Problembehandlung für ARM-Dienstverbindungen

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

In diesem Artikel werden gängige Szenarios zur Problembehandlung vorgestellt, die Ihnen helfen, Probleme zu beheben, die beim Erstellen einer Azure Resource Manager-Dienstverbindung auftreten können. Informationen zum Erstellen, Bearbeiten und Absichern von Dienstverbindungen finden Sie unter Verwalten von Dienstverbindungen.

Was passiert, wenn Sie eine ARM-Dienstverbindung erstellen?

Wenn Sie nicht über eine Dienstverbindung verfügen, können Sie wie folgt eine erstellen:

1. Wählen Sie im Projekt die Option Projekteinstellungen und dann Dienstverbindungen aus.

   

2. Wählen Sie Neue Dienstverbindung aus, um eine neue Dienstverbindung hinzuzufügen, und wählen Sie dann Azure Resource Manager aus. Klicken Sie auf Weiter, wenn Sie fertig sind.

   

3. Wählen Sie Dienstprinzipal (automatisch) und dann „Weiter“ aus.

4. Wählen Sie Abonnement und dann Ihr Abonnement aus der Dropdownliste aus. Füllen Sie das Formular aus, und wählen Sie dann Speichern aus, wenn Sie fertig sind.

   

Wenn Sie die neue ARM-Dienstverbindung speichern, wird von Azure DevOps Folgendes durchgeführt:

1. Stellt eine Verbindung mit dem Microsoft Entra-Mandanten für das ausgewählte Abonnement her
2. Erstellt eine Anwendung in Microsoft Entra ID im Auftrag des Benutzers.
3. Nachdem die Anwendung erfolgreich erstellt wurde, weisen Sie die Anwendung dem ausgewählten Abonnement als „Mitwirkender“ zu.
4. Erstellt eine Azure Resource Manager-Dienstverbindung mithilfe der Details dieser Anwendung.

Hinweis

Zum Erstellen von Dienstverbindungen müssen Sie in den Projekteinstellungen der Gruppe der Endpunktersteller hinzugefügt werden: Projekteinstellungen>Dienstverbindungen>Sicherheit. Dieser Gruppe werden standardmäßig Mitwirkende hinzugefügt.

Problembehandlungsszenarien

Im Folgenden finden Sie einige der Probleme, die beim Erstellen von Dienstverbindungen auftreten können:

• Problembehandlung für ARM-Dienstverbindungen
  • Was passiert, wenn Sie eine ARM-Dienstverbindung erstellen?
  • Problembehandlungsszenarien
    • Unzureichende Berechtigungen zum Abschließen des Vorgangs
      • Der Benutzer verfügt nur über Gastberechtigungen im Verzeichnis
      • Der Benutzer ist nicht autorisiert, Anwendungen im Verzeichnis hinzuzufügen
    • Fehler beim Abrufen eines Zugriffstokens, oder es wurde kein gültiges Aktualisierungstoken gefunden
    • Fehler beim Zuweisen der Rolle eines Mitwirkenden
    • Abonnement wird beim Erstellen einer Dienstverbindung nicht aufgeführt
    • Einige Abonnements fehlen in der Liste der Abonnements
    • Dienstprinzipaltoken abgelaufen
    • Fehler beim Abrufen des JWT mithilfe der Client-ID des Dienstprinzipals
    • Das Azure-Abonnement wird von der vorherigen Aufgabenausgabe nicht übergeben
    • Welche Authentifizierungsmechanismen werden unterstützt? Wie funktionieren verwaltete Identitäten?
  • Verwandte Artikel

Nicht genügend Berechtigungen zum Abschließen des Vorgangs.

Dies tritt in der Regel auf, wenn das System versucht, in Ihrem Namen eine Anwendung in Microsoft Entra ID zu erstellen.

Dies ist ein Berechtigungsproblem, das möglicherweise auf die folgenden Ursachen zurückzuführen ist:

• Der Benutzer verfügt nur über Gastberechtigungen im Verzeichnis
• Der Benutzer ist nicht autorisiert, Anwendungen im Verzeichnis hinzuzufügen

Der Benutzer verfügt nur über Gastberechtigungen im Verzeichnis

Der beste Ansatz, um dieses Problem zu beheben, während dem Benutzer nur die minimalen zusätzlichen Berechtigungen gewährt werden, besteht darin, die Gastbenutzerberechtigungen wie folgt zu erhöhen.

