Abgleich der Benutzerkonten mit Office 365

Neben der manuellen Anlage von Benutzern (diese wird im Kapitel Verwalten von Benutzern beschrieben), kann MailStore Server seine interne Benutzerdatenbank auch mit dem Office 365-Mandanten Ihres Unternehmens abgleichen.

Bei der Synchronisierung werden Benutzerinformationen, wie z.B. Benutzernamen und E-Mail-Adressen, aus dem Office 365-Mandanten in die MailStore Server-Benutzer­datenbank kopiert. Dadurch können sich z.B. Benutzer mit ihren Office 365-Mandanten-Zugangsdaten auch an MailStore Server anmelden und E-Mails den Benutzerarchiven automatisch zugeordnet werden. Es werden von MailStore Server keine Änderungen am Office 365-Mandanten selbst vorgenommen. Der Umfang der Synchronisierung lässt sich über Filter einschränken.


Vorbereiten des Office 365 Mandanten

Um Benutzerinformationen aus Office 365 zu synchronisieren, benötigt MailStore Server einen Dienstprinzipal, welcher das Recht besitzt, auf Ihren Office 365-Mandanten zuzugreifen. Der Dienstprinzipal repräsentiert MailStore Server innerhalb des Office 365-Mandanten und ermöglicht die Authentifizierung gegenüber den Mandantendiensten und die Nutzung ihrer Ressourcen.

Installieren des Azure Active Directory Moduls

Office 365 nutzt das Azure Active Directory als Verzeichnisdienst. Jedem Office 365-Mandanten entspricht ein Azure AD-Mandant, in welchem seine Benutzerinformationen gespeichert werden. Um einen Dienstprinzipal zu erstellen, müssen zunächst die dafür notwendigen PowerShell Cmdlets installiert werden, wie in diesem Artikel beschrieben:

Windows PowerShell-Cmdlets für Office 365 auf Office.com

Einen Dienstprinzipal erstellen

Nachdem das PowerShell Modul installiert wurde, können Sie einen Dienstprinzipal im Azure AD wie folgt erstellen:

  1. Öffnen Sie eine PowerShell-Sitzung un geben Sie den folgenden Befehl ein, um sich mit dem Office 365-Azure AD-Mandanten zu verbinden:
    Connect-MsolService
    
  2. Ein Anmeldedialog öffnet sich. Geben Sie hier administrative Zugangsdaten für Ihren Office 365-Plan ein.

  3. Optional: Um eine Liste aller Dienstprinzipale, die momentan in Ihrem Azure AD-Mandanten existieren, abzurufen geben Sie folgenden Befehl ein:
    Get-MsolServicePrincipal
    
  4. Erstellen Sie einen neuen Dienstprinzipal mit folgendem Befehl:
    New-MsolServicePrincipal -DisplayName 'MailStoreSP' -ServicePrincipalNames 'MailStoreSP/<Mandantendomäne>' -Type Password -Value '<Passwort>'
    
  5. Ein Dienstprinzipalobjekt wird zurückgegeben. Seine ObjectId wird für die Rollenzuweisung im nächsten Schritt benötigt. Das Passwort des Dienstprinzipals ist standardmäßig für ein Jahr gültig, weitere Informationen finden Sie im MSDN.
    Hinweis: In seltenen Fällen funktioniert das Anlegen des Dienstprinzipals mit den oben genannten Parametern nicht. Ersetzen Sie in diesem Fall im Parameter ServicePrincipalNames den Schrägstrich durch einen Bindestrich.
  6. Damit der Dienstprinzipal Informationen aus dem Azure AD-Mandanten lesen kann, weisen Sie ihm die Directory Readers Rolle mit folgendem Befehl zu:
    Add-MsolRoleMember -RoleName "Directory Readers" -RoleMemberType ServicePrincipal -RoleMemberObjectId "<ObjectId des Dienstprinzipals>"
    

Aufruf der Verzeichnisdienste-Integration

  • Melden Sie sich als MailStore Server-Administrator über den MailStore Client an.
  • Klicken Sie auf Verwaltung > Benutzer und Archive > Verzeichnisdienste.
  • Der Verzeichnisdienste-Typ ist abhängig von der Azure Cloud Ihres Office 365-Azure AD-Mandanten:

    Globale Azure Cloud
    Wenn Ihr Office 365-Azure AD-Mandant in der globalen Azure Cloud liegt, wählen Sie den Verzeichnisdienste-Typ Office 365.

    Azure Deutschland Cloud
    Wenn Ihr Office 365-Azure AD-Mandant in der Azure Deutschland Cloud liegt, wählen Sie den Verzeichnisdienste-Typ Office 365 Germany.

