Synchronisieren von Benutzern mit Microsoft 365 (Basic Authentication)

Die Informationen in diesem Dokument werden nicht mehr gepflegt und sind möglicherweise nicht mehr aktuell. Des Weiteren behalten wir uns vor, dieses Feature in einer zukünftigen MailStore Server Version zu entfernen.

Am 20. September 2019 hat Microsoft angekündigt, Basic Authentication als Authentifizierungsmethode für Exchange Online APIs in naher Zukunft nicht mehr zu unterstützen. Dies betrifft jede Version vor MailStore Server 13, welche daher nicht länger in der Lage sein werden, Benutzer beim Versuch, sich an MailStore Server anzumelden, gegen Microsoft 365 zu authentifizieren.

In MailStore Server 13 wurde die Unterstützung für moderne Authentifizierungsmethoden via OAuth 2.0 & OpenID Connect entsprechend Microsofts Empfehlung eingeführt. Folgen Sie daher bitte den Anweisungen im Kapitel Synchronisieren von Benutzerkonten mit Microsoft 365 (Modern Authentication).

Neben der manuellen Anlage von Benutzern (diese wird im Kapitel Verwalten von Benutzern beschrieben), kann MailStore Server seine interne Benutzerdatenbank auch mit dem Office 365-Mandanten Ihres Unternehmens abgleichen.

Bei der Synchronisierung werden Benutzerinformationen, wie z.B. Benutzernamen und E-Mail-Adressen, aus dem Office 365-Mandanten in die MailStore Server-Benutzer­datenbank kopiert. Dadurch können sich z.B. Benutzer mit ihren Office 365-Zugangsdaten auch an MailStore Server anmelden und E-Mails den Benutzerarchiven automatisch zugeordnet werden. Es werden von MailStore Server keine Änderungen am Office 365-Mandanten selbst vorgenommen. Der Umfang der Synchronisierung lässt sich über Filter einschränken.


Wichtiger Hinweis: Damit Benutzer sich gegen Office 365 authentifizieren können, muss der Plan des sich zu authentifizierenden Benutzer das Exchange Online Feature EWS Application support unterstützen. Bitte vergewissern Sie sich im Vorfeld, ob Ihr Office 365 Plan diese Funktion enthält. Informationen hierüber finden Sie in diesem Technet Artikel.

Vorbereiten des Office 365 Mandanten

Um Benutzerinformationen aus Office 365 zu synchronisieren, benötigt MailStore Server einen Dienstprinzipal, welcher das Recht besitzt, auf Ihren Office 365-Mandanten zuzugreifen. Der Dienstprinzipal repräsentiert MailStore Server innerhalb des Office 365-Mandanten und ermöglicht die Authentifizierung gegenüber den Mandantendiensten und die Nutzung ihrer Ressourcen.

Installieren des Azure Active Directory Moduls

Office 365 nutzt das Azure Active Directory als Verzeichnisdienst. Jedem Office 365-Mandanten entspricht ein Azure AD-Mandant, in welchem seine Benutzerinformationen gespeichert werden. Um einen Dienstprinzipal zu erstellen, muss zunächst das dafür notwendige PowerShell Module Microsoft Azure Active Directory Module für Windows PowerShell installiert werden.

Dieses Modul erfordert PowerShell 5.1 oder höher auf einem 64-Bit Betriebssystem. PowerShell 5.1 ist in aktuellen Versionen von Windows 10 und Windows Server 2016 enthalten. Für andere Windows Versionen kann sie als Teil des Windows Management Frameworks installiert werden.

Diese notwendigen Komponenten stehen zusammen mit Hinweisen zu ihrer Installation direkt bei Microsoft zur Verfügung.

Folgen Sie den Anweisungen zu den Befehlen die Msol beinhalten und NICHT denen mit AzureAD:

Windows Management Framework
Connect to Office 365 PowerShell

Einen Dienstprinzipal erstellen

Nachdem das PowerShell Modul installiert wurde, können Sie einen Dienstprinzipal im Azure AD wie folgt erstellen:

  1. Öffnen Sie eine PowerShell-Sitzung.