1. Melden Sie sich mit einem Administratorkonto beim Azure-Portal an. Das Konto sollte ein Besitzer, globaler Administrator oder Benutzerkontoadministrator sein.

2. Wählen Sie Microsoft Entra ID in der linken Navigationsleiste aus.

3. Achten Sie darauf, dass Sie das entsprechende Verzeichnis bearbeiten, das dem Benutzerabonnement entspricht. Wenn nicht, wählen Sie Verzeichnis wechseln aus, und melden Sie sich bei Bedarf mit den entsprechenden Anmeldeinformationen an.

4. Wählen Sie im Abschnitt Verwalten die Option Benutzer aus.

5. Wählen Sie Benutzereinstellungen aus.

6. Wählen Sie im Abschnitt Externe Benutzer die Option Einstellungen für externe Zusammenarbeit verwalten aus.

7. Ändern Sie die Option Gastbenutzerberechtigungen sind eingeschränkt in Nein.

Wenn Sie bereit sind, dem Benutzer zusätzliche Berechtigungen (Administratorebene) zu gewähren, können Sie alternativ dazu den Benutzer als Mitglied der Rolle globaler Administrator festlegen. Gehen Sie dazu wie folgt vor:

Warnung

Benutzer*innen, die der Rolle „Globaler Administrator“ zugewiesen sind, können jede administrative Einstellung in Ihrer Microsoft Entra-Organisation lesen und ändern. Als bewährte Methode wird empfohlen, diese Rolle weniger als fünf Personen in Ihrer Organisation zuzuweisen.

1. Melden Sie sich mit einem Administratorkonto beim Azure-Portal an. Das Konto sollte ein Besitzer, globaler Administrator oder Benutzerkontoadministrator sein.

2. Wählen Sie Microsoft Entra ID im linken Navigationsbereich aus.

3. Achten Sie darauf, dass Sie das entsprechende Verzeichnis bearbeiten, das dem Benutzerabonnement entspricht. Wenn nicht, wählen Sie Verzeichnis wechseln aus, und melden Sie sich bei Bedarf mit den entsprechenden Anmeldeinformationen an.

4. Wählen Sie im Abschnitt Verwalten die Option Benutzer aus.

5. Verwenden Sie das Suchfeld, um nach dem Benutzer zu suchen, den Sie verwalten möchten.

6. Wählen Sie im Abschnitt Verwalten die Option Verzeichnisrolle aus, und ändern Sie dann die Rolle in globaler Administrator. Wählen Sie Speichern aus, wenn Sie fertig sind.

In der Regel dauert es 15 bis 20 Minuten, um die Änderungen global anzuwenden. Der Benutzer kann dann versuchen, die Dienstverbindung neu zu erstellen.

Der Benutzer ist nicht autorisiert, Anwendungen im Verzeichnis hinzuzufügen

Sie müssen dazu berechtigt sein, integrierte Anwendungen im Verzeichnis hinzuzufügen. Der Verzeichnisadministrator verfügt über Berechtigungen zum Ändern dieser Einstellung.

1. Wählen Sie Microsoft Entra ID im linken Navigationsbereich aus.

2. Achten Sie darauf, dass Sie das entsprechende Verzeichnis bearbeiten, das dem Benutzerabonnement entspricht. Wenn nicht, wählen Sie Verzeichnis wechseln aus, und melden Sie sich bei Bedarf mit den entsprechenden Anmeldeinformationen an.

3. Wählen Sie Benutzer und dann Benutzereinstellungen aus.

4. Ändern Sie unter App-Registrierungen die Option Benutzer können Anwendungen registrieren in Ja.

Sie können den Dienstprinzipal auch mit einem vorhandenen Benutzer bzw. einer vorhandenen Benutzerin erstellen, der bzw. die bereits über die erforderlichen Berechtigungen in Microsoft Entra ID verfügt. Weitere Informationen finden Sie unter Erstellen einer Azure Resource Manager-Dienstverbindung mit einem vorhandenen Dienstprinzipal.

