Benutzer im Azure AD mit zu Archivierenden Mail-Adressen
Konfiguration Azure AD
Folgende Schritte sind notwendig:
Im Azure AD muss das Securepoint UMA NG als neue App registriert werden
Folgende Berechtigungen sind erforderlich:
MS-Graph / Delegierte Berechtigung:
User.Read (sollte als Default-Berechtigung bereits existieren)
MS-Graph / Anwendungsberechtigungen:
Group.Read.All
MailboxSettings.Read
User.Read.All
Application.Read.All
Der App muss ein Geheimer Clientschlüssel hinzugefügt werden
Um neben der originären Microsoft Azure E-Mail Adresse weitere Mailadressen zu archivieren, müssen diese im Benutzer-Profil im Azure Active Directory im Abschnitt Kontaktinformationenen als Alternative E-Mail-Adresse hinterlegt werden.
Die Anmeldung des Benutzers bzw. der Benutzerin im Securepoint UMA NG erfolgt dann mit dem Benutzerprinzipalnamen (user pricipal name) und dem dazugehörigen Kennwort aus dem Azure AD.
Option Nur Konten in diesem Organisationsverzeichnis (einzelner Mandant)
Eine Umleitungs-URI ist nicht erforderlich
Schaltfläche Registrieren
Folgende Werte werden im Securepoint UMA später benötigt:
Anwendungs-ID (Client-ID)
Verzeichnis-ID (Mandant)
Client-Secret-ID
Auswahl Menü API-Berechtigungen
Schaltfläche + Berechtigung hinzufügen
Die Berechtigung User.Read vom Typ Delegierte Berechtigung sollte als Default-Berechtigung bereits eingetragen sein
Schaltfläche Microsoft Graph
Schaltfläche Anwendungsberechtigungen
API-Berechtigung Group.Read.All markieren
In der Suchleiste kann die Anzeige der Berechtigungungen eingegrenzt werden. So lässt sich schneller die benötigte Berechtigung finden.
API-Berechtigung MailboxSettings.Read markieren
Die zuvor markierte Berechtigung bleibt auch dann markiert, wenn sie durch einen anderen Begriff in der Suchleiste nicht mehr angezeigt wird
API-Berechtigung User.Read.All markieren
Schaltfläche Berechtigungen hinzufügen
API-Berechtigung Application.Read.All markieren Neu ab 3.1.3
Schaltfläche Berechtigungen hinzufügen
Wurde bisher ohneGlobale Adminstratorberechtigung gearbeitet, ist nun die Zustimmung eines Solchen erforderlich
Administratorberechtigung erteilen
Konfigurierte API-Berechtigungen
Menü Zertifikate & Geheimnisse
Schaltfläche + Neuer geheimer Clientschlüssel
Aussagekräftigen Namen vergeben
Gewünschte Gültigkeitsdauer auswählen Der Geheime Clientschlüssel muss rechtzeitig erneuert werden. Nach Ablauf des Gültigkeitszeitraumes werden keine E-Mails mehr an das UMA zugestellt und Benutzer des UMA DMS können nicht mehr durch das Azure AD authentisiert werden.
Schaltfläche Hinzufügen
Es wird in der Spalte Wert der Client Secret angezeigt
Es wird in der Spalte Geheime ID die Client ID angezeigt
Der Wert Client Secret wird später nicht wieder angezeigt und muss daher an anderer Stelle gesichert werden. Neu ab 3.1.3 Beide Werte werden für die Konfiguration im Securepoint UMA benötigt.
Um neben der originären Microsoft Azure E-Mail Adresse weitere Mailadressen zu archivieren, müssen diese im Benutzer-Profil im Azure Active Directory im Abschnitt Kontaktinformationenen als Alternative E-Mail-Adresse hinterlegt werden.
Die Anmeldung des Benutzers bzw. der Benutzerin im Securepoint UMA NG erfolgt dann mit dem Benutzerprinzipalnamen (user pricipal name) und dem dazugehörigen Kennwort aus dem Azure AD.
Für den Mailbox-Import und Journal-Postfach-Nutzung aus Azure sind zusätzlich konfigurierte Apps im Azure erforderlich.
Hinweis
Dieser Artikel beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite. Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden. Alle Angaben ohne Gewähr.
