Benutzer aus einem Azure AD einbinden

Folgende Schritte sind notwendig:

• Im Azure AD muss das Securepoint UMA NG als neue App registriert werden
• Folgende Berechtigungen sind erforderlich:
  
  
  • MS-Graph / Delegierte Berechtigung:
    • User.Read (sollte als Default-Berechtigung bereits existieren)
  • MS-Graph / Anwendungsberechtigungen:
    • Group.Read.All
    • MailboxSettings.Read
    • User.Read.All
    • Application.Read.All
• Der App muss ein Geheimer Clientschlüssel hinzugefügt werden

• Um neben der originären Microsoft Azure E-Mail Adresse weitere Mailadressen zu archivieren, müssen diese im Benutzer-Profil im Azure Active Directory im Abschnitt Kontaktinformationenen als Alternative E-Mail-Adresse hinterlegt werden.
  
  Die Anmeldung des Benutzers bzw. der Benutzerin im Securepoint UMA NG erfolgt dann mit dem Benutzerprinzipalnamen (user pricipal name) und dem dazugehörigen Kennwort aus dem Azure AD.

Abb.1

• Aufruf des Azure Dashboards oder des Microsoft 365 Portals
• Menü Azure Active Directory

Abb.2

Menü App-Registrierungen

Abb.3

Schaltfläche + Neue Registrierung

Abb.4

• Aussagekräftigen Namen vergeben
• Option Nur Konten in diesem Organisationsverzeichnis (einzelner Mandant)
• Eine Umleitungs-URI ist nicht erforderlich
• Schaltfläche Registrieren

Abb.5

• Folgende Werte werden im Securepoint UMA später benötigt:
  • Anwendungs-ID (Client-ID)
  • Verzeichnis-ID (Mandant)
  • Client-Secret-ID
• Auswahl Menü API-Berechtigungen

Abb.6

• Schaltfläche + Berechtigung hinzufügen
• Die Berechtigung User.Read vom Typ Delegierte Berechtigung sollte als Default-Berechtigung bereits eingetragen sein

Abb.7

• Schaltfläche Microsoft Graph

Abb.8

• Schaltfläche Anwendungsberechtigungen

Abb.9

• API-Berechtigung Group.Read.All markieren

In der Suchleiste kann die Anzeige der Berechtigungungen eingegrenzt werden.
So lässt sich schneller die benötigte Berechtigung finden.

Abb.10

• API-Berechtigung MailboxSettings.Read markieren

Die zuvor markierte Berechtigung bleibt auch dann markiert, wenn sie durch einen anderen Begriff in der Suchleiste nicht mehr angezeigt wird

Abb.11

• API-Berechtigung User.Read.All markieren
• Schaltfläche Berechtigungen hinzufügen

Abb.12

• API-Berechtigung Application.Read.All markieren Neu ab 3.1.3
• Schaltfläche Berechtigungen hinzufügen

Abb.13

Wurde bisher ohne Globale Adminstratorberechtigung gearbeitet, ist nun die Zustimmung eines Solchen erforderlich

Abb.14

• Administratorberechtigung erteilen

Abb.15

• Konfigurierte API-Berechtigungen

Abb.16

• Zurück zum Dashboard, Menu Azure Active Directory
• Menü Authentication
• Eintrag Add a platform
• Bei Configure platforms auf Single-page application klicken

Abb.17

• Unter Redirect URIs entweder den Hostnamen oder die IP-Adresse des UMA eintragen
• Schaltfläche Configure anklicken

Abb.18

• Menü Zertifikate & Geheimnisse

Abb.19

• Schaltfläche + Neuer geheimer Clientschlüssel

Abb.20

• Aussagekräftigen Namen vergeben
• Gewünschte Gültigkeitsdauer auswählen
  Der Geheime Clientschlüssel muss rechtzeitig erneuert werden. Nach Ablauf des Gültigkeitszeitraumes werden keine E-Mails mehr an das UMA zugestellt und Benutzer des UMA DMS können nicht mehr durch das Azure AD authentisiert werden.
• Schaltfläche Hinzufügen

Abb.21

• Es wird in der Spalte Wert der Client Secret angezeigt
• Es wird in der Spalte Geheime ID die Client ID angezeigt

Der Wert Client Secret wird später nicht wieder angezeigt und muss daher an anderer Stelle gesichert werden.
Neu ab 3.1.3 Beide Werte werden für die Konfiguration im Securepoint UMA benötigt.

Abb.22

• Um neben der originären Microsoft Azure E-Mail Adresse weitere Mailadressen zu archivieren, müssen diese im Benutzer-Profil im Azure Active Directory im Abschnitt Kontaktinformationenen als Alternative E-Mail-Adresse hinterlegt werden.
  
  Die Anmeldung des Benutzers bzw. der Benutzerin im Securepoint UMA NG erfolgt dann mit dem Benutzerprinzipalnamen (user pricipal name) und dem dazugehörigen Kennwort aus dem Azure AD.

Für den Mailbox-Import und Journal-Postfach-Nutzung aus Azure sind zusätzlich konfigurierte Apps im Azure erforderlich.

---

---

Hinweis
Dieser Artikel beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite.
Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
Alle Angaben ohne Gewähr.

