Freigeben über

Problembehandlung bei Azure Resource Manager Dienstverbindungen

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022

Dieser Artikel enthält allgemeine Problembehandlungsszenarien, die Ihnen bei der Behebung von Problemen helfen, die beim Erstellen einer Azure Resource Manager-Dienstverbindung (ARM) auftreten können. Informationen zum Erstellen, Bearbeiten und Absichern von Dienstverbindungen finden Sie unter Verwalten von Dienstverbindungen. Informationen zum Beheben von Workloadidentitätsproblemen finden Sie unter Fehlerbehebung einer Azure Resource Manager Workload-Identitätsdienstverbindung.

In diesem Artikel werden die Begriffe "Mandant" und "Verzeichnis" in einer Weise verwendet, in denen sie sich überschneiden könnten. Ein Mandant ist eine dedizierte, isolierte Instanz von Microsoft Entra ID, die Ihre Organisation erhält und über die sie alle Identitäten sowie die Zugriffssteuerung für Ihre Clouddienste verwaltet. Ein Verzeichnis ist ein Container innerhalb dieses Mandanten, der Objekte wie Benutzer, Gruppen und Anwendungen enthält, die zum Verwalten des Zugriffs auf Ressourcen verwendet werden.

Tipp

Sie können Copilot um Hilfe zur Problembehandlung bei Fehlermeldungen bitten. Weitere Informationen finden Sie unter KI verwenden, um einen Verbindungsfehler im Azure DevOps-Dienst zu beheben.

Was geschieht, wenn Sie eine Azure Resource Manager Dienstverbindung erstellen

Sie haben mehrere Authentifizierungsoptionen für die Verbindung mit Azure über eine Azure Resource Manager-Dienstverknüpfung. Wir empfehlen die Verwendung des Workload-Identitätsverbunds mit einer App-Registrierung oder verwalteter Identität.

Wenn der Erstellungsprozess der Dienstverbindung erfolgreich ist, führt Azure DevOps diese Schritte automatisch in Ihrem Microsoft Entra Mandanten aus. Wenn während dieses Prozesses Fehler auftreten, lesen Sie die folgenden Problembehandlungsszenarien.

Wenn Sie Ihre neue Azure Resource Manager-Dienstverbindung speichern, führt Azure DevOps die folgenden Aktionen aus:

  1. Stellt eine Verbindung mit dem Microsoft Entra-Mandanten für das ausgewählte Abonnement her.
  2. Erstellt eine Anwendung in Entra ID im Auftrag des Benutzers.
  3. Weist dem ausgewählten Abonnement die Anwendung als mitwirkend zu.
  4. Erstellt mithilfe der Details dieser Anwendung eine Azure Resource Manager Dienstverbindung.

Hinweis

Um Dienstverbindungen zu erstellen, müssen Sie der Ersteller- oder Administratorrolle für die Endpoint Creator-Gruppe in Ihren project Einstellungen zugewiesen werden: Project Einstellungen>Service connections>Mehr Aktionen>Security. Standardmäßig werden Projektbeitragende dieser Gruppe hinzugefügt.

Der Benutzer verfügt nur über Gastberechtigungen im Verzeichnis

Dieser Fehler tritt während des automatischen Dienstverbindungserstellungsprozesses auf, wenn Azure DevOps versucht, eine Anwendung zu erstellen und Berechtigungen in Microsoft Entra ID zuzuweisen (Schritte 2 bis 3 in What tritt auf, wenn Sie eine Azure Resource Manager Dienstverbindung erstellen). Dies geschieht, wenn ein Benutzer mit nur Gastberechtigungen in einem Microsoft Entra ID Verzeichnis versucht, eine Azure Resource Manager Dienstverbindung in Azure DevOps zu erstellen, aber über unzureichende Berechtigungen verfügt.

So beheben Sie dieses Problem:

  1. Melden Sie sich mit einem Administratorkonto beim Azure-Portal an. Beim Konto sollte es sich um einen Besitzer oder einen Benutzerkontoadministrator handeln.

