Über die Funktion Groupware in VertiGIS FM haben Sie die Möglichkeit, per E-Mail-, SMS- oder WebPush-Benachrichtigungen über Änderungen aus dem Programm heraus informiert zu werden. Um diesen Service zu nutzen, ist die Konfiguration eines Servers in der VertiGIS FM Verwaltung notwendig.
Im Folgenden finden Sie eine Anleitung, wie Sie die Microsoft Graph API (Microsoft Exchange Online) für Groupware Funktionen einrichten.
Allgemeine Informationen
Microsoft Graph API löst, beginnend Frühjahr 2022, die Exchange Webservices (EWS) ab. Da jedoch bis auf Weiteres die Microsoft Exchange Konfiguration für die Groupware Funktionen ausreicht, ist eine Umstellung auf Microsoft Exchange Online nicht zwingend notwendig. Von dieser Umstellung sind zunächst nur einige seltene und von uns nicht benutzte Funktionen betroffen.
Weiterführende Informationen:
-
https://techcommunity.microsoft.com/t5/exchange-team-blog/upcoming-api-deprecations-in-exchange-web-services-for-exchange/ba-p/2813925
- DEV Center: https://developer.microsoft.com/de-de/graph/
Ist dennoch eine Umstellung auf Exchange Online und Graph API gewünscht, sind im Allgemeinen drei Schritte notwendig, die teilweise die Ausführungen eines Microsoft 365 / Azure AD / Exchange Online Administrator erfordern.
- App/Anwendung registrieren + Client ID und PWD generieren
- API-Berechtigungen für Microsoft Graph
- Konfiguration in VertiGIS FM
1. App/Anwendung registrieren + Client ID und PWD generieren
Für die Nutzung des Graph API muss im Azure Active Directory (AD) des Mandanten eine App-Registrierung durchgeführt werden.
Wichtig:
- Diese Schritte kann nur ein Microsoft 365 / Azure AD / Exchange Online Administrator durchführen.
- Der Mandant ist hier im Beispiel die "KMS Computer GmbH"
App-Registrierung im Azure Active Directory des Mandanten:
Nur einen Anzeigenamen eingeben - frei wählbar: z.B. VertiGIS FM
Unterstützte Kontotypen: Auswahl 1. belassen: "Nur Konten in diesem Organisationsverzeichnis (nur "KMS Computer GmbH" – einzelner Mandant)"
Umleitungs-URL: keine angeben, ist hier nicht erforderlich
Nach "Registrieren" erscheint eine Zusammenfassung, von der die gelb markierten Daten wichtig sind:
Client und Mandant ID (kann auch später noch kopiert werden).
Zertifikat oder Geheimnis zufügen + Neuer geheimer Clientschlüssel
Hier einen beliebigen Namen + eine Gültigkeitsdauer angeben.
(Achtung: die Gültigkeit muss im produktiven Einsatz ein VertiGIS FM Admin überwachen)
Der Wert des neuen Schlüssels muss kopiert und gesichert werden. Das ist praktisch das Passwort, was später nicht mehr gesehen werden kann!
(Notfalls ein neues Client Secret erzeugen und verwenden. Das Alte löschen.)
2. API-Berechtigungen für Microsoft Graph
Als Nächstes der App die API-Berechtigungen für Microsoft Graph geben:
Die vorhandene User Berechtigung vom Typ 'delegiert' kann gelöscht werden.
Für den Mailbox-Zugriff wird benötigt: Mail.Read vom Typ Anwendung + dafür die Administratorzustimmung erteilen.
Die hier vorgenommene Rechte-Vergabe ist sofort wirksam.
Weitere ggf. nötige Rechte:
- Zum Ändern von Nachrichten, z.B. als gelesen markieren: Mail.ReadWrite
- Zum Senden: Mail.Send
- Zum Eintragen von Terminen: Calendars.ReadWrite
Wichtig:
Diese Berechtigungen lassen für die App den Zugriff auf ALLE Mailboxen des Mandanten zu.
