将邮件归档系统MailStore用户账户与Microsoft 365同步(现代身份验证)
更新时间:2023-05-23 22:55:45
先决条件,建议和限制
- 为了获得最佳的用户体验,所有客户端和使用的Web浏览器都应信任MailStore Server使用的证书。强烈建议使用由受信任的证书颁发机构签名的证书或使用“Let's Encrypt”证书。
- 如果应该使用户使用MailStore Client,MailStore Outlook加载项或Web Access 在不使用VPN的情况下从组织网络外部登录而不使用VPN的MailStore Server,则本文中提到的URI必须可以通过Internet和端口转发上的DNS进行解析。如果需要,必须在防火墙或路由器上设置“邮件存储服务器”计算机的“邮件发送”。
- 使用Microsoft 365登录时对用户进行身份验证时,由于技术原因,无法通过IMAP访问存档。
连接邮件归档系统MailStore服务器和Microsoft 365
为了从Microsoft 365同步用户信息,必须将邮件归档系统MailStore Server连接到Microsoft 365租户并被授予必需的权限。Microsoft 365依赖Azure Active Directory作为目录服务。每个Microsoft 365租户都对应于一个存储其用户信息的Azure AD租户。在Azure AD中将MailStore Server注册为App
通过注册,邮件归档系统MailStore Server在Azure AD中获得一个身份,从而可以对租户的服务进行身份验证并使用其资源。- 以Microsoft 365租户的全局管理员身份登录到Azure门户。
- 在导航菜单中,选择Azure Active Directory。
- 进入Microsoft Azure主页,在左侧导航菜单的“管理”部分中选择“应用注册”。
- 点击新注册。出现“注册应用程序”页面。
- 在名称字段中,输入一个有意义的显示名称,例如MailStore Server。例如,此名称将在以后登录时显示给用户。
- 将此页面上的所有其他设置保留为默认值。
- 点击注册。如果注册成功,则会显示新注册的应用程序的概述页面。
在邮件归档系统MailStore服务器中创建凭据
Microsoft 365的凭据包括上述ID和MailStore Server用于向Azure AD证明其身份的机密。Microsoft建议使用证书作为秘密来识别Azure AD中的应用。创建凭据时,MailStore Server会自动生成此类证书,但以后也可以重新创建。- 以MailStore服务器管理员身份登录到MailStore客户端。
- 单击管理工具>用户和档案>目录服务。
- 在“集成”部分中,将目录服务类型更改为Microsoft 365(现代身份验证)。
- 在“连接”部分中,单击“凭据”下拉列表旁边的按钮(…)。
- 在出现的凭据管理器中,单击“创建...”。
- 在“创建Azure AD应用程序凭据”对话框中,在“设置”部分中输入以下信息:
- 名称 凭据的有意义的显示名称,例如Microsoft 365租户的名称。
- 应用程序(客户端)ID 可以从Web浏览器中的Azure AD应用程序概述页面复制的相应字段的值。
- 目录(租户)ID 可以从Web浏览器中的Azure AD应用程序概述页面复制的相应字段的值。
- 在“身份验证”部分中,单击“证书”文本框旁边的下拉按钮,然后选择“下载证书”。将证书保存在硬盘上。
- 单击“确定”确认输入。
- 新创建的凭据在“凭据管理器 ”中以您输入的名称(类型为Microsoft 365)列出。如果需要,您还可以在此处编辑或删除现有凭据。
- 通过单击“关闭”离开凭证管理器。
- 默认情况下,在相应的下拉列表中选择新创建的凭据。
在Azure AD中发布凭据
为了使Azure AD验证MailStore Server的身份,需要在Azure AD中发布创建的证书。- 切换到Web浏览器中的Azure AD应用程序页面。
- 在左侧导航菜单的“管理”部分中选择“证书和密码”。
- 单击“证书”部分中的“上传证书 ” 。选择之前保存的证书文件,然后单击“添加”将其上传到Azure AD 。
- 如果上传成功,则证书的指纹以及其开始日期和有效日期将显示在证书列表中。您可以将指纹和到期日期与MailStore凭据管理器中列出的指纹和到期日期进行比较,以检查是否已上传了正确的证书。
在Azure AD中配置应用程序身份验证
为了使Azure AD将用户身份验证请求的结果返回给MailStore Server,必须MailStore Server期望身份验证响应的终结点(即所谓的Redirect URI)传送到Azure AD。- 在Web浏览器的Azure门户中,在左侧导航菜单的“管理”部分中选择“身份验证”。
- 单击“身份验证”页面的“平台配置”部分中的“添加平台”按钮。
