Benutzerverwaltung auf dem UMA
Benutzerverwaltung
Die Benutzerverwaltung auf dem UMA unterscheidet sich, je nach verwendeter Quelle der Benutzerdaten (Repository):
Benutzer aus einem Azure AD
Benutzerauthentifizierung erfolgt durch ein Microsoft Azure Active Directory
Voraussetzungen
- Benutzer im Azure AD mit zu Archivierenden Mail-Adressen
Konfiguration Azure AD
Folgende Schritte sind notwendig:
- Im Azure AD muss das Securepoint UMA NG als neue App registriert werden
- Folgende Berechtigungen sind erforderlich:
- MS-Graph / Delegierte Berechtigung:
- User.Read (sollte als Default-Berechtigung bereits existieren)
- MS-Graph / Anwendungsberechtigungen:
- Group.Read.All
- MailboxSettings.Read
- User.Read.All
- Application.Read.All
- MS-Graph / Delegierte Berechtigung:
- Der App muss ein Geheimer Clientschlüssel hinzugefügt werden
- Um neben der originären Microsoft Azure E-Mail Adresse weitere Mailadressen zu archivieren, müssen diese im Benutzer-Profil im Azure Active Directory im Abschnitt Kontaktinformationenen als Alternative E-Mail-Adresse hinterlegt werden.
Die Anmeldung des Benutzers bzw. der Benutzerin im Securepoint UMA NG erfolgt dann mit dem Benutzerprinzipalnamen (user pricipal name) und dem dazugehörigen Kennwort aus dem Azure AD.
Abb.1
- Aufruf des Azure Dashboards oder des Microsoft 365 Portals
- Menü Azure Active Directory
Abb.2
Menü App-Registrierungen
Abb.3
Schaltfläche + Neue Registrierung
Abb.4
- Aussagekräftigen Namen vergeben
- Option Nur Konten in diesem Organisationsverzeichnis (einzelner Mandant)
- Eine Umleitungs-URI ist nicht erforderlich
- Schaltfläche Registrieren
Abb.5
- Folgende Werte werden im Securepoint UMA später benötigt:
- Anwendungs-ID (Client-ID)
- Verzeichnis-ID (Mandant)
- Client-Secret-ID
- Auswahl Menü API-Berechtigungen
Abb.6
- Schaltfläche + Berechtigung hinzufügen
- Die Berechtigung User.Read vom Typ Delegierte Berechtigung sollte als Default-Berechtigung bereits eingetragen sein
Abb.7
- Schaltfläche Microsoft Graph
Abb.8
- Schaltfläche Anwendungsberechtigungen
Abb.9
- API-Berechtigung Group.Read.All markieren
So lässt sich schneller die benötigte Berechtigung finden.
Abb.10
- API-Berechtigung MailboxSettings.Read markieren
Abb.11
- API-Berechtigung User.Read.All markieren
- Schaltfläche Berechtigungen hinzufügen
Abb.12
- API-Berechtigung Application.Read.All markieren Neu ab 3.1.3
- Schaltfläche Berechtigungen hinzufügen
Abb.13
Abb.14
- Administratorberechtigung erteilen
Abb.15
- Konfigurierte API-Berechtigungen
Abb.16
- Zurück zum Dashboard, Menu Azure Active Directory
- Menü Authentication
- Eintrag Add a platform
- Bei Configure platforms auf Single-page application klicken
Abb.17
- Unter Redirect URIs entweder den Hostnamen oder die IP-Adresse des UMA eintragen
- Schaltfläche Configure anklicken
Abb.18
- Menü Zertifikate & Geheimnisse
Abb.19
- Schaltfläche + Neuer geheimer Clientschlüssel
Abb.20
- Aussagekräftigen Namen vergeben
- Gewünschte Gültigkeitsdauer auswählen
Der Geheime Clientschlüssel muss rechtzeitig erneuert werden. Nach Ablauf des Gültigkeitszeitraumes werden keine E-Mails mehr an das UMA zugestellt und Benutzer des UMA DMS können nicht mehr durch das Azure AD authentisiert werden. - Schaltfläche Hinzufügen
Abb.21
- Es wird in der Spalte Wert der Client Secret angezeigt
- Es wird in der Spalte Geheime ID die Client ID angezeigt
Neu ab 3.1.3 Beide Werte werden für die Konfiguration im Securepoint UMA benötigt.
