Sie sind hier: EWS / Office 365 vorbereiten
Danach folgt: Anleitung für Schnittstelle „Datapump“ für EWS / Office 365
Folgende Informationen richten sich ausschließlich an Administratoren mit dem entsprechendem Wissen und Erfahrung.
Erstellen eines Profils
Nachdem Sie die Datenpumpe gestartet haben, können Sie (auch ohne eine Konfiguration geladen oder gespeichert zu haben) Verbindungsprofile zu ihrem On-Premise Exchange-Server oder zur Microsoft Office 365 Cloud einrichten. Klicken Sie hierzu auf „Profil-Verwaltung“, dann auf „Add …“.
Profil für On-Premise Exchange serverseitig vorbereiten
Sofern noch nicht vorhanden, legen Sie ein Benutzerkonto auf dem Exchange-Server an. Stellen Sie sicher, dass in der Gruppen- bzw. Rollenverwaltung des Exchange-Servers diesem Benutzer das Recht „ApplicationImpersonation“, oder auf älteren Systemen das Recht „ImpersonateAsUser“ erteilt wurde. Falls Sie später den „Error 403“ erhalten, liegt die Ursache i.d.R. darin, dass dieses Recht nicht erteilt wurde. Nach dem Erteilen des Rechts dauert es i.d.R. knapp 10 Minuten, bis es wirksam wird. Wurde derselbe Domänen-Benutzer verwendet, mit dem der PC, auf dem die welcome-soft EWS-Schnittstelle „Datapump“ läuft, sich anmeldet, melden Sie sich bitte von Windows ab und mit diesem Benutzerkonto erneut an, oder starten Sie den kompletten PC neu. Erteilte Windows- und Exchange-Server-Rechte werden ausschließlich beim Anmelden an Windows [mit dem Server] abgeglichen und aktiviert.
Hinweis
Auch wenn für den Zugriff auf einen On-Premise Exchange-Server kein Internet-Zugriff notwendig sein dürfte, benötigt der PC/Benutzer, der die welcome-soft Schnittstelle „Datapump“ ausführt, dennoch Internet-Zugriff: Die Kommunikation mit Ihrem Exchange-Server erfolgt i.d.R. über das https:// Protokoll; hier muss der Windows-PC prüfen, ob die Gegenseite (ihr Exchange-Server) über ein gültiges digitales Zertifikat verfügt, und muss dessen Zertifizierungsstellen bis zur Root-Zertifizierungsstelle kontaktieren, ob das Zertifikat gesperrt wurde. Erst dann ist eine verschlüsselte Kommunikation möglich. Sollte der PC keinen Internet-Zugriff haben, kommt es nach ca. 90 Sekunden zu einem TimeOut, und „Datapump“ kommuniziert dann im Idealfall mit Ihrem Exchange-Server, ohne dessen Zertifikat validiert zu haben. Als Rückfallebene könnte ggf. auch automatisch unverschlüsseltes HTTP verwendet werden, falls der Server dies unterstützt.
Profil für On-Premise Exchange-Server anlegen
Für On-Premise Exchange-Server genügt die Angabe .asmx-Adresse bei „Service URL“ (diese sehen Sie i.d.R., wenn Sie sich über das „Outlook-Webmail“ am Exchange-Server anmelden), und die Zugangsdaten eines Kontos bei „Basic Authentication“. Die Option „Store the credentials with the profile (encrypted)“ muss stets aktiviert sein, damit die Schnittstelle in Zukunft automatisch die Verbindung herstellen können. Die Zugangsdaten werden verschlüsselt in der Registry unter HKCU gespeichert. Das Konto muss über das „ApplicationImpersonation“-Recht verfügen, um die Daten der entsprechenden Kalender auslesen zu können.
oder
Profil für Microsoft Office 365 (Cloud) anlegen
Für Office 365 müssen folgende Einstellungen zu treffen, um den erhöhten Sicherheitsansprüchen der Cloud gerecht zu werden. Die Werte hierfür erhalten Sie im nachfolgenden Schritt, wenn Sie Office 365 serverseitig vorbereiten.
