将用户账户与Microsoft 365同步(现代身份验证)

除了按照“用户管理”一章中的说明手动添加用户之外,MailStore Server还可以将其内部用户数据库与组织的Microsoft 365租户同步。

在同步期间,用户信息(例如用户名和电子邮件地址)将从Microsoft 365租户复制到MailStore Server的用户数据库中。这样,用户可以使用其Microsoft 365凭据登录到MailStore Server,例如,可以将电子邮件自动分配给其相应的用户档案。MailStore服务器不会对Microsoft 365租户本身进行任何更改。同步的范围可以通过过滤器来限制。

 

先决条件,建议和限制

  • 为了获得最佳的用户体验,所有客户端和使用的Web浏览器都应信任MailStore Server使用的证书。强烈建议使用由受信任的证书颁发机构签名的证书或使用“Let’s Encrypt”证书
  • 如果应该使用户使用MailStore ClientMailStore Outlook加载项Web Access 在不使用VPN的情况下从组织网络外部登录而不使用VPN的MailStore Server,则本文中提到的URI必须可以通过Internet和端口转发上的DNS进行解析。如果需要,必须在防火墙或路由器上设置“邮件存储服务器”计算机的“邮件发送”。
  • 使用Microsoft 365登录时对用户进行身份验证时,由于技术原因,无法通过IMAP访问存档

 

连接MailStore服务器和Microsoft 365

为了从Microsoft 365同步用户信息,必须将MailStore Server连接到Microsoft 365租户并被授予必需的权限。Microsoft 365依赖Azure Active Directory作为目录服务。每个Microsoft 365租户都对应于一个存储其用户信息的Azure AD租户。

在Azure AD中将MailStore Server注册为App

通过注册,MailStore Server在Azure AD中获得一个身份,从而可以对租户的服务进行身份验证并使用其资源。

  • 以Microsoft 365租户的全局管理员身份登录到Azure门户
  • 在导航菜单中,选择Azure Active Directory。
  • 进入Microsoft Azure主页,在左侧导航菜单的“管理”部分中选择“应用注册”。
  • 点击新注册。出现“注册应用程序”页面。
  • 在名称字段中,输入一个有意义的显示名称,例如MailStore Server。例如,此名称将在以后登录时显示给用户。
  • 将此页面上的所有其他设置保留为默认值。
  • 点击注册。如果注册成功,则会显示新注册的应用程序的概述页面。

此页面上显示的应用程序(客户端)ID标识您的Azure AD租户中的MailStore服务器,然后必须将其与目录(租户)ID一起复制到MailStore Server中。因此,对于以下步骤,请在Web浏览器中使概述页面保持打开状态。

在MailStore服务器中创建凭据

Microsoft 365的凭据包括上述ID和MailStore Server用于向Azure AD证明其身份的机密。Microsoft建议使用证书作为秘密来识别Azure AD中的应用。创建凭据时,MailStore Server会自动生成此类证书,但以后也可以重新创建。

  • 以MailStore服务器管理员身份登录到MailStore客户端。
  • 单击管理工具>用户和档案>目录服务。
  • 在“集成”部分中,将目录服务类型更改为Microsoft 365(现代身份验证)。

将用户账户与Microsoft 365同步(现代身份验证)-1

  • 在“连接”部分中,单击“凭据”下拉列表旁边的按钮(…)。
  • 在出现的凭据管理器中,单击“创建…”。
  • 在“创建Azure AD应用程序凭据”对话框中,在“设置”部分中输入以下信息:
    • 名称
      凭据的有意义的显示名称,例如Microsoft 365租户的名称。
    • 应用程序(客户端)ID
      可以从Web浏览器中的Azure AD应用程序概述页面复制的相应字段的值。
    • 目录(租户)ID
      可以从Web浏览器中的Azure AD应用程序概述页面复制的相应字段的值。

将用户账户与Microsoft 365同步(现代身份验证)-2

  • 在“身份验证”部分中,单击“证书”文本框旁边的下拉按钮,然后选择“下载证书”。将证书保存在硬盘上。
  • 单击“确定”确认输入。
  • 新创建的凭据在“凭据管理器 ”中以您输入的名称(类型为Microsoft 365)列出。如果需要,您还可以在此处编辑或删除现有凭据。
  • 通过单击“关闭”离开凭证管理器。
  • 默认情况下,在相应的下拉列表中选择新创建的凭据。

在Azure AD中发布凭据

为了使Azure AD验证MailStore Server的身份,需要在Azure AD中发布创建的证书。

  • 切换到Web浏览器中的Azure AD应用程序页面。
  • 在左侧导航菜单的“管理”部分中选择“证书和密码”。
  • 单击“证书”部分中的“上传证书 ” 。选择之前保存的证书文件,然后单击“添加”将其上传到Azure AD 。
  • 如果上传成功,则证书的指纹以及其开始日期和有效日期将显示在证书列表中。您可以将指纹和到期日期与MailStore凭据管理器中列出的指纹和到期日期进行比较,以检查是否已上传了正确的证书。

在Azure AD中配置应用程序身份验证

为了使Azure AD将用户身份验证请求的结果返回给MailStore Server,必须将MailStore Server期望身份验证响应的终结点(即所谓的Redirect URI)传送到Azure AD。