Abb.22
- Um neben der originären Microsoft Azure E-Mail Adresse weitere Mailadressen zu archivieren, müssen diese im Benutzer-Profil im Azure Active Directory im Abschnitt Kontaktinformationenen als Alternative E-Mail-Adresse hinterlegt werden.
Die Anmeldung des Benutzers bzw. der Benutzerin im Securepoint UMA NG erfolgt dann mit dem Benutzerprinzipalnamen (user pricipal name) und dem dazugehörigen Kennwort aus dem Azure AD.
Für den Mailbox-Import und Journal-Postfach-Nutzung aus Azure sind zusätzlich konfigurierte Apps im Azure erforderlich.
Dieser Artikel beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite.
Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
Alle Angaben ohne Gewähr.
- Mandanten-ID
- Anwendungs-ID
- Geheimer Wert
- Azure Active Directory admin center starten
- Mandanten-ID im Menü Azure Active Directory notieren/kopieren
- Neue App registrieren unter Menü App-Registrierung Schaltfläche Neue Registrierung
- Eindeutigen Namen vergeben und Schaltfläche Registrieren klicken
- Im Menü API-Berechtigungen die Schaltfläche Berechtigung hinzufügen klicken
- Berechtigung für Office 365 Exchange Online im Reiter Von meiner Organisation verwendete APIs wählen
- IMAP.AccessAsApp-Berechtigung für Office 365 Exchange Online hinzufügen
- Im Menü API-Berechtigungen den Eintrag Administratorzustimmung für [...] erteilen aktivieren
- Im Menü Zertifikate & Geheimnisse ein Geheimen Clientschlüssel erstellen
- Wert notieren, wird als Client secret bei Remote E-Mail-Konten und Einzelnes Postfach Importieren eingetragen
- Menü Unternehmensanwendungen öffnen und App wählen
- Aus den App Eigenschaften Anwendungs-ID und Objekt-ID notieren
- Auf Windows Client Administrator Powershell öffnen, ExchangeOnlineManagement importieren und mit Tenant verbinden
- Empfängermailbox im Exchange admin center auswählen und als Delegation Read and manage (Full Access) wählen
- Mitglied für Mailbox Delegation hinzufügen
- Damit ist die Konfiguration im Microsoft Azure abgeschlossen.
Die weitere Konfiguration erfolgt im UMA im Menü
Systemeinstellungen Reiter E-Mail Konten Abschnitt Azure AD bzw. im Einrichtungsassistent oder beim Import von Mailboxen. - Die Microsoft Server brauchen ggf. bis zu 30 Minuten, bevor der Zugang funktioniert
Abb.1
- Anmelden unter Portal Azure oder Microsoft EntraIn Microsoft Entra sind einige Menupunkte als Untermenupunkte eingerichtet.
- Azure Active Directory wählen
- Mandanten-ID notieren, wird bei Remote E-Mail-Konten und bei Einzelnes Postfach Importieren eingetragen
Abb.2
Neue App registrieren:
- Menü App-Registrierung
- Schaltfläche Neue Registrierung
Abb.3
- Eindeutigen Namen vergeben
- Schaltfläche Registrieren klicken
Abb.4
Es wird eine Zusammenfassung der soeben registrierten App angezeigt
- Die hier angezeigte Object ID gehört nicht zur App und wird nicht benötigt!