  2. Wählen Sie Microsoft Entra ID in der linken Navigationsleiste aus.

  3. Stellen Sie sicher, dass Sie das entsprechende Verzeichnis bearbeiten, das dem Benutzerabonnement entspricht. Wählen Sie andernfalls "Verzeichnis wechseln" aus und melden Sie sich, bei Bedarf, mit den entsprechenden Anmeldeinformationen an.

  4. Wählen Sie Benutzer im Abschnitt Verwalten aus.

  5. Wählen Sie Benutzereinstellungen aus.

  6. Wählen Sie im Abschnitt Externe Benutzer die Option Einstellungen für externe Zusammenarbeit verwalten aus.

  7. Ändern Sie die Option Gastbenutzerberechtigungen sind eingeschränkt in Nein.

Alternativ können Sie, wenn Sie bereit sind, dem Benutzer Berechtigungen auf Administratorebene zu erteilen, den Benutzer zu einem Mitglied einer Administratorrolle machen. Führen Sie die folgenden Schritte aus:

Warnung

Das Zuweisen von Benutzern zur Rolle "Globaler Administrator" ermöglicht es ihnen, jede administrative Einstellung in Ihrer Microsoft Entra Organisation zu lesen und zu ändern. Es stellt eine bewährte Methode dar, diese Rolle weniger als fünf Personen in Ihrer Organisation zuzuweisen.

  1. Melden Sie sich mit einem Administratorkonto beim Azure-Portal an. Beim Konto sollte es sich um einen Besitzer oder einen Benutzerkontoadministrator handeln.

  2. Wählen Sie im linken Navigationsbereich Microsoft Entra ID aus.

  3. Stellen Sie sicher, dass Sie das entsprechende Verzeichnis bearbeiten, das dem Benutzerabonnement entspricht. Wählen Sie andernfalls "Verzeichnis wechseln" aus und melden Sie sich, bei Bedarf, mit den entsprechenden Anmeldeinformationen an.

  4. Wählen Sie Benutzer im Abschnitt Verwalten aus.

  5. Verwenden Sie das Suchfeld, um den Benutzer zu finden, den Sie verwalten möchten.

  6. Wählen Sie die Rolle Directory im Abschnitt Verwalten aus, und ändern Sie dann die Rolle. Wählen Sie Speichern aus, wenn Sie fertig sind.

In der Regel dauert es 15 bis 20 Minuten, um die Änderungen global anzuwenden. Der Benutzer kann dann versuchen, die Dienstverbindung neu zu erstellen.

Der Benutzer ist nicht berechtigt, Anwendungen zum Verzeichnis hinzuzufügen

Dieser Fehler tritt während des automatischen Dienstverbindungserstellungsprozesses auf, wenn Azure DevOps versucht, eine Anwendung in Microsoft Entra ID in Ihrem Auftrag zu erstellen (Schritt 2 in What tritt auf, wenn Sie eine Azure Resource Manager Dienstverbindung erstellen). Sie verfügen nicht über die Berechtigung zum Hinzufügen integrierter Anwendungen im Verzeichnis. Der Verzeichnisadministrator verfügt über Berechtigungen zum Ändern dieser Einstellung.

So beheben Sie dieses Problem:

  1. Wählen Sie im linken Navigationsbereich Microsoft Entra ID aus.

  2. Stellen Sie sicher, dass Sie das entsprechende Verzeichnis bearbeiten, das dem Benutzerabonnement entspricht. Wählen Sie andernfalls "Verzeichnis wechseln" aus und melden Sie sich, bei Bedarf, mit den entsprechenden Anmeldeinformationen an.

  3. Wählen Sie "Benutzer" und dann " Benutzereinstellungen" aus.

  4. Ändern Sie unter App registrations die Benutzer können Anwendungen registrieren Option auf Yes.

Sie können den Dienstprinzipal auch mit einem vorhandenen Benutzer erstellen, der bereits über die erforderlichen Berechtigungen in Entra ID verfügt. Weitere Informationen finden Sie unter Erstellen einer Azure Resource Manager-Dienstverbindung mit einem vorhandenen Dienstprinzipal.

