Konfigurieren eingehender E-Mails unter Verwendung von OAuth2 unter Office 365

Der erste Schritt ist die Erstellung einer App-Registrierung für "Ivanti Service Desk, Eingang" in Azure.

So erstellen Sie eine App-Registrierung:

1. Melden Sie sich als Administrator bei https://portal.office.com an und öffnen Sie die Administratorverknüpfung.
2. Öffnen Sie im Microsoft 365 Admin Center das mit Ihrem Office 365-Mandanten verknüpfte Azure Active Directory-Konto.
3. Registrieren Sie eine neue Einzelmandantanwendung.
   Anschließend müssen einige API-Berechtigungen geändert werden.
4. Entfernen Sie die Leseberechtigung für den delegierten Benutzer.
5. WICHTIG: Fügen Sie als Anwendungsberechtigung (für Microsoft Graph) "Mail ReadWrite" hinzu und erteilen Sie die Admin-Zustimmung.
   Dadurch besitzt die Anwendung, wenn sie über Administratorzustimmung verfügt, die Berechtigung zum Verwenden der Microsoft Graph-API zum Lesen und Schreiben von E-Mails in allen Postfächern Ihres Office 365-Mandanten. Im nächsten Schritt wird diese Berechtigung eingeschränkt.
   

Nachdem Sie die App "Ivanti Service Desk, Eingang" registriert haben, müssen Sie den Postfachzugriff einschränken, damit die Azure-App nur auf ein Postfach zugreifen kann.

Weitere Informationen finden Sie im Abschnitt zum Begrenzen der Anwendungsberechtigungen auf bestimmte Exchange Online-Postfächer auf der Dokumentationswebsite von Microsoft (wird in neuem Register geöffnet).

So schränken Sie den Postfachzugriff ein:

1. Melden Sie sich als Administrator bei https://portal.office.com an.
2. Erstellen Sie eine neue mailfähige Sicherheitsgruppe.
3. Fügen Sie der Gruppe ein Mitglied hinzu.
   Dies ist der eine Benutzer, der dem Postfach "Eingang" im Service Desk entspricht.
   Der nächste Schritt besteht darin, diese Gruppe mit der App-Registrierung in Azure zu verknüpfen. Verbinden Sie sich dazu über PowerShell mit Exchange Online und geben Sie den Befehl "New-ApplicationAccessPolicy" aus.
4. Installieren Sie das Exchange Online PowerShell-Modul.
   Weitere Informationen finden Sie unter Verbinden mit Exchange Online PowerShell auf der Dokumentationswebsite von Microsoft (wird in einem neuen Register geöffnet).
5. Stellen Sie unter Verwendung von MFA eine Verbindung zu Exchange Online PowerShell her.
6. Konfigurieren Sie ApplicationAccessPolicy, um Ihre Gruppe mit der Azure-App zu verknüpfen.
   Wenn Sie den PowerShell-Befehl New-ApplicationAccessPolicy verwenden, der im Abschnitt zum Begrenzen der Anwendungsberechtigungen auf bestimmte Exchange Online-Postfächer auf der Dokumentationswebsite von Microsoft (wird in neuem Register geöffnet) beschrieben wird, entspricht der Parameter "AppId" Ihrer Azure-Anwendungs-ID (auch bekannt als Client-ID). Der Parameter "PolicyScopeGroupId" ist die Gruppen-E-Mail-Adresse der von Ihnen erstellten mailfähigen Sicherheitsgruppe.
7. Testen Sie die Konfiguration mit Benutzern, auf die die Anwendung zugreifen können sollte bzw. nicht zugreifen können sollte.
   Bei Verwendung des oben genannten Dokuments von Microsoft können Sie dazu den Befehl Test-ApplicationAccessPolicy ausgeben.
8. Melden Sie sich ab.
   Warten Sie etwa 30 Minuten, bis die Konfiguration abgeschlossen ist. Bis dahin haben API-Aufrufe an Microsoft Graph, die Ihre App verwenden, Zugriff auf die Postfächer aller Benutzer.

Nachdem Sie eine App-Registrierung für Microsoft Graph in Office 365 erstellt und den Postfachzugriff eingeschränkt haben, können Sie das Service Desk-Postfach für die Verwendung von Office 365 für eingehende E-Mails konfigurieren.

So konfigurieren Sie das Service Desk-Postfach für die Verwendung von Office 365 für eingehende E-Mails:

1. Stoppen Sie unter Verwendung des Configuration Centers den Dienst Mail Manager – Eingehender Service.
2. Erweitern Sie in der Komponente Mail in der Struktur E-Mail-Einrichtung den Ordner Eingehende E-Mail und wählen Sie dann den Ordner Postfächer aus.
3. Klicken Sie in der Liste Aktionen auf Neues Postfach.
   Das Fenster "Postfach" wird angezeigt.
4. Wählen Sie in der Liste Anbieter die Option Microsoft Graph (OAuth2) aus.
   Das Dialogfeld wird aktualisiert.
5. Geben Sie einen Titel ein und wählen Sie eine Zuordnung aus.
6. Legen Sie unter Anmeldedetails als Benutzername den Benutzerprinzipalnamen für Ihr Office 365-Postfach fest.
   Dieser hat das Format einer E-Mail-Adresse.
7. Erstellen Sie in der App-Registrierung in Azure einen Geheimschlüssel über die Verknüpfung Zertifikate & Geheimschlüssel und verwenden Sie diesen für das Feld Geheimschlüssel unter OAuth2-Details bei den Einstellungen in Service Desk.
8. Verwenden Sie als Client-ID und Mandanten-ID unter OAuth2-Details bei den Postfacheinstellungen die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant) aus der Verknüpfung "Übersicht" Ihrer App-Registrierung in Azure.
9. Klicken Sie in der Symbolleiste auf , um sicherzustellen, dass die Authentifizierung erfolgreich war und Zugriff auf das Office 365-Postfach besteht.
10. Speichern Sie das neue Postfach.
11. Starten Sie Mail Manager – Eingehender Service.

Um zu prüfen, ob der Zugriff auf das Postfach korrekt eingeschränkt wurde, stoppen Sie den eingehenden Service, ändern Sie den Benutzernamen bei den Postfacheinstellungen in Service Desk in den eines Benutzers ab, der nicht zu Ihrer Sicherheitsgruppe gehört, und klicken Sie auf .
Die Authentifizierung müsste erfolgreich verlaufen, jedoch sollte der Zugriff auf das Postfach fehlschlagen.
Denken Sie daran, den Namen des Benutzers wieder auf einen Benutzer zu ändern, der Mitglied der Mail-Sicherheitsgruppe ist, und starten Sie dann den eingehenden Service wieder.