OAuth2 für den E-Mail Service des ACMP Servers einrichten
Mit der Umstellung der Anmeldemethode von Microsoft 365 ist der Benutzer nicht mehr in der Lage, sich wie gewohnt über die Standardauthentifizierung anzumelden. Seit dem 01. Oktober 2022 wurde die herkömmliche Authentifizierung mithilfe des Benutzernamens und des Passworts von Microsoft abgeschaltet und von OAuth2 abgelöst. Sämtliche Anwendungen, die über den Microsoft 365-Server laufen (z.B. der E-Mail-Verkehr), müssen nun in Microsoft Azure Active Directory registriert werden. Wenn die App-ID nicht registriert ist, kann kein E-Mail-Verkehr mehr über den Microsoft-Server laufen. Lesen Sie hier nach, welche Voraussetzungen Sie erfüllen müssen, um OAuth2 am ACMP Server einzurichten.
Voraussetzungen für OAuth2
Um OAuth2 nutzen zu können, müssen folgende Voraussetzungen gegeben sein:
- Es muss eine Appregistrierung vorliegen (Application / Client ID)
Die Berechtigungen für diese App müssen wie folgt lauten:
- IMAP.AccessAsUser.All
- POP.AccessAsUser.All
- SMTP.Send
- offline_access
Einstellungen der Azure Active Directory im Detail
Melden Sie sich zunächst in der
an und navigieren Sie zum Azure Active Directory. Klicken Sie im Azure Active Directory auf den Reiter App registrations, welchen Sie unter dem Menüpunkt „Manage“ finden.Legen Sie anschließend eine neue App Registrierung an, indem Sie in der oberen Leiste auf New Registration klicken.
Geben Sie der Anwendung einen Namen (z.B. ACMP, um eine eindeutige Zuordnung zu gewährleisten) und wählen Sie die unterstützten Konten aus, um zu bestimmen, wer Zugriff auf die API haben soll.
Sollte nur ein Konto aus dem Organisationsverzeichnis darauf zugreifen dürfen, müssen Sie die erste Option wählen. Unter der Redirect URI müssen Sie die folgende angeben: https://login.microsoftonline.com/common/oauth2/nativeclient. Registrieren Sie die Anwendung als Public client/native (mobile & desktop) und schließen Sie den Vorgang ab, indem Sie auf den Button Register klicken.
Wechseln Sie nun innerhalb der registrierten App in den Bereich der API Berechtigungen (Manage > API permissions) und fügen Sie dort Berechtigungen hinzu.
Navigieren Sie dazu von ACMP zu dem Menüeintrag der API-Berechtigungen und klicken Sie dann auf Add a permission.
Es öffnet sich der Microsoft Graph mit verschiedenen Unterpunkten. Wählen Sie den gleichnamigen Microsoft Graph-Menüpunkt aus und klicken Sie zur Bestimmung des Typen der Berechtigung auf „Delegated permissions“.
Diese Berechtigung braucht den Zugang zur API als angemeldeten Benutzer. Die folgenden Felder müssen Sie hierfür auswählen und der Berechtigung hinzufügen:
- IMAP.AccessAsUser.All
- POP.AccessAsUser.All
- SMTP.Send
- offline_access
Wenn Sie diese Einträge hinzugefügt haben, klicken Sie auf Add permissions und kehren Sie auf den Bereich der Übersicht zurück.
Kopieren Sie hieraus die Client ID der Anwendung und speichern Sie sich die ID. Diese wird zu einem späteren Zeitpunkt im ACMP benötigt.
Um weiter an den Einstellungen arbeiten zu können, müssen Sie nun zum Microsoft 365 Admin Center wechseln (https://admin.microsoft.com/Adminportal/Home) und sich dort anmelden. Für das abzurufende Postfach müssen alle Berechtigungen aktiviert sein.
Dort finden Sie in der linken Navigation unter Benutzer den Menüpunkt Aktive Benutzer. Wählen Sie den Benutzer aus, für den die Änderung gelten soll. Öffnen Sie die Kontoeinstellungen und wechseln Sie zum E-Mail-Tab und klicken dort auf E-Mail-Apps > E-Mail-Apps verwalten.
Wählen Sie die Apps aus, in denen der Benutzer auf Microsoft 365 E-Mails zugreifen kann. An dieser Stelle müssen Sie alle Checkboxen auswählen, um Zugriff zu erlauben.
Einstellungen im ACMP setzen
Nachdem Sie die relevanten Änderungen auf den ausgewählten Microsoftseiten vorgenommen haben, müssen Sie zusätzlich in ACMP Einstellungen ändern.
Navigieren Sie dazu zu System > Einstellungen > ACMP Server > E-Mail Service. Im Bereich Server Informationen ist unter anderem der Authentifizierungsmodus hinterlegt, wo OAuth2 ausgewählt werden muss. Tragen Sie alle Daten ein, wie in der nachfolgenden Grafik abgebildet:
Sollten Sie bei der Absender E-Mailadresse eine andere Adresse angeben als eine, die auf „onmicrosoft“ endet, spielt diese keine Rolle. Entscheidend dabei ist, dass derselbe Benutzer der dort hinterlegt ist, auch den Token angefordert hat. Beim Anfordern des Tokens muss die Application / ClientID eingegeben werden und der Kontotyp auf „Microsoft Azure AD (nur Organisationen)“ gesetzt werden. An dieser Stelle muss die ID, die Sie zuvor zwischengespeichert oder kopiert haben, eingefügt werden.
Achten Sie darauf, dass der Token mit derselben E-Mailadresse erstellt wird, die auch zum Abholen genutzt wird. Diese E-Mailadresse haben Sie in der Einstellung für den E-Mail Service genutzt. Sollte bei dem Erstellen des Tokens kein Browserfenster aufgehen, in dem Sie den Helpdesk Benutzer oder die E-Mailadresse auswählen können, liegt das daran, dass das Single Sign-on (SSO) aktiviert ist, was dazu führt, dass der Token für den aktuellen Windows Benutzer geholt wird. Um diesen Zustand zu korrigieren, müssen Sie einen lokalen Windows Benutzer verwenden, der kein SSO ausführen kann oder Sie melden sich am Windows mit dem „Helpdeskuser“/E-Mailadresse an, der auch die E-Mails abrufen soll.
Änderungen an der AAD oder an den Exchange Einstellungen
Sollten Einstellungen an der Azure Active Directory oder am Online Exchange Postfach geändert werden müssen, z.B. die Zwei-Faktor-Authentifizierung, kann es unter Umständen mehrere Minuten dauern, bis die Änderung im AAD auf alle Server synchronisiert ist. In diesem Fall sollten Sie etwas warten, bevor Sie einen neuen Token im ACMP abholen.
Zwei-Faktor-Authentifizierung
Wenn Sie eine Zwei-Faktor-Authentifizierung aktiviert haben, müssen Sie diese deaktivieren, um mit ACMP E-Mails abrufen zu können.
Freigegebene Postfächer
Freigegebene Postfächer lassen sich bisher nur verwenden, wenn das Postfach eine Outlook/Exchange Lizenz (z.B. „Microsoft 365 E3“) und ein Passwort erhält. Erst damit lässt sich der Token abholen und es lassen sich die E-Mails abrufen.