Securepoint EWS-Tool für UMA

Die einfachste Einstellung erfolgt mit der Exchange Management Shell.
Das Kommando um dem Benutzer superuser in der Domäne securepointdemo.local die Berechtigung für den Vollzugriff für das Postfach User1 zu erteilen lautet:
Add-MailboxPermission User1 -User 'Securepointdemo\superuser' -AccessRights 'FullAccess'

In der Exchange-Verwaltungskonsole kann dieses unter Empfängerkonfiguration / Postfach im Kontextmenü des jeweiligen Postfach-Empfängers mit dem Eintrag: Berechtigung "Vollzugriff" verwalten... eingestellt werden.

Ab Exchange Server 2013 kann dies auch in der Benutzerverwaltung eingestellt werden.

Benutzerberechtigung in Exchange online erteilen

• Exchange Admin Center aufrufen
• Benutzer auswählen und bearbeiten ()
• Abschnitt Postfachstellvertretung
• Full Access
• Eintrag hinzufügen
• Benutzer mit Administratorberechtigung, der für den Import verwendet werden soll, auswählen
• Speichern mit Schaltfläche Save

Schritt für Schritt Anleitung zeigen

• Microsoft 365 Admin Center
• ... Alle anzeigen

• Menü Exchange

• Menü Empfänger

• Benutzer auswählen
• Bearbeiten ()

• Menü Postfachstellvertretung Abschnitt Vollzugriff
• Eintrag hinzufügen

• Benutzer mit Administratorberechtigung, der für den Import verwendet werden soll, auswählen
• Hinzufügen
• Übernehmen mit Schaltfläche OK

Übernehmen mit Speichern

App-Registrierung im Azure AD

Damit das SEWS-Tool auf Exchange online zugreifen darf, muss zusätzlich eine App Berechtigung im Azure AD erstellt werden.

Hierfür wird ein Benutzer mit der Berechtigung Globaler Administrator und eigenem Postfach/Lizenz benötigt!
Die ersten vorbereitenden Schritte kann jedoch auch ein normaler Administrator durchführen.

• Aufruf Microsoft Azure Active Directory
• App-Registrierungen
• Neue App-Registrierung mit Kontotypen anlegen
• Api-Berechtigungen hinzufügen:
  • Microsoft Graph - Delegierte Berechtigungen - EWS - EWS.AccessAsUser.All
  • Microsoft Graph - Delegierte Berechtigungen - People - People.ReadAll
  • Microsoft Graph - Delegierte Berechtigungen - User - User.ReadWrite.All
• Unter Authentifizierung den Standardclienttyp als öffentlich auf Ja einstellen

Schritt für Schritt Anleitung zeigen

Aufruf von Microsoft Azure und Auswahl des Azure Active Directory

Aufruf App-Registrierungen im Menü

Schaltfläche Neue Registrierung

• Vergabe eines eindeutigen Namens
• Auswahl der benötigten Kontotypen
• Eine Umleitungs-URI ist nicht erforderlich
• Schaltfläche Registrieren

Menü Api-Berechtigungen aufrufen

Schaltfläche Berechtigung hinzufügen

Api Microsoft Graph auswählen

Schaltfläche Delegierte Berechtigungen auswählen

Api-Berechtigung EWS.AccessAsUser.All erteilen

Api-Berechtigungen Mail.Read, Mail.ReadWrite und Mail.ReadWrite.Shared erteilen

Api-Berechtigung People.Read.All hinzufügen

Api-Berechtigung User.Read.All hinzufügen
Zum schnelleren Auffinden lassen sich die Einträge in der Suchzeile (...filtern)

Wurde bisher ohne Globale Administratorberechtigung gearbeitet, ist nun die Zustimmung eines Solchen erforderlich

Konfigurierte Berechtigungen

Aufruf Menü Authentifizierung

Konfiguration im Abschnitt Erweiterte Einstellungen / 'Standardclienttyp
Hiermit wird eine Anwendung als öffentlicher Client eingestuft. Auf

Ja

Nein

einstellen.

Exchange-Online Einstellungen im SEWS Tool

Zusätzliche Konfiguration im SEWS-Tool für die Anbindung an Exchange Online:

• Schaltfläche Exchange-Online Einstellungen
• Anwendungs-ID aus dem Azure AD: Anwendungs-ID (Client)
• Tenant-ID aus dem Azure AD: Verzeichnis-ID (Mandant)
• Entsprechende Cloud auswählen. Meistens genügt Azure Cloud Global.
• Geheimer Wert, bei aktivierten Authentifzierung über App, nur bei Multi-Faktor-Authentifizierung benötigt

Schritt für Schritt Anleitung zeigen

Menü App-Registrierungen / Name der App auswählen / App-Übersicht
Anwendungs-ID (Client) und Verzeichnis-ID (Mandant)
Die Einträge lassen sich jeweils mit dem Symbol in die Zwischenablage kopieren.