  • 在Web浏览器的Azure门户中,在左侧导航菜单的“管理”部分中选择“身份验证”。
  • 单击“身份验证”页面的“平台配置”部分中的“添加平台”按钮。
  • 在“配置平台”菜单页面的“Web应用程序”部分中选择“Web”。
  • 在重定向URI字段中,输入格式为URI(无括号)
https://<fqdn>[:<port>]/oidc/signin

具有以下组件:

https://
指定https://协议。为了避免在用户登录期间出现证书警告,客户端计算机上的Web浏览器必须信任MailStore Server使用的证书。

FQDN
MailStore服务器的完全限定域名(FQDN),由计算机名称和DNS域组成,例如mailstore.example.com。此名称必须对所有客户端都可以解析,用户可以从这些客户端登录到MailStore Server。

端口
MailStore Web Access的TCP端口(8462默认情况下)。该值必须等于MailStore服务器服务配置的基本配置>网络设置> MailStore Web访问/ Outlook加载项(HTTPS)部分中配置的端口。仅当TCP端口与HTTPS协议的默认端口(443)不同时,才需要指定该TCP端口。

/oidc/signin
MailStore服务器期望Azure AD的身份验证响应的终结点。必须完全按照重定向URI末尾此处指定的方式指定此路径。

有效重定向URI的示例
机器名称 DNS域名 TCP端口 结果重定向URI
mailstore example.com 8462 https://mailstore.example.com:8462/oidc/signin
使用完全限定域名和MailStore Web Access默认端口重定向URI
mailstore example.com 443 https://mailstore.example.com/oidc/signin
如果已为MailStore Web Access配置了HTTPS默认端口443,或者已将其配置为防火墙或路由器上端口转发的源端口,则可以忽略该端口。
  • 将“注销URL”字段留空。
  • 在“隐式授权”部分中启用“ID令牌”选项。
  • 单击“配置”以在Azure AD中完成应用程序身份验证的配置。

在MailStore服务器中配置重定向URI

为了使MailStore Server能够将重定向URI传达给发出请求的客户端,也必须在此进行配置。

  • 切换到MailStore客户端中的“目录服务”页面。
  • 在“身份验证”部分的相应字段中输入重定向URI 。只需从Web浏览器复制先前在Azure AD中配置的值即可。

将用户账户与Microsoft 365同步(现代身份验证)-3

在Azure AD中配置API权限

  • 在您的Web浏览器中再次切换到Azure AD。
  • 在左侧导航菜单的“管理”部分中选择“API权限”。
  • 单击“已配置权限”部分中的“添加权限”按钮。
  • 在“请求获取API权限”菜单页上,在“常用Microsoft API”部分中选择“Microsoft Graph” 。
  • 选择选项应用程序权限。
  • 在选择权限部分中启用目录> Directory.Read.All权限。
  • 单击添加权限。
  • 权限已更新,并且Directory.Read.All权限显示在Microsoft Graph下的API权限列表中。
  • 再次单击“配置权限”部分中的“添加权限”按钮。
  • 在“请求API权限”菜单页面上,在“受支持的旧版API”部分中选择“Exchange ” 。
  • 选择选项应用程序权限。
  • 在“选择权限”部分中启用full_access_as_app权限。
  • 单击添加权限。
  • 权限已更新,并且full_access_as_app权限显示在Exchange下的API权限列表中。
  • 现在,在“配置权限”部分中,单击“管理员授予同意的<您的租户名称>”按钮。
  • 通过时确认以下通知。
  • 所有授予的权限的状态已更新为“管理员授予同意的<您的租户名称>”。

MailStore服务器到Azure AD中与Microsoft 365的连接配置现已完成。您可以退出Azure AD租户并关闭浏览器窗口,再次切换到MailStore客户端中的“目录服务”页面。

用户数据库同步

如上所述配置连接设置之后,您可以在此部分中为Microsoft 365同步指定筛选条件。

  • 仅同步许可的Microsoft Exchange Online用户同步
    将仅考虑分配了Microsoft Exchange Online许可的Microsoft 365用户帐户。
  • 仅同步启用的用户同步
    将仅考虑未阻止其登录Microsoft 365的Microsoft 365用户帐户。
  • 仅同步这些组
    如果只希望将其成员创建为MailStore Server用户,则选择一个或几个Microsoft 365组。这样就可以排除某些用户与MailStore Server同步的可能性。

可选项

  • 在MailStore服务器中自动删除用户
    此处,您可以选择是否通过同步在Microsoft Office 365租户中删除的用户也将在MailStore用户数据库中删除。如果此类用户的存档文件夹已包含存档的电子邮件,则在MailStore中将仅删除用户条目,而不删除其存档文件夹。此外,仅将其身份验证方法设置为目录服务的 MailStore用户将被删除。

 

分配默认权限

默认情况下,已从Microsoft 365同步到MailStore Server的用户有权登录MailStore Server以及对其自己的用户档案的读取访问权限。
您可以在同步之前配置这些默认特权,例如,将特权“ 存档电子邮件”分配给所有新用户。为此,请单击默认权限…

 

运行目录服务同步

单击测试设置以检查同步配置和Microsoft 365租户返回的结果,而无需实际提交对MailStore Server用户数据库的任何更改。

要最终运行同步,请单击立即同步。结果显示为已提交到MailStore Server用户数据库的所有更改。

将用户账户与Microsoft 365同步(现代身份验证)-4

您可以通过首先从列表中选择用户,然后单击左下方的按钮来测试用户的身份验证。现在将要求您输入该用户的密码。单击“确定”后,您将收到一条消息,说明身份验证是否成功