  2. Der Befehl zur Verbindung mit dem Office 365-Azure AD-Mandanten ist abhängig von dessen Azure Cloud:

    Globale Azure Cloud
    Geben Sie folgenden Befehl ein, wenn Ihr Office 365-Azure AD-Mandant in der globalen Azure Cloud liegt.
    Connect-MsolService -AzureEnvironment AzureCloud
    

    Azure Deutschland Cloud
    Geben Sie folgenden Befehl ein, wenn Ihr Office 365-Azure AD-Mandant in der Azure Deutschland Cloud liegt.
    Connect-MsolService -AzureEnvironment AzureGermanyCloud
    

    Azure China Cloud
    Geben Sie folgenden Befehl ein, wenn Ihr Office 365-Azure AD-Mandant in der Azure China Cloud liegt.
    Connect-MsolService -AzureEnvironment AzureChinaCloud
    

  3. Ein Anmeldedialog öffnet sich. Geben Sie hier administrative Zugangsdaten für Ihren Office 365-Plan ein.

  4. Erstellen Sie einen neuen Dienstprinzipal mit folgendem Befehl:
    $principal = New-MsolServicePrincipal -DisplayName 'MailStoreSP' -ServicePrincipalNames @("MailStoreSP") -Type Password -Value 'Geben_Sie_hier_ein_Passwort_Ihrer_Wahl_ein' -StartDate (Get-Date) -EndDate (Get-Date).AddYears(1)
    

    Bitte beachten: Das Passwort des Dienstprinzipals ist standardmäßig für ein Jahr gültig, weitere Informationen finden Sie im MSDN.

  5. Damit der Dienstprinzipal Informationen aus dem Azure AD-Mandanten lesen kann, weisen Sie ihm die Directory Readers Rolle mit folgendem Befehl zu:
    Add-MsolRoleMember -RoleName "Directory Readers" -RoleMemberType ServicePrincipal -RoleMemberObjectId $principal.ObjectId
    

  6. Optional: Um eine Liste aller ServicePrincipalCredential-Objekte (z.B. Passwörter) abzurufen die an Dienstprinzipalobjekt, die den Namen MailStore enthalten, gebunden sind, geben Sie den folgenden Befehl ein:
    Get-MsolServicePrincipal -SearchString "MailStore" | % { Write-Host "DisplayName:" $_.DisplayName;Write-Host "ServicePrincipalNames:" $_.ServicePrincipalNames;Write-Host "ObjectId:" $_.ObjectId;Get-MsolServicePrincipalCredential -ObjectId $_.ObjectId -ReturnKeyValues $true }
    

Aufruf der Verzeichnisdienste-Integration

  • Melden Sie sich als MailStore Server-Administrator über den MailStore Client an.
  • Klicken Sie auf Verwaltung > Benutzer und Archive > Verzeichnisdienste.
  • Der Verzeichnisdienste-Typ ist abhängig von der Azure Cloud Ihres Office 365-Azure AD-Mandanten:

    Globale Azure Cloud
    Wenn Ihr Office 365-Azure AD-Mandant in der globalen Azure Cloud liegt, wählen Sie den Verzeichnisdienste-Typ Office 365.

    Azure Deutschland Cloud
    Wenn Ihr Office 365-Azure AD-Mandant in der Azure Deutschland Cloud liegt, wählen Sie den Verzeichnisdienste-Typ Office 365 Germany.

    Azure China Cloud
    Wenn Ihr Office 365-Azure AD-Mandant in der Azure China Cloud liegt, wählen Sie den Verzeichnisdienste-Typ Office 365 operated by 21 Vianet.
Office365 sync 01.png


Verbindung zu Office 365

Für die Synchronisierung benötigt MailStore Server Informationen darüber, wie der Office 365-Mandant angesprochen werden kann.

  • Dienstprinzipal
    Der Dienstprinzipalname des Dienstprinzipals (z.B. MailStoreSP).
  • Passwort
    Das Passwort des Dienstprinzipals.
  • Domäne
    Eine E-Mail-Domäne innerhalb des Office 365-Mandanten.

