Modern Authentication für MS365 Exchange Online Bestell Kommunikation

Support wird eingestellt
Im Oktober 2022 stellte Microsoft den Support für Basic Auth für Exchange Online Konten (z.B. Microsoft 365 Accounts) ein. Dies bedeutet, dass keine Anmeldung über die Basic Authentication mehr möglich ist und die Modern Authentication (basierend auf OAuth 2.0) zwingend erforderlich ist.

In sämtlichen moveIT Produkten gibt es nun zwei Möglichkeiten, Exchange Online Konten für die Kommunikation (für z.B. Bestellversand, Rabatt-Synchronisation,…) im Kommunikationssystem zu verwenden. Beide Methoden erfordern eine App-Registrierung im Azure AD Portal:

Exchange Online (Modern Authentication)

Ab der Version 50.40. gibt es unter Absender die Auswahlmöglichkeit „Exchange Online (Modern Authentication)“ in dem eine Authentifizierung basierend auf dem OAuth 2.0 On-Behalf-Of Flow (Microsoft identity platform and OAuth2.0 On-Behalf-Of flow - Microsoft Entra | Microsoft Learn) erfolgt.

NACHTEIL

Microsoft hat Anfang 2022 eingeführt, dass in diesem Auth-Flow per Default alle 90 Tage eine Manuelle Anmeldung notwendig ist, was, wenn das System im Batchsystem auf dem Server ohne interaktive Session läuft, unpraktikabel ist. Aus diesem Grund empfehlen wir, folgende Auth Variante zu verwenden:

Exchange Online (Mit geheimen Clientschlüssel) [Empfohlene Variante]

Ab Version 52.40.08 gibt es unter Absender die Auswahlmöglichkeit „Exchange Online (Mit geheimen Clientschlüssel)“ in dem eine Authentifizierung basierend auf dem OAuth 2.0 Client Credentials Flow (OAuth 2.0 client credentials flow on the Microsoft identity platform - Microsoft Entra | Microsoft Learn) erfolgt.

• Dabei wird bei der App Registrierung ein Client-Secret erstellt, welches bis zu zwei Jahre gültig gemacht werden kann.

• Wir empfehlen bei dieser Variante dringend, den Zugriff für die erstellte App auf das entsprechende Mail-Konto einzuschränken. Wie dies funktioniert, erfahren Sie hier. (Link Limiting application permissions to specific Exchange Online mailboxes - Microsoft Graph | Microsoft Learn)

Für die Einrichtung wird für beide Methoden folgendes benötigt:

• Microsoft Azure Active Directory Benutzer (normalerweise der IT Administrator, der Ihre Microsoft 365 Accounts verwaltet.)

• Microsoft 365 Admin Benutzer (normalerweise der IT Administrator, der Ihre Microsoft 365 Accounts verwaltet.)

• Microsoft Exchange Online Admin Benutzer (normalerweise der IT Administrator, der Ihre Microsoft 365 Accounts verwaltet.)

1 ANLEGEN EINES (FREIGEGEBENEN) POSTFACHS IN EXCHANGE ONLINE (MICROSOFT 365 ADMIN CENTER)

Erstellen Sie, Ihr IT Administrator oder Betreuer zuerst ein neues Postfach im Microsoft 365 Admin Center oder im Exchange Online Admin Center, welches Sie in Ihrem gewünschten moveIT Produkt für die Kommunikation verwenden möchten.

Wenn Sie ein Postfach über ein normales Userkonto erstellen, müssen Sie sowieso ein Passwort für den Account vergeben. Merken Sie sich dieses – dies wird später benötigt.

Wenn Sie ein Freigegebenes Postfach, oder auch „Shared Mailbox“ genannt, erstellen, so gehen Sie bitte nach der Anlage des Postfachs im Microsoft 365 Admin Center unter [Benutzer] [Aktive Benutzer] und suchen Sie den Benutzer, der den gleichen Namen hat, wie der dem Sie dem Postfach gegeben haben.

Wenn Sie mit der Maus über dem Eintrag stehen, wird ein Schlüssel angezeigt mit der Bezeichnung „Kennwort zurücksetzen“. Vergeben Sie ein Kennwort und merken Sie sich dieses – es wird später benötigt!

Ab hier unterscheiden sich die Konfigurationsschritte je AUTH Variante. Klappen Sie nur die von ihnen gewünschte Variante auf und arbeiten Sie nur diese Konfigurationsschritte ab. Sollten Sie von „Exchange Online (Modern Authentication)“ zu „Exchange Online (Mit geheimen Clientschlüssel“ wechseln wollen, können Sie die bestehende App-Registrierung abändern, damit diese Methode funktioniert. Ändern Sie die API Berechtigungen wie in Schritt 2 beschrieben, erstellen Sie einen geheimen Clientschlüssel und nehmen Sie die Änderungen wie in Punkt 3 beschrieben in der moveIT Kommunikationssystem Absendermaske vor.

