Vorbereitung Microsoft Office 365 via EWS - welcome-soft Handbuch

> [!error] Wichtiger Hinweis > Die EWS-Schnittstelle für Microsoft 365 ist veraltet und wird im 2. Halbjahr 2026 von Microsoft endgültig deaktiviert! > > EWS kann weiterhin für [[Vorbereitung Microsoft Exchange On-Premise|Exchange On-Premise]] verwendet werden. > > Für Microsoft 365 sind jedoch heute bereits wichtige Funktionen eingeschränkt oder nicht mehr verfügbar (Zugriff auf Resourcenpostfächer!). Verwenden Sie stattdessen die [[Vorbereitung Microsoft Office 365 via Graph Schnittstelle|Microsoft Graph-Schnittstelle]] für den Zugriff auf die Cloud und Hybride Umgebungen. # Erstellen eines Profils Nachdem Sie die Datenpumpe gestartet haben, können Sie (auch ohne eine Konfiguration geladen oder gespeichert zu haben) Verbindungsprofile zu ihrem On-Premise Exchange-Server oder zur Microsoft Office 365 Cloud einrichten. Klicken Sie hierzu auf „Profil-Verwaltung“, dann auf „Add …“. # Zusammenfassung Sofern noch nicht vorhanden, legen Sie ein Benutzerkonto auf dem Office 365 Tenant an. Stellen Sie sicher, dass in der Gruppen- bzw. Rollenverwaltung des Exchange-Servers diesem Benutzer das Recht „ApplicationImpersonation“, oder auf älteren Systemen das Recht „ImpersonateAsUser“ erteilt wurde. Falls Sie später den „Error 403“ erhalten, liegt die Ursache i.d.R. darin, dass dieses Recht _nicht_ erteilt wurde. Nach dem Erteilen des Rechts dauert es i.d.R. knapp 10 Minuten, bis es wirksam wird. Wurde derselbe Domänen-Benutzer verwendet, mit dem der PC, auf dem die welcome-soft EWS-Schnittstelle „Datapump“ läuft, sich anmeldet, melden Sie sich bitte von Windows ab und mit diesem Benutzerkonto erneut an, oder starten Sie den kompletten PC neu. Erteilte Windows- und Exchange-Server-Rechte werden ausschließlich beim Anmelden an Windows (mit dem Server) abgeglichen und aktiviert. # Profil für Microsoft Office 365 (Cloud) in welcome-soft anlegen ![[EWS_Profile_Office365.png]] Für Office 365 müssen die im folgenden gezeigten Einstellungen durchgeführt werden, um den erhöhten Sicherheitsansprüchen der Cloud gerecht zu werden. > [!Info] Die in diesem Dialog benötigten Werte erhalten Sie in den nachfolgenden Schritten (siehe unten), wenn Sie Office 365 serverseitig vorbereiten! - Die `Service URL` wird automatisch gesetzt, sobald Sie einmalig AutoDiscover mit einer gültigen E-Mail Adresse für die entsprechende Domäne durchgeführt haben. Sie können aber auch diesen generischen Wert verwenden: `https://outlook.office365.com/EWS/Exchange.asmx` - `Use OAuth2` muss aktiviert sein - `Grant Type` muss auf `Password` stehen. - `Basic Authentication` muss aktiviert sein (`Use the following credentials`) - die Option `Store the credentials with the profile (encrypted)` muss aktiviert sein - `Domain` kann i.d.R. freibleiben - als `Username` / `Password` verwenden Sie bitte den angelegten Office 365 Benutzer, der Zugriff auf die entsprechenden Kalender hat. # Profil für Microsoft Office 365 (Cloud) serverseitig vorbereiten ## Einloggen Melden Sie sich am Microsoft 365 Admin Center an (Einloggen unter office.com – 9-Punkte Menü – Admin). ## `Azure Active Directory`öffnen Gehen Sie zum Punkt `Azure Active Directory` oder `Identität` oder `Microsoft Entra Admin Center`. Evtl. vorher „Alle anzeigen“ klicken: ![[AdminCenter_Azure.png]] Der gewünschte Menüpunkt erhält leider regelmäßig eine neue Bezeichnung und ein neues Icon. Stand März 2025 nennt sich der Menüpunkt `Identität`: ![[Pasted image 20250319115540.png]] ## `App-Registrierung` öffnen Stand März 2025 kann `App-Registierungen` im Unterpunkt `Anwendungen` gefunden