Häufig gestellte Fragen und bekannte Probleme mit verwalteten Identitäten für Azure-RessourcenFAQs and known issues with managed identities for Azure resources

Verwaltete Identitäten für Azure-Ressourcen ist eine Funktion von Azure Active Directory.Managed identities for Azure resources is a feature of Azure Active Directory. Für alle Azure-Dienste, die verwaltete Identitäten unterstützen, gilt ein eigener Zeitplan.Each of the Azure services that support managed identities for Azure resources are subject to their own timeline. Sehen Sie sich den Verfügbarkeitsstatus der verwalteten Identitäten für Ihre Ressource und die bekannten Probleme an, bevor Sie beginnen.Make sure you review the availability status of managed identities for your resource and known issues before you begin.

Häufig gestellte Fragen (FAQs)Frequently Asked Questions (FAQs)

Hinweis

„Verwaltete Identitäten für Azure-Ressourcen“ ist der neue Name für den Dienst, der früher als „Verwaltete Dienstidentität“ (Managed Service Identity, MSI) bezeichnet wurde.Managed identities for Azure resources is the new name for the service formerly known as Managed Service Identity (MSI).

Können verwaltete Identitäten für Azure-Ressourcen mit Azure Cloud Services verwendet werden?Does managed identities for Azure resources work with Azure Cloud Services?

Nein. Es gibt bisher keine Pläne zur Unterstützung von verwalteten Identitäten für Azure-Ressourcen in Azure Cloud Services.No, there are no plans to support managed identities for Azure resources in Azure Cloud Services.

Funktionieren verwaltete Identitäten für Azure-Ressourcen mit ADAL (Active Directory Authentication Library) oder MSAL (Microsoft Authentication Library)?Does managed identities for Azure resources work with the Active Directory Authentication Library (ADAL) or the Microsoft Authentication Library (MSAL)?

Nein. Verwaltete Identitäten für Azure-Ressourcen sind noch nicht in ADAL oder MSAL integriert.No, managed identities for Azure resources is not yet integrated with ADAL or MSAL. Ausführliche Informationen zum Anfordern eines Tokens für verwaltete Identitäten für Azure-Ressourcen mithilfe des REST-Endpunkts finden Sie unter Verwenden verwalteter Identitäten für Azure-Ressourcen auf einem virtuellen Azure-Computer zum Abrufen eines Zugriffstokens.For details on acquiring a token for managed identities for Azure resources using the REST endpoint, see How to use managed identities for Azure resources on an Azure VM to acquire an access token.

Welche Sicherheitsgrenze gilt für verwaltete Identitäten für Azure-Ressourcen?What is the security boundary of managed identities for Azure resources?

Bei der Sicherheitsgrenze der Identität handelt es sich um die Ressource, an die sie angefügt ist.The security boundary of the identity is the resource to which it is attached to. Beispielsweise ist die Sicherheitsgrenze für einen virtuellen Computer, für den verwaltete Identitäten für Azure-Ressourcen aktiviert sind, dieser virtuelle Computer.For example, the security boundary for a Virtual Machine with managed identities for Azure resources enabled, is the Virtual Machine. Jeglicher Code, der auf diesem virtuellen Computer ausgeführt wird, kann den Endpunkt für die verwalteten Identitäten für Azure-Ressourcen aufrufen und Token anfordern.Any code running on that VM, is able to call the managed identities for Azure resources endpoint and request tokens. Ähnlich verhält es sich mit anderen Ressourcen, die verwaltete Identitäten für Azure-Ressourcen unterstützen.It is the similar experience with other resources that support managed identities for Azure resources.

Wie lautet die Identität, die IMDS standardmäßig verwendet, wenn die Identität nicht in der Anforderung angegeben ist?What identity will IMDS default to if don't specify the identity in the request?