Um das UMA mit dem OAuth Dienst von Microsoft 365 nutzen zu können, sind folgende Angaben erforderlich:
Mandanten-ID
Anwendungs-ID
Geheimer Wert
In dieser Anleitung wird exemplarisch gezeigt, welche Vorbereitungen und Einstellung in Microsoft Azure erforderlich sind
Azure Active Directory admin center starten
Mandanten-ID im Menü Azure Active Directorynotieren/kopieren
Neue App registrieren unter Menü App-Registrierung Schaltfläche Neue Registrierung
Eindeutigen Namen vergeben und Schaltfläche Registrieren klicken
Im Menü API-Berechtigungen die Schaltfläche Berechtigung hinzufügen klicken
Berechtigung für Office 365 Exchange Online im Reiter Von meiner Organisation verwendete APIs wählen
IMAP.AccessAsApp-Berechtigung für Office 365 Exchange Online hinzufügen
Im Menü API-Berechtigungen den Eintrag Administratorzustimmung für [...] erteilen aktivieren
Im Menü Zertifikate & Geheimnisse ein Geheimen Clientschlüssel erstellen
Wert notieren, wird als Client secret bei Remote E-Mail-Konten und Einzelnes Postfach Importieren eingetragen
Menü Unternehmensanwendungen öffnen und App wählen
Aus den App Eigenschaften Anwendungs-ID und Objekt-IDnotieren
Auf Windows Client Administrator Powershell öffnen, ExchangeOnlineManagement importieren und mit Tenant verbinden
Empfängermailbox im Exchange admin center auswählen und als Delegation Read and manage (Full Access) wählen
Mitglied für Mailbox Delegation hinzufügen
Damit ist die Konfiguration im Microsoft Azure abgeschlossen. Die weitere Konfiguration erfolgt im UMA im Menü Systemeinstellungen Reiter E-Mail Konten Abschnitt Azure AD bzw. im Einrichtungsassistent oder beim Import von Mailboxen.
Die Microsoft Server brauchen ggf. bis zu 30 Minuten, bevor der Zugang funktioniert
In Microsoft Entra sind einige Menupunkte als Untermenupunkte eingerichtet.
Azure Active Directory wählen
Mandanten-ID notieren, wird bei Remote E-Mail-Konten und bei Einzelnes Postfach Importieren eingetragen
Abb.2
Neue App registrieren:
Menü App-Registrierung
Schaltfläche Neue Registrierung
Abb.3
Eindeutigen Namen vergeben
Schaltfläche Registrieren klicken
Abb.4
Es wird eine Zusammenfassung der soeben registrierten App angezeigt
Die hier angezeigte Object ID gehört nicht zur App und wird nicht benötigt!
Menu API-Berechtigungen wählen
Abb.5
Schaltfläche Berechtigung hinzufügen klicken
Abb.6
Reiter Von meiner Organisation verwendete APIs wählen
Berechtigung für Office 365 Exchange Online wählen
Abb.7
Schaltfläche Anwendungsberechtigungen klicken
nach imap suchen
IMAP.AccessAsApp markieren
Schaltfläche Berechtigungen hinzufügen klicken
Abb.8
Erneut Menü API-Berechtigungen auswählen
Eintrag Administratorzustimmung für [...] erteilen auswählen
Schaltfläche Ja anklicken
Abb.9
Administratorzustimmung für [...] erteilen erfolgreich gewährt
Abb.10
Menü Zertifikate & Geheimnisse
Reiter Geheime Clientschlüssel
Eintrag neuer geheimer Clientschlüssel
Eindeutige Beschreibung eingeben
gewünschte Laufzeit wählen (max. 24 Monate)
Schaltfläche Hinzufügen anklicken
Abb.11
Wert notieren, wird als Client secret bei Remote E-Mail-Konten und Einzelnes Postfach Importieren eingetragen
Abb.12
Zurück zum Dashboard, Menü Azure Active Directory
Menü Unternehmensanwendungen
Abb.13
Menü Alle Anwendungen
Securepoint App wählen
Abb.14
Aus den App Eigenschaften notieren:
Anwendungs-ID, wird als Anwendungs-ID bei Remote E-Mail-Konten und Einzelnes Postfach Importieren eingetragen
Objekt-ID, wird für die Vergabe der Berechtigung per Powershell benötigt
Abb.15
Auf einem Windows Client Administrator Powershell öffnen