- Menu API-Berechtigungen wählen
Abb.5
- Schaltfläche Berechtigung hinzufügen klicken
Abb.6
- Reiter Von meiner Organisation verwendete APIs wählen
- Berechtigung für Office 365 Exchange Online wählen
Abb.7
- Schaltfläche Anwendungsberechtigungen klicken
- nach imap suchen
- IMAP.AccessAsApp markieren
- Schaltfläche Berechtigungen hinzufügen klicken
Abb.8
- Erneut Menü API-Berechtigungen auswählen
- Eintrag Administratorzustimmung für [...] erteilen auswählen
- Schaltfläche Ja anklicken
Abb.9
Administratorzustimmung für [...] erteilen erfolgreich gewährt
Abb.10
- Menü Zertifikate & Geheimnisse
- Reiter Geheime Clientschlüssel
- Eintrag neuer geheimer Clientschlüssel
- Eindeutige Beschreibung eingeben
- gewünschte Laufzeit wählen (max. 24 Monate)
- Schaltfläche Hinzufügen anklicken
Abb.11
Wert notieren, wird als Client secret bei Remote E-Mail-Konten und Einzelnes Postfach Importieren eingetragen
Abb.12
- Zurück zum Dashboard, Menü Azure Active Directory
- Menü Unternehmensanwendungen
Abb.13
- Menü Alle Anwendungen
- Securepoint App wählen
Abb.14
Aus den App Eigenschaften notieren:
- Anwendungs-ID, wird als Anwendungs-ID bei Remote E-Mail-Konten und Einzelnes Postfach Importieren eingetragen
- Objekt-ID, wird für die Vergabe der Berechtigung per Powershell benötigt
Abb.15
- Auf einem Windows Client Administrator Powershell öffnen
- ExchangeOnlineManagement Modul installieren Falls es Probleme beim Installieren des Moduls oder beim Verbinden gibt muss man ggf. Powershell auf TLS 1.2 konfigurieren:
>[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12- > Install-Module -Name ExchangeOnlineManagement -allowprerelease
- ExchangeOnlineManagement importieren und mit Tenant verbinden:
- > Import-Module ExchangeOnlineManagement
- > Connect-ExchangeOnline -Organization Mandanten-ID (Siehe Abb.1)
- Neuen Dienst Prinzipal anlegen und eindeutigen Namen vergeben:
- > New-ServicePrincipal -DisplayName SecurepointServicePrincipal -AppId Enterprise-oApp-ooID-oooo-oooooooo -ServiceId Enterprise-oObj-ooID-oooo-oooooooo
- Bei Enterprise-oApp-ooID-oooo-oooooooo die Anwendungs-ID und bei Enterprise-oObj-ooID-oooo-oooooooo die Objekt-ID (siehe Abb. 14) eintragen
- Im Anschluss Mailbox Permissions vergeben:
- > Add-MailboxPermission -Identity alice@anyideas.onmicrosoft.com -User SecurepointServicePrincipal -AccessRights FullAccess
Die Microsoft Server brauchen ggf. bis zu 30 Minuten, bevor der Zugang funktioniert
Die vorbereitende Konfiguration des Azure AD ist damit abgeschlossen
Konfiguration im UMA
Im Einrichtungsassistenten
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Repository Type | Azure Active Directory als Authentifizierungs-Quelle auswählen | ||
| Verzeichnis-ID (Mandanten-ID): | ••••••• | Verzeichnis-ID (Mandant) aus der App-Registrierung im Azure AD | |
| Anwendungs-ID (Client-ID): | ••••••• | Anwendungs-ID (Client-ID) aus der App-Registrierung im Azure AD | |
| Geheimer Wert: | ••••• | Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse des Azure ADs | |
| Geheime-ID: | ••••• | Neu ab 3.1.3 Geheime ID des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse des Azure ADs | |
| Azure Cloud: | Steht ab UMA Version 3.3.4 nicht mehr zur Verfügung. Microsoft hat die Azure Cloud Deutschland geschlossen. |
