Mailstore Microsoft 365 Office 365 Authentifizierung ändern

Verbinden von MailStore Server und Microsoft 365

Um Benutzerinformationen aus Microsoft 365 zu synchronisieren, muss MailStore Server zunächst mit Ihrem Microsoft 365-Mandanten verbunden werden und die notwendigen Berechtigungen zugewiesen bekommen. Dabei nutzt Microsoft 365 das Azure Active Directory als Verzeichnisdienst. Jedem Microsoft 365-Mandanten entspricht ein Azure AD-Mandant, in welchem seine Benutzerinformationen gespeichert werden.

Registrierung von MailStore Server als App in Azure AD

Durch die Registrierung erhält MailStore Server eine Identität innerhalb von Azure AD, die die Authentifizierung gegenüber den Mandantendiensten und die Nutzung ihrer Ressourcen ermöglicht.

  • Melden Sie sich als globaler Administrator für Ihren Microsoft 365-Mandanten imAzure Portalan.
  • Wählen Sie im Navigationsmenü (☰) die OptionAzure Active Directory.
  • Wählen Sie in der folgenden Ansicht im Navigationsmenü links in der SektionVerwaltendie OptionApp-Registrierungen.
  • Wählen SieNeue Registrierung. Die AnsichtAnwendung registrierenwird angezeigt.
  • Geben Sie in das FeldNameeinen sinnvollen Anzeigenamen ein, z.B.MailStore Server. Dieser Name wird den Benutzern später z.B. beim Login angezeigt.
  • Alle weiteren Einstellungen auf der Seite können in ihren Voreinstellungen belassen werden.
  • Klicken Sie aufRegistrieren. Wenn die Registrierung erfolgreich war, gelangen Sie auf die Übersichtsseite der neu registrierten App.

Die hier angezeigteAnwendungs-ID (Client)identifiziert MailStore Server innerhalb Ihres Azure AD-Mandanten und muss zusammen mit dessenVerzeichnis-ID (Mandant)als Nächstes in MailStore Server eingetragen werden. Lassen Sie die Übersichtsseite der App daher für die folgenden Schritte im Browser geöffnet.

Erstellen von Anmeldeinformationen in MailStore Server

Anmeldeinformationen für Microsoft 365 bestehen aus den eben erstellten IDs und einem Geheimnis, mit dem MailStore Server seine Identität gegenüber Azure AD ausweist. Microsoft empfiehlt die Verwendung von Zertifikaten als Geheimnis zur Identifizierung einer App in Azure AD. Ein solches Zertifikat wird beim Erstellen von Anmeldeinformationen automatisch von MailStore Server erzeugt, kann aber auch nachträglich erneut generiert werden.

  • Melden Sie sich als MailStore Server-Administrator über den MailStore Client an.
  • Klicken Sie aufVerwaltung > Benutzer und Archive > Verzeichnisdienste.
  • Wählen Sie im BereichIntegrationden Verzeichnisdienste-TypMicrosoft 365 (Modern Authentication).
Microsoft 365 sync 01.png
  • Klicken Sie im BereichVerbindungauf die Schaltfläche (…) neben der Dropdown-ListeAnmeldeinformationen.
  • Klicken Sie im nun angezeigten DialogAnmeldeinformationsverwaltungaufErstellen…
  • Tragen Sie im angezeigten DialogAzure AD-Anwendungsanmeldeinformationenfolgende Informationen im BereichEinstellungenein:
    • Name
      Ein aussagekräftiger Anzeigename für die Anmeldeinformationen, z.B. der Ihres Microsoft 365-Mandanten.
    • Anwendungs-ID (Client)
      Der Wert des entsprechenden Feldes, den Sie aus der im Browser geöffneten Übersichtsseite der App in Azure AD kopieren können.
    • Verzeichnis-ID (Mandant)
      Der Wert des entsprechenden Feldes, den Sie aus der im Browser geöffneten Übersichtsseite der App in Azure AD kopieren können.
Microsoft 365 cred 01.png
  • Klicken Sie im BereichAuthentifizierungauf die Dropdown-Schaltfläche neben dem TextfeldZertifikatund wählen SieZertifikat herunterladen. Speichern Sie das Zertifikat auf Ihrer Festplatte.
  • Bestätigen Sie Ihre Eingaben durch Klicken aufOK.
  • Die neu erstellten Anmeldeinformationen werden unter dem von Ihnen zuvor vergebenen Namen mit dem TypMicrosoft 365in derAnmeldeinformationsverwaltunggelistet. Hier können Sie vorhandene Anmeldeinformationen bei Bedarf auch bearbeiten oder löschen.
  • Verlassen Sie dieAnmeldeinformationsverwaltungdurch Klicken aufSchließen.
  • Die neu erstellten Anmeldeinformationen sind jetzt in der entsprechenden Dropdown-Liste voreingestellt.

