Damit ELOxc eine Verbindung per Modern Authentication (OAuth 2.0) zu Microsoft 365 aufbauen kann, ist eine App-Registrierung im Mandanten (TNNT) erforderlich, die administrativ als Dienstprinzipal (ServicePrincipal) von ELOxc agiert und die Rolle Exchange-Administrator erhält. Die App-Registrierung besitzt eine ID, mit der die externe Anmeldung erkannt wird. Ein lokal erstelltes Zertifikat, dessen öffentlicher Schlüssel (CER-Datei) der App-Registrierung hinzugefügt werden muss, wird als Schlüssel verwendet. Der verfügbare Funktionsumfang für ELOxc in Microsoft 365 wird mit den API-Berechtigungen der App-Registrierung festgelegt.

Erstellen

1. Melden Sie sich am Microsoft Azure Portal an: https://portal.azure.com/.

2. Wählen Sie Azure Active Directory verwalten > Anzeigen aus.

3. Wählen Sie im Menüband App-Registrierungen aus und klicken Sie auf den Tab Neue Registrierung.

Der Dialog Anwendungen registrieren erscheint.

4. Tragen Sie ELO XC als Anzeigename der Anwendung ein.

5. Wählen Sie Nur Konten in diesem Organisationsverzeichnis ... bei Unterstützte Kontotypen aus.

ELOxc ist als Anwendung registriert und wird in der Übersicht von Microsoft Azure angezeigt. Sichern Sie die Anwendungs-ID ( XCAPP).

Zertifikat hochladen

Die Microsoft Azure App-Registrierung setzt eine Zertifikatsdatei voraus. Wie Sie diese über die PowerShell generieren, erfahren Sie in der Dokumentation zu PowerShell im Abschnitt Selbstsignierte Zertifikate.

1. Wählen Sie im Menüband den Tab Zertifikate & Geheimnisse aus.

2. Klicken Sie auf Zertifikat hochladen.

3. Wählen Sie ein lokal gespeichertes Zertifikat aus und klicken Sie auf Hinzufügen.

Beachten Sie: App-Registrierungen erlauben nur öffentliche Schlüssel der Zertifikate, was beispielsweise auf CER-Dateien zutrifft. PFX-Dateien enthalten öffentliche und private Schlüssel, weshalb sie nicht verwendet werden können.

Sie finden die hochgeladenen Zertifikate in der Microsoft-Azure-Übersicht der Zertifikate und Geheimnisse von ELOxc. Hier können Sie nochmals den Fingerabdruck prüfen, der mit Z4 übereinstimmen muss.

API-Berechtigungen

Im Folgenden erfahren Sie, welche API-Berechtigungen notwendig sind und wie Sie die Berechtigungen erteilen.

1. Wählen Sie im Menüband den Tab API-Berechtigungen aus.

2. Klicken Sie auf Berechtigung hinzufügen und wählen Sie Microsoft Graph im Tab Microsoft-APIs aus.

3. Wählen Sie Anwendungsberechtigungen im Bereich Microsoft Graph aus.

4. Fügen Sie folgende Berechtigungen hinzu: Directory.Read.All, User.Read, User.Read.All.

5. Klicken Sie erneut auf Berechtigung hinzufügen.

6. Wählen Sie im Tab Von meiner Organisation verwendete APIs die Anwendung Office 365 Exchange Online aus.

7. Klicken Sie auf Anwendungsberechtigungen und wählen Sie folgende Anwendungsberechtigungen aus: full_access_as_app, Exchange.ManageAsApp.

8. Klicken Sie auf Administratorzustimmung für <Name des Mandanten> erteilen und bestätigen Sie die Administratoreinwilligung mit Ja.

Mit Bestätigung der Administratorzustimmung ändert sich in der Übersicht der API-Berechtigungen der Status in Gewährt für.

Die Berechtigung full_access_as_app ermöglicht vollen Zugang zu allen Postfächern.

Um den Zugriff auf spezifische Exchange-Online-Postfächer zu limitieren, müssen Sie application access policies generieren.

Folgender Link beschreibt das Vorgehen: https://learn.microsoft.com/en-us/graph/auth-limit-mailbox-access.

Wenn ein Azure-Katalog verwendet wird, müssen die API-Berechtigungen für Microsoft Graph folgendermaßen konfiguriert werden:

Rolle 'Exchange-Administrator'

Mit der App-Registrierung wird automatisch ein sogenannter Dienstprinzipal (ServicePrincipal) erzeugt. Mit Vergabe der API-Berechtigungen ist ELOxc über die App-Registrierung dazu berechtigt, stellvertretend auf Postfächer zuzugreifen und ihre Berechtigungseinstellungen zur Ermittlung von Delegaten in freigegebenen Postfächern zu lesen. Für den Verbindungsaufbau mit dem Cmdlet Connect-ExchangeOnline benötigt der Dienstprinzipal die Rolle Exchange-Administrator.

1. Wählen Sie im Menüband der Microsoft Azure Active Directory den Tab Rollen und Administratoren aus.

2. Wählen Sie die Rolle Exchange-Administrator aus.

3. Fügen Sie mit ELOxc die Zuweisung zur erstellten App-Registrierung hinzu.

ELOxc ist nun der Rolle des Exchange-Administrators zugewiesen.