Es konnte kein Zugriffstoken abgerufen werden oder es wurde kein gültiges Aktualisierungstoken gefunden

Diese Fehler treten in der Regel auf, wenn Ihre Sitzung abläuft.

Gehen Sie zum Beheben dieser Probleme wie folgt vor:

  1. Melden Sie sich bei Azure DevOps ab.

  2. Öffnen Sie ein InPrivate- oder Inkognito-Browserfenster, und wechseln Sie zu Azure DevOps.

  3. Melden Sie sich mit den entsprechenden Anmeldeinformationen an.

  4. Wählen Sie Ihre Organisation und Ihr Projekt aus.

  5. Versuchen Sie erneut, die Dienstverbindung zu erstellen. Ausführliche Schritte finden Sie unter Verwalten von Dienstverbindungen.

Sie scheinen kein aktives Azure-Abonnement zu haben, wenn Sie versuchen, eine neue Dienstverbindung zu bearbeiten oder zu erstellen.

Dieser Fehler tritt in der Regel auf, wenn Sie Teil mehrerer Entra ID Mandanten sind.

So beheben Sie dieses Problem:

  1. Wechseln Sie zu VS-Profil.

  2. Prüfen Sie, ob Sie mehrere Mandanten haben.

  3. Wählen Sie jeden Mandanten aus, und authentifizieren Sie dann erneut.

  4. Versuchen Sie, eine Dienstverbindung zu erstellen, und überprüfen Sie dann, ob das Abonnement geladen wird.

Fehler beim Zuweisen der Rolle eines Mitwirkenden

Dieser Fehler tritt während des Erstellungsprozesses für die automatische Dienstverbindung auf, wenn Azure DevOps versucht, die Anwendung als Mitwirkender zu Ihrem Abonnement zuzuweisen (Schritt 3 in What tritt auf, wenn Sie eine Azure Resource Manager Dienstverbindung erstellen). Dieser Fehler tritt in der Regel auf, wenn Sie nicht über Write Berechtigung für das ausgewählte Azure-Abonnement verfügen.

Um dieses Problem zu beheben, bitten Sie den Abonnementadministrator, Ihnen die entsprechende Rolle zuzuweisen in Microsoft Entra ID.

Abonnement wird beim Erstellen einer Dienstverbindung nicht aufgeführt

Es gibt mehrere mögliche Ursachen für dieses Problem.

  • Maximalanzahl von 50 Azure-Abonnements in den verschiedenen Azure-Abonnement-Dropdown-Menüs überschritten (Abrechnung, Dienstverbindung usw.): Wenn Sie eine Dienstverbindung einrichten und mehr als 50 Azure-Abonnements haben, werden einige Ihrer Abonnements nicht aufgelistet. Führen Sie in diesem Szenario die folgenden Schritte aus:

    1. Erstellen Sie einen neuen, nativen Microsoft Entra Benutzer in der Microsoft Entra Instanz Ihres Azure-Abonnements.

    2. Richten Sie den Microsoft Entra Benutzer so ein, dass er über die richtigen Berechtigungen zum Einrichten der Abrechnung oder zum Erstellen von Dienstverbindungen verfügt. Weitere Informationen finden Sie unter Einen Benutzer hinzufügen, der die Abrechnung für Azure DevOps einrichten kann.

    3. Fügen Sie den Microsoft Entra Benutzer der Azure DevOps Organisation mit einer Stakeholder-Zugriffsebene hinzu und fügen Sie ihn dann der Project Collection Administrators-Gruppe (zur Abrechnung) hinzu, oder stellen Sie sicher, dass der Benutzer über ausreichende Berechtigungen im Team Project verfügt, um Serviceverbindungen zu erstellen.

    4. Melden Sie sich bei Azure DevOps mit den neuen Benutzeranmeldeinformationen an, und richten Sie die Abrechnung ein. In der Liste wird nur ein Azure Abonnement angezeigt.