• Schaltfläche Exchange-Online Einstellungen
• Anwendungs-ID aus dem Azure AD: Anwendungs-ID (Client)
• Tenant-ID aus dem Azure AD: Verzeichnis-ID (Mandant)
• Entsprechende Cloud auswählen. Meistens genügt Azure Cloud Global.
• Geheimer Wert, bei aktivierten Authentifzierung über App, nur bei Multi-Faktor-Authentifizierung benötigt

Einschränkung für gemischte AD-Umgebungen

Werden Benutzer über ein Azure AD angebunden, können entweder nur Cloud-Konten verwendet werden oder ausschließlich lokal synchronisierte Konten.
Es ist nicht möglich, Konten aus gemischten Umgebungen gleichzeitig zu importieren.
Benutzer, die ausschließlich in der Azure-Cloud angelegt sind (deren Verzeichnis also nicht synchronisiert ist) müssen im z.Zt. UMA manuell angelegt werden.

Vorgehen in drei Schritten:

1. Eingabe des Passworts für den Import-User
2. Anklicken von Exchange auslesen
3. In dem Feld "Exchange Browser" erscheinen unter dem Oberbegriff "Exchange Alias" die User, auf die der Import-User entsprechende Berechtigungen hat.
   Nach dem Auslesen kann pro Benutzer eine Auswahl der zu importierenden Daten getroffen werden.

Vorgehen bei UMAaaS:

Konten aus CSV-Datei auslesen

In dem Bereich "Filter" können über Neue Regel erstellen Filterregeln angelegt werden, welche E-Mails anhand von Betreff, AN, VON, CC oder X-Header Eintrag explizit vom Import ausnehmen oder aber explizit archivieren. Filterregeln können mit "und/oder" Verknüpft werden. In dem unteren Beispiel werden explizit E-Mails von einem bestimmten Absender an eine bestimmte Adresse von der Archivierung ausgenommen.

Wird keine Filterregel angelegt wird alles archiviert!

Einstellungen für Mailbehandlung und das Logging

Beschriftung	Standardwert:	Beschreibung
E-Mail-Queue-Pfad:	C:\Users\ttt-point-admin\AppData\Local\Temp\	Pfad der E-Mail-Queue
E-Mail-Queue-Größe:	100 MB	die Größe der E-Mail-Queue
Max. E-Mail-Fehler:	0	Maximale Anzahl von Fehlern bevor ein Import abgebrochen wird. ‍ In der Praxis hat es sich bewährt, einen Wert der ca. 5-10% der insgesamt zu importierenden Mails entspricht anzugeben.
Erfolgreich hochgeladene E-Mails bei Fortsetzung oder neuem Versuch noch einmal hochladen.		Hilfreich, wenn bereits importierte Mails durch ein Restore oder neu Aufsetzen des UMA nicht mehr vorliegen sollten.
Den Importprozess bei Fehlern, die sich nicht auf eine spezifische E-Mail beziehen, anhalten.		Bei Fehlern in der Kommunikation oder Konfiguration kann ein Import i.d.R. nicht durchgeführt werden und wird daher per Default abgebrochen. Eine Deaktivierung ist zum Debuggen möglich.
Exchange-Verbindungen	6	Anzahl der Datenkanäle zum Exchange-Server. Kann je nach Performance des Systems angepasst werden.
Gleichzeitig verarbeitete Ordner:	3	Anzahl der Ordner, die maximal je Exchange Verbindung bearbeitet werden können
Gleichzeitig verarbeitete E-Mails in Ordnern	3	Anzahl der E-Mails, die maximal je Ordner verarbeitet werden können
Abschnitt Log-Optionen
Log-Level in der Benutzeroberfläche	Trace	Logmeldungen die im unteren Teil des Anwendungsfenster gezeigt werden
Log-Level in der Log-Datei	Trace	Logmeldungen, die in der Log-Datei gespeichert werden
	Details der Log-Level zeigen User Trace Zeigt nur Benutzermeldungen an Info Zeigt zusätzlich Statusinformationen an Notice Zeigt zusätzlich Hinweise Warning Zeigt zusätzlich Warnungen an Error Zeigt zusätzlich Fehlermeldungen an Verbose Zeigt zusätzlich alle Kommunikationsmeldungen an Debug Zeigt zusätzlich die wichtigsten Kommunikationsmeldungen an Trace Zeigt alle Meldungen an
Vorheriges Log beim Konfigurationsladen mit anzeigen		Zeigt das vorherige Log einer bestehende Konfiguration im Anwendungsfenster, wenn ebendiese geladen wird