Wechseln zu:Navigation, Suche
Wiki

UMA/AD/Azure-Benutzer v3.1: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
K Lauritzl verschob die Seite UMA/AD/Azure-Benutzer nach UMA/AD/Azure-Benutzer v3.1, ohne dabei eine Weiterleitung anzulegen
KKeine Bearbeitungszusammenfassung
Zeile 3: Zeile 3:


{{#vardefine:headerIcon|spicon-uma}}
{{#vardefine:headerIcon|spicon-uma}}
{{:UMA/AD/Azure-Benutzer.lang}}
{{:UMA/AD/Azure-Benutzer.lang v3.1}}




Version vom 14. September 2021, 11:35 Uhr




























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden

















































Konfiguration im Azure AD, um mit dem UMA auf dessen Benutzer zugreifen zu können

Neu:

  • Neue Funktion Neu ab UMA NG 3.1


Letzte Anpassung zur Version: 3.1 (04.2021)



Voraussetzungen

  • Benutzer im Azure AD mit zu Archivierenden Mail-Adressen

Konfiguration Azure AD

Folgende Schritte sind notwendig:

  • Im Azure AD muss das Securepoint UMA NG als neue App registriert werden
  • Folgende Berechtigungen sind erforderlich:

    • MS-Graph / Delegierte Berechtigung:
      • User.Read (sollte als Default-Berechtigung bereits existieren)
    • MS-Graph / Anwendungsberechtigungen:
      • Group.Read.All
      • MailboxSettings.Read
      • User.Read.All
  • Der App muss ein Geheimer Clientschlüssel hinzugefügt werden
  • Um neben der originären Microsoft Azure E-Mail Adresse weitere Mailadressen zu archivieren, müssen diese im Benutzer-Profil im Azure Active Directory im Abschnitt Kontaktinformationenen als Alternative E-Mail-Adresse hinterlegt werden.

    Die Anmeldung des Benutzers bzw. der Benutzerin im Securepoint UMA NG erfolgt dann mit dem Benutzerprinzipalnamen (user pricipal name) und dem dazugehörigen Kennwort aus dem Azure AD.





1. 2. 3.
Abb.1 Abb.2 Abb.3
Abbildungen













Menü App-Registrierungen
Schaltfläche + Neue Registrierung
  • Aussagekräftigen Namen vergeben
  • Option Nur Konten in diesem Organisationsverzeichnis (einzelner Mandant)
  • Eine Umleitungs-URI ist nicht erforderlich
  • Schaltfläche Registrieren
  • Folgende Werte werden im Securepoint UMA später benötigt:
    • Anwendungs-ID (Client)
    • Verzeichnis-ID (Mandant)
    • Auswahl Menü API-Berechtigungen
  • Schaltfläche + Berechtigung hinzufügen
  • Die Berechtigung User.Read vom Typ Delegierte Berechtigung sollte als Default-Berechtigung bereits eingetragen sein.
  • Schaltfläche Microsoft Graph
  • Schaltfläche Anwendungsberechtigungen
  • API-Berechtigung Group.Read.All markieren
  • In der Suchleiste kann die Anzeige der Berechtigungungen eingegrenzt werden.
    Sol lässt sich schneller die benötigte Berechtigung finden.
    • API-Berechtigung MailboxSettings.Read markieren
  • Die zuvor markierte Berechtigung bleibt auch dann markiert, wenn sie durch einen anderen Begriff in der Suchleiste nicht mehr angezeigt wird
    • API-Berechtigung User.Read.All markieren
    • Schaltfläche Berechtigungen hinzufügen
  • Wurde bisher ohne Globale Adminstratorberechtigung gearbeitet, ist nun die Zustimmung eines Solchen erforderlich
  • Adminstratorberechtigung erteilen
  • Konfigurierte API-Berechtigungen
  • Menü Zertifikate & Geheimnisse
  • Schaltfläche + Neuer geheimer Clientschlüssel
  • Aussagekräftigen Namen vergeben
  • Gewünschte Gültigskeitsdauer auswählen
    Der Geheime Clientschlüssel muss rechtzeitig erneuert werden. Nach Ablauf des Gültigkeitszeitraumes werden keine E-Mails mehr an das UMA zugestellt und Benutzer des UMA DMS können nicht mehr durch das Azure AD authentisiert werden.
  • Schaltfläche Hinzufügen
  • Es wird in der Spalte Wert der Client Secret angezeigt
  • Dieser Wert wird später nicht wieder angezeigt und muss daher an anderer Stelle gesichert werden.
    Er wird für die Konfiguration im Securepoint UMA benötigt.
    • Um neben der originären Microsoft Azure E-Mail Adresse weitere Mailadressen zu archivieren, müssen diese im Benutzer-Profil im Azure Active Directory im Abschnitt Kontaktinformationenen als Alternative E-Mail-Adresse hinterlegt werden.