  • Alter Benutzertoken in Azure DevOps Services zwischengespeichert: Wenn Ihr Azure-Abonnement nicht erscheint, wenn Sie eine Azure Resource Manager (ARM) Dienstverbindung erstellen, könnte dies an einem alten zwischengespeicherten Benutzertoken in Azure DevOps Services liegen. Dieses Szenario ist nicht sofort offensichtlich, da auf dem Listenbildschirm von Azure Abonnements keine Fehler oder Warnmeldungen angezeigt werden, die darauf hinweisen, dass das Benutzertoken veraltet ist. Um dieses Problem zu beheben, aktualisieren Sie das zwischengespeicherte Benutzertoken in Azure DevOps Services manuell, indem Sie die folgenden Schritte ausführen:

    1. Melden Sie sich bei Azure DevOps Services ab, und melden Sie sich wieder an. Diese Aktion kann das Benutzertoken aktualisieren.
    2. Löschen Sie Ihren Browsercache und Cookies, um sicherzustellen, dass alte Token entfernt werden.
    3. Wechseln Sie im Azure DevOps-Portal zu den Dienstverbindungen, und autorisieren Sie die Verbindung erneut mit Azure. In diesem Schritt werden Azure DevOps aufgefordert, ein neues Token zu verwenden.

  • Falsche Einstellungen für die Unterstützung von Kontotypen: Beheben Sie dieses Problem, indem Sie die unterstützten Kontotypeneinstellungen ändern und definieren, wer Ihre Anwendung verwenden kann. Folgen Sie diesen Schritten:

    1. Melden Sie sich beim Azure-Portal an.

    2. Wenn Sie Zugriff auf mehrere Mandanten haben, verwenden Sie im Menü am oberen Rand den Filter Verzeichnis + Abonnement, um den Mandanten auszuwählen, für den Sie eine Anwendung registrieren möchten.

      Screenshot mit dem Symbol

    3. Wählen Sie im linken Bereich Microsoft Entra ID aus.

    4. Wählen Sie App registrations aus.

    5. Wählen Sie Ihre Bewerbung aus der Liste der registrierten Bewerbungen aus.

    6. Wählen Sie unter Authentifizierung die Option Unterstützte Kontotypen aus.

    7. Wählen Sie unter Unterstützte Kontotypen bei Who can use this application or access this API? (Wer kann diese Anwendung verwenden oder auf diese API zugreifen?) die Option Konten in einem beliebigen Organisationsverzeichnis aus.

      Screenshot: unterstützte Kontotypen

    8. Wählen Sie Speichern aus, wenn Sie fertig sind.

Diensthauptbenutzerkonto oder geheimes Kennwort abgelaufen

Dienstprinzipale oder Geheimnisse, die Azure DevOps automatisch erstellt, laufen ab und müssen erneuert werden. Wenn beim Aktualisieren des Tokens Probleme auftreten, lesen Sie "Fehler beim Abrufen eines Zugriffstokens", oder es wurde kein gültiges Aktualisierungstoken gefunden. Um die Notwendigkeit zur Erneuerung von geheimen Schlüsseln zu vermeiden, verwenden Sie die Arbeitslast-Identitätsföderation mit Azure Resource Manager.

Wenn Ihr Token abläuft, wird möglicherweise eine der folgenden Fehlermeldungen angezeigt:

  • AADSTS7000215: Invalid client secret is provided
  • AADSTS7000222: The provided client secret keys for app '***' are expired
  • Invalid client id or client secret

So erneuern Sie das Zugriffstoken für einen automatisch erstellten Dienstprinzipal oder ein Geheimnis:

  1. Wechseln Sie zu Project einstellungen>Service connections und wählen Sie dann die Dienstverbindung aus, die Sie aktualisieren möchten.

  2. Wählen Sie "Geheimen Schlüssel drehen" aus.

    Screenshot der Option zum Drehen eines ARM-Schlüssels.

Das Token für den Dienstprinzipal oder das Geheimnis wurde nun um drei weitere Monate verlängert.