Bekanntmachen der Anmeldeinformationen in Azure AD

Damit Azure AD die Identität von MailStore Server überprüfen kann, muss das erstellte Zertifikat in Azure AD bekannt gemacht werden.

  • Wechseln Sie in das noch geöffnete Browser-Fenster mit der Übersichtsseite der App in Azure AD.
  • Wählen Sie im Navigationsmenü links in der SektionVerwaltendie OptionZertifikate & Geheimnisse.
  • Wählen Sie im BereichZertifikatedie SchaltflächeZertifikat hochladen. Wählen Sie die zuvor gespeicherte Zertifikatsdatei aus und laden Sie sie durch Klicken aufHinzufügenin Azure AD hoch.
  • Wenn das Hochladen erfolgreich war, werden der Fingerabdruck des hochgeladenen Zertifikats und sein Start- und Ablaufdatum in der Zertifikatsliste angezeigt. Sie können Fingerabdruck und Ablaufdatum mit den in der MailStore Anmeldeinformationsverwaltung hinterlegten Daten vergleichen, um sicherzugehen, dass Sie das korrekte Zertifikat hochgeladenen haben.

Konfigurieren der App-Authentifizierung in Azure AD

Damit Azure AD MailStore Server das Ergebnis einer Benutzerauthentifizierungsanfrage mitteilen kann, muss Azure AD der Endpunkt mitgeteilt werden, auf dem MailStore Server die Authentifizierungsantworten erwartet, der sogenannteUmleitungs-URI.

  • Wählen Sie im geöffneten Browser-Fenster im Navigationsmenü links in der SektionVerwaltendie OptionAuthentifizierung.
  • Wählen Sie im BereichPlattformkonfigurationdie SchaltflächePlattform hinzufügen.
  • Wählen Sie auf der MenüseitePlattform konfigurierenim BereichWebanwendungendie OptionWeb.
  • Tragen Sie in das FeldUmleitungs-URIeinen URI in Format (ohne die Klammern)
    https://<fqdn>[:<port>]/oidc/signin
    aus folgenden Bestandteilen ein:
    https://
    Die Angabe des Protokolls muss verpflichtendhttps://lauten. Damit bei der Benutzeranmeldung später keine Zertifikatswarnungen erscheinen, muss demvon MailStore Server verwendeten Zertifikatvon den Webbrowsern auf den Client-Geräten vertraut werden.
    FQDN
    Der vollständige DNS-Name, engl. Fully Qualified Domain Name (FQDN), Ihres MailStore Servers, bestehend aus dem Rechnernamen und der DNS-Domäne, z.B.mailstore.example.com. Dieser muss von allen Clients, von denen aus sich Benutzer an MailStore Server anmelden sollen, auflösbar sein.
    Port
    Der TCP-Port des MailStore Web Access (standardmäßig8462). Dieser muss mit dem in derMailStore Server Dienst-Konfigurationin der SektionBasiskonfiguration > Netzwerkeinstellungen > Dienste > MailStore Web Access / Outlook Add-in (HTTPS)konfigurierten Port übereinstimmen. Der TCP-Port muss nur angegeben werden, wenn dieser vom Standardport des HTTPS-Protokolls (443) abweicht.
    /oidc/signin
    An diesem Endpunkt erwartet MailStore Server die Authentifizierungsantworten von Azure AD. Dieser Pfad muss exakt so am Ende des Umleitungs-URIs stehen.
  • Das FeldAbmelde-URLbleibt frei.
  • Setzen Sie im BereichImplizite Gewährungdie OptionID-Token.
  • Klicken Sie aufKonfigurieren, um die Konfiguration der App-Authentifizierung in Azure AD abzuschließen.
Beispiele für gültige Umleitungs-URIs
Produkt FQDN Port Resultierender Umleitungs-URI
MailStore Server mailstore.example.com 8462 https://mailstore.example.com:8462/oidc/signin