      Die Anmeldung des Benutzers bzw. der Benutzerin im Securepoint UMA NG erfolgt dann mit dem Benutzerprinzipalnamen (user pricipal name) und dem dazugehörigen Kennwort aus dem Azure AD.

    Die vorbereitende Konfiguration des Azure AD ist damit abgeschlossen


    Konfiguration im UMA

    Im Einrichtungsassistenten

    Beschriftung Wert Beschreibung
    Azure AD Zugangsdaten im Schritt 3 des Einrichtungsassistenten
    Repository Type Azure AD Azure Active Directory als Authentifizierungs-Quelle auswählen
    Mandant: ••••••• Verzeichnis-ID (Mandant) aus der App-Registrierung im Azure AD
    Client-ID: ••••••• Anwendungs-ID (Client) aus der App-Registrierung im Azure AD
    Client-Secret: ••••• Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse des Azure ADs
    Azure Cloud: Azure Cloud Global

    Azure Cloud USA

    Azure Cloud Deutschland

    Azure Cloud China    		 Auswahl der Azure Cloud, die das AD hostet.
    Weiter Überprüft die Zugangsdaten und ruft den nächsten Schritt auf.


    Im Menu E-Mail Konten

    Menu System-Einstellungen / E-Mail Konten
    Beschriftung Wert Beschreibung
    Konfiguration im Admin Interface
    Benutzer Repository Azure AD Azure Active Directory als Authentifizierungs-Quelle auswählen
    Mandant: ••••••• Verzeichnis-ID (Mandant) aus der App-Registrierung im Azure AD
    Client-ID: ••••••• Anwendungs-ID (Client) aus der App-Registrierung im Azure AD
    Client-Secret: ••••• Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse des Azure ADs
    Azure Cloud: Azure Cloud Global

    Azure Cloud USA

    Azure Cloud Deutschland

    Azure Cloud China    		 Auswahl der Azure Cloud, die das AD hostet.
    Azure AD Einstellungen Testen Überprüft die Zugangsdaten und öffnet ein Fenster, in dem alle verfügbaren Benutzerkonten auf dem Server angezeigt werden. Die Listen (Public und Private) lassen sich durchsuchen.
    Benutzerkonten auf dem Server


    Troubleshooting

    Fehlermeldungen bei Testen der Azure AD Einstellungen:


    Fehlermeldung Beschreibung
    Unzureichende Berechtigungen, um den Vorgang abzuschließen. In dem Fall unbedingt prüfen, ob alle Berechtigungen korrekt gesetzt wurden
    Der angeforderte Benutzer ist ungültig. Selbsterklärend. Benutzernamen müssen vorhanden und zulässig sein.
    Nicht zulässig ist z.B.: '@ttt-point.onmicrosoft.com
    Es wurden zu viele Anfragen gestellt. Bitte versuchen Sie es später noch einmal. Throttling. Passiert nur selten bis niemals. Die Microsoft Graph-API verkraftet sehr viele Requests in kurzer Zeit. Wenn nicht, hilft es, etwas zu warten.
    Nicht lizenzierter Benutzer. E-Mails werden erst zugestellt, wenn Sie eine gültige Lizenz zugewiesen haben. Tritt auf, wenn der abgefragte Account keine gültige Lizenz hat. Das führt dazu, dass das Attribut mailboxSettings nicht abgefragt werden kann. Dies ist erforderlich, um zu prüfen, ob es sich bei dem Account um eine Shared-Mailbox handelt. Kann das Attribut nicht abgefragt werden ist ungewiss ob der Account nach public oder private archiviert werden muss.
    Ein unbekannter Fehler ist aufgetreten. Dies ist das Fallback, wenn der Fehler nicht identifiziert werden konnte. Das kann in ganz seltenen Fällen passieren. Die Microsoft Graph-API schickt in unglaublich seltenen Situationen kein valides json. Bitte erneut probieren.
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UMA/AD/Azure-Benutzer_v3.1&oldid=80239