Hinweis

Dieser Vorgang ist auch verfügbar, wenn das Token des Dienstprinzipals nicht abgelaufen ist. Stellen Sie sicher, dass der Benutzer, der den Vorgang ausführt, über die richtigen Berechtigungen für das Abonnement und Microsoft Entra ID verfügt, da er den geheimen Schlüssel für die App aktualisiert, die für den Dienstprinzipal registriert ist. Weitere Informationen finden Sie unter Erstellen Sie eine App-Registrierung mit einer Geheimnis und Was passiert, wenn Sie eine Resource Manager-Dienstverbindung erstellen?

Fehler beim Abrufen des JWT mithilfe der Client-ID des Dienstprinzipals

Dieses Problem tritt auf, wenn Sie versuchen, eine Dienstverbindung zu speichern, die einen abgelaufenen geheimen Schlüssel oder andere Probleme auf Microsoft Entra ID-Ebene aufweist.

Eine Dienstverbindung in diesem Zustand wird möglicherweise auch nicht in Pipelineaufgabendropdowns (z. B. Azure App Service Bereitstellen oder Azure PowerShell) angezeigt, obwohl sie unter Project settings>Service connections sichtbar ist. Dies geschieht, wenn der zugrunde liegende Dienstprinzipal gelöscht wurde oder der isReady Status der Verbindung lautet false.

So beheben Sie dieses Problem:

  1. Wechseln Sie zu Project einstellungen>Service connections und wählen Sie dann die Dienstverbindung aus, die Sie ändern möchten.
  2. Wählen Sie "Bearbeiten" und dann " Überprüfen " aus, um den Verbindungsstatus zu überprüfen.
  3. Wenn die Überprüfung mit einem AADSTS700016 Fehler fehlschlägt ("die Anwendung mit dem Bezeichner wurde nicht im Verzeichnis gefunden"), wurde der Dienstprinzipal gelöscht. Erstellen Sie eine neue Dienstverbindung oder für manuelle Verbindungen, aktualisieren Sie die Verbindung mit neuen Dienstprinzipaldetails.
  4. Wenn die Überprüfung erfolgreich ist, wählen Sie "Speichern " aus, um die Dienstverbindung zu speichern.

Hinweis

Wenn sie eine Fehlermeldung wie Failed to obtain the Json Web Token(JWT) using service principal client ID. Exception message: AADSTS7000112: Application is disabled. erhalten, arbeiten Sie mit Ihrem Microsoft Entra ID Team zusammen, um zu bestätigen, dass die Option Enabled für Benutzer zum Anmelden in der Unternehmensanwendung, die mit Ihrem Dienstprinzipal verknüpft ist, nicht deaktiviert ist.

Azure-Abonnement wird nicht aus der vorherigen Aufgabenausgabe übergeben.

Wenn Sie Ihr Azure-Abonnement dynamisch für Ihre Veröffentlichungspipeline festlegen und die Ausgabevariable aus einer vorherigen Aufgabe nutzen möchten, tritt möglicherweise dieses Problem auf.

Vergewissern Sie sich zur Behebung dieses Problems, dass die Werte im Variablenabschnitt Ihrer Pipeline definiert sind. Sie können diese Variable dann zwischen den Aufgaben Ihrer Pipeline übergeben.

Welche Authentifizierungsmechanismen werden unterstützt? Wie funktionieren verwaltete Identitäten?

Eine Azure Resource Manager-Dienstverbindung kann eine Verbindung mit einem Azure-Abonnement herstellen, indem sie die Dienstprinzipalauthentifizierung (Service Principal Authentication, SPA) oder die verwaltete Identitätsauthentifizierung verwenden.

Die Azure Resource Manager-Dienstverbindung kann eine Verbindung mit einem Azure-Abonnement, einer Verwaltungsgruppe oder einem Machine Learning-Arbeitsbereich herstellen, indem Sie Folgendes verwenden:

  • App-Registrierung (empfohlen): Authentifizieren Sie die Verbindung mithilfe eines Workload-Identitätsverbunds oder eines geheimen Schlüssels.
  • Verwaltete Identität: Verwaltete Identitäten für Azure-Ressourcen bieten den Azure-Diensten eine automatisch verwaltete Identität in Microsoft Entra ID. Sie können auch eine von einem Agenten zugewiesene verwaltete Identität verwenden.