Soll der Zugriff auf eine Mailbox oder eine Gruppe eingeschränkt werden, können die Schritte laut folgendem Link ausgeführt werden: https://docs.microsoft.com/de-de/graph/auth-limit-mailbox-access
Benötigt wird dazu die Exchange Online-PowerShell. Verwendet werden kann eine lokale PowerShell oder die Cloud Shell, welche oben rechts aufgerufen werden kann:
Im folgenden ist der Ablauf beschrieben. Die Eingaben sind ROT, Kommentare BLAU markiert:
Requesting a Cloud Shell.Succeeded.
Connecting terminal...
Welcome to Azure Cloud Shell
Type "az" to use Azure CLI
Type "help" to learn about Cloud Shell
MOTD: Read more about PowerShell in CloudShell: https://aka.ms/pscloudshell/docs
VERBOSE: Authenticating to Azure ...
VERBOSE: Building your Azure drive …
PS /home/user> Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
Untrusted repository
You are installing the modules from an untrusted repository. If you trust this repository, change its InstallationPolicy value by running the Set-PSRepository
cmdlet. Are you sure you want to install the modules from 'PSGallery'?
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "N"): a
PS /home/user> Import-Module ExchangeOnlineManagement
PS /home/user> Connect-ExchangeOnline
----------------------------------------------------------------------------
The module allows access to all existing remote PowerShell (V1) cmdlets in addition to the 9 new, faster, and more reliable cmdlets.
|--------------------------------------------------------------------------|
| Old Cmdlets | New/Reliable/Faster Cmdlets |
|--------------------------------------------------------------------------|
…
----------------------------------------------------------------------------
// Die AppId ist die Anwendungs-ID (= Client-ID) aus der Azure AD App Registrierung.
// Ich schränke hier den Zugriff auf die einzelne Mailbox test.ad@kms-computer.de ein.
PS /home/user> New-ApplicationAccessPolicy -AppId 553a16c3-… -PolicyScopeGroupId test.ad@kms-computer.de -AccessRight RestrictAccess -Description "Restrict ProOffice to User test.ad"
RunspaceId | b83cdcc0-ff1d-452b-a097-87c7f68ddaca | |
ScopeName | Test Ad | |
ScopeIdentity | test.ad | |
Identity | 9ac642b7-……. | |
AppId | 553a16c3-…… | |
ScopeIdentityRaw | S-1-5-21-…. | |
Description |
Restrict ProOffice to User test.ad | |
AccessRight | RestrictAccess | |
ShardType | All | |
IsValid |
True |
|
ObjectState |
Unchanged |
// Test, ob das Recht gesetzt wurde: Granted --> OK
PS /home/user> Test-ApplicationAccessPolicy -Identity test.ad@kms-computer.de -AppId 553a16c3-…
RunspaceId | b83cdcc0-ff1d-452b-a097-87c7f68ddaca | |
AppId | 553a16c3-… | |
Mailbox | test.ad | |
MailboxId | e21cdc30-… | |
MailboxSid | S-1-5-21-… |
AccessCheckResult : Granted
// Test mit einer anderen Mailbox: Denied --> OK
PS /home/user> Test-ApplicationAccessPolicy -Identity mailadresse@vertigis.com -AppId 553a16c3-…
RunspaceId |
b83cdcc0-ff1d-452b-a097-87c7f68ddaca | |
AppId |
553a16c3-… | |
Mailbox |
name_12cae33882 | |
MailboxId |
ae38b8e5-… | |
MailboxSid |
S-1-5-21-… |
AccessCheckResult : Denied
Diese Rechte-Einschränkung benötigt lt. Microsoft bis zu 30 Minuten bis zur Wirksamkeit!
Jetzt kann mit der Nutzung des Graph API fortgesetzt werden.
3. Konfiguration in GEBman / ProOffice
- Mandant ID: in Schritt1 erstellt
- Client ID: in Schritt1 erstellt
- Passwort: Client-Secret (in Schritt1 erstellt)
- E-Mail-Adresse: Adresse, mit der die Mails verschickt werden (= 1 Adresse aus dem Mandanten)
Hinweis: 2-Faktor-Authentifizierung darf nicht auf der Mailbox (Benutzername) aktiviert sein - Cloud URL: https://login.microsoftonline.com
- Erlaubte Email-Domänen: siehe Handbuch - Einschränkungen, dass nur an bestimmte Empfängerkreise Mails versendet werden können
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.