UTCM Service Principal einrichten¶
Der UTCM Service Principal (Unified Tenant Configuration Management) ist ein von Microsoft bereitgestellter Service Principal, der für die Erfassung von Teams- und Exchange-Konfigurationen benötigt wird.
Was ist der UTCM Service Principal?¶
Microsoft stellt Teams- und Exchange-Konfigurationen nicht über die regulaere Graph API bereit. Stattdessen müssen diese über die UTCM Snapshot Job API erfasst werden. Diese API setzt voraus, dass der offizielle UTCM Service Principal in Ihrem Tenant registriert und mit den entsprechenden Admin-Rollen ausgestattet ist.
| Eigenschaft | Wert |
|---|---|
| App Name | Unified Tenant Configuration Management |
| App ID | 03b07b79-c5bc-4b5e-9bfa-13acf4a99998 |
| Herausgeber | Microsoft |
| Zweck | UTCM Snapshot Jobs für Teams und Exchange |
Optionale Komponente
Der UTCM Service Principal ist nur erforderlich, wenn Sie Teams- und/oder Exchange-Konfigurationen erfassen möchten. Alle anderen Workloads (Entra ID, Intune, Defender, SharePoint, Purview, Cloud PC) funktionieren ohne den UTCM Service Principal.
So funktioniert UTCM¶
sequenceDiagram
participant TCM as TCM365
participant Graph as Microsoft Graph API
participant UTCM as UTCM API
participant SP as UTCM Service Principal
TCM->>Graph: Snapshot Job erstellen<br/>(POST /admin/configurationMonitoring/snapshotJobs)
Graph->>UTCM: Job an UTCM weiterleiten
UTCM->>SP: Teams/Exchange-Konfig lesen<br/>(als Teams Admin / Exchange Admin)
SP-->>UTCM: Konfigurationsdaten
UTCM-->>Graph: Snapshot Job abgeschlossen
TCM->>Graph: Ergebnis abrufen<br/>(GET /admin/configurationMonitoring/snapshotJobs/{id})
Graph-->>TCM: Teams/Exchange-KonfigurationenTCM365 startet einen Snapshot Job über die Graph API. Microsoft führt diesen Job im Hintergrund aus, wobei der UTCM Service Principal die Teams- und Exchange-Konfigurationen mit den ihm zugewiesenen Admin-Rollen liest.
Schritt 1: UTCM Service Principal registrieren¶
- Öffnen Sie das Azure Portal unter portal.azure.com
- Navigieren Sie zu Azure Active Directory > Enterprise Applications (Unternehmensanwendungen)
- Klicken Sie auf New Application (Neue Anwendung)
- Wählen Sie Create your own application (Eigene Anwendung erstellen)
- Geben Sie einen Namen ein, z.B.
UTCM Service Principal - Wählen Sie Register an application to integrate with Azure AD (App you're developing)
- Klicken Sie auf Create
Wichtig
Im nächsten Dialog müssen Sie die Application ID manuell auf den Wert 03b07b79-c5bc-4b5e-9bfa-13acf4a99998 setzen. Dies ist die offizielle App ID des Microsoft UTCM Service Principals.
Alternativ können Sie den Service Principal per PowerShell registrieren:
# UTCM Service Principal im Tenant registrieren
New-AzureADServicePrincipal -AppId "03b07b79-c5bc-4b5e-9bfa-13acf4a99998"
Oder mit der Microsoft Graph PowerShell:
# Mit Microsoft Graph verbinden
Connect-MgGraph -Scopes "Application.ReadWrite.All"
# UTCM Service Principal erstellen
New-MgServicePrincipal -AppId "03b07b79-c5bc-4b5e-9bfa-13acf4a99998"
Schritt 2: Admin-Rollen zuweisen¶
Der UTCM Service Principal benötigt Admin-Rollen, um die Teams- und Exchange-Konfigurationen lesen zu können:
- Navigieren Sie zu Azure Active Directory > Roles and administrators
- Weisen Sie dem UTCM Service Principal folgende Rollen zu:
| Rolle | Workload | Beschreibung |
|---|---|---|
| Teams Administrator | Teams | Liest alle Teams-Konfigurationen (Messaging Policies, Meeting Policies, Team Settings etc.) |
| Exchange Administrator | Exchange | Liest alle Exchange-Konfigurationen (Mail Flow Rules, OWA Policies, Connectors etc.) |
Alternative: Global Administrator
Statt beide Rollen einzeln zuzuweisen, können Sie auch die Rolle Global Administrator vergeben. Dies ist jedoch aus Sicherheitssicht nicht empfohlen -- nutzen Sie die granularen Rollen.
Rollen per PowerShell zuweisen¶
# Teams Administrator Rolle zuweisen
$teamsAdminRole = Get-AzureADDirectoryRole | Where-Object { $_.DisplayName -eq "Teams Administrator" }
$utcmSP = Get-AzureADServicePrincipal -Filter "AppId eq '03b07b79-c5bc-4b5e-9bfa-13acf4a99998'"
Add-AzureADDirectoryRoleMember -ObjectId $teamsAdminRole.ObjectId -RefObjectId $utcmSP.ObjectId
# Exchange Administrator Rolle zuweisen
$exchangeAdminRole = Get-AzureADDirectoryRole | Where-Object { $_.DisplayName -eq "Exchange Administrator" }
Add-AzureADDirectoryRoleMember -ObjectId $exchangeAdminRole.ObjectId -RefObjectId $utcmSP.ObjectId
Schritt 3: Admin Consent erteilen¶
- Navigieren Sie zu Enterprise Applications > suchen Sie nach dem UTCM Service Principal
- Öffnen Sie Permissions
- Klicken Sie auf Grant admin consent
- Bestätigen Sie die Zustimmung
UTCM API Limits¶
Die UTCM API unterliegt bestimmten Einschränkungen, die TCM365 automatisch berücksichtigt:
| Limit | Wert | Beschreibung |
|---|---|---|
| Max. sichtbare Snapshot Jobs | 12 | Aeltere Jobs werden automatisch rotiert |
| Max. Response-Größe | 12 MB | Pro Snapshot Job |
| Monitor-Frequenz | Min. 1 Stunde | Minimales Intervall für Configuration Monitors |
| Rate Limit | Throttling bei Ueberlastung | TCM365 implementiert automatisches Retry |
Was passiert ohne UTCM Service Principal?¶
Wenn der UTCM Service Principal nicht eingerichtet ist:
- Teams-Workload: Nicht verfügbar -- Teams-Konfigurationen können nicht erfasst werden
- Exchange-Workload: Nicht verfügbar -- Exchange-Konfigurationen können nicht erfasst werden
- Alle anderen Workloads: Funktionieren normal (Entra ID, Intune, Defender, SharePoint, Purview, Cloud PC)
TCM365 erkennt beim Verbindungstest automatisch, ob der UTCM Service Principal vorhanden ist, und zeigt die verfügbaren Workloads entsprechend an.
Fehlersuche¶
"UTCM Service Principal not found"¶
Der Service Principal ist nicht im Tenant registriert. Führen Sie Schritt 1 erneut durch.
"Insufficient privileges for UTCM snapshot job"¶
Dem Service Principal fehlen die erforderlichen Admin-Rollen. Prüfen Sie, ob Teams Administrator und/oder Exchange Administrator zugewiesen sind (Schritt 2).
"Snapshot job timed out"¶
UTCM Snapshot Jobs können bei grossen Tenants einige Minuten dauern. TCM365 wartet standardmaessig bis zu 10 Minuten. Prüfen Sie die UTCM API Limits.