Exchange Online Anmeldung per Zertifikat: "unauthorized"

Moin da draußen!

Wir haben Exchange Online am Start und ich will per PowerShell auf bestimmten Kalendern regelmäßig Einstellungen vornehmen (Berechtigungen). Ich habe ein Script dazu, das auch einwandfrei funktioniert, wenn ich es in einer angemeldeten PS-Session ausführe.

MFA ist für alle User und Admins Pflicht. Das Script soll unbeaufsichtigt laufen. Deshalb habe ich eine App registriert, ihr die notwendigen Berechtigungen zugewiesen und ein Zertifikat hinterlegt. Ja, den Admin-Consent habe ich auch eingestellt.

Wenn ich das Script laufen lasse, wird direkt nach der Anmeldung mit dem Zertifikat die Info "unauthorisiert" geworfen und dann ist Schluss mit Script.

Was kann ich da übersehen haben?

Gruß

Jörg

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 671043

Url: https://administrator.de/forum/exchange-online-anmeldung-per-zertifikat-unauthorized-671043.html

Ausgedruckt am: 30.01.2025 um 21:01 Uhr

3 Kommentare

Neuester Kommentar

Moin.
Was für einen private Key-Type hat das Zertifikat? RSA / ED25519 / EC ? MS akzeptiert hier zur Zeit ausschließlich RSA-Keys mit anderen funktioniert der Login nicht.
Ansonsten sehen wir hier nicht viel vom Skript oder der App, denn entsprechende Rechte müssen ja in der App auch vergeben werden (Delegated oder Application Permission), je nachdem was das Skript halt machen soll...

Gruß goldcap

Du kannst ja nur RSA-Zertifikate hochladen, alles andere funktioniert nicht.

Das Script ist recht unspektakulär:

# Logging aktivieren
Start-Transcript -Path "\\fileserver\blabla\Kalenderberechtigungen-Log.txt" -Append  

# Zertifikat abrufen
if (-not (Test-Path "Cert:\CurrentUser\My")) {  
    New-PSDrive -Name Cert -PSProvider Certificate -Root CurrentUser
}
$Cert = Get-Item -Path "Cert:\CurrentUser\My\FootprintDesZertifikats"  

# Anwendungs-ID und Tenant-ID (aus Azure App-Registrierung)
$AppId = "abcd...App-ID"  
$Organization = "Entra-Domain.tld"  

# Verbindung zu Exchange Online herstellen
Import-Module ExchangeOnlineManagement

# Verbindung zu Exchange Online herstellen mit Zertifikat
Connect-ExchangeOnline -CertificateThumbprint $Cert.Thumbprint -AppId $AppId -Organization $Organization

In der PowerShell dann:

PS C:\Users\admin> Connect-ExchangeOnline -CertificateThumbprint $Cert.Thumbprint -AppId $AppId -Organization $Organization
UnAuthorized
In C:\Program Files\WindowsPowerShell\Modules\ExchangeOnlineManagement\3.7.1\netFramework\ExchangeOnlineManagement.psm1:755 Zeichen:21
+                     throw $_.Exception;
+                     ~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OperationStopped: (:) [], UnauthorizedAccessException
    + FullyQualifiedErrorId : UnAuthorized

Dann versucht das Script noch, den Rest auszuführen, aber das ist ja dann Quark.

Du kannst ja nur RSA-Zertifikate hochladen, alles andere funktioniert nicht.

Hier ging das früher mal, da hat sich dann erst die Shell beschwert, ist dann wohl inzwischen gefixt.

$Organization = "Entra-Domain.tld"
Connect-ExchangeOnline -CertificateThumbprint $Cert.Thumbprint -AppId $AppId -Organization $Organization

Ist der Inhalt von $organization auch wirklich die primäre *.onmicrosoft.com Domain, sieht mir nicht danach aus ?
https://learn.microsoft.com/de-de/powershell/module/exchange/connect-exc ...

Der Parameter Organization gibt die organization an, wenn Sie eine Verbindung mit CBA oder verwalteter Identität herstellen. Sie müssen die primäre .onmicrosoft.com-Domäne des organization für den Wert dieses Parameters verwenden.

Frage Exchange Server PowerShell

Mehr von YotYot

Exchange Online langsam oder E-Mails fehlenYotYot - 2 Kommentare

Exchange u. Defender Online Benachrichtigungseinstellungen - wo sind die hin?YotYot - 7 Kommentare

Fremdes Postfach per IMAP in Outlook.com Webansicht einbindenYotYot - 2 Kommentare

Standardsignatur unter Outlook 365YotYot - 2 Kommentare

Heiß diskutiert