Um das UMA mit dem OAuth Dienst von Microsoft 365 nutzen zu können, sind folgende Angaben erforderlich:

• Mandanten-ID
• Anwendungs-ID
• Geheimer Wert

In dieser Anleitung wird exemplarisch gezeigt, welche Vorbereitungen und Einstellung in Microsoft Azure erforderlich sind

• Azure Active Directory admin center starten
• Mandanten-ID im Menü Azure Active Directory notieren/kopieren
• Neue App registrieren unter Menü App-Registrierung Schaltfläche Neue Registrierung
• Eindeutigen Namen vergeben und Schaltfläche Registrieren klicken
• Im Menü API-Berechtigungen die Schaltfläche Berechtigung hinzufügen klicken
• Berechtigung für Office 365 Exchange Online im Reiter Von meiner Organisation verwendete APIs wählen
• IMAP.AccessAsApp-Berechtigung für Office 365 Exchange Online hinzufügen
• Im Menü API-Berechtigungen den Eintrag Administratorzustimmung für [...] erteilen aktivieren
• Im Menü Zertifikate & Geheimnisse ein Geheimen Clientschlüssel erstellen
• Wert notieren, wird als Client secret bei Remote E-Mail-Konten und Einzelnes Postfach Importieren eingetragen
• Menü Unternehmensanwendungen öffnen und App wählen
• Aus den App Eigenschaften Anwendungs-ID und Objekt-ID notieren
• Auf Windows Client Administrator Powershell öffnen, ExchangeOnlineManagement importieren und mit Tenant verbinden
• Empfängermailbox im Exchange admin center auswählen und als Delegation Read and manage (Full Access) wählen
• Mitglied für Mailbox Delegation hinzufügen

• Damit ist die Konfiguration im Microsoft Azure abgeschlossen.
  Die weitere Konfiguration erfolgt im UMA im Menü
  Systemeinstellungen Reiter E-Mail Konten  Abschnitt Azure AD bzw. im Einrichtungsassistent oder beim Import von Mailboxen.
• Die Microsoft Server brauchen ggf. bis zu 30 Minuten, bevor der Zugang funktioniert

Abb.1

• Anmelden unter Portal Azure oder Microsoft Entra
  In Microsoft Entra sind einige Menupunkte als Untermenupunkte eingerichtet.
• Azure Active Directory wählen
• Mandanten-ID notieren, wird bei Remote E-Mail-Konten und bei Einzelnes Postfach Importieren eingetragen

Abb.2

Neue App registrieren:

• Menü App-Registrierung
• Schaltfläche Neue Registrierung

Abb.3

• Eindeutigen Namen vergeben
• Schaltfläche Registrieren klicken

Abb.4

Es wird eine Zusammenfassung der soeben registrierten App angezeigt

• Die hier angezeigte Object ID gehört nicht zur App und wird nicht benötigt!
• Menu API-Berechtigungen wählen

Abb.5

• Schaltfläche Berechtigung hinzufügen klicken

Abb.6

• Reiter Von meiner Organisation verwendete APIs wählen
• Berechtigung für Office 365 Exchange Online wählen

Abb.7

• Schaltfläche Anwendungsberechtigungen klicken
• nach imap suchen
• IMAP.AccessAsApp markieren
• Schaltfläche Berechtigungen hinzufügen klicken

Abb.8

• Erneut Menü API-Berechtigungen auswählen
• Eintrag Administratorzustimmung für [...] erteilen auswählen
• Schaltfläche Ja anklicken

Abb.9

Administratorzustimmung für [...] erteilen erfolgreich gewährt

Abb.10

• Menü Zertifikate & Geheimnisse
• Reiter Geheime Clientschlüssel
• Eintrag neuer geheimer Clientschlüssel
• Eindeutige Beschreibung eingeben
• gewünschte Laufzeit wählen (max. 24 Monate)
• Schaltfläche Hinzufügen anklicken

Abb.11

Wert notieren, wird als Client secret bei Remote E-Mail-Konten und Einzelnes Postfach Importieren eingetragen

Abb.12

• Zurück zum Dashboard, Menü Azure Active Directory
• Menü Unternehmensanwendungen

Abb.13

• Menü Alle Anwendungen
• Securepoint App wählen

Abb.14

Aus den App Eigenschaften notieren:

• Anwendungs-ID, wird als Anwendungs-ID bei Remote E-Mail-Konten und Einzelnes Postfach Importieren eingetragen
• Objekt-ID, wird für die Vergabe der Berechtigung per Powershell benötigt

Abb.15

• Auf einem Windows Client Administrator Powershell öffnen

notempty

• ExchangeOnlineManagement Modul installieren
  Falls es Probleme beim Installieren des Moduls oder beim Verbinden gibt muss man ggf. Powershell auf TLS 1.2 konfigurieren:
  >[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
  • > Install-Module -Name ExchangeOnlineManagement -allowprerelease

• ExchangeOnlineManagement importieren und mit Tenant verbinden:
  • > Import-Module ExchangeOnlineManagement
  • > Connect-ExchangeOnline -Organization Mandanten-ID (Siehe Abb.1)
• Neuen Dienst Prinzipal anlegen und eindeutigen Namen vergeben:
  • > New-ServicePrincipal -DisplayName SecurepointServicePrincipal -AppId Enterprise-oApp-ooID-oooo-oooooooo -ServiceId Enterprise-oObj-ooID-oooo-oooooooo
  • Bei Enterprise-oApp-ooID-oooo-oooooooo die Anwendungs-ID und bei Enterprise-oObj-ooID-oooo-oooooooo die Objekt-ID (siehe Abb. 14) eintragen
• Im Anschluss Mailbox Permissions vergeben:
  • > Add-MailboxPermission -Identity alice@anyideas.onmicrosoft.com -User SecurepointServicePrincipal -AccessRights FullAccess

Die Microsoft Server brauchen ggf. bis zu 30 Minuten, bevor der Zugang funktioniert

Die vorbereitende Konfiguration des Azure AD ist damit abgeschlossen