Wenn Sie die Dienstverbindung mit einer verwalteten Identität als Authentifizierungsmethode einrichten, erstellt der Prozess keine neue verwaltete Identität. Sie richtet einfach die Dienstverbindung ein. Damit diese Authentifizierungsmethode ordnungsgemäß funktioniert, müssen bestimmte Bedingungen erfüllt sein. Da verwaltete Identität die ausgewählte Authentifizierungsmethode ist, sollte der virtuelle Computer, den Sie verwenden, über eine vom System zugewiesene Identität verfügen. Außerdem muss diese virtuelle Maschine innerhalb der Pipelines als gehosteter Agent fungieren, damit der Workflow vollständig ausgeführt werden kann und die Pipeline die Möglichkeit hat, Änderungen über die Dienstverbindung bereitzustellen. Die vom System zugewiesene Identität auf der VM identifiziert, dass dieselbe VM als Agent in der Pipeline dient, und ermöglicht so die Authentifizierung. Mit diesem Setup können Sie die vorhandene verwaltete Identität nutzen.

Informationen zu verwalteten Identitäten für virtuelle Computer finden Sie unter Zuweisen von Rollen.

Hinweis

Microsoft gehosteten Agents unterstützen keine verwalteten Identitäten. In diesem Szenario müssen Sie einen selbst gehosteten Agent einrichten auf einem Azure virtuellen Computer und eine verwaltete Identität für diesen virtuellen Computer konfigurieren.

Autorisierungsfehler beim Ausführen von Pipeline-Aufgaben

Wenn eine Pipelineaufgabe für eine Azure Ressource ausgeführt wird, wird möglicherweise der folgende Fehler angezeigt:

AuthorizationFailed: The client '<ClientName>' with object id '<ObjectId>' does not have authorization 
to perform action '<ActionName>' over scope '/subscriptions/<SubscriptionId>/...'

Die Client- und Objekt-ID in der Fehlermeldung beziehen sich auf den Dienstprinzipal, der Ihre Dienstverbindung unterstützt.

So beheben Sie dieses Problem:

  1. Wechseln Sie im Azure-Portal zur Ressource oder Ressourcengruppe, auf die im Bereich des Fehlers verwiesen wird.
  2. Wählen Sie Zugriffssteuerung (IAM)>-Rollenzuweisungen aus.
  3. Stellen Sie sicher, dass der im Fehler aufgelistete Dienstprinzipal eine Rolle enthält, die die erforderliche Aktion enthält (z. B. Mitwirkender oder eine benutzerdefinierte Rolle).
  4. Wenn die Rollenzuweisung fehlt, wählen Sie "> aus, und weisen Sie dem Dienstprinzipal die entsprechende Rolle zu.
  5. Warten Sie einige Minuten, bis die Rollenzuweisung umgesetzt ist, und führen Sie dann die Pipeline erneut aus.

Weitere Informationen zu Azure RBAC finden Sie unter Azure integrierten Rollen.

Dienstverbindung nicht für Pipeline autorisiert

Wenn eine Pipeline ausgeführt wird, wird möglicherweise der folgende Fehler angezeigt:

Resource not authorized. You need to authorize the resource before it can be used.

Dieser Fehler tritt auf, wenn der Dienstverbindung keine Berechtigung für die Pipeline erteilt wurde, die versucht, sie zu verwenden.

So beheben Sie dieses Problem:

  1. Wechseln Sie zu Projekteinstellungen>Dienstverbindungen.
  2. Wählen Sie die Dienstverbindung aus, die von der Pipeline verwendet wird.
  3. Weitere Aktionen auswählen (...) >Sicherheit.
  4. Wählen Sie unter Pipelineberechtigungen die Pipeline aus + , und fügen Sie sie hinzu, die Zugriff benötigt.

Alternativ können Sie zugriff auf alle Pipelines gewähren. Dies wird nicht empfohlen. So gewähren Sie Zugriff auf alle Pipelines:

Wählen Sie auf der Sicherheitsseite der Dienstverbindung Weitere Aktionen>Zugang öffnen aus.

