Synchronisieren von Benutzerkonten mit Microsoft 365 - Modern Authentication: Unterschied zwischen den Versionen
| [unmarkierte Version] | [unmarkierte Version] |
Bmeyn (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „{{Verzeichnisdienste_Einleitung|Microsoft 365-Mandanten}} == Voraussetzungen, Empfehlungen und Einschränkungen == * Für eine bestmögliche Benutzererfahrung…“) |
Bmeyn (Diskussion | Beiträge) |
||
| Zeile 44: | Zeile 44: | ||
* Wählen Sie im Bereich ''Plattformkonfiguration'' die Schaltfläche ''Plattform hinzufügen''. | * Wählen Sie im Bereich ''Plattformkonfiguration'' die Schaltfläche ''Plattform hinzufügen''. | ||
* Wählen Sie im Menü ''Plattform konfigurieren'' im Bereich ''Webanwendungen'' die Option ''Web''. | * Wählen Sie im Menü ''Plattform konfigurieren'' im Bereich ''Webanwendungen'' die Option ''Web''. | ||
| + | * Tragen Sie in das Feld ''Umleitungs-URI'' einen URI in folgendem Format (ohne spitze Klammern) ein:<br/><br/> | ||
| + | *; <code>https://<DNS- oder NetBIOS-Name>:<TCP-Port>/oidc/signin</code> | ||
| + | * Der URI setzt sich aus folgenden Bestandteilen zusammen:<br/><br/> | ||
| + | *; '''https://''' | ||
| + | *: Die Angabe des Protokolls muss verpflichtend auf ''https://'' lauten. Damit bei der Benutzeranmeldung später keine Zertifikatswarnungen erscheinen, muss dem [[MailStore_Server_Dienst-Konfiguration#Zertifikat|von MailStore Server verwendeten Zertifikat]] von den Webbrowsern auf den Client-Geräten vertraut werden. | ||
| + | *; '''DNS-Name''' | ||
| + | *: Der vollständige DNS-Name Ihres MailStore Servers, z.B. ''mailstore.example.com''. Dieser muss von allen Clients, von denen aus sich Benutzer an MailStore Server anmelden sollen, auflösbar sein. Die Benutzung des vollständigen DNS-Namens wird empfohlen. | ||
| + | *; '''NetBIOS-Name''' | ||
| + | *: Der NetBIOS-Name Ihres MailStore Servers, z.B. ''mailstore''. Dieser kann anstelle des vollständigen DNS-Namens verwendet werden, insbesondere, wenn kein DNS-Server zum Einsatz kommt. Bitte beachten Sie, dass die Auflösung von NetBIOS-Namen mit Einschränkungen verbunden ist und sich daher in der Regel nur für sehr kleine Netze eignet. | ||
| + | *; '''TCP-Port''' | ||
| + | *: Der TCP-Port des MailStore Web Access (standardmäßig ''8462''). Dieser muss mit dem in der [[MailStore Server Dienst-Konfiguration#Dienste]] in der Sektion ''Netzwerkeinstellungen > Dienste > MailStore Web Access / Outlook Add-in (HTTPS)'' konfigurierten Port übereinstimmen. | ||
| + | *; '''/oidc/signin''' | ||
| + | *: An diesem Endpunkt erwartet MailStore Server die Authentifizierungsantworten von Azure AD. Dieser Pfad muss exakt so am Ende des Umleitungs-URIs stehen.<br/><br/> | ||
| + | * Beispiele für gültige Umleitungs-URIs: | ||
| + | :: {| class="wikitable" | ||
| + | ! Rechnername | ||
| + | ! style="width:90px;" | DNS-Domäne | ||
| + | ! style="width:60px;" | TCP-Port | ||
| + | ! Resultierender Umleitungs-URI | ||
| + | |- | ||
| + | | align="center"| mailstore | ||
| + | | align="center"| example.com | ||
| + | | align="center"| 8462 | ||
| + | | <code><nowiki>https://mailstore.example.com:8462/oidc/signin</nowiki></code><br/><br/>Umleitungs-URI mit vollständigem DNS-Namen und MailStore Web Access Standardport | ||
| + | |- | ||
| + | | align="center"| mailstore | ||
| + | | align="center"| n/a | ||
| + | | align="center"| 8462 | ||
| + | | <code><nowiki>https://mailstore:8462/oidc/signin</nowiki></code><br/><br/>Umleitungs-URI mit NetBIOS-Namen und MailStore Web Access Standardport | ||
| + | |- | ||
| + | | align="center"| mailstore | ||
| + | | align="center"| example.com | ||
| + | | align="center"| 443 | ||