  • Wenn die vom System zugewiesene verwaltete Identität aktiviert und keine Identität in der Anforderung angegeben ist, verwendet IMDS standardmäßig die vom System zugewiesene verwaltete Identität.If system assigned managed identity is enabled and no identity is specified in the request, IMDS will default to the system assigned managed identity.
  • Wenn die vom System zugewiesene verwaltete Identität nicht aktiviert und nur eine vom Benutzer zugewiesene verwaltete Identität vorhanden ist, verwendet IMDS standardmäßig diese einzige vom Benutzer zugewiesene verwaltete Identität.If system assigned managed identity is not enabled, and only one user assigned managed identity exists, IMDS will default to that single user assigned managed identity.
  • Wenn die vom System zugewiesene verwaltete Identität nicht aktiviert ist und mehrere vom Benutzer zugewiesene verwaltete Identitäten vorhanden sind, muss in der Anforderung eine verwaltete Identität angegeben werden.If system assigned managed identity is not enabled, and multiple user assigned managed identities exist, then specifying a managed identity in the request is required.

Sollte ich den IMDS-Endpunkt der verwalteten Identitäten für Azure-Ressourcen oder den Endpunkt der VM-Erweiterung verwenden?Should I use the managed identities for Azure resources IMDS endpoint or the VM extension endpoint?

Bei Verwendung verwalteter Identitäten für Azure-Ressourcen mit virtuellen Computern wird empfohlen, den IMDS-Endpunkt zu verwenden.When using managed identities for Azure resources with VMs, we recommend using the IMDS endpoint. Der Azure Instance Metadata Service ist ein REST-Endpunkt, der für alle virtuellen IaaS-Computer verfügbar ist, die mit Azure Resource Manager erstellt wurden.The Azure Instance Metadata Service is a REST Endpoint accessible to all IaaS VMs created via the Azure Resource Manager.

Zu den Vorteilen der Verwendung von verwalteten Identitäten für Azure-Ressourcen über IMDS gehören:Some of the benefits of using managed identities for Azure resources over IMDS are:

  • Alle für Azure IaaS unterstützten Betriebssysteme können verwaltete Identitäten für Azure-Ressourcen über IMDS verwenden.All Azure IaaS supported operating systems can use managed identities for Azure resources over IMDS.
  • Es ist nicht mehr erforderlich, eine Erweiterung auf Ihrem virtuellen Computer zu installieren, um verwaltete Identitäten für Azure-Ressourcen zu aktivieren.No longer need to install an extension on your VM to enable managed identities for Azure resources.
  • Die von verwalteten Identitäten für Azure-Ressourcen verwendeten Zertifikate sind nicht mehr auf dem virtuellen Computer vorhanden.The certificates used by managed identities for Azure resources are no longer present in the VM.
  • Der Endpunkt ist eine bekannte, nicht routingfähige IP-Adresse, auf die nur innerhalb des virtuellen Computers zugegriffen werden kann.The IMDS endpoint is a well-known non-routable IP address, only available from within the VM.
  • Einem einzelnen virtuellen Computer können 1.000 benutzerseitig zugewiesene verwaltete Identitäten zugewiesen werden.1000 user-assigned managed identities can be assigned to a single VM.

Die verwalteten Identitäten für die VM-Erweiterung von Azure-Ressourcen sind weiterhin verfügbar, wir entwickeln dafür jedoch keine neuen Funktionen mehr.The managed identities for Azure resources VM extension is still available; however, we are no longer developing new functionality on it. Es wird empfohlen, auf die Verwendung des IMDS-Endpunkts umzusteigen.We recommend switching to use the IMDS endpoint.

Einige der Einschränkungen bei der Verwendung des Endpunkts für die VM-Erweiterung:Some of the limitations of using the VM extension endpoint are:

  • Eingeschränkte Unterstützung für Linux-Distributionen: CoreOS Stable, CentOS 7.1, Red Hat 7.2, Ubuntu 15.04, Ubuntu 16.04Limited support for Linux distributions: CoreOS Stable, CentOS 7.1, Red Hat 7.2, Ubuntu 15.04, Ubuntu 16.04
  • Dem virtuellen Computer können nur 32 verwaltete Identitäten benutzerseitig zugewiesen werden.Only 32 user-assigned managed identities can be assigned to the VM.

