|
Registrierung und Konfiguration bei Microsoft Entra ID und Exchange Online |
Scroll Zurück Oben Weiter Mehr |
Bevor E-Mails mit Microsoft Entra ID synchronisiert werden können, muss die JobServer-Anwendung für Ihren Microsoft 365-Mandanten im Microsoft Entra Admin Center und in Exchange Online registriert werden. Die für die Registrierung und Konfiguration notwendigen Schritte sind unten gelistet. Um diese auszuführen, wenden Sie sich bitte an Ihren IT-Administrator.
Registrierung des JobServers im Microsoft Entra Admin Center
Durch die Registrierung erhält JobServer eine Identität innerhalb von Entra ID, die die Authentifizierung gegenüber den Mandantendiensten und die Nutzung ihrer Ressourcen ermöglicht.
Führen Sie die folgenden Schritte aus, um die JobServer-Registrierung zu erstellen:
1.Melden Sie sich im Microsoft Entra Admin Center an.
2.Wenn Sie Zugriff auf mehrere Mandanten haben, stellen Sie sicher, dass Sie sich in dem Mandanten befinden, in dem Sie die Anwendung registrieren möchten.
3.Wählen Sie unter Identity den folgenden Menüpunkt aus: Applications -> App registrations > Register an application.
4.Geben Sie einen Namen für die JobServer App ein. Sie können ihn später noch ändern.
5.Wählen Sie die Option Accounts in this organizational directory only aus.
6.Lassen Sie Redirect URI leer.
7.Wählen Sie Register aus, um die anfängliche App-Registrierung abzuschließen.

Dashboard
Nach Abschluss der Registrierung wird im Admin Center die Übersicht für die App-Registrierung angezeigt. Hier finden Sie auch die Application ID (Client-ID). Dieser Wert ermöglicht die eindeutige Identifizierung Ihrer Anwendung in der Microsoft Identity Platform.
Die Client-ID wird von der JobServer-Dienstanwendung genutzt. Bitte tragen Sie die Application ID (Client-ID) in die E-Mail-Konfiguration ein.
Die Directory ID (Mandant-ID) identifiziert Ihre Organisation in Microsoft Entra ID eindeutig. Bitte tragen sie diese ebenfalls in die E-Mail-Konfiguration ein.

JobServer authentifizieren
Wechseln Sie in der App zu dem Menü Certificates & secrets und erstellen Sie dort ein neues Client Secret.

Nach der Anlage wird das neue Secret mit Secret ID und Value angezeigt. Tragen Sie den Value ins das Feld Passwort der E-Mail-Konfiguration ein.
Bitte beachten Sie: Client secret values werden später nicht mehr angezeigt. Speichern Sie sich den Wert unbedingt, bevor Sie die Seite verlassen.

JobServer API-Berechtigungen
Dann müssen Sie die richtigen API-Berechtigungen anwenden und die Admin-Zustimmung für Ihre Domain erteilen. Gehen Sie dafür zu API permissions, wechseln Sie dort auf die Registerkarte APIs my organization uses und suchen Sie nach Office 365 Exchange Online.

Wählen Sie den Berechtigungstyp Application permissions.

Unter Select permissions wählen Sie die folgenden Berechtigungen.
•SMTP
oSMTP.SendAsApp

Bitte beachten Sie: Denken Sie bitte daran, die Administratorzustimmung zu erteilen!

Registrierung eines Service Principals in Exchange Online
Um auf Ressourcen zugreifen zu können, die von einem Microsoft Entra-Mandanten geschützt werden, muss die Entität, die Zugriff benötigt, durch einen Sicherheitsprinzipal dargestellt werden. Diese Anforderung gilt für Benutzer (Benutzerprinzipal) und Anwendungen (Dienstprinzipal). Der Sicherheitsprinzipal definiert die Zugriffsrichtlinie und Berechtigungen für den Benutzer/die Anwendung im Microsoft Entra-Mandanten. Dies aktiviert die Kernfunktionen wie die Authentifizierung des Benutzers/der Anwendung während der Anmeldung und die Autorisierung beim Zugriff auf Ressourcen.
Die Registrierung des Service Principals und die Vergabe der Berechtigungen für Postfächer in Exchange Online erfolgt über Powershell. Führen Sie folgende Befehle darüber aus:
Ausführungsrichtlinie setzen
Set-ExecutionPolicy RemoteSigned
Installation des ExchangeOnlineManagement Moduls
Install-Module -Name ExchangeOnlineManagement
Import-Module ExchangeOnlineManagement
Als Administrator verbinden und einloggen (Sie werden nach einem Passwort gefragt)
Connect-ExchangeOnline
-UserPrincipalName your-admin-account@your-domain.onmicrosoft.com
Sollte Exchange Online im Hybridmodus laufen, loggen Sie sich folgendermaßen ein
$lc = Get-Credential
Connect-ExchangeOnline -Credential $lc
Service Principal erstellen
New-ServicePrincipal
-AppId <APPLICATION_ID>
-ServiceId <OBJECT_ID>
ApplicationId und ObjectId finden Sie unter Enterprise applications im Overview Panel Ihrer Applikation:
Bitte beachten: Nutzen Sie die Object ID unter Enterprise Applications, nicht die Object ID unter App Registrations!

Berechtigungen für ein bestimmtes Postfach vergeben:
Add-MailboxPermission
-Identity "<USER@your-domain.onmicrosoft.com>"
-User <OBJECT_ID>
-AccessRights FullAccess