notempty
ExchangeOnlineManagement Modul installieren
Falls es Probleme beim Installieren des Moduls oder beim Verbinden gibt muss man ggf. Powershell auf TLS 1.2 konfigurieren: >[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
Die Microsoft Server brauchen ggf. bis zu 30 Minuten, bevor der Zugang funktioniert
Die vorbereitende Konfiguration des Azure AD ist damit abgeschlossen
Konfiguration im UMA
Im Einrichtungsassistenten
Beschriftung
Wert
Beschreibung
Azure AD Zugangsdaten im Schritt 3 des Einrichtungsassistenten
Repository Type
Azure AD
Azure Active Directory als Authentifizierungs-Quelle auswählen
Mandant wählen
•••••••
Verzeichnis-ID (Mandant) aus der App-Registrierung im Azure AD
Anwendungs-ID (Client-ID):
•••••••
Anwendungs-ID (Client-ID) aus der App-Registrierung im Azure AD
Geheimer Wert:
•••••
Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse des Azure ADs
Geheime-ID:
•••••
Neu ab 3.1.3Geheime ID des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse des Azure ADs
Azure Cloud:
Azure Cloud Global
Azure Cloud USA
Azure Cloud Deutschland
Azure Cloud China
Auswahl der Azure Cloud, die das AD hostet
Benutzer-Authentifizierungsmethode:
Benutzername und Passwort
Anmeldung im DMS erfolgt ausschließlich mit den Daten aus den oben konfigurierten Benutzer Konten
Single Sign-on
Authentifizierung im DMS über Microsoft Azure. Der Login Dialog bietet hierzu eine Schaltfläche, die zum Microsoft Login führt. Dies ermöglicht z.B. eine Zwei-Faktor-Authentifizierung (2FA)
Single Sign-on oder Benutzername und Passwort
Authentifizierung im DMS mit den Daten aus den oben konfigurierten Benutzer Konten oder über Microsoft Azure. Der Login Dialog bietet die Möglichkeit zur Anmeldung mit Benutzername und Passwort und alternativ eine zusätzliche Schaltfläche, die zum Microsoft Azure Login führt.
Weiter
Überprüft die Zugangsdaten und ruft den nächsten Schritt auf
Im Menu E-Mail Konten
Menu System-Einstellungen / E-Mail Konten
Beschriftung
Wert
Beschreibung
Konfiguration im Admin Interface
Benutzer Repository
Azure AD
Azure Active Directory als Authentifizierungs-Quelle auswählen
Mandant wählen
•••••••
Verzeichnis-ID (Mandant) aus der App-Registrierung im Azure AD
Anwendungs-ID (Client-ID):
•••••••
Anwendungs-ID (Client-ID) aus der App-Registrierung im Azure AD
Geheimer Wert:
•••••
Wert des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse des Azure ADs
Geheime-ID:
•••••
Neu ab 3.1.3Geheime ID des geheimen Clientschlüssels aus dem Abschnitt Zertifikate & Geheimnisse des Azure ADs
Azure Cloud:
Azure Cloud Global
Azure Cloud USA
Azure Cloud Deutschland
Azure Cloud China
Auswahl der Azure Cloud, die das AD hostet
Benutzer-Authentifizierungsmethode:
Benutzername und Passwort
Anmeldung im DMS erfolgt ausschließlich mit den Daten aus den oben konfigurierten Benutzer Konten
Single Sign-on
Authentifizierung im DMS über Microsoft Azure. Der Login Dialog bietet hierzu eine Schaltfläche, die zum Microsoft Login führt. Dies ermöglicht z.B. eine Zwei-Faktor-Authentifizierung (2FA)
Single Sign-on oder Benutzername und Passwort
Authentifizierung im DMS mit den Daten aus den oben konfigurierten Benutzer Konten oder über Microsoft Azure. Der Login Dialog bietet die Möglichkeit zur Anmeldung mit Benutzername und Passwort und alternativ eine zusätzliche Schaltfläche, die zum Microsoft Azure Login führt.
Azure AD Einstellungen Testen
Überprüft die Zugangsdaten und öffnet ein Fenster, in dem alle verfügbaren Benutzerkonten auf dem Server angezeigt werden. Die Listen (Public und Private) lassen sich durchsuchen.
