Abgleich der Benutzerkonten mit Office 365
Neben der manuellen Anlage von Benutzern (diese wird im Kapitel Verwalten von Benutzern beschrieben), kann MailStore Server seine interne Benutzerdatenbank auch mit dem Office 365-Mandanten Ihres Unternehmens abgleichen.
Bei der Synchronisierung werden Benutzerinformationen, wie z.B. Benutzernamen und E-Mail-Adressen, aus dem Office 365-Mandanten in die MailStore Server-Benutzerdatenbank kopiert. Dadurch können sich z.B. Benutzer mit ihren Office 365-Mandanten-Zugangsdaten auch an MailStore Server anmelden und E-Mails den Benutzerarchiven automatisch zugeordnet werden. Es werden von MailStore Server keine Änderungen am Office 365-Mandanten selbst vorgenommen. Der Umfang der Synchronisierung lässt sich über Filter einschränken.
Wichtiger Hinweis: Damit Benutzer sich gegen Office 365 authentifizieren können, muss der Plan des sich zu authentifizierenden Benutzer das Exchange Online Feature EWS Application support unterstützen. Bitte vergewissern Sie sich im Vorfeld, ob Ihr Office 365 Plan diese Funktion enthält. Informationen hierüber finden Sie in diesem Technet Artikel.
Vorbereiten des Office 365 Mandanten
Um Benutzerinformationen aus Office 365 zu synchronisieren, benötigt MailStore Server einen Dienstprinzipal, welcher das Recht besitzt, auf Ihren Office 365-Mandanten zuzugreifen. Der Dienstprinzipal repräsentiert MailStore Server innerhalb des Office 365-Mandanten und ermöglicht die Authentifizierung gegenüber den Mandantendiensten und die Nutzung ihrer Ressourcen.
Installieren des Azure Active Directory Moduls
Office 365 nutzt das Azure Active Directory als Verzeichnisdienst. Jedem Office 365-Mandanten entspricht ein Azure AD-Mandant, in welchem seine Benutzerinformationen gespeichert werden. Um einen Dienstprinzipal zu erstellen, muss zunächst das dafür notwendige PowerShell Module Microsoft Azure Active Directory Module für Windows PowerShell installiert werden.
Dieses Modul erfordert PowerShell 5.1 oder höher auf einem 64-Bit Betriebssystem. PowerShell 5.1 ist in aktuellen Versionen von Windows 10 und Windows Server 2016 enthalten. Für andere Windows Versionen kann sie als Teil des Windows Management Frameworks installiert werden.
Diese notwendigen Komponenten stehen zusammen mit Hinweisen zu ihrer Installation direkt bei Microsoft zur Verfügung.
Folgen Sie den Anweisungen zu den Befehlen die Msol beinhalten und NICHT denen mit AzureAD:
Windows Management Framework
Connect to Office 365 PowerShell
Einen Dienstprinzipal erstellen
Nachdem das PowerShell Modul installiert wurde, können Sie einen Dienstprinzipal im Azure AD wie folgt erstellen:
- Öffnen Sie eine PowerShell-Sitzung.
- Der Befehl zur Verbindung mit dem Office 365-Azure AD-Mandanten ist abhängig von dessen Azure Cloud:
- Globale Azure Cloud
- Geben Sie folgenden Befehl ein, wenn Ihr Office 365-Azure AD-Mandant in der globalen Azure Cloud liegt.
Connect-MsolService -AzureEnvironment AzureCloud
- Azure Deutschland Cloud
- Geben Sie folgenden Befehl ein, wenn Ihr Office 365-Azure AD-Mandant in der Azure Deutschland Cloud liegt.
Connect-MsolService -AzureEnvironment AzureGermanyCloud
- Azure China Cloud
- Geben Sie folgenden Befehl ein, wenn Ihr Office 365-Azure AD-Mandant in der Azure China Cloud liegt.
Connect-MsolService -AzureEnvironment AzureChinaCloud
- Ein Anmeldedialog öffnet sich. Geben Sie hier administrative Zugangsdaten für Ihren Office 365-Plan ein.
- Optional: Um eine Liste aller Dienstprinzipale, die momentan in Ihrem Azure AD-Mandanten existieren, abzurufen geben Sie folgenden Befehl ein:
Get-MsolServicePrincipal
- Erstellen Sie einen neuen Dienstprinzipal mit folgendem Befehl:
$principal = New-MsolServicePrincipal -DisplayName 'MailStoreSP' -ServicePrincipalNames @("MailStoreSP") -Type Password -Value 'Geben_Sie_hier_ein_Passwort_Ihrer_Wahl_ein' -StartDate (Get-Date) -EndDate (Get-Date).AddYears(1)
- Ein
Dienstprinzipalobjekt
wurde erstellt und in der $principal-Variable gespeichert. Dessen ObjectId wird für die Rollenzuweisung im nächsten Schritt benötigt.Bitte beachten: Das Passwort des Dienstprinzipals ist standardmäßig für ein Jahr gültig, weitere Informationen finden Sie im MSDN.
- Damit der Dienstprinzipal Informationen aus dem Azure AD-Mandanten lesen kann, weisen Sie ihm die Directory Readers Rolle mit folgendem Befehl zu:
Add-MsolRoleMember -RoleName "Directory Readers" -RoleMemberType ServicePrincipal -RoleMemberObjectId $principal.ObjectId
- Optional: Um eine Liste aller ServicePrincipalCredential-Objekte (z.B. Passwörter) abzurufen die an Dienstprinzipalobjekt die den Namen MailStore enthalten gebunden sind, geben Sie folgenden Befehl ein:
Get-MsolServicePrincipal -SearchString "MailStore" | % { Write-Host "DisplayName:" $_.DisplayName;Write-Host "ServicePrincipalNames:" $_.ServicePrincipalNames;Write-Host "ObjectId:" $_.ObjectId;Get-MsolServicePrincipalCredential -ObjectId $_.ObjectId -ReturnKeyValues $true }
Aufruf der Verzeichnisdienste-Integration
- Melden Sie sich als MailStore Server-Administrator über den MailStore Client an.