Umleitungs-URI mit vollständigem DNS-Namen und MailStore Web Access Standardport
MailStore Server mailstore.example.com 443 https://mailstore.example.com/oidc/signin

Wird der HTTPS-Standardport 443 für den MailStore Web Access oder als Quellport einer Firewall-Port-Weiterleitungsregel verwendet, kann die Portangabe im Umleitungs-URI entfallen.
MailStore SPE archive.example.com 443 https://archive.example.com/<instanceid>/oidc/signin

Dieinstanceidder Instanz ist Teil der Umleitungs-URI.

Hinweis:Bitte beachten Sie, dass beim Umleitungs-URI die Groß- und Kleinschreibung relevant ist (case-sensitive). Beachten Sie auch nochmals die Hinweise in der SektionVoraussetzungen, Empfehlungen und Einschränkungenzur Erreichbarkeit des Umleitungs-URI.

Konfigurieren des Umleitungs-URIs in MailStore Server

Damit MailStore Server den Umleitungs-URI anfragenden Clients mitteilen kann, muss dieser auch dort konfiguriert werden.

  • Wechseln Sie dazu wieder auf die SeiteVerzeichnisdiensteim MailStore Client.
  • Tragen Sie dort den Umleitungs-URI in das entsprechende Feld im BereichAuthentifizierungein. Kopieren Sie hierzu einfach den zuvor konfigurierten Wert aus dem Azure AD im Browser.
Microsoft 365 sync 02.png

Konfigurieren der API-Berechtigungen in Azure AD

Als letzten Schritt müssen MailStore Server noch die entsprechenden Berechtigungen erteilt werden, um Benutzer mit dem Azure AD synchronisieren und E-Mails archivieren zu dürfen.

  • Wechseln Sie wieder zu Azure AD im noch geöffneten Browser-Fenster.
  • Wählen Sie dort im Navigationsmenü links in der SektionVerwaltendie OptionAPI-Berechtigungen.
  • Wählen Sie im BereichKonfigurierte Berechtigungendie SchaltflächeBerechtigung hinzufügen.
  • Wählen Sie auf der MenüseiteAPI-Berechtigungen anfordernim BereichHäufig verwendete Microsoft-APIsdie APIMicrosoft Graph.
  • Wählen Sie die OptionAnwendungsberechtigungen.
  • Aktivieren Sie im BereichBerechtigungen auswählendie BerechtigungDirectory > Directory.Read.All.
  • Klicken Sie aufBerechtigungen hinzufügen.
  • Die Berechtigungen werden aktualisiert und die BerechtigungDirectory.Read.Allerscheint in der Liste der API-Berechtigungen unterMicrosoft Graph.
  • Wählen Sie im BereichKonfigurierte Berechtigungenerneut die SchaltflächeBerechtigung hinzufügen.
  • Wählen Sie auf der MenüseiteAPI-Berechtigungen anfordernden EintragVon meiner Organisation verwendete APIsaus.
  • Suchen Sie nachOffice 365 Exchange Onlineund klicken Sie auf den entsprechenden Eintrag.
  • Wählen Sie die OptionAnwendungsberechtigungen.
  • Aktivieren Sie im BereichBerechtigungen auswählendie Berechtigungfull_access_as_app.
  • Klicken Sie aufBerechtigungen hinzufügen.
  • Die Berechtigungen werden aktualisiert und die Berechtigungfull_access_as_apperscheint in der Liste der API-Berechtigungen unterExchange.
  • Wählen Sie im BereichKonfigurierte Berechtigungennun die SchaltflächeAdministratorzustimmung für "<Ihr Mandantenname>" erteilen.
  • Bestätigen Sie den nachfolgenden Hinweis mitJa.
  • Der Status der erteilten Berechtigungen wird aufGewährt für "<Ihr Mandantenname>"aktualisiert.