Die “Service URL” wird automatisch gesetzt, sobald Sie einmalig AutoDiscover mit einer gültigen E-Mail Adresse für die entsprechende Domäne durchgeführt haben. Sie können aber auch diesen generischen Wert verwenden:
https://outlook.office365.com/EWS/Exchange.asmx
„Use OAuth2“ muss aktiviert sein, „Grant Type“ auf Passwort stehen.
Basic Authentication muss aktiviert sein („Use the following credentials”), die Option „Store the credentials with the profile (encrypted)“ ebenfalls. Domain kann i.d.R. freibleiben.
Als Username/Password verwenden Sie bitte den angelegten Office 365 Benutzer, der Zugriff auf die entsprechenden Kalender hat.
Profil für Microsoft Office 365 (Cloud) serverseitig vorbereiten
1. Melden Sie sich am Microsoft 365 Admin Center an (Einloggen unter office.com – 9-Punkte Menü – Admin).
2. Gehen Sie zum Punkt „Azur Active Directory“. Evtl. vorher „Alle anzeigen“ klicken.
3. Suchen Sie beim Punkt „Alle Dienste“ nach „app“. Als Ergebnis sollte „App-Registrierungen“ angezeigt werden. Bitte anklicken.
4. „Neue Registrierung” anklicken.
5. Geben Sie Namen für diese Anwendung ein. Für welcome-soft und die Datenpumpe ist dieser Name irrelevant. Ein klarer Name ist für Sie als Administrator wichtig, damit nicht versehentlich bei einer Bereinigung der welcome-soft Zugang gesperrt wird, nur weil er „Test1“ heißt…
6. Sofern Sie nicht explizit wissen, warum sie eine andere Option auswählen sollten, wählen Sie bei „Unterstützte Kontotypen“: „Nur Konten in diesem Organisationsverzeichnis (nur „Domänenname“ – einzelner Mandant)“.
7. Nachdem Sie auf „Registrieren“ geklickt haben, laden Sie in der Detail-Ansicht der soeben registrierten App. Hier erhalten Sie die für das Profil in welcome-soft benötigte „Application (client) ID“. Bitte notieren bzw. kopieren Sie sich diese ID auch unabhängig von welcome-soft, und fügen die ID dann in den welcome-soft Profilmanager ein.
9. Auf der linken Seite wählen Sie nun „Zertifikate und Geheimnisse“. Erstellen Sie bei „Geheime Clientschlüssel“ einen [+ Neuer geheimer Clientschlüssel].
Kopieren Sie den „Wert“ des neu erstellten Schlüssels, zusätzlich auch außerhalb von welcome-soft, da er später nicht noch einmal nachgesehen werden kann. Sollten Sie eine Ablaufzeit für den Clientschlüssel definiert haben, denken Sie bitte in Zukunft daran, ihn im AdminCenter und welcome-soft zu erneuern!
10. Wählen Sie auf der linken Seite „API-Berechtigungen“.
| API/Berechtigungsname | Typ | Beschreibung |
| Microsoft Graph | ||
| EWS.AccessAsUser.All | Delegierte Berechtigungen | Access mailboxes as the signed-in user via Exchange Web Services |
| Office 365 Exchange Online | ||
| EWS.AccessAsUser.All | Delegierte Berechtigungen | Access mailboxes as the signed-in user via Exchange Web Services |
| full_access_as_app | Anwendungsberechtigungen | Use Exchange Web Services with full access to all mailboxes |
Für „Microsoft Graph“
Klicken Sie auf „Hinzufügen“ und wählen Sie den prominent platzierten Banner „Microsoft Graph“, dann „Delegierte Berechtigungen“. Es empfiehlt sich, bei “Berechtigungen auswählen“ in das Suchfeld ein Teil des Berechtigungsnamens einzutippen, um diese schneller zu finden. Aktivieren Sie „EWS.AccessAsUser.All“.
Für „Office 365 Exchange Online”
Klicken Sie erneut auf „Berechtigung hinzufügen“ und wählen die zweite Karteikarte „Von meiner Organisation verwendete APIs“ aus. Suchen Sie nach „Office 365 Exchange Online” und klicken diesen Eintrag an. Wählen Sie „Delegierte Berechtigungen” und suchen nach EWS.AccessAsUser.All und aktivieren es. Wiederholen Sie den Schritt mit „Anwendungsberechtigungen”und full_access_as_app .