Auswahl der Azure Cloud, die das AD hostet | |
| Benutzer-Authentifizierungsmethode: |
Anmeldung im DMS erfolgt ausschließlich mit den Daten aus den oben konfigurierten Benutzer Konten | ||
| |
Authentifizierung im DMS über Microsoft Azure. Der Login Dialog bietet hierzu eine Schaltfläche, die zum Microsoft Login führt. Dies ermöglicht z.B. eine Zwei-Faktor-Authentifizierung (2FA) | ||
| |
Authentifizierung im DMS mit den Daten aus den oben konfigurierten Benutzer Konten oder über Microsoft Azure. Der Login Dialog bietet die Möglichkeit zur Anmeldung mit Benutzername und Passwort und alternativ eine zusätzliche Schaltfläche, die zum Microsoft Azure Login führt. | ||
| Überprüft die Zugangsdaten und ruft den nächsten Schritt auf | |||
Im Menu E-Mail Konten
Menu System-Einstellungen / E-Mail Konten
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Benutzer Repository | Azure Active Directory als Authentifizierungs-Quelle auswählen | ||
| Verzeichnis-ID (Mandanten-ID): | ••••••• | Verzeichnis-ID (Mandant) aus der App-Registrierung im Azure AD | |
| Anwendungs-ID (Client-ID): | ••••••• | Anwendungs-ID (Client-ID) aus der App-Registrierung im Azure AD | |
| Geheimer Wert: | ••••• | Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse des Azure ADs | |
| Geheime-ID: | ••••• | Neu ab 3.1.3 Geheime ID des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse des Azure ADs | |
| Azure Cloud: | Steht ab UMA Version 3.3.4 nicht mehr zur Verfügung. Microsoft hat die Azure Cloud Deutschland geschlossen. |
Auswahl der Azure Cloud, die das AD hostet | |
| Benutzer-Authentifizierungsmethode: |
Benutzername und Passwort | Anmeldung im DMS erfolgt ausschließlich mit den Daten aus den oben konfigurierten Benutzer Konten | |
| Single Sign-on |
Authentifizierung im DMS über Microsoft Azure. Der Login Dialog bietet hierzu eine Schaltfläche, die zum Microsoft Login führt. Dies ermöglicht z.B. eine Zwei-Faktor-Authentifizierung (2FA) | ||
| Single Sign-on oder Benutzername und Passwort |
Authentifizierung im DMS mit den Daten aus den oben konfigurierten Benutzer Konten oder über Microsoft Azure. Der Login Dialog bietet die Möglichkeit zur Anmeldung mit Benutzername und Passwort und alternativ eine zusätzliche Schaltfläche, die zum Microsoft Azure Login führt. | ||
| Überprüft die Zugangsdaten und öffnet ein Fenster, in dem alle verfügbaren Benutzerkonten auf dem Server angezeigt werden. Die Listen (Public und Private) lassen sich durchsuchen. |  | ||
Auswahl einzelner Konten (nur einzelne Konten archivieren) Auswahl einzelner Konten (nur einzelne Konten archivieren)
| |||
| Manuelle Auswahl aktivieren | Mit Auswahl dieser Option lässt sich die Archivierung auf einzelne Konten beschränken |
 | |
Archivierte Benutzerkonten Archivierte Benutzerkonten
| |||
Abonnements verwalten
|
Ermöglicht Lese-Berechtigung auf public-Folder  |
 | |
| Erweiterte Einstellungen anzeigen Weitere Funktionen nach Aktivieren: Benutzer bearbeiten
| |||
| Aktion: Verschieben |
Bei einer Verschiebung wird das Archiv-Postfach umbenannt und/ oder der Typ geändert. Dient z.B. dazu,Zugriff auf Archiv-Ordner zu ermöglichen, deren Besitzer im AD inaktiv gesetzt oder gelöscht wurden: Ein privat-Archiv wird zu public geändert. Anschließend kann das Archiv unter Abonnements verwalten einem aktiven Benutzer zugänglich gemacht werden |