Exchange Online (Mit geheimen Clientschlüssel)

2 Erstellen einer App-Registrierung

Als nächstes ist es notwendig, für die Modern Authentication eine App-Registrierung anzulegen. Gehen Sie dazu in Ihr Azue Active Directory Admin Center und klicken Sie links oben auf [Alle Dienste].

Suchen und wählen Sie dort [App-Registrierung] aus.

Wählen Sie dann in der Symbolleiste [Neue Registrierung] aus

Geben Sie der Anwendung einen bezeichnenden Namen und die unterstützten Kontotypen.

Dabei sollte im Normalfall „Nur Konten in diesem Organisationsverzeichnis (… - einzelner Mandant)“ ausreichend sein. Optional kann auch noch eine Umleitungs-URI hinterlegt werden. Dies kann z.B. die URL Ihrer WebSite sein.

Wenn Ihre App erfolgreich Registriert wurde, sollten Sie zu einer Übersicht, wie diese, gelangen. Hier werden Ihnen ID’s angezeigt („Anwendungs-ID (Client)“ und „Verzeichnis-ID (Mandant)“), die in Punkt 3 benötigt werden.

Klicken Sie dann auf [Authentifizieren] auf der linken Seite und dann auf [+Plattform hinzufügen].

Wählen Sie [Mobilgerät- und Desktopanwendung].

Setzen Sie bei den ersten beiden URLs den Haken und klicken Sie auf „Konfigurieren“.

Als nächstes muss definiert werden, was die App genau machen darf. Dazu navigieren Sie auf der linken Seite unter [API-Berechtigungen] und klicken Sie dann auf [Berechtigung Hinzufügen].

Wählen Sie [Microsoft Graph] aus und dann [Anwendungsberechtigungen] aus.

Wählen Sie dort folgende Berechtigungen aus und gewähren Sie, oder Ihr Administrator, die Erlaubnis für die Verwendung dieser Berechtigungen.

Danach muss noch ein „Geheimer Clientschlüssel“ erzeugt werden. Dabei handelt es sich um eine geheime Zeichenfolge, die von der Anwendung beim Anfordern eines Tokens als Identitätsnachweis verwendet wird. Dies wird auch als Anwendungskennwort bezeichnet.

Navigieren Sie in der angelegten App zu „Zertifikate & Geheimnisse“ und klicken Sie dann auf „Geheime Clientschlüssel“. Wählen Sie dann „Neuer geheimer Clientschlüssel“. Vergeben Sie eine Beschreibung und wählen Sie aus, wie lange Sie diesen Clientschlüssel gültig machen wollen.

Schlüssel
Notieren Sie oder Ihr Admin sich einen Termin oder eine ToDo, bevor dieser Schlüssel abläuft, damit Sie einen Neuen erzeugen und diesen wieder im moveIT Kommunikationssystem hinterlegen. Ansonsten funktioniert das Kommunikationssystem ab dem Ablauf-Zeitpunkt nicht mehr.

Der geheime Clientschlüssel ist das, was nach der Anlage im Feld „Wert“ angezeigt wird.

Clientschlüssel
Dieser geheime Clientschlüssel wird nur nach der folgenden Anlage auf der Seite angezeigt und kann dann nie wieder vollständig angesehen werden. Tragen Sie ihn also entweder direkt, wie in Punkt 3 beschrieben im moveIT Kommunikationssystem ein, oder notieren Sie ihn sicher in z.B. einer Passwort-Manager App.

Zugriff einschränken
Wir empfehlen Ihnen dringend, den Zugriff für die App auf das entsprechende Mail-Konto einzuschränken. Wie dies funktioniert, erfahren Sie hier. (Link Limiting application permissions to specific Exchange Online mailboxes - Microsoft Graph | Microsoft Learn)

3 Hinterlegen des Kontos in moveIT

Melden Sie sich in Ihrem moveIT System als Benutzer mit „Administrator“ Berechtigung an und gehen Sie in der Menüleiste unter [Anwendungen] auf [Kommunikationssystem].

Klicken Sie dann auf den [Absender] Button.