Damit ist die Einrichtung der Verbindung von MailStore Server zu Microsoft 365 in Azure AD abgeschlossen. Sie können sich vom Ihrem Azure AD-Mandanten abmelden und das Browser-Fenster schließen. Wechseln Sie wieder auf die SeiteVerzeichnisdiensteim MailStore Client, alle weiteren Konfigurationsschritte erfolgen dort.

Synchronisierung der Benutzerdatenbank

Nachdem Sie die Verbindungseinstellungen wie oben beschrieben angegeben haben, können Sie in diesem Abschnitt Filterkriterien für die Synchronisierung mit Microsoft 365 festlegen.

  • Nur Benutzer mit Microsoft Exchange Online Lizenz synchronisieren
    Hierdurch werden bei der Synchronisierung nur Microsoft 365-Benutzerkonten mit zugewiesener Microsoft Exchange Online Lizenz berücksichtigt.
  • Nur aktivierte Benutzer synchronisieren
    Hierdurch werden bei der Synchronisierung nur Microsoft 365-Benutzerkonten berücksichtigt, deren Anmeldung an Microsoft 365 nicht blockiert wurde.
  • Nur diese Gruppen
    Wählen Sie eine oder mehrere Microsoft 365-Sicherheitsgruppen aus, wenn Sie nur deren Mitglieder als MailStore Server-Benutzer anlegen wollen. Dadurch lässt sich verhindern, dass bestimmte Benutzer nach MailStore Server synchronisiert werden.

Optionen

  • Automatisch Benutzer in MailStore Server löschen
    Hier kann gewählt werden, ob Benutzer, die im Microsoft 365-Mandanten gelöscht wurden, durch die Synchro­nisierung auch in der MailStore Server-Benutzerdatenbank automatisch gelöscht werden sollen. Benutzer, die aus dem Betrachtungsbereich der Einstellungen fallen, werden ebenfalls gelöscht.
    Es werden nur MailStore Server-Benutzer gelöscht, deren Authentifizierungs­methode aufVerzeichnisdiensteeingestellt ist.
    Enthält der Archivordner eines solchen Benutzers bereits archivierte E-Mails, wird nur der Benutzereintrag, nicht aber sein Archivordner in MailStore Server gelöscht.

Standard-Berechtigungen festlegen

Benutzer, die aus einem Microsoft 365-Mandanten nach MailStore Server synchronisiert wurden, besitzen standard­mäßig das Recht zum Anmelden am MailStore Server und haben lesenden Zugriff auf ihr eigenes Benutzer­archiv.
Sie haben die Möglichkeit, die Standard-Berechtigungen vor der Synchronisierung anzupassen, um z.B. allen neuen Benutzern das RechtE-Mails archivierenzu geben. Klicken Sie dazu auf die SchaltflächeStandard-Berechtigungen....
Weitere Informationen über die Verwaltung von Benutzerrechten und deren Auswirkungen finden Sie im KapitelBenutzer, Archive und Berechtigungen. Dort finden Sie auch Hinweise zum Anpassen existierender Berechtigungen.

Die Synchronisierung durchführen

Mit Klick aufSync testenkönnen Sie die Synchronisierungseinstellungen und das vom Microsoft 365-Mandanten zurückgelieferte Ergebnis überprüfen, ohne dass Änderungen an der MailStore Server-Benutzerdatenbank durchgeführt werden.

Um die Synchronisierung letztendlich durchzuführen, klicken Sie aufSynchronisieren. Das Ergebnis wird dann mit allen an der MailStore Server-Benutzerdatenbank vollzogenen Änderungen angezeigt.

Office365 sync 02.png

Sie können die Authentifizierung für einen bestimmten Benutzer testen, indem Sie diesen in der Liste auswählen und dann auf die entsprechende Schaltfläche links unten klicken. Geben Sie anschließend das Kennwort dieses Benutzers ein. Sie erhalten eine Rückmeldung, ob die Authentifizierung erfolgreich war.

Michael Angermaier -

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.
Powered by Zendesk