werden: ![[Pasted image 20250319115738.png]] Alternativ suchen Sie beim Punkt „Alle Dienste“ nach „app“. Als Ergebnis sollte „App-Registrierungen“ angezeigt werden. Bitte anklicken. ![[AdminCenter_AlleDiensteApp.png]] ## `Neue Registrierung` anklicken ![[AdminCenter_NeueApp.png]] ## Namen vergeben Geben Sie Namen für diese Anwendung ein. Für welcome-soft und die Datenpumpe ist dieser Name irrelevant. Ein klarer Name ist für Sie als Administrator wichtig, damit nicht versehentlich bei einer Bereinigung der welcome-soft Zugang gesperrt wird, nur weil er „Test1“ heißt… ## Kontotyp Sofern Sie nicht explizit wissen, warum sie eine andere Option auswählen sollten, wählen Sie bei „Unterstützte Kontotypen“: „Nur Konten in diesem Organisationsverzeichnis (nur „_Domänenname_“ - einzelner Mandant)“. ## App-ID kopieren Nachdem Sie auf `Registrieren` geklickt haben, laden Sie in der Detail-Ansicht der soeben registrierten App. Hier erhalten Sie die für das Profil in welcome-soft benötigte „Application (client) ID“. Bitte notieren bzw. kopieren Sie sich diese ID auch unabhängig von welcome-soft, und fügen die ID dann in den welcome-soft Profilmanager ein. ![[AdminCenter_AppID.png]] ## Endpunkte kopieren Klicken Sie auf „Endpunkte“ (siehe Oben). Kopieren Sie die beiden oberen Werte in die entsprechenden des welcome-soft Profilmanagers, und schließen Sie dann den Bereich „Endpunkte. ![[AdminCenter_Token.png]] ## Clientschlüssel generieren Auf der linken Seite wählen Sie `Zertifikate und Geheimnisse`. Erstellen Sie bei `Geheime Clientschlüssel` einen `+ Neuer geheimer Clientschlüssel`. ![[AdminCenter_ClientSecret.png]] > [!Hint] Sofort kopieren! > **Kopieren Sie den „Wert“** des neu erstellten Schlüssels, zusätzlich auch außerhalb von welcome-soft, **da er später nicht noch einmal nachgesehen werden kann.** Sollten Sie > [!Important] Erinnerung / Wiedervorlage erstellen > Der soeben erstellte Clientschlüssel hat eine **Ablaufzeit** (i.d.R. 24 Monate) - danach funktioniert der Import nicht mehr! > > Denken Sie bitte in Zukunft daran, vor dessen Ablauf wie oben beschrieben einen neuen Clientschlüssel zu generieren, und diesen im welcome-soft Profilmanager zu hinterlegen! ## API-Berechtigungen Wählen Sie auf der linken Seite „API-Berechtigungen“. ![[AdminCenter_ApiBerechtigung 1.png]] ### Microsoft Graph Klicken Sie auf „Hinzufügen“ und wählen Sie den prominent platzierten Banner „Microsoft Graph“, dann „Delegierte Berechtigungen“. Es empfiehlt sich, bei “Berechtigungen auswählen“ in das Suchfeld ein Teil des Berechtigungsnamens einzutippen, um diese schneller zu finden. Aktivieren Sie „EWS.AccessAsUser.All“. ![[AdminCenter_ApiRecht_Graph.png]] | **Typ** | **Berechtigungsname** | **Beschreibung** | | ------------------------- | --------------------- | ---------------------------------------------------------------- | | Delegierte Berechtigungen | EWS.AccessAsUser.All | Access mailboxes as the signed-in user via Exchange Web Services | ### Office 365 Exchange Online Klicken Sie erneut auf „Berechtigung hinzufügen“ und wählen die zweite Karteikarte „Von meiner Organisation verwendete APIs“ aus. Suchen Sie nach „Office 365 Exchange Online” und klicken diesen Eintrag an. Wählen Sie „Delegierte Berechtigungen” und suchen nach EWS.AccessAsUser.All und aktivieren es. Wiederholen Sie den Schritt mit „Anwendungsberechtigungen”und full_access_as_app . Sind alle Berechtigungen wie vorgegeben erfasst, müssen Sie oberhalb der Tabelle auf `Administratorzustimmung für "Domänenname" erteilen` klicken. | **Typ** | **Berechtigungsname** | **Beschreibung** | | ------------------------- | --------------------- | ---------------------------------------------------------------- | | Delegierte