Synchronisierung der Benutzerdatenbank

Nachdem Sie die Verbindungseinstellungen wie oben beschrieben angegeben haben, können Sie in diesem Abschnitt Filterkriterien für die Synchronisierung mit Office 365 festlegen.

  • Nur Benutzer mit Microsoft Exchange Online Lizenz synchronisieren
    Hierdurch werden bei der Synchronisierung nur Office 365-Benutzerkonten mit zugewiesener Microsoft Exchange Online Lizenz berücksichtigt.
  • Nur aktivierte Benutzer synchronisieren
    Hierdurch werden bei der Synchronisierung nur Office 365-Benutzerkonten berücksichtigt, deren Anmeldung an Office 365 nicht blockiert wurde.
  • Nur diese Gruppen
    Wählen Sie eine oder mehrere Office 365-Gruppen aus, wenn Sie nur deren Mitglieder als MailStore Server-Benutzer anlegen wollen. Dadurch lässt sich verhindern, dass bestimmte Benutzer nach MailStore Server synchronisiert werden.
  • Benutzernamen-Format
    Legen Sie fest, wie die MailStore-Benutzernamen gebildet werden sollen:
    • User Principal Name (UPN)
      Der vollständige Office 365-Anmeldename, z.B. [email protected]
    • User Principal Name (UPN) Local Part
      Der Office 365-Anmeldename ohne Domäne, z.B. max.mustermann

Optionen

  • Automatisch Benutzer in MailStore Server löschen
    Hier kann gewählt werden, ob Benutzer, die im Office 365-Mandanten gelöscht wurden, durch die Synchro­nisierung auch in der MailStore Server-Benutzerdatenbank automatisch gelöscht werden sollen. Benutzer, die aus dem Betrachtungsbereich der Einstellungen fallen, werden ebenfalls gelöscht.
    Es werden nur MailStore Server-Benutzer gelöscht, deren Authentifizierungs­methode auf Verzeichnisdienste eingestellt ist.
    Enthält der Archivordner eines solchen Benutzers bereits archivierte E-Mails, wird nur der Benutzereintrag, nicht aber sein Archivordner in MailStore Server gelöscht.

Standard-Berechtigungen festlegen

Benutzer, die aus einem Office 365-Mandanten nach MailStore Server synchronisiert wurden, besitzen standard­mäßig das Recht zum Anmelden am MailStore Server und haben lesenden Zugriff auf ihr eigenes Benutzer­archiv.
Sie haben die Möglichkeit, die Standard-Berechtigungen vor der Synchronisierung anzupassen, um z.B. allen neuen Benutzern das Recht E-Mails archivieren zu geben. Klicken Sie dazu auf die Schaltfläche Standard-Berechtigungen....
Weitere Informationen über die Verwaltung von Benutzerrechten und deren Auswirkungen finden Sie im Kapitel Benutzer, Archive und Berechtigungen. Dort finden Sie auch Hinweise zum Anpassen existierender Berechtigungen.

Die Synchronisierung durchführen

Mit Klick auf Sync testen können Sie die Synchronisierungseinstellungen und das vom Office 365-Mandanten zurückgelieferte Ergebnis überprüfen, ohne dass Änderungen an der MailStore Server-Benutzerdatenbank durchgeführt werden.

Um die Synchronisierung letztendlich durchzuführen, klicken Sie auf Synchronisieren. Das Ergebnis wird dann mit allen an der MailStore Server-Benutzerdatenbank vollzogenen Änderungen angezeigt.

Office365 sync 02.png


Sie können die Authentifizierung für einen bestimmten Benutzer testen, indem Sie diesen in der Liste auswählen und dann auf die entsprechende Schaltfläche links unten klicken. Geben Sie anschließend das Kennwort dieses Benutzers ein. Sie erhalten eine Rückmeldung, ob die Authentifizierung erfolgreich war.

Anmeldung mit Office 365-Zugangsdaten

Nach der Synchronisierung können sich MailStore Server-Benutzer unter Verwendung ihres Office 365-Benutzernamens und ihres Office 365-Kennworts an MailStore Server anmelden.