Fehler beim Abrufen eines Zugriffstokens, oder es wurde kein gültiges Aktualisierungstoken gefunden

Diese Fehler treten in der Regel auf, wenn Ihre Sitzung abgelaufen ist. Gehen Sie zum Beheben dieser Probleme wie folgt vor:

1. Melden Sie sich von Azure DevOps ab.
2. Öffnen Sie ein InPrivate- oder Inkognito-Browserfenster, und navigieren Sie zu Azure DevOps.
3. Melden Sie sich mit den entsprechenden Anmeldeinformationen an.
4. Wählen Sie Ihre Organisation und Ihr Projekt aus.
5. Erstellen Sie Ihre Dienstverbindung.

Fehler beim Zuweisen der Rolle eines Mitwirkenden

Dieser Fehler tritt in der Regel auf, wenn Sie für das ausgewählte Azure-Abonnement nicht über Schreibberechtigungen verfügen.

Bitten Sie den*die Abonnementadministrator*in, Ihnen in Microsoft Entra ID die entsprechende Rolle zuzuweisen, um dieses Problem zu beheben.

Abonnement wird beim Erstellen einer Dienstverbindung nicht aufgeführt

In den verschiedenen Dropdownmenüs für Azure-Abonnements (Abrechnung, Dienstverbindung usw.) werden maximal 50 Azure-Abonnements aufgeführt. Wenn Sie eine Dienstverbindung einrichten und über mehr als 50 Azure-Abonnements verfügen, werden einige Ihrer Abonnements nicht aufgeführt. Führen Sie in diesem Szenario die folgenden Schritte aus:

1. Erstellen Sie einen neuen, nativen Microsoft Entra-Benutzer in der Microsoft Entra-Instanz Ihres Azure-Abonnements.

2. Richten Sie den Microsoft Entra-Benutzer so ein, dass er über die richtigen Berechtigungen verfügt, um Abrechnungen einzurichten oder Dienstverbindungen zu erstellen. Weitere Informationen finden Sie unter Hinzufügen eines Benutzers, der die Abrechnung für Azure DevOps einrichten kann.

3. Fügen Sie den*die Microsoft Entra-Benutzer*in zur Azure DevOps-Organisation mit der Zugriffsebene Beteiligter hinzu, und fügen Sie ihn bzw. sie dann der Gruppe Projektsammlungsadministratoren (für die Abrechnung) hinzu, oder vergewissern Sie sich, dass der*die Benutzer*in über ausreichende Berechtigungen im Teamprojekt verfügt, um Dienstverbindungen zu erstellen.

4. Melden Sie sich bei Azure DevOps mit den neuen Anmeldeinformationen an, und richten Sie eine Abrechnung ein. In der Liste wird nur ein Azure-Abonnement angezeigt.

Einige Abonnements fehlen in der Liste der Abonnements

Dieses Problem kann behoben werden, indem Sie die Einstellungen für unterstützte Kontotypen ändern und festlegen, wer Ihre Anwendung verwenden darf. Gehen Sie dazu wie folgt vor:

1. Melden Sie sich beim Azure-Portal an.

2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie im Menü am oberen Rand den Filter Verzeichnis + Abonnement, um den Mandanten auszuwählen, für den Sie eine Anwendung registrieren möchten.

   

3. Wählen Sie Microsoft Entra ID im linken Bereich aus.

4. Wählen Sie App-Registrierungen aus.

5. Wählen Sie Ihre Anwendung aus der Liste der registrierten Anwendungen aus.

6. Wählen Sie unter Authentifizierung die Option Unterstützte Kontotypen aus.

7. Wählen Sie unter Unterstützte Kontotypen bei Who can use this application or access this API? (Wer kann diese Anwendung verwenden oder auf diese API zugreifen?) die Option Konten in einem beliebigen Organisationsverzeichnis aus.