- 在“配置平台”菜单页面的“Web应用程序”部分中选择“Web”。
- 在重定向URI字段中,输入格式为URI(无括号)
https://<fqdn>[:<port>]/oidc/signin
具有以下组件:
https://
指定https://
协议。为了避免在用户登录期间出现证书警告,客户端计算机上的Web浏览器必须信任MailStore Server使用的证书。
FQDN
MailStore服务器的完全限定域名(FQDN),由计算机名称和DNS域组成,例如mailstore.example.com
。此名称必须对所有客户端都可以解析,用户可以从这些客户端登录到MailStore Server。
端口 MailStore Web Access的TCP端口(8462默认情况下)。该值必须等于MailStore服务器服务配置的基本配置>网络设置> MailStore Web访问/ Outlook加载项(HTTPS)部分中配置的端口。仅当TCP端口与HTTPS协议的默认端口(443)不同时,才需要指定该TCP端口。
/oidc/signin MailStore服务器期望Azure AD的身份验证响应的终结点。必须完全按照重定向URI末尾此处指定的方式指定此路径。
机器名称 | DNS域名 | TCP端口 | 结果重定向URI |
---|---|---|---|
mailstore | example.com | 8462 | https://mailstore.example.com:8462/oidc/signin
使用完全限定域名和MailStore Web Access默认端口重定向URI |
mailstore | example.com | 443 | https://mailstore.example.com/oidc/signin
如果已为MailStore Web Access配置了HTTPS默认端口443,或者已将其配置为防火墙或路由器上端口转发的源端口,则可以忽略该端口。 |
- 将“注销URL”字段留空。
- 在“隐式授权”部分中启用“ID令牌”选项。
- 单击“配置”以在Azure AD中完成应用程序身份验证的配置。
在MailStore服务器中配置重定向URI
为了使邮件归档系统MailStore Server能够将重定向URI传达给发出请求的客户端,也必须在此进行配置。- 切换到MailStore客户端中的“目录服务”页面。
- 在“身份验证”部分的相应字段中输入重定向URI 。只需从Web浏览器复制先前在Azure AD中配置的值即可。
在Azure AD中配置API权限
- 在您的Web浏览器中再次切换到Azure AD。
- 在左侧导航菜单的“管理”部分中选择“API权限”。
- 单击“已配置权限”部分中的“添加权限”按钮。
- 在“请求获取API权限”菜单页上,在“常用Microsoft API”部分中选择“Microsoft Graph” 。
- 选择选项应用程序权限。
- 在选择权限部分中启用目录> Directory.Read.All权限。
- 单击添加权限。
- 权限已更新,并且Directory.Read.All权限显示在Microsoft Graph下的API权限列表中。
- 再次单击“配置权限”部分中的“添加权限”按钮。
- 在“请求API权限”菜单页面上,在“受支持的旧版API”部分中选择“Exchange ” 。
- 选择选项应用程序权限。
- 在“选择权限”部分中启用full_access_as_app权限。
- 单击添加权限。
- 权限已更新,并且full_access_as_app权限显示在Exchange下的API权限列表中。
- 现在,在“配置权限”部分中,单击“管理员授予同意的<您的租户名称>”按钮。
- 通过时确认以下通知。
- 所有授予的权限的状态已更新为“管理员授予同意的<您的租户名称>”。
用户数据库同步
如上所述配置连接设置之后,您可以在此部分中为Microsoft 365同步指定筛选条件。- 仅同步许可的Microsoft Exchange Online用户同步 将仅考虑分配了Microsoft Exchange Online许可的Microsoft 365用户帐户。
- 仅同步启用的用户同步 将仅考虑未阻止其登录Microsoft 365的Microsoft 365用户帐户。
- 仅同步这些组 如果只希望将其成员创建为MailStore Server用户,则选择一个或几个Microsoft 365组。这样就可以排除某些用户与MailStore Server同步的可能性。
可选项
- 在MailStore服务器中自动删除用户 此处,您可以选择是否通过同步在Microsoft Office 365租户中删除的用户也将在MailStore用户数据库中删除。如果此类用户的存档文件夹已包含存档的电子邮件,则在MailStore中将仅删除用户条目,而不删除其存档文件夹。此外,仅将其身份验证方法设置为目录服务的 MailStore用户将被删除。