 | |
| Neuer Name: | Neuer Archivname. Wird der Benutzername nicht im Azure-AD geändert, ist kein direkter Zugriff auf das Archiv mehr möglich | ||
| Neuer Typ: | Typ des Benutzerpostfaches: private oder public | ||
| Begründung: | Die Begründung wird im Log festgehalten und bleibt zeitlich unbefristet einsehbar | ||
| Aktion: Zusammenführen |
Überträgt die archivierten Mails eines Archiv-Kontos auf ein anderes Archiv-Konto |
 | |
| Daten übertragen zu: | Benutzerkonto, auf das die Mails übertragen werden sollen | ||
| Begründung: | Die Begründung wird im Log festgehalten und bleibt zeitlich unbefristet einsehbar | ||
| Löschen | Beim Löschen von Mail-Konten aus der Archivierung ist zu beachten, ob rechtliche Vorschriften zur Aufbewahrung davon berührt sind! Um unbeabsichtigte bzw. falsche Löschungen zu verhindern, muss zusätzlich das Administratorpasswort angegeben werden. |
  | |
LDAP Sucheinstellungen LDAP Sucheinstellungen
| |||
| Referrals | LDAP-Referrals stellt einen Verweis auf einen alternativen Standort bereit, an dem eine LDAP-Anfrage verarbeitet werden kann. Eine Aktivierung ist nur in extrem seltenen Fällen sinnvoll und sollte in der Regel vermieden werden. |
 | |
|
| |||
Troubleshooting
Fehlermeldungen bei Testen der Azure AD Einstellungen:
| Fehlermeldung | Beschreibung |
|---|---|
| Unzureichende Berechtigungen, um den Vorgang abzuschließen. | In dem Fall unbedingt prüfen, ob alle Berechtigungen korrekt gesetzt wurden |
| Der angeforderte Benutzer ist ungültig. | Selbsterklärend. Benutzernamen müssen vorhanden und zulässig sein. Nicht zulässig ist z.B.: '@ttt-point.onmicrosoft.com |
| Es wurden zu viele Anfragen gestellt. Bitte versuchen Sie es später noch einmal. | Throttling. Passiert nur selten bis niemals. Die Microsoft Graph-API verkraftet sehr viele Requests in kurzer Zeit. Wenn nicht, hilft es, etwas zu warten. |
| Nicht lizenzierter Benutzer. E-Mails werden erst zugestellt, wenn Sie eine gültige Lizenz zugewiesen haben. | Tritt auf, wenn der abgefragte Account keine gültige Lizenz hat. Das führt dazu, dass das Attribut mailboxSettings nicht abgefragt werden kann. Dies ist erforderlich, um zu prüfen, ob es sich bei dem Account um eine Shared-Mailbox handelt. Kann das Attribut nicht abgefragt werden, ist ungewiss ob der Account nach public oder private archiviert werden muss. |
| Ein unbekannter Fehler ist aufgetreten. | Dies ist das Fallback, wenn der Fehler nicht identifiziert werden konnte. Das kann in ganz seltenen Fällen passieren. Die Microsoft Graph-API schickt in unglaublich seltenen Situationen kein valides json. Bitte erneut probieren. |
Benutzer aus einem Windows AD
Benutzerauthentifizierung erfolgt durch ein Microsoft Active Directory mit einem eigenen DC
Benutzer Repository Benutzer Repository
| |||
| Auswahl des gewünschten Benutzer Repositorys | |||
Windows Domänenmitgliedschaft Windows Domänenmitgliedschaft
| |||
| Windows Domäne: | ttt-point.local | Die entsprechende Domäne, in der sich das Active Directory befindet |  |
| NetBIOS-Name: | ttt-point | NetBIOS-Name der Domäne (muss der mit Arbeitsgruppe übereinstimmen) | |