Sind alle Berechtigungen wie vorgegeben erfasst, müssen Sie oberhalb der Tabelle auf „Administratorzustimmung für „Domänenname“ erteilen“ klicken.
11. Zurück auf der „Übersicht“ der App-Registrierung, klicken Sie auf „Umleitungs-URIs“. Klicken Sie auf [+ Plattform hinzufügen] ➔ [Web] .
Tragen Sie hier und gleichnamigen Feld im welcome-soft Profilmanager den Wert der gewünschten Umleitungs-URI ein. Verwenden Sie den Wert
http://localhost:8080/ews oder notfalls http://localhost/ews
Sollte der Port 8080 oder 80 auf diesem PC bereits in Verwendung sein (IIS oder andere Webserver-Software, welcome-soft DoorSignControl verwendet Port 80), verwenden Sie statt 8080 eine sinnvolle andere Zahl zwischen 10‘000 und 65‘000. Hauptsache, der Wert stimmt in Office365 und in welcome-soft überein.
Speichern Sie die Einstellung durch einen Klick auf „Konfigurieren“.
12. Damit sind zunächst die Einstellungen für die Anmeldung an Office 365 beendet, und wir können das Profil Testen und abspeichern.
Dennoch benötigt das von uns angegebene E-Mail-Konto im Profimanager die Berechtigung, in Exchange die Informationen auszulesen. Schließen Sie den Tab mit „Azure Active Directory Admin Center“ und öffnen zurück im „Microsoft 365 admin center“ den Punkt Exchange.
13. Öffnen Sie den Punkt „Berechtigungen“ – Kartikarte „Administratorrollen“.
Erstellen Sie eine neue Rolle mit einem sinnvollen Namen, und fügen Sie „Rollen“ – „ApplicationImpersonation“ in die Liste hinzu. Bei „Mitglieder“ fügen Sie das Benutzerkonto hinzu, das im welcome-soft Profilmanager zur Anmeldung verwendet wird. Speichern Sie die Änderungen.
14. Damit ist die Konfiguration abgeschlossen.
Bitte beachten Sie, dass die getätigten Änderungen mehrere Minuten dauern können, bis sie aktiv sind!
15. Sobald Sie sich nun mit der Datapump mit Office365 verbinden, sollten sie alle notwendigen Postfächer sehen; verwenden Sie ggf. die Suchfunktion.
Klappen Sie ein Postfach auf, um sicherzustellen, dass der Kalender des Postfachs angezeigt werden hat. Evtl. hat dieser Kalender wiederum Unterordner! Die Klammer hinter dem Namen zeigt an, wie viele Termine dieser Kalender insgesamt beinhaltet. In
Fehlerbehebung
1. Fehlermeldung „has not consented“
Problem: Beim Testen der Verbindung eines neuen Profils erschein die Fehlermeldung „The user or administrator has not constented to use the application …“
Lösung: Im Azure Active Directory Admin Center – Alle Dienste – Unternehmensanwendungen – „welcome-soft“ (oder der von Ihnen gewählte App-Name) öffnen. Auf der linken Seite Sicherheit – Berechtigungen öffnen und dort „Administratorzustimmung für „welcome-soft“ erteilen“ anklicken.
2. Fehlermeldung: keine Berechtigung für App
Problem: Der Benutzer hat keine Berechtigung, die App zu verwenden.
Lösung: Im Azure Active Directory Admin Center – Alle Dienste – Unternehmensanwendungen – „welcome-soft“ (oder der von Ihnen gewählte App-Name) öffnen. Auf der linken Seite Verwalten – „Benutzer und Rollen“ öffnen und dort über „Benutzer/Gruppe hinzufügen“ das Office365-Konto hinzufügen, das Sie in welcome-soft zum Herstellen der Verbindung verwenden möchten, z.B. infoterminal@contoso.com . Die Rolle „Default Access“ reicht von der Berechtigungsstufe her aus. Nach dem Hinzufügen könnte es sein, dass die Rechte für die App durch den Administrator neu genehmigt werden müssen, siehe Fehlermeldung 1).
Sie sind hier: EWS / Office 365 vorbereiten
Nächster Schritt: Anleitung für Schnittstelle „Datapump“ für EWS / Office 365
