Azure Apps mit OAuth für das UMA

• Tenant ID
• Client-ID
• Client secret

In dieser Anleitung wird exemplarisch gezeigt, welche Vorbereitungen und Einstellung in Microsoft Azure erforderlich sind

• Azure Active Directory admin center starten
• Mandanten-ID im Menü Azure Active Directory notieren/kopieren
• Neue App registrieren unter Menü App-Registrierung Schaltfläche Neue Registrierung
• Eindeutigen Namen vergeben und Schaltfläche Registrieren klicken
• Im Menü API-Berechtigungen die Schaltfläche Berechtigung hinzufügen klicken
• Berechtigung für Office 365 Exchange Online im Reiter Von meiner Organisation verwendete APIs wählen
• IMAP.AccessAsApp-Berechtigung für Office 365 Exchange Online hinzufügen
• Im Menü API-Berechtigungen den Eintrag Administratorzustimmung für [...] erteilen aktivieren
• Im Menü Zertifikate & Geheimnisse ein Geheimen Clientschlüssel erstellen
• Wert notieren, wird als Client secret bei Remote E-Mail-Konten und Einzelnes Postfach Importieren eingetragen
• Ein Redirect URI im Menu Authentication bei Add a platform unter Configure platforms bei Single-page application eintragen.
• Menü Unternehmensanwendungen öffnen und App wählen
• Aus den App Eigenschaften Anwendungs-ID und Objekt-ID notieren
• Auf Windows Client Administrator Powershell öffnen, ExchangeOnlineManagement importieren und mit Tenant verbinden
• Empfängermailbox im Exchange admin center auswählen und als Delegation Read and manage (Full Access) wählen
• Mitglied für Mailbox Delegation hinzufügen

• Damit ist die Konfiguration im Microsoft Azure abgeschlossen.
  Die weitere Konfiguration erfolgt im UMA im Menü
  Systemeinstellungen Reiter E-Mail Konten  Abschnitt Azure AD bzw. im Einrichtungsassistent oder beim Import von Mailboxen.
• Die Microsoft Server brauchen ggf. bis zu 30 Minuten, bevor der Zugang funktioniert

Abb.1

• Anmelden unter Portal Azure oder Microsoft Entra
  In Microsoft Entra sind einige Menupunkte als Untermenupunkte eingerichtet.
• Azure Active Directory wählen
• Mandanten-ID notieren, wird bei Remote E-Mail-Konten und bei Einzelnes Postfach Importieren eingetragen

Abb.2

Neue App registrieren:

• Menü App-Registrierung
• Schaltfläche Neue Registrierung

Abb.3

• Eindeutigen Namen vergeben
• Schaltfläche Registrieren klicken

Abb.4

Es wird eine Zusammenfassung der soeben registrierten App angezeigt

• Die hier angezeigte Object ID gehört nicht zur App und wird nicht benötigt!
• Menu API-Berechtigungen wählen

Abb.5

• Schaltfläche Berechtigung hinzufügen klicken

Abb.6

• Reiter Von meiner Organisation verwendete APIs wählen
• Berechtigung für Office 365 Exchange Online wählen

Abb.7

• Schaltfläche Anwendungsberechtigungen klicken
• nach imap suchen
• IMAP.AccessAsApp markieren
• Schaltfläche Berechtigungen hinzufügen klicken

Abb.8

• Erneut Menü API-Berechtigungen auswählen
• Eintrag Administratorzustimmung für [...] erteilen auswählen
• Schaltfläche Ja anklicken

Abb.9

Administratorzustimmung für [...] erteilen erfolgreich gewährt

Abb.10

• Menü Zertifikate & Geheimnisse
• Reiter Geheime Clientschlüssel
• Eintrag neuer geheimer Clientschlüssel
• Eindeutige Beschreibung eingeben
• gewünschte Laufzeit wählen (max. 24 Monate)
• Schaltfläche Hinzufügen anklicken

Abb.11

Wert notieren, wird als Client secret bei Remote E-Mail-Konten und Einzelnes Postfach Importieren eingetragen

Abb.12

• Zurück zum Dashboard, Menü Azure Active Directory
• Menü Unternehmensanwendungen

Abb.13

• Menü Alle Anwendungen
• Securepoint App wählen

Abb.14

Aus den App Eigenschaften notieren:

• Anwendungs-ID, wird als Anwendungs-ID bei Remote E-Mail-Konten und Einzelnes Postfach Importieren eingetragen
• Objekt-ID, wird für die Vergabe der Berechtigung per Powershell benötigt

Abb.15

• Auf einem Windows Client Administrator Powershell öffnen

notempty

• ExchangeOnlineManagement Modul installieren
  Falls es Probleme beim Installieren des Moduls oder beim Verbinden gibt muss man ggf. Powershell auf TLS 1.2 konfigurieren:
  >[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
  • > Install-Module -Name ExchangeOnlineManagement -allowprerelease

• ExchangeOnlineManagement importieren und mit Tenant verbinden:
  • > Import-Module ExchangeOnlineManagement
  • > Connect-ExchangeOnline -Organization Mandanten-ID (Siehe Abb.1)
• Neuen Dienst Prinzipal anlegen und eindeutigen Namen vergeben:
  • > New-ServicePrincipal -DisplayName SecurepointServicePrincipal -AppId Enterprise-oApp-ooID-oooo-oooooooo -ServiceId Enterprise-oObj-ooID-oooo-oooooooo
  • Bei Enterprise-oApp-ooID-oooo-oooooooo die Anwendungs-ID und bei Enterprise-oObj-ooID-oooo-oooooooo die Objekt-ID (siehe Abb. 14) eintragen
• Im Anschluss Mailbox Permissions vergeben:
  • > Add-MailboxPermission -Identity alice@anyideas.onmicrosoft.com -User SecurepointServicePrincipal -AccessRights FullAccess

Abb.16

• Exchange admin center öffnen
• Menü Recipients / Mailboxes auswählen
• Mailbox auswählen
• Reiter Delegation wählen
• Delegation Read and manage (Full Access) mit Schaltfläche Edit wählen

Abb.17

• Nach dem vorher per Powershell erstellten Dienst Prinzipal suchen und Speichern