schlüssel" hoch.
- Fügen Sie den Dienstprinzipal dieser Anwendung zur Azure DevOps-Organisation hinzu, auf die sie zugreifen soll, und denken Sie daran, den Dienstprinzipal mit allen erforderlichen Berechtigungen einzurichten.
- Erhalten Sie ein Microsoft Entra-Zugriffstoken von diesem Dienstprinzipal, der das verwaltete Identitätszertifikat mit diesem Codebeispiel verwendet:
Hinweis
Drehen Sie Ihre Zertifikate immer regelmäßig.
public static async Task<string> GetSecret(string keyVaultName, string secretName)
{
var keyVaultUri = new Uri("https://" + keyVaultName + ".vault.azure.net");
var client = new SecretClient(keyVaultUri, new ManagedIdentityCredential());
var keyVaultSecret = await client.GetSecretAsync(secretName);
var secret = keyVaultSecret.Value;
return secret.Value;
}
private static async Task<AuthenticationResult> GetAppRegistrationAADAccessToken(string applicationClientID, string appTenantId)
{
IConfidentialClientApplication app;
byte[] privateKeyBytes = Convert.FromBase64String(GetSecret(keyVaultName, secretName));
X509Certificate2 certificateWithPrivateKey = new X509Certificate2(privateKeyBytes, (string)null, X509KeyStorageFlags.MachineKeySet);
app = ConfidentialClientApplicationBuilder.Create(applicationClientID)
.WithCertificate(certificateWithPrivateKey)
.WithAuthority(new Uri(string.Format(CultureInfo.InvariantCulture, "https://login.microsoftonline.com/{0}", appTenantId)))
.Build();
app.AddInMemoryTokenCache();
string AdoAppClientID = "499b84ac-1321-427f-aa17-267ca6975798/.default";
string[] scopes = new string[] { AdoAppClientID };
var result = await app.AcquireTokenForClient(scopes).ExecuteAsync();
return result;
}
Potenzielle Fehler
Das Git-Repository mit dem Namen oder der Kennung "{repoName
}" existiert nicht oder Sie haben keine Berechtigung für den Vorgang, den Sie versuchen.
Stellen Sie sicher, dass der Dienstprinzipal mindestens über eine "Basic"-Lizenzverfügt, um auf Repositorys zuzugreifen. Eine "Stakeholder"-Lizenz ist nicht ausreichend.
Fehler beim Erstellen eines Dienstprinzipals mit der Objekt-ID "{provided objectId
}"
Es gibt keinen Dienstprinzipal mit dem provided objectId
im Mandanten, der mit Ihrem organization verbunden ist. Ein häufiger Grund ist, dass Sie die Objekt-ID der App-Registrierung anstelle der Objekt-ID des Dienstprinzipals übergeben. Denken Sie daran, dass ein Dienstprinzipal ein Objekt ist, das die Anwendung für einen bestimmten Mandanten darstellt, nicht die Anwendung selbst.
finden service principal object ID
Sie auf der Seite "Unternehmensanwendungen" Ihres Mandanten. Suchen Sie nach dem Namen der Anwendung, und wählen Sie das zurückgegebene Ergebnis "Unternehmensanwendung" aus. Dieses Ergebnis ist die Seite der Dienstprinzipal-/Unternehmensanwendung, und Sie können die Objekt-ID auf dieser Seite verwenden, um einen Dienstprinzipal in Azure DevOps zu erstellen.
Zugriff verweigert: {ID of the caller identity
} benötigt die folgenden Berechtigungen für die Ressource Benutzer, um diese Aktion durchzuführen: Benutzer hinzufügen
Dieser Fehler kann auf einen der folgenden Gründe zurückzuführen sein:
- Sie sind nicht der Besitzer des organization, Projektsammlungsadministrator oder Projekt- oder Teamadministrator.
- Sie sind Projekt- oder Teamadministrator, aber die Richtlinie "Team- und Projektadministratoren das Einladen neuer Benutzer erlauben" ist deaktiviert.
- Sie sind Projekt- oder Teamadministrator, der neue Benutzer einladen kann, aber Sie versuchen, eine Lizenz zuzuweisen, wenn Sie einen neuen Benutzer einladen. Projekt- oder Teamadministratoren dürfen neuen Benutzern keine Lizenz zuweisen. Jeder neue eingeladene Benutzer wird auf der Standardzugriffsebene für neue Benutzer hinzugefügt. Wenden Sie sich an eine PCA, um die Lizenzzugriffsebene zu ändern.
Azure DevOps Graph List API gibt eine leere Liste zurück, obwohl wir wissen, dass es Serviceprinzipale in der Organisation gibt
Die Azure DevOps Graph-Listen-API gibt möglicherweise eine leere Liste zurück, auch wenn es noch mehr Seiten von Benutzern gibt, die zurückgegeben werden sollen. Verwenden Sie , continuationToken
um die Listen zu durchlaufen, und Sie können schließlich eine Seite finden, auf der die Dienstprinzipale zurückgegeben werden. Wenn ein continuationToken
zurückgegeben wird, bedeutet dies, dass mehr Ergebnisse über die API verfügbar sind. Obwohl wir planen, diese Logik zu verbessern, ist es derzeit möglich, dass die ersten X-Ergebnisse leer zurückgegeben werden.
TF401444: Melden Sie sich mindestens einmal als {tenantId
'tenantId\
servicePrincipalObjectId'} in einem Webbrowser an, um den Zugriff auf den Dienst zu ermöglichen.
Wenn der Dienstprinzipal nicht zur Organisation eingeladen wurde, tritt möglicherweise der folgende Fehler auf. Stellen Sie sicher, dass der Dienstprinzipal der entsprechenden Organisation hinzugefügt wird und über alle Berechtigungen verfügt, die für den Zugriff auf erforderliche Ressourcen erforderlich sind.