| + | | <code><nowiki>https://mailstore.example.com/oidc/signin</nowiki></code><br/><br/>Wird der HTTPS-Standardport 443 für den MailStore Web Access oder als Quellport einer Firewall-Port-Weiterleitungsregel verwendet, kann die Portangabe im Umleitungs-URI entfallen. | ||
| + | |- | ||
| + | |} | ||
| + | :: <p class="msnote">'''Hinweis:''' Bitte beachten Sie, dass beim Umleitungs-URI die Groß- und Kleinschreibung relevant ist (case-sensitive). Beachten Sie auch nochmals die Hinweise in der Sektion [[#Voraussetzungen, Empfehlungen und Einschränkungen|Voraussetzungen, Empfehlungen und Einschränkungen]] zur Erreichbarkeit des Umleitungs-URI.</p> | ||
| + | * Das Feld ''Abmelde-URL'' bleibt frei. | ||
| + | * Setzen Sie im Bereich ''Implizite Gewährung'' die Option ''ID-Token''. | ||
| + | * Klicken Sie auf ''Konfigurieren'', um die Konfiguration der Authentifizierung in Azure AD abzuschließen. | ||
| + | === Konfigurieren des Umleitungs-URIs in MailStore Server === | ||
| + | Damit MailStore Server den Umleitungs-URI anfragenden Clients mitteilen kann, muss dieser auch dort konfiguriert werden. | ||
| + | * Wechseln Sie dazu wieder auf die Seite ''Verzeichnisdienste'' im MailStore Client. | ||
| + | * Tragen Sie dort den Umleitungs-URI in das entsprechende Feld im Bereich ''Authentifizierung'' ein. Kopieren Sie hierzu am Besten den zuvor konfigurierten Wert aus dem Azure AD im Browser. | ||
Version vom 5. Juni 2020, 16:23 Uhr
Neben der manuellen Anlage von Benutzern (diese wird im Kapitel Verwalten von Benutzern beschrieben), kann MailStore Server seine interne Benutzerdatenbank auch mit dem Microsoft 365-Mandanten Ihres Unternehmens abgleichen.
Bei der Synchronisierung werden Benutzerinformationen, wie z.B. Benutzernamen und E-Mail-Adressen, aus dem Microsoft 365-Mandanten in die MailStore Server-Benutzerdatenbank kopiert. Dadurch können sich z.B. Benutzer mit ihren Microsoft 365-Mandanten-Zugangsdaten auch an MailStore Server anmelden und E-Mails den Benutzerarchiven automatisch zugeordnet werden. Es werden von MailStore Server keine Änderungen am Microsoft 365-Mandanten selbst vorgenommen. Der Umfang der Synchronisierung lässt sich über Filter einschränken.
Voraussetzungen, Empfehlungen und Einschränkungen
- Für eine bestmögliche Benutzererfahrung sollte dem von MailStore Server benutzten Zertifikat von allen Clients und Webbrowsern vertraut werden. Es wird empfohlen, ein von einer vertrauenswürdigen Zertifizierungsstelle signiertes Zertifikat oder Let's Encrypt Zertifikate zu verwenden.
- Wenn sich Benutzer von außerhalb des Firmennetzwerks ohne VPN über den MailStore Client, das MailStore Outlook-Addin oder den Web Access an MailStore Server anmelden sollen, müssen die in diesem Artikel beschriebenen URIs auch im Internet per DNS aufgelöst werden können und gegebenenfalls Port-Weiterleitungsregeln zum MailStore Server-Computer auf der Firewall oder dem Router eingerichtet werden.
- Erfolgt die Anmeldung an MailStore Server über Microsoft 365, ist der Zugriff auf das Archiv mittels IMAP aus technischen Gründen nicht möglich.
Verknüpfen von MailStore Server mit Microsoft 365
Um Benutzerinformationen aus Microsoft 365 zu synchronisieren, muss MailStore Server zunächst mit Ihrem Microsoft 365-Mandanten verknüpft werden und die notwendigen Berechtigungen zugewiesen bekommen. Dabei nutzt Microsoft 365 das Azure Active Directory als Verzeichnisdienst. Jedem Microsoft 365-Mandanten entspricht ein Azure AD-Mandant, in welchem seine Benutzerinformationen gespeichert werden.
Registrierung von MailStore Server als App in Azure AD
Durch die Registrierung erhält MailStore Server eine Identität innerhalb von Azure AD, die die Authentifizierung gegenüber den Mandantendiensten und die Nutzung ihrer Ressourcen ermöglicht.
- Melden Sie sich mit einem Mandanten-Administrator-Konto für Ihren Microsoft 365-Mandanten im Azure Portal an.
