Chúng tôi tự động thực hiện quy trình tái đầu tư khóa giải mã kerberos trong 30 ngày bằng cách sử dụng mật khẩu "được mã hóa" được lưu trữ trong tệp văn bản để tạo đối tượng PSCredential cần thiết cho lệnh Powershell new-azureADSSOAuthenticationContext.
Điều này hoạt động - nhưng tôi muốn cải thiện bảo mật chung và do đó muốn loại bỏ đối tượng PSCredential cho Quản trị viên toàn cầu của Đối tượng thuê của chúng tôi trên Azure.
Tôi đã thấy rằng lệnh new-azureADSSOAuthenticationContext cũng có thể được cung cấp bằng mã thông báo truy cập (thông qua tham số -token). Mã thông báo truy cập mà tôi có thể truy xuất bằng cách sử dụng chứng chỉ được lưu trữ trong cửa hàng chứng chỉ máy an toàn hơn nhiều bằng cách sử dụng "Get-MsalToken"
Cho đến nay, tôi đã tạo một ứng dụng Azure, đã gán cho SecurityPrincipal vai trò Quản trị viên toàn cầu (trong Ứng dụng doanh nghiệp) và đã tạo chứng chỉ tự ký (được lưu trữ trong cửa hàng cá nhân của máy) và tải chứng chỉ này lên Ứng dụng Azure.
Tôi đang nhận được mã thông báo với:
$Token = Get-MsalToken -ClientId $ClientId -TenantId $TenantId -ClientCertificate $Certificate -RedirectUri "http://bla.com"
Điều này hoạt động và tôi cũng có thể sử dụng mã thông báo trong new-azureADSSOAuthenticationContext.
Nhưng khi tôi gọi Update-AzureADSSOForest -OnPremCredentials $OnpremCred, tôi gặp lỗi sau:
Khi chạy dưới Powershell 7 "mới":
Dòng |
133 | Cập nhật-AzureADSSOForest -OnPremCredentials $OnpremCred
| ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
| Không thể tải loại 'System.ServiceModel.Web.WebChannelFactory`1' từ cụm 'System.ServiceModel.Web, Version=4.0.0.0, Culture=neutral,
| PublicKeyToken=31bf3856ad364e35'.
Khi chạy dưới Powershell 5.1 "cũ":
Update-AzureADSSOForest : Tải lên thông tin tài khoản máy tính không thành công. Thông báo lỗi: Yêu cầu DesktopSsoNumOfDomains được thực hiện với Mã xác thực không hợp lệ. Giá trị:''
Tại C:\Scripts\DEV-MIHA\KerberosKeyRollover\M365_Kerberos_Key_Rollover.ps1:133 ký tự:1
Gợi ý: Tôi đã đọc khá nhiều giờ về vấn đề chung - và cho đến nay vẫn chưa tìm thấy giải pháp nào cho vấn đề này. Ngoại trừ một số tuyên bố rằng điều này hiện không thể thực hiện được.
Nhưng có lẽ ai đó ngoài kia đã làm được những gì tôi muốn đạt được
Đề nghị được chào đón. :-)