    Azure China Cloud
    Wenn Ihr Office 365-Azure AD-Mandant in der Azure China Cloud liegt, wählen Sie den Verzeichnisdienste-Typ Office 365 operated by 21 Vianet.
Office365 sync 01.png


Verbindung zu Office 365

Für die Synchronisierung benötigt MailStore Server Informationen darüber, wie der Office 365-Mandant angesprochen werden kann.

  • Dienstprinzipal
    Der Dienstprinzipalname des Dienstprinzipals (z.B. MailStoreSP/<Mandantendomäne>).
  • Passwort
    Das Passwort des Dienstprinzipals.
  • Domäne
    Eine E-Mail-Domäne innerhalb des Office 365-Mandanten.

Synchronisierung der Benutzerdatenbank

Nachdem Sie die Verbindungseinstellungen wie oben beschrieben angegeben haben, können Sie in diesem Abschnitt Filterkriterien für die Synchronisierung mit Office 365 festlegen.

  • Nur Benutzer mit Microsoft Exchange Online Lizenz synchronisieren
    Hierdurch werden bei der Synchronisierung nur Office 365-Benutzerkonten mit zugewiesener Microsoft Exchange Online Lizenz berücksichtigt.
  • Nur aktivierte Benutzer synchronisieren
    Hierdurch werden bei der Synchronisierung nur Office 365-Benutzerkonten berücksichtigt, deren Anmeldung an Office 365 nicht blockiert wurde.
  • Nur diese Gruppen
    Wählen Sie eine oder mehrere Office 365-Gruppen aus, wenn Sie nur deren Mitglieder als MailStore Server-Benutzer anlegen wollen. Dadurch lässt sich verhindern, dass bestimmte Benutzer nach MailStore Server synchronisiert werden.
  • Benutzernamen-Format
    Legen Sie fest, wie die MailStore-Benutzernamen gebildet werden sollen:
    • User Principal Name (UPN)
      Der vollständige Office 365-Anmeldename, z.B. max.mustermann@office365.example.com
    • User Principal Name (UPN) Local Part
      Der Office 365-Anmeldename ohne Domäne, z.B. max.mustermann

Optionen

  • Automatisch Benutzer in MailStore Server löschen
    Hier kann gewählt werden, ob Benutzer, die im Office 365-Mandanten gelöscht wurden, durch die Synchro­nisierung auch in der MailStore Server-Benutzerdatenbank automatisch gelöscht werden sollen. Benutzer, die aus dem Betrachtungsbereich der Einstellungen fallen, werden ebenfalls gelöscht.
    Es werden nur MailStore Server-Benutzer gelöscht, deren Authentifizierungs­methode auf Verzeichnisdienste eingestellt ist.
    Enthält der Archivordner eines solchen Benutzers bereits archivierte E-Mails, wird nur der Benutzereintrag, nicht aber sein Archivordner in MailStore Server gelöscht.

Standard-Berechtigungen festlegen

Benutzer, die aus einem Office 365-Mandanten nach MailStore Server synchronisiert wurden, besitzen standard­mäßig das Recht zum Anmelden am MailStore Server und haben lesenden Zugriff auf ihr eigenes Benutzer­archiv.
Sie haben die Möglichkeit, die Standard-Berechtigungen vor der Synchronisierung anzupassen, um z.B. allen neuen Benutzern das Recht E-Mails archivieren zu geben. Klicken Sie dazu auf die Schaltfläche Standard-Berechtigungen....
Weitere Informationen über die Verwaltung von Benutzerrechten und deren Auswirkungen finden Sie im Kapitel Benutzer, Archive und Berechtigungen. Dort finden Sie auch Hinweise zum Anpassen existierender Berechtigungen.

Die Synchronisierung durchführen

Mit Klick auf Sync testen können Sie die Synchronisierungseinstellungen und das vom Office 365-Mandanten zurückgelieferte Ergebnis überprüfen, ohne dass Änderungen an der MailStore Server-Benutzerdatenbank durchgeführt werden.

Um die Synchronisierung letztendlich durchzuführen, klicken Sie auf Synchronisieren. Das Ergebnis wird dann mit allen an der MailStore Server-Benutzerdatenbank vollzogenen Änderungen angezeigt.

Office365 sync 02.png


Sie können die Authentifizierung für einen bestimmten Benutzer testen, indem Sie diesen in der Liste auswählen und dann auf die entsprechende Schaltfläche links unten klicken. Geben Sie anschließend das Kennwort dieses Benutzers ein. Sie erhalten eine Rückmeldung, ob die Authentifizierung erfolgreich war.

Anmeldung mit Office 365-Zugangsdaten

Nach der Synchronisierung können sich MailStore Server-Benutzer unter Verwendung ihres Office 365-Benutzernamens und ihres Office 365-Kennworts an MailStore Server anmelden.