- Wählen Sie die Option Azure Active Directory verwalten.
- Wählen Sie in der folgenden Ansicht im Menü links in der Sektion Verwalten die Option App-Registrierungen.
- Wählen Sie Neue Registrierung. Die Ansicht Anwendung registrieren wird angezeigt.
- Geben Sie in das Feld Name einen sinnvollen Anzeigenamen ein, z.B. MailStore Server. Dieser Name wird den Benutzern später z.B. beim Login angezeigt.
- Alle weiteren Einstellungen auf der Seite können in ihren Voreinstellungen belassen werden.
- Klicken Sie auf "Registrieren". Wenn die Registrierung erfolgreich war, gelangen Sie auf die Übersichtsseite der neu registrierten App.
Die hier angezeigte Anwendungs-ID (Client) identifiziert MailStore Server innerhalb Ihres Azure AD-Mandanten und muss zusammen mit dessen Verzeichnis-ID (Mandant) als Nächstes in MailStore Server eingetragen werden. Lassen Sie die Übersichtsseite der App daher für die folgenden Schritte im Browser geöffnet.
Erstellen von Anmeldeinformationen in MailStore Server
Anmeldeinformationen für Microsoft 365 bestehen aus den eben erstellten IDs und einem Geheimnis, mit dem MailStore Server seine Identität gegenüber Azure AD ausweist. Microsoft empfiehlt die Verwendung von Zertifikaten als Geheimnis zur Identifizierung einer App in Azure AD. Ein solches Zertifikat wird beim Erstellen von Anmeldeinformationen automatisch von MailStore Server erzeugt, kann aber auch nachträglich erneut generiert werden.
- Melden Sie sich als MailStore Server-Administrator über den MailStore Client an.
- Klicken Sie auf Verwaltung > Benutzer und Archive > Verzeichnisdienste.
- Wählen Sie im Bereich Integration den Verzeichnisdienste-Typ Microsoft 365 (Modern Authentication).
- Klicken Sie im Bereich Verbindung auf die Schaltfläche neben der Drop-Down-Liste Anmeldeinformationen.
- Klicken Sie im nun angezeigten Dialog Anmeldeinformationsverwaltung auf Erstellen….
- Tragen Sie im angezeigten Dialog Azure AD-Anwendungsanmeldeinformationen folgende Informationen im Bereich Einstellungen ein:
- Name
Ein aussagekräftiger Name für die Anmeldeinformationen, z.B. der Ihres Microsoft 365-Mandanten. - Anwendungs-ID (Client)
Der Wert des entsprechenden Feldes, den Sie aus der im Browser geöffneten Übersichtsseite der App in Microsoft 365 kopieren können. - Verzeichnis-ID (Mandant)
Der Wert des entsprechenden Feldes aus der im Browser geöffneten Übersichtsseite der App in Microsoft 365 kopieren können.
- Name
- Klicken Sie im Bereich Authentifizierung auf die Drop-Down-Schaltfläche neben dem Textfeld Zertifikat und wählen Sie Zertifikat herunterladen. Speichern Sie das Zertifikat auf Ihrer Festplatte.
- Bestätigen Sie Ihre Eingaben durch Klicken auf OK.
- Die neu erstellten Anmeldeinformationen werden unter dem von Ihnen zuvor vergebenen Namen mit dem Typ Microsoft 365 in der Anmeldeinformationsverwaltung gelistet. Hier können vorhandene Anmeldeinformationen bei Bedarf auch bearbeiten oder löschen.
- Verlassen Sie die Anmeldeinformationsverwaltung durch Klicken auf Schließen.
- Die neu erstellten Anmeldeinformationen sind jetzt in der entsprechenden Drop-Down-Liste voreingestellt.
Bekanntmachen der Anmeldeinformationen in Azure AD
Damit Azure AD die Identität von MailStore Server überprüfen kann, muss das erstellte Zertifikat in Azure AD bekannt gemacht werden.
- Wechseln Sie in das noch geöffnete Browser-Fenster mit der Übersichtsseite der App in Microsoft 365.
- Wählen Sie im Menü links in der Sektion Verwalten die Option Zertifikate & Geheimnisse.
- Wählen Sie im Bereich Zertifikate die Schaltfläche Zertifikat hochladen, wählen Sie die zuvor gespeicherte Zertifikatsdatei aus und laden Sie sie durch Klicken auf Hinzufügen in Azure AD hoch.
- Wenn das Hochladen erfolgreich war, werden der Fingerabdruck des hochgeladenen Zertifikats und sein Start- und Ablaufdatum in der Zertifikatsliste angezeigt. Sie können Fingerabdruck und Ablaufdatum mit den in der MailStore Anmeldeinformationsverwaltung hinterlegten Daten vergleichen, um sicherzugehen, dass Sie das korrekte Zertifikat hochgeladenen haben.
