Azure Apps mit OAuth für den UTM Mail-Connector

• Anwendungs ID
• Mandanten-ID
• Geheimer Clientschlüssel

In dieser Anleitung wird exemplarisch gezeigt, welche Vorbereitungen und Einstellung in Microsoft Azure erforderlich sind.

• Azure Active Directory admin center starten
• Mandanten-ID im Menü Azure Active Directory notieren/kopieren
• Neue App registrieren unter Menü App-Registrierung Schaltfläche Neue Registrierung
• Eindeutigen Namen vergeben und Schaltfläche Registrieren klicken
• Im Menü API-Berechtigungen die Schaltfläche Berechtigung hinzufügen klicken
• Berechtigung für Office 365 Exchange Online im Reiter Von meiner Organisation verwendete APIs wählen
• IMAP.AccessAsApp-Berechtigung für Office 365 Exchange Online hinzufügen
• Im Menü API-Berechtigungen den Eintrag Administratorzustimmung für [...] erteilen aktivieren
• Im Menü Zertifikate & Geheimnisse ein Geheimen Clientschlüssel erstellen
• Wert notieren, wird beim hinzufügen einer OAuth 2 Verbindung als Geheimer Clientschlüssel eingetragen
• Menü Unternehmensanwendungen öffnen und App wählen
• Aus den App Eigenschaften Anwendungs-ID und Objekt-ID notieren
• Auf Windows Client Administrator Powershell öffnen, ExchangeOnlineManagement importieren und mit Tenant verbinden
• Empfängermailbox im Exchange admin center auswählen und als Delegation Read and manage (Full Access) wählen
• Mitglied für Mailbox Delegation hinzufügen

• Damit ist die Konfiguration im Microsoft Azure abgeschlossen.
  Die weitere Konfiguration erfolgt in der UTM im Menü
  → Anwendungen →Mail-ConnectorReiter Dienste mit der Schaltfläche Mail-Connector-Dienst hinzufügen
  und im Reiter
  OAuth2 mit der Schaltfläche OAuth2 Verbindung hinzufügen
• Die Microsoft Server brauchen ggf. bis zu 30 Minuten, bevor der Zugang funktioniert

1.	2.	3.

Abb.1	Abb.2	Abb.3

Abbildungen

Abb.1

• Anmelden unter Portal Azure oder Microsoft Entra
  In Microsoft Entra sind einige Menupunkte als Untermenupunkte eingerichtet.
• Menü Azure Active Directory wählen
• Mandanten-ID notieren, wird beim hinzufügen einer OAuth 2 Verbindung eingetragen

Abb.2

Neue App registrieren:

Menü App-Registrierung

Schaltfläche Neue Registrierung

Abb.3

Eindeutigen Namen vergeben

Schaltfläche Registrieren klicken

Abb.4

Es wird eine Zusammenfassung der soeben registrierten App angezeigt

Die hier angezeigte Object ID gehört nicht zur App und wird nicht benötigt!

Menu API-Berechtigungen wählen

Abb.5

Schaltfläche Berechtigung hinzufügen klicken

Abb.6

Reiter Von meiner Organisation verwendete APIs wählen

Berechtigung für Office 365 Exchange Online wählen

Abb.7

Schaltfläche Anwendungsberechtigungen klicken

nach imap suchen

IMAP.AccessAsApp markieren

Schaltfläche Berechtigungen hinzufügen klicken

Abb.8

Erneut Menü API-Berechtigungen auswählen

Eintrag Administratorzustimmung für [...] erteilen auswählen

Schaltfläche Ja anklicken

Abb.9

Administratorzustimmung für [...] erteilen erfolgreich gewährt

Abb.10

Menü Zertifikate & Geheimnisse

Reiter Geheime Clientschlüssel

Eintrag neuer geheimer Clientschlüssel

Eindeutige Beschreibung eingeben

gewünschte Laufzeit wählen (max. 24 Monate)

Schaltfläche Hinzufügen anklicken

Abb.11

Wert notieren, wird beim hinzufügen einer OAuth 2 Verbindung als Geheimer Clientschlüssel eingetragen

Abb.12

Zurück zum Dashboard, Menü Azure Active Directory

Menü Unternehmensanwendungen

Abb.13

Menü Alle Anwendungen

Securepoint App wählen

Abb.14

Aus den App Eigenschaften notieren:

Anwendungs-ID, wird beim hinzufügen einer OAuth 2 Verbindung als Anwendungs-ID eingetragen

Objekt-ID, wird für die Vergabe der Berechtigung per Powershell benötigt

Abb.15

Auf einem Windows Client Administrator Powershell öffnen

notempty

• ExchangeOnlineManagement Modul installieren
  Falls es Probleme beim Installieren des Moduls oder beim Verbinden gibt muss man ggf. Powershell auf TLS 1.2 konfigurieren:
  >[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
  • > Install-Module -Name ExchangeOnlineManagement -allowprerelease

• ExchangeOnlineManagement importieren und mit Tenant verbinden:
  • > Import-Module ExchangeOnlineManagement
  • > Connect-ExchangeOnline -Organization Mandanten-ID (Siehe Abb.1)
• Neuen Dienst Prinzipal anlegen und eindeutigen Namen vergeben:
  • > New-ServicePrincipal -DisplayName SecurepointServicePrincipal -AppId Enterprise-oApp-ooID-oooo-oooooooo -ServiceId Enterprise-oObj-ooID-oooo-oooooooo
  • Bei Enterprise-oApp-ooID-oooo-oooooooo die Anwendungs-ID und bei Enterprise-oObj-ooID-oooo-oooooooo die Objekt-ID (siehe Abb. 14) eintragen
• Im Anschluss Mailbox Permissions vergeben:
  • > Add-MailboxPermission -Identity alice@anyideas.onmicrosoft.com -User SecurepointServicePrincipal -AccessRights FullAccess

Abb.16

Exchange admin center öffnen

Menü Recipients / Mailboxes auswählen

Mailbox auswählen

Reiter Delegation wählen

Delegation Read and manage (Full Access) mit Schaltfläche Edit wählen

Abb.17

Nach dem vorher per Powershell erstellten Dienst Prinzipal suchen und Speichern