| IP oder Hostname des DC: | »dc-001-ttt-point.local | Adresse des Domaincontrollers im Netz des UMA | |
| LDAP Kommunikationssicherheit: | |||
| Active Directory Root CA: | Pubkey der Root CA, falls erforderlich | ||
| Benutzername: Passwort: |
ttt-user ••••• |
Der hier angegebene AD Benutzer braucht nur Berechtigungen für eine LDAP Suche, administrative Rechte werden nicht benötigt. | |
| Die Einstellungen werden überprüft und es wird ein Fenster eingeblendet mit den Benutzerkonten, die auf dem Server verfügbar sind |  | ||
Zusätzliche Werkzeuge Zusätzliche Werkzeuge
| |||
| Computerkonto verwalten | Sollte eine LDAP Suche nicht erfolgreich sein, kann ein Computerkonto für die Authentifizierung auf der Active Directory Domäne erstellt werden. | ||
| Testen, ob der UMA Hostname aufgelöst werden kann | Überprüft, ob der UMA-Hostname im DNS aufgelöst werden kann
| ||
Auswahl einzelner Konten (nur einzelne Konten archivieren) Auswahl einzelner Konten (nur einzelne Konten archivieren)
| |||
| Manuelle Auswahl aktivieren | Mit Auswahl dieser Option lässt sich die Archivierung auf einzelne Konten beschränken |
| |
Archivierte Benutzerkonten Archivierte Benutzerkonten
| |||
Abonnements verwalten
|
Ermöglicht Lese-Berechtigung auf public-Folder |
| |
| Erweiterte Einstellungen anzeigen Weitere Funktionen nach Aktivieren: Benutzer bearbeiten
| |||
| Aktion: Verschieben |
Bei einer Verschiebung wird das Archiv-Postfach umbenannt und/ oder der Typ geändert. Dient z.B. dazu,Zugriff auf Archiv-Ordner zu ermöglichen, deren Besitzer im AD inaktiv gesetzt oder gelöscht wurden: Ein privat-Archiv wird zu public geändert. Anschließend kann das Archiv unter Abonnements verwalten einem aktiven Benutzer zugänglich gemacht werden |
| |
| Neuer Name: | Neuer Archivname. Wird der Benutzername nicht im AD geändert, ist kein direkter Zugriff auf das Archiv mehr möglich | ||
| Neuer Typ: | Typ des Benutzerpostfaches: private oder public | ||
| Begründung: | Die Begründung wird im Log festgehalten und bleibt zeitlich unbefristet einsehbar | ||
| Aktion: Zusammenführen |
Überträgt die archivierten Mails eines Archiv-Kontos auf ein anderes Archiv-Konto |
| |
| Daten übertragen zu: | Benutzerkonto, auf das die Mails übertragen werden sollen | ||
| Begründung: | Die Begründung wird im Log festgehalten und bleibt zeitlich unbefristet einsehbar | ||
| Löschen | Beim Löschen von Mail-Konten aus der Archivierung ist zu beachten, ob rechtliche Vorschriften zur Aufbewahrung davon berührt sind! Um unbeabsichtigte bzw. falsche Löschungen zu verhindern, muss zusätzlich das Administratorpasswort angegeben werden. |
| |
LDAP Sucheinstellungen LDAP Sucheinstellungen
| |||
| Referrals | LDAP-Referrals stellt einen Verweis auf einen alternativen Standort bereit, an dem eine LDAP-Anfrage verarbeitet werden kann. Eine Aktivierung ist nur in extrem seltenen Fällen sinnvoll und sollte in der Regel vermieden werden. |
| |
|
| |||
Benutzer aus einem LDAP
Benutzerauthentifizierung erfolgt durch einen anderen LDAP Server
Lokale Benutzerverwaltung auf dem UMA
Benutzerauthentifizierung erfolgt durch eine lokale Datenbank auf dem UMA.
Ein Import per .csv-Datei ist möglich.