1. Wählen Sie dann links oben das Icon [Neu] aus.

2. Wählen Sie unter „Kontotyp“ die Einstellung [Exchange Online (Mit geheimen Clientschlüssel)] aus.

3. Hinterlegen Sie bei „Sender-Adresse“ und „E-Mail-Adresse“ die Adresse des angelegten Kontos in Punkt 1.

Keine persönliche Mailadresse verwenden!
Verwenden Sie hier niemals eine persönliche Mail-Adresse eines Users – verwenden Sie hier immer die Mail-Adresse des Kontos, das für moveIT angelegt wurde. Wir empfehlen Ihnen dringend, den Zugriff für die App auf das entsprechende Mail-Konto einzuschränken. Wie dies funktioniert, erfahren Sie hier. (Link Limiting application permissions to specific Exchange Online mailboxes - Microsoft Graph | Microsoft Learn).

4. Die Felder „Anwendungs-ID (Client)“ und „Verzeichnis-ID (Mandant)“ füllen Sie mit den IDs die in Punkt 2 nach der App Registrierung angezeigt wurden.

Und füllen Sie das Feld „Geheimer Clientschlüssel“ mit dem Wert, der Ihnen nach der Anlage des geheimen Clientschlüssels in Punkt 3 angezeigt wurde.

Klicken Sie dann auf der „Absender“ Maske in moveIT auf [Speichern] und ggf. auf [Verbindung testen] um sicher zu gehen, dass die Einrichtung funktioniert hat.

Exchange Online (Modern Authentication)

2 Erstellen einer App-Registrierung

Als nächstes ist es notwendig, für die Modern Authentication eine App-Registrierung anzulegen. Gehen Sie dazu in Ihr Azure Active Directory Admin Center und klicken Sie links oben auf [Alle Dienste].

Suchen und wählen Sie dort [App-Registrierung] aus.

Wählen Sie dann in der Symbolleiste [Neue Registrierung] aus

Geben Sie der Anwendung einen bezeichnenden Namen und die unterstützten Kontotypen.

Dabei sollte im Normalfall „Nur Konten in diesem Organisationsverzeichnis (… - einzelner Mandant)“ ausreichend sein. Optional kann auch noch eine Umleitungs-URI hinterlegt werden. Dies kann z.B. die URL Ihrer Webseite sein.

Wenn Ihre App erfolgreich Registriert wurde, sollten Sie zu einer Übersicht wie dieser gelangen. Hier werden Ihnen ID’s angezeigt („Anwendungs-ID (Client)“ und „Verzeichnis-ID (Mandant)“), die in Punkt 3 benötigt werden.

Klicken Sie dann auf [Authentifizieren] auf der linken Seite und dann auf [+Plattform hinzufügen].

Wählen Sie [Mobilgerät- und Desktopanwendung].

Setzen Sie bei den ersten beiden URLs den Haken und klicken Sie auf „Konfigurieren“.

Jetzt muss noch definiert werden, was die App genau machen darf. Dazu navigieren Sie auf der linken Seite unter [API-Berechtigungen] und klicken Sie dann auf [Berechtigung Hinzufügen].

Wählen Sie [Microsoft Graph] aus und dann [Delegierte Berechtigungen] aus.

Wählen Sie dort folgende Berechtigungen aus:

3 Hinterlegen des Kontos im moveIT Kommunikationssystem

Melden Sie sich in Ihrem moveIT System als Benutzer mit “Administrator” Berechtigung an und gehen Sie in der Menüleiste unter [Anwendungen] auf [Kommunikationssystem].

Klicken Sie dann auf den [Absender] Button.

Wählen Sie dann links oben das Icon [Neu] aus und hinterlegen Sie bei „Sender-Adresse“ die Adresse des angelegten Kontos in Punkt 1.

Die Felder „Anwendungs-ID (Client)“ und „Verzeichnis-ID (Mandant)“ füllen Sie mit den ID’s die in Punkt 2 nach der App Registrierung angezeigt wurden.

Klicken Sie dann auf [Authentifizieren] – es wird in Fenster geöffnet, in dem Sie eine Microsoft Anmelde-Seite präsentiert bekommen.

Geben Sie den Benutzernamen ein, den Sie bei der Anlage des Kontos bei Punkt 1 verwendet haben und klicken Sie auf.

Kein persönliches Mailkonto verwenden
Verwenden Sie hier unter keinen Umständen ein persönliches Mail-Konto, sondern verwenden Sie hier nur das speziell für die moveIT Kommunikation angelegte Konto.

Geben Sie danach das Passwort ein und klicken Sie auf [Anmelden].

Sie gelangen abschließend auf folgende Seite, auf der Sie sehen, welche Berechtigungen die App erfordert. Dies entspricht den Berechtigungen, die in Punkt 2 gesetzt wurde. Klicken Sie auf [Akzeptieren].

Klicken Sie dann auf der „Absender“ Maske in moveIT auf [Speichern] und ggf. auf [Verbindung testen] um sicher zu gehen, dass die Einrichtung funktioniert hat.