   

8. Wählen Sie Speichern aus, wenn Sie fertig sind.

Dienstprinzipaltoken abgelaufen

Ein Problem, das häufig bei automatisch erstellten Dienstprinzipalen auftritt, besteht darin, dass das Token des Dienstprinzipals abläuft und erneuert werden muss. Wenn Sie jedoch ein Problem beim Aktualisieren des Tokens haben, finden Sie weiterführende Informationen unter Es wurde kein gültiges Aktualisierungstoken gefunden.

So erneuern Sie das Zugriffstoken für einen automatisch erstellten Dienstprinzipal

1. Wechseln Sie zu Projekteinstellungen>Dienstverbindungen, und wählen Sie dann die Dienstverbindung aus, die Sie ändern möchten.

2. Wählen Sie oben rechts die Option Bearbeiten und dann Überprüfen aus.

3. Wählen Sie Speichern.

Das Token Ihres Dienstprinzipals wurde nun um drei weitere Monate verlängert.

Hinweis

Dieser Vorgang ist auch verfügbar, wenn das Token des Dienstprinzipals nicht abgelaufen ist.

Fehler beim Abrufen des JWT mithilfe der Client-ID des Dienstprinzipals

Dieses Problem tritt auf, wenn Sie versuchen, eine Dienstverbindung mit einem abgelaufenen Geheimnis zu überprüfen.

So beheben Sie dieses Problem:

1. Wechseln Sie zu Projekteinstellungen>Dienstverbindungen, und wählen Sie dann die Dienstverbindung aus, die Sie ändern möchten.

2. Wählen Sie oben rechts Bearbeiten aus, und nehmen Sie dann Änderungen an Ihrer Dienstverbindung vor. Die einfachste und empfohlene Änderung ist das Hinzufügen einer Beschreibung.

3. Wählen Sie Speichern aus, um die Dienstverbindung zu speichern.

   Hinweis

   Wählen Sie Speichern aus. Versuchen Sie nicht, die Dienstverbindung in diesem Schritt zu überprüfen.

4. Schließen Sie das Fenster zum Bearbeiten der Dienstverbindung, und aktualisieren Sie dann die Seite „Dienstverbindungen“.

5. Wählen Sie oben rechts die Option Bearbeiten und jetzt Überprüfen aus.

6. Wählen Sie Speichern aus, um die Dienstverbindung zu speichern.

Das Azure-Abonnement wird von der vorherigen Aufgabenausgabe nicht übergeben

Wenn Sie Ihr Azure-Abonnement dynamisch für Ihre Releasepipeline festlegen und die Ausgabevariable aus einer vorherigen Aufgabe nutzen möchten, tritt möglicherweise dieses Problem auf.

Vergewissern Sie sich zur Behebung dieses Problems, dass die Werte im Variablenabschnitt Ihrer Pipeline definiert sind. Sie können diese Variable dann zwischen den Aufgaben Ihrer Pipeline übergeben.

Welche Authentifizierungsmechanismen werden unterstützt? Wie funktionieren verwaltete Identitäten?

Von einer Azure Resource Manager-Dienstverbindung kann mithilfe einer Dienstprinzipalauthentifizierung (Service Principal Authentication, SPA) oder einer Authentifizierung mit verwalteter Identität eine Verbindung mit einem Azure-Abonnement hergestellt werden. Verwaltete Identitäten für Azure-Ressourcen stellen für Azure-Dienste eine automatisch verwaltete Identität in Microsoft Entra ID bereit. Sie können diese Identität für die Authentifizierung bei jedem Dienst verwenden, der die Microsoft Entra-Authentifizierung unterstützt. Hierfür müssen Anmeldeinformationen nicht persistent im Code oder in der Dienstverbindung beibehalten werden.

Informationen zu verwalteten Identitäten für virtuelle Computer finden Sie unter Zuweisen von Rollen.

Hinweis

Verwaltete Identitäten werden in von Microsoft gehosteten Agents nicht unterstützt. In diesem Szenario müssen Sie einen selbstgehosteten Agent auf einer Azure-VM einrichten und eine verwaltete Identität für diesen virtuellen Computer konfigurieren.

Verwandte Artikel

• Problembehandlung für Pipelineausführungen
• Überprüfen von Pipelineprotokollen
• Definieren von Variablen
• Klassische Release- und Artefaktvariablen