Konfigurieren der App-Authentifizierung in Azure AD
Damit Azure AD MailStore Server das Ergebnis einer Benutzerauthentifizierungsanfrage mitteilen kann, muss Azure AD der Endpunkt mitgeteilt werden, auf dem MailStore Server die Authentifizierungsantworten erwartet, der sogenannte Umleitungs-URI.
- Wählen Sie im geöffneten Browser-Fenster im Menü links in der Sektion Verwalten die Option Authentifizierung.
- Wählen Sie im Bereich Plattformkonfiguration die Schaltfläche Plattform hinzufügen.
- Wählen Sie im Menü Plattform konfigurieren im Bereich Webanwendungen die Option Web.
- Tragen Sie in das Feld Umleitungs-URI einen URI in folgendem Format (ohne spitze Klammern) ein:
https://<DNS- oder NetBIOS-Name>:<TCP-Port>/oidc/signin
- Der URI setzt sich aus folgenden Bestandteilen zusammen:
- https://
- Die Angabe des Protokolls muss verpflichtend auf https:// lauten. Damit bei der Benutzeranmeldung später keine Zertifikatswarnungen erscheinen, muss dem von MailStore Server verwendeten Zertifikat von den Webbrowsern auf den Client-Geräten vertraut werden.
- DNS-Name
- Der vollständige DNS-Name Ihres MailStore Servers, z.B. mailstore.example.com. Dieser muss von allen Clients, von denen aus sich Benutzer an MailStore Server anmelden sollen, auflösbar sein. Die Benutzung des vollständigen DNS-Namens wird empfohlen.
- NetBIOS-Name
- Der NetBIOS-Name Ihres MailStore Servers, z.B. mailstore. Dieser kann anstelle des vollständigen DNS-Namens verwendet werden, insbesondere, wenn kein DNS-Server zum Einsatz kommt. Bitte beachten Sie, dass die Auflösung von NetBIOS-Namen mit Einschränkungen verbunden ist und sich daher in der Regel nur für sehr kleine Netze eignet.
- TCP-Port
- Der TCP-Port des MailStore Web Access (standardmäßig 8462). Dieser muss mit dem in der MailStore Server Dienst-Konfiguration#Dienste in der Sektion Netzwerkeinstellungen > Dienste > MailStore Web Access / Outlook Add-in (HTTPS) konfigurierten Port übereinstimmen.
- /oidc/signin
- An diesem Endpunkt erwartet MailStore Server die Authentifizierungsantworten von Azure AD. Dieser Pfad muss exakt so am Ende des Umleitungs-URIs stehen.
- Beispiele für gültige Umleitungs-URIs:
Rechnername DNS-Domäne TCP-Port Resultierender Umleitungs-URI mailstore example.com 8462 https://mailstore.example.com:8462/oidc/signin
Umleitungs-URI mit vollständigem DNS-Namen und MailStore Web Access Standardportmailstore n/a 8462 https://mailstore:8462/oidc/signin
Umleitungs-URI mit NetBIOS-Namen und MailStore Web Access Standardportmailstore example.com 443 https://mailstore.example.com/oidc/signin
Wird der HTTPS-Standardport 443 für den MailStore Web Access oder als Quellport einer Firewall-Port-Weiterleitungsregel verwendet, kann die Portangabe im Umleitungs-URI entfallen.
Hinweis: Bitte beachten Sie, dass beim Umleitungs-URI die Groß- und Kleinschreibung relevant ist (case-sensitive). Beachten Sie auch nochmals die Hinweise in der Sektion Voraussetzungen, Empfehlungen und Einschränkungen zur Erreichbarkeit des Umleitungs-URI.
- Das Feld Abmelde-URL bleibt frei.
- Setzen Sie im Bereich Implizite Gewährung die Option ID-Token.
- Klicken Sie auf Konfigurieren, um die Konfiguration der Authentifizierung in Azure AD abzuschließen.
Konfigurieren des Umleitungs-URIs in MailStore Server
Damit MailStore Server den Umleitungs-URI anfragenden Clients mitteilen kann, muss dieser auch dort konfiguriert werden.
- Wechseln Sie dazu wieder auf die Seite Verzeichnisdienste im MailStore Client.
- Tragen Sie dort den Umleitungs-URI in das entsprechende Feld im Bereich Authentifizierung ein. Kopieren Sie hierzu am Besten den zuvor konfigurierten Wert aus dem Azure AD im Browser.