Hinweis

Open Access ermöglicht es jeder Pipeline im Projekt, die Dienstverbindung zu verwenden. Für eine engere Kontrolle gewähren Sie nur Zugriff auf bestimmte Pipelines.

Weitere Informationen finden Sie unter Dienstverbindungssicherheit.

Erstellen eines Dienstprinzipals ohne Azure Abonnementberechtigungen

Wenn Sie nicht über die erforderlichen Berechtigungen für das Azure-Abonnement oder Microsoft Entra ID verfügen, um eine Dienstverbindung über die automatische Methode zu erstellen, bitten Sie einen Administrator, den Dienstprinzipal manuell zu erstellen. Anschließend können Sie die Dienstprinzipaldetails in Azure DevOps eingeben, um die Dienstverbindung zu erstellen.

  1. Bitten Sie einen Benutzer, der über das erforderliche Azure-Abonnement und Microsoft Entra ID-Berechtigungen verfügt, einen Dienstanbieter in Microsoft Entra ID zu erstellen und weisen Sie ihm die entsprechende Rolle für das Abonnement zu.
  2. Rufen Sie die folgenden Details vom Administrator ab: Anwendungs-ID (Client-ID),Verzeichnis-ID (Mandanten-ID),Abonnement-ID und ein geheimer Clientschlüssel oder Ein Zertifikat.
  3. Wechseln Sie in Azure DevOps zu Projekteinstellungen>Service Connections>Neue Dienstverbindung>Azure Resource Manager>Service principal (manual).
  4. Geben Sie die vom Administrator bereitgestellten Details ein, und speichern Sie die Verbindung.

Weitere Informationen finden Sie unter Erstellen einer Azure Resource Manager-Dienstverbindung mit einem vorhandenen Dienstprinzipal.

Dienstverbindung kann nicht gelöscht werden

Wenn Sie versuchen, eine Azure Resource Manager Dienst-Verbindung zu löschen, wird möglicherweise eine Fehlermeldung wie "Fehler beim Entfernen der Azure-Berechtigung" oder "Fehler beim Entfernen des Dienstprincipals aus Microsoft Entra ID" angezeigt. In einigen Fällen verbleibt die Verbindung in der Liste, obwohl kein Fehler angezeigt wird.

So beheben Sie dieses Problem:

  1. Wählen Sie die Dienstverbindung und dann "Löschen" aus. Auch wenn Fehlermeldungen zu Azure Berechtigungen oder dem Dienstprinzipal angezeigt werden, sollte die Verbindung trotzdem aus Azure DevOps entfernt werden.

  2. Wenn das Löschen fehlschlägt, verwenden Sie die REST-API des Dienstendpunkts , um sie direkt zu löschen. Legen Sie den deep Parameter auf false fest, um die Bereinigung der zugrunde liegenden Dienstprinzipale zu überspringen.

    DELETE https://dev.azure.com/{organization}/{project}/_apis/serviceendpoint/endpoints/{endpointId}?deep=false&api-version=7.1

  3. Nachdem Sie die Verbindung gelöscht haben, entfernen oder aktualisieren Sie den zugehörigen Dienstprinzipal aus App-Registrierungen im Azure-Portal.

Verwenden von KI zur Problembehandlung eines Azure DevOps Dienstverbindungsfehlers

In diesem Beispiel-Aufforderung für Copilot Chat wird geholfen, den Fehlercode und die Fehlermeldung von Copilot zu beheben. Kopieren Sie diese Eingabeaufforderung, und fügen Sie sie in Copilot Chat ein, und ersetzen Sie den Platzhalter durch Ihre spezifische Fehlermeldung.

I'm getting this Azure DevOps service connection error: [PASTE YOUR ERROR MESSAGE HERE]

Can you help me troubleshoot this issue? Please provide step-by-step instructions to:
1. Identify the root cause
2. Fix the configuration in Azure or Entra ID
3. Verify the solution works

Context: This is for an Azure Resource Manager service connection in Azure DevOps.
  • Last updated on