Mit Auswahl dieser Option lässt sich die Archivierung auf einzelne Konten beschränken
Beim Entfernen von Mail-Konten aus der Archivierung ist zu beachten, ob rechtliche Vorschriften zur Aufbewahrung davon berührt sind !
Archivierte Benutzerkonten
Archivierte Benutzerkonten
Abonnements verwalten
Ermöglicht Lese-Berechtigung auf public-Folder
Erweiterte Einstellungen anzeigen Weitere Funktionen nach Aktivieren:
Benutzer bearbeiten
Aktion: Verschieben
Bei einer Verschiebung wird das Archiv-Postfach umbenannt und/ oder der Typ geändert. Dient z.B. dazu,Zugriff auf Archiv-Ordner zu ermöglichen, deren Besitzer im AD inaktiv gesetzt oder gelöscht wurden: Ein privat-Archiv wird zu public geändert. Anschließend kann das Archiv unter Abonnements verwalten einem aktiven Benutzer zugänglich gemacht werden
Dialog Benutzer bearbeiten
Neuer Name:
Neuer Archivname. Wird der Benutzername nicht im Azure-AD geändert, ist kein direkter Zugriff auf das Archiv mehr möglich
Neuer Typ:
Typ des Benutzerpostfaches: private oder public
Begründung:
Die Begründung wird im Log festgehalten und bleibt zeitlich unbefristet einsehbar
Aktion: Zusammenführen
Überträgt die archivierten Mails eines Archiv-Kontos auf ein anderes Archiv-Konto
Existiert das Benutzerkonto weiterhin unverändert im Azure-AD, werden neu eintreffende Mails wieder im ursprünglichen Archiv empfangen
Zusammenführen von Benutzerkonten
Daten übertragen zu:
typ/zielkonto Benutzerkonto, auf das die Mails übertragen werden sollen
Begründung:
Die Begründung wird im Log festgehalten und bleibt zeitlich unbefristet einsehbar
Löschen
Beim Löschen von Mail-Konten aus der Archivierung ist zu beachten, ob rechtliche Vorschriften zur Aufbewahrung davon berührt sind! Um unbeabsichtigte bzw. falsche Löschungen zu verhindern, muss zusätzlich das Administratorpasswort angegeben werden.
Dialog Benutzer löschen
Admin-Passwort überprüfen
LDAP Sucheinstellungen
LDAP Sucheinstellungen
Referrals
LDAP-Referrals stellt einen Verweis auf einen alternativen Standort bereit, an dem eine LDAP-Anfrage verarbeitet werden kann. Eine Aktivierung ist nur in extrem seltenen Fällen sinnvoll und sollte in der Regel vermieden werden.
LDAP Sucheinstellungen
Troubleshooting
Fehlermeldungen bei Testen der Azure AD Einstellungen:
Fehlermeldung
Beschreibung
Unzureichende Berechtigungen, um den Vorgang abzuschließen.
In dem Fall unbedingt prüfen, ob alle Berechtigungen korrekt gesetzt wurden
Der angeforderte Benutzer ist ungültig.
Selbsterklärend. Benutzernamen müssen vorhanden und zulässig sein. Nicht zulässig ist z.B.: '@ttt-point.onmicrosoft.com
Es wurden zu viele Anfragen gestellt. Bitte versuchen Sie es später noch einmal.
Throttling. Passiert nur selten bis niemals. Die Microsoft Graph-API verkraftet sehr viele Requests in kurzer Zeit. Wenn nicht, hilft es, etwas zu warten.
Nicht lizenzierter Benutzer. E-Mails werden erst zugestellt, wenn Sie eine gültige Lizenz zugewiesen haben.
Tritt auf, wenn der abgefragte Account keine gültige Lizenz hat. Das führt dazu, dass das Attribut mailboxSettings nicht abgefragt werden kann. Dies ist erforderlich, um zu prüfen, ob es sich bei dem Account um eine Shared-Mailbox handelt. Kann das Attribut nicht abgefragt werden, ist ungewiss ob der Account nach public oder private archiviert werden muss.
Ein unbekannter Fehler ist aufgetreten.
Dies ist das Fallback, wenn der Fehler nicht identifiziert werden konnte. Das kann in ganz seltenen Fällen passieren. Die Microsoft Graph-API schickt in unglaublich seltenen Situationen kein valides json. Bitte erneut probieren.