Hinweis: Der Support für verwaltete Identitäten für die VM-Erweiterung von Azure-Ressourcen endet im Januar 2019.Note: The managed identities for Azure resources VM extension will be out of support in January 2019.

Weitere Informationen zum Azure Instance Metadata Service finden Sie in der IMDS-DokumentationFor more information on Azure Instance Metadata Service, see IMDS documentation

Werden verwaltete Identitäten automatisch neu erstellt, wenn ich ein Abonnement in ein anderes Verzeichnis verschiebe?Will managed identities be recreated automatically if I move a subscription to another directory?

Nein.No. Wenn Sie ein Abonnement in ein anderes Verzeichnis verschieben, müssen Sie die Identitäten manuell neu erstellen und erneut Rollenzuweisungen in der rollenbasierten Zugriffssteuerung von Azure erteilen.If you move a subscription to another directory, you will have to manually re-create them and grant Azure RBAC role assignments again.

  • Für vom System zugewiesene verwaltete Identitäten: Deaktivieren Sie die Identitäten, und aktivieren Sie sie erneut.For system assigned managed identities: disable and re-enable.
  • Für vom Benutzer zugewiesene verwaltete Identitäten: Löschen Sie die Identitäten, erstellen Sie sie neu, und fügen Sie sie erneut an die erforderlichen Ressourcen an (z. B. VMs).For user assigned managed identities: delete, re-create and attach them again to the necessary resources (e.g. virtual machines)

Kann ich eine verwaltete Identität verwenden, um auf eine Ressource in einem anderen Verzeichnis/Mandanten zuzugreifen?Can I use a managed identity to access a resource in a different directory/tenant?

Nein.No. Verwaltete Identitäten unterstützen derzeit keine verzeichnisübergreifenden Szenarien.Managed identities do not currently support cross-directory scenarios.

Welche Azure RBAC-Berechtigungen sind für eine verwaltete Identität auf einer Ressource erforderlich?What Azure RBAC permissions are required to managed identity on a resource?

  • Systemseitig zugewiesene verwaltete Identität: Sie benötigen Schreibberechtigungen für die Ressource.System-assigned managed identity: You need write permissions over the resource. Für virtuelle Computer benötigen Sie z.B. „Microsoft.Compute/virtualMachines/write“.For exampl, for virtual machines you need Microsoft.Compute/virtualMachines/write. Diese Aktion ist in ressourcenspezifischen integrierten Rollen wie Mitwirkender von virtuellen Computern enthalten.This action is included in resource specific built-in roles like Virtual Machine Contributor.
  • Benutzerseitig zugewiesene verwaltete Identität: Sie benötigen Schreibberechtigungen für die Ressource.User-assigned managed identity: You need write permissions over the resource. Für virtuelle Computer benötigen Sie z.B. „Microsoft.Compute/virtualMachines/write“.For example, for virtual machines you need Microsoft.Compute/virtualMachines/write. Zusätzlich zu der Rollenzuweisung Operator für verwaltete Identität für die verwaltete Identität.In addition to Managed Identity Operator role assignment over the managed identity.

Wie wird die Erweiterung für verwaltete Identitäten für Azure-Ressourcen neu gestartet?How do you restart the managed identities for Azure resources extension?