- Klicken Sie auf Verwaltung > Benutzer und Archive > Verzeichnisdienste.
- Der Verzeichnisdienste-Typ ist abhängig von der Azure Cloud Ihres Office 365-Azure AD-Mandanten:
- Globale Azure Cloud
- Wenn Ihr Office 365-Azure AD-Mandant in der globalen Azure Cloud liegt, wählen Sie den Verzeichnisdienste-Typ Office 365.
- Azure Deutschland Cloud
- Wenn Ihr Office 365-Azure AD-Mandant in der Azure Deutschland Cloud liegt, wählen Sie den Verzeichnisdienste-Typ Office 365 Germany.
- Azure China Cloud
- Wenn Ihr Office 365-Azure AD-Mandant in der Azure China Cloud liegt, wählen Sie den Verzeichnisdienste-Typ Office 365 operated by 21 Vianet.
Verbindung zu Office 365
Für die Synchronisierung benötigt MailStore Server Informationen darüber, wie der Office 365-Mandant angesprochen werden kann.
- Dienstprinzipal
Der Dienstprinzipalname des Dienstprinzipals (z.B. MailStoreSP). - Passwort
Das Passwort des Dienstprinzipals. - Domäne
Eine E-Mail-Domäne innerhalb des Office 365-Mandanten.
Synchronisierung der Benutzerdatenbank
Nachdem Sie die Verbindungseinstellungen wie oben beschrieben angegeben haben, können Sie in diesem Abschnitt Filterkriterien für die Synchronisierung mit Office 365 festlegen.
- Nur Benutzer mit Microsoft Exchange Online Lizenz synchronisieren
Hierdurch werden bei der Synchronisierung nur Office 365-Benutzerkonten mit zugewiesener Microsoft Exchange Online Lizenz berücksichtigt. - Nur aktivierte Benutzer synchronisieren
Hierdurch werden bei der Synchronisierung nur Office 365-Benutzerkonten berücksichtigt, deren Anmeldung an Office 365 nicht blockiert wurde. - Nur diese Gruppen
Wählen Sie eine oder mehrere Office 365-Gruppen aus, wenn Sie nur deren Mitglieder als MailStore Server-Benutzer anlegen wollen. Dadurch lässt sich verhindern, dass bestimmte Benutzer nach MailStore Server synchronisiert werden. - Benutzernamen-Format
Legen Sie fest, wie die MailStore-Benutzernamen gebildet werden sollen:- User Principal Name (UPN)
Der vollständige Office 365-Anmeldename, z.B. [email protected] - User Principal Name (UPN) Local Part
Der Office 365-Anmeldename ohne Domäne, z.B. max.mustermann
- User Principal Name (UPN)
Optionen
- Automatisch Benutzer in MailStore Server löschen
Hier kann gewählt werden, ob Benutzer, die im Office 365-Mandanten gelöscht wurden, durch die Synchronisierung auch in der MailStore Server-Benutzerdatenbank automatisch gelöscht werden sollen. Benutzer, die aus dem Betrachtungsbereich der Einstellungen fallen, werden ebenfalls gelöscht.
Es werden nur MailStore Server-Benutzer gelöscht, deren Authentifizierungsmethode auf Verzeichnisdienste eingestellt ist.
Enthält der Archivordner eines solchen Benutzers bereits archivierte E-Mails, wird nur der Benutzereintrag, nicht aber sein Archivordner in MailStore Server gelöscht.
Standard-Berechtigungen festlegen
Benutzer, die aus einem Office 365-Mandanten nach MailStore Server synchronisiert wurden, besitzen standardmäßig das Recht zum Anmelden am MailStore Server und haben lesenden Zugriff auf ihr eigenes Benutzerarchiv.
Sie haben die Möglichkeit, die Standard-Berechtigungen vor der Synchronisierung anzupassen, um z.B. allen neuen Benutzern das Recht E-Mails archivieren zu geben. Klicken Sie dazu auf die Schaltfläche Standard-Berechtigungen....
Weitere Informationen über die Verwaltung von Benutzerrechten und deren Auswirkungen finden Sie im Kapitel Benutzer, Archive und Berechtigungen. Dort finden Sie auch Hinweise zum Anpassen existierender Berechtigungen.
Die Synchronisierung durchführen
Mit Klick auf Sync testen können Sie die Synchronisierungseinstellungen und das vom Office 365-Mandanten zurückgelieferte Ergebnis überprüfen, ohne dass Änderungen an der MailStore Server-Benutzerdatenbank durchgeführt werden.
Um die Synchronisierung letztendlich durchzuführen, klicken Sie auf Synchronisieren. Das Ergebnis wird dann mit allen an der MailStore Server-Benutzerdatenbank vollzogenen Änderungen angezeigt.
Sie können die Authentifizierung für einen bestimmten Benutzer testen, indem Sie diesen in der Liste auswählen und dann auf die entsprechende Schaltfläche links unten klicken. Geben Sie anschließend das Kennwort dieses Benutzers ein. Sie erhalten eine Rückmeldung, ob die Authentifizierung erfolgreich war.
Anmeldung mit Office 365-Zugangsdaten
Nach der Synchronisierung können sich MailStore Server-Benutzer unter Verwendung ihres Office 365-Benutzernamens und ihres Office 365-Kennworts an MailStore Server anmelden.