Unter Windows und bestimmten Versionen von Linux kann das folgende Cmdlet verwendet werden, um die Erweiterung manuell neu zu starten, wenn sie beendet wurde:On Windows and certain versions of Linux, if the extension stops, the following cmdlet may be used to manually restart it:

Set-AzVMExtension -Name <extension name>  -Type <extension Type>  -Location <location> -Publisher Microsoft.ManagedIdentity -VMName <vm name> -ResourceGroupName <resource group name> -ForceRerun <Any string different from any last value used>

Hinweis:Where:

  • Erweiterungsname und -typ für Windows: ManagedIdentityExtensionForWindowsExtension name and type for Windows is: ManagedIdentityExtensionForWindows
  • Erweiterungsname und -typ für Linux: ManagedIdentityExtensionForLinuxExtension name and type for Linux is: ManagedIdentityExtensionForLinux

Bekannte ProblemeKnown issues

Beim Feature „Automatisierungsskript“ tritt ein Fehler auf, wenn versucht wird, einen Schemaexport für die Erweiterung für verwaltete Identitäten für Azure-Ressourcen durchzuführen."Automation script" fails when attempting schema export for managed identities for Azure resources extension

Wenn verwaltete Identitäten für Azure-Ressourcen auf einem virtuellen Computer aktiviert sind, wird der folgende Fehler bei dem Versuch angezeigt, das Feature „Automatisierungsskript“ für den virtuellen Computer oder seine Ressourcengruppe zu verwenden:When managed identities for Azure resources is enabled on a VM, the following error is shown when attempting to use the “Automation script” feature for the VM, or its resource group:

Exportfehler beim Automatisierungsskript für verwaltete Identitäten für Azure-Ressourcen

Das Schema der VM-Erweiterung für verwaltete Identitäten für Azure-Ressourcen (die Einstellung ist für Januar 2019 vorgesehen) kann derzeit nicht in eine Ressourcengruppenvorlage exportiert werden.The managed identities for Azure resources VM extension (planned for deprecation in January 2019) does not currently support the ability to export its schema to a resource group template. Die generierte Vorlage weist daher keine Konfigurationsparameter auf, mit denen die verwalteten Identitäten Azure-Ressourcen in der Ressource aktiviert werden können.As a result, the generated template does not show configuration parameters to enable managed identities for Azure resources on the resource. Diese Abschnitte können anhand der Beispiele in Konfigurieren von verwalteten Identitäten für Azure-Ressourcen auf einem virtuellen Azure-Computer mithilfe einer Vorlage manuell hinzugefügt werden.These sections can be added manually by following the examples in Configure managed identities for Azure resources on an Azure VM using a templates.

Wenn die Schemaexportfunktion für die VM-Erweiterung für verwaltete Identitäten für Azure-Ressourcen (die Einstellung ist für Januar 2019 vorgesehen) verfügbar ist, wird sie in Exportieren von Ressourcengruppen, die VM-Erweiterungen enthalten aufgelistet.When the schema export functionality becomes available for the managed identities for Azure resources VM extension (planned for deprecation in January 2019), it will be listed in Exporting Resource Groups that contain VM extensions.

Der virtuelle Computer kann nicht gestartet werden, nachdem er aus der Ressourcengruppe oder dem Abonnement verschoben wurdeVM fails to start after being moved from resource group or subscription

Wenn Sie einen virtuellen Computer verschieben, der sich im Ausführungsstatus befindet, wird er während des Verschiebevorgangs weiterhin ausgeführt.If you move a VM in the running state, it continues to run during the move. Wenn der virtuelle Computer nach dem Verschieben allerdings beendet und neu gestartet wird, schlägt der Start fehl.However, after the move, if the VM is stopped and restarted, it will fail to start. Die Ursache dieses Problems besteht darin, dass der virtuelle Computer den Verweis auf die verwalteten Identitäten für Azure-Ressourcen nicht aktualisiert und weiterhin auf die alte Ressourcengruppe verweist.This issue happens because the VM is not updating the reference to the managed identities for Azure resources identity and continues to point to it in the old resource group.

ProblemumgehungWorkaround

Lösen Sie ein Update auf dem virtuellen Computer aus, damit die richtigen Werte für die verwalteten Identitäten für Azure-Ressourcen abgerufen werden können.Trigger an update on the VM so it can get correct values for the managed identities for Azure resources. Sie können eine VM-Eigenschaftsänderung vornehmen, um den Verweis auf die verwalteten Identitäten für Azure-Ressourcen zu aktualisieren.You can do a VM property change to update the reference to the managed identities for Azure resources identity. Beispielsweise können Sie mit dem folgenden Befehl einen neuen Tagwert auf dem virtuellen Computer festlegen:For example, you can set a new tag value on the VM with the following command:

 az  vm update -n <VM Name> -g <Resource Group> --set tags.fixVM=1

Mit diesem Befehl wird das neue Tag „fixVM“ mit dem Wert 1 auf dem virtuellen Computer festgelegt.This command sets a new tag "fixVM" with a value of 1 on the VM.

Durch das Festlegen dieser Eigenschaft wird der virtuelle Computer mit dem richtigen Ressourcen-URI der verwalteten Identitäten für Azure-Ressourcen aktualisiert. Anschließend sollte es möglich sein, den virtuellen Computer zu starten.By setting this property, the VM updates with the correct managed identities for Azure resources resource URI, and then you should be able to start the VM.

Nachdem der virtuelle Computer gestartet wurde, kann das Tag mithilfe des folgenden Befehls entfernt werden:Once the VM is started, the tag can be removed by using following command:

az vm update -n <VM Name> -g <Resource Group> --remove tags.fixVM

Fehlschlagen der Bereitstellung der VM-ErweiterungVM extension provisioning fails

Die Bereitstellung der VM-Erweiterung kann aufgrund von Fehlern beim DNS-Lookup fehlschlagen.Provisioning of the VM extension might fail due to DNS lookup failures. Starten Sie den virtuellen Computer neu, und wiederholen Sie den Vorgang.Restart the VM, and try again.

Hinweis

Die VM-Erweiterung wird voraussichtlich im Januar 2019 eingestellt.The VM extension is planned for deprecation by January 2019. Es wird empfohlen, dass Sie stattdessen den IMDS-Endpunkt verwenden.We recommend you move to using the IMDS endpoint.

Übertragen eines Abonnements zwischen Azure AD-VerzeichnissenTransferring a subscription between Azure AD directories

Verwaltete Identitäten werden nicht aktualisiert, wenn ein Abonnement in ein anderes Verzeichnis verschoben/übertragen wird.Managed identities do not get updated when a subscription is moved/transferred to another directory. Infolgedessen tritt für alle vorhandenen system- oder benutzerseitig zugewiesenen verwalteten Identitäten ein Fehler auf.As a result, any existent system-assigned or user-assigned managed identities will be broken.

Problemumgehung für verwaltete Identitäten in einem Abonnement, die in ein anderes Verzeichnis verschoben wurden:Workaround for managed identities in a subscription that has been moved to another directory:

  • Für vom System zugewiesene verwaltete Identitäten: Deaktivieren Sie die Identitäten, und aktivieren Sie sie erneut.For system assigned managed identities: disable and re-enable.
  • Für vom Benutzer zugewiesene verwaltete Identitäten: Löschen Sie die Identitäten, erstellen Sie sie neu, und fügen Sie sie erneut an die erforderlichen Ressourcen an (z. B. VMs).For user assigned managed identities: delete, re-create and attach them again to the necessary resources (e.g. virtual machines)

Verschieben einer benutzerseitig zugewiesenen verwalteten Identität in eine andere Ressourcengruppe/ein anderes AbonnementMoving a user-assigned managed identity to a different resource group/subscription

Beim Verschieben einer benutzerseitig zugewiesenen verwalteten Identität in eine andere Ressourcengruppe tritt ein Fehler für die Identität auf.Moving a user-assigned managed identity to a different resource group will cause the identity to break. Infolgedessen können Ressourcen (z. B. VMs), die diese Identität verwenden, keine Token für sie anfordern.As a result, resources (e.g. VM) using that identity will not be able to request tokens for it.