Berechtigungen | EWS.AccessAsUser.All | Access mailboxes as the signed-in user via Exchange Web Services | | Anwendungsberechtigungen | full_access_as_app | Use Exchange Web Services with full access to all mailboxes | ## Umleitung-URIs kopieren Zurück auf der `Übersicht` der App-Registrierung, klicken Sie auf `Umleitungs-URIs`. Klicken Sie auf `+ Plattform hinzufügen` - `Web`. Tragen Sie hier und gleichnamigen Feld im welcome-soft Profilmanager den Wert der gewünschten Umleitungs-URI ein. Verwenden Sie den Wert `http://localhost:8080/ews` oder notfalls `http://localhost/ews` . Sollte der Port 8080 oder 80 auf diesem PC bereits in Verwendung sein (IIS oder andere Webserver-Software, welcome-soft DoorSignControl verwendet Port 80), verwenden Sie statt 8080 eine sinnvolle andere Zahl zwischen 10‘000 und 65‘000. Hauptsache, der Wert stimmt in Office365 und in welcome-soft überein. ![[AdminCenter_EndpunktFertig.png]] Speichern Sie die Einstellung durch einen Klick auf „Konfigurieren“. ## Testen Damit sind zunächst die Einstellungen für die Anmeldung an Office 365 beendet, und wir können das Profil Testen und abspeichern. Dennoch benötigt das von uns angegebene E-Mail-Konto im Profimanager die Berechtigung, in Exchange die Informationen auszulesen. Schließen Sie den Tab mit „Azure Active Directory Admin Center“ und öffnen zurück im „Microsoft 365 admin center“ den Punkt Exchange. ## Rollenvergabe Öffnen Sie den Punkt „Berechtigungen“ - Kartikarte „Administratorrollen“. Erstellen Sie eine neue Rolle mit einem sinnvollen Namen, und fügen Sie „Rollen“ – „ApplicationImpersonation“ in die Liste hinzu. Bei „Mitglieder“ fügen Sie das Benutzerkonto hinzu, das im welcome-soft Profilmanager zur Anmeldung verwendet wird. Speichern Sie die Änderungen. ![[Exchange_RechteRollen.png]] ## Damit ist die serverseitige Konfiguration abgeschlossen. > [!Info] Replikation abwarten! > Bitte beachten Sie, dass die getätigten Änderungen **mehrere Minuten** dauern können, bis sie aktiv sind! ## Postfächer anzeigen lassen Sobald Sie sich mit der Datapump mit Office365 verbinden, sollten sie alle notwendigen Postfächer sehen; verwenden Sie ggf. die Suchfunktion. Klappen Sie ein Postfach auf, um sicherzustellen, dass der Kalender des Postfachs angezeigt werden hat. Evtl. hat dieser Kalender wiederum Unterordner! Die Klammer hinter dem Namen zeigt an, wie viele Termine dieser Kalender insgesamt beinhaltet. In stehen Fehlermeldungen, die Ihnen einen Hinweis darauf liefern, warum ein Postfach ggf. nicht ausgelesen werden kann: ![[Datapump_Berechtigungsfehler-1.png]] # Datenpumpe einrichten Weiter geht es mit dem Einrichten der [[Datenpumpe einrichten|Datenpumpe]]. # Fehlerbehebung ## Fehlermeldung "has not consented" ### Fehlerbeschreibung Beim Testen der Verbindung eines neuen Profils erscheint die Fehlermeldung `The user or administrator has not constented to use the application ...` ![[AdminCenter_Fehlermeldung1.png]] ### Fehlerbehebung Im Azure Active Directory Admin Center - Alle Dienste - Unternehmensanwendungen - „welcome-soft“ (oder der von Ihnen gewählte App-Name) öffnen. Auf der linken Seite Sicherheit - Berechtigungen öffnen und dort „Administratorzustimmung für „welcome-soft“ erteilen“ anklicken. ## Fehlermeldung: keine Berechtigung für App ### Fehlerbeschreibung Der Benutzer hat keine Berechtigung, die App zu verwenden. ### Fehlerbehebung Im Azure Active Directory Admin Center - Alle Dienste - Unternehmensanwendungen - „welcome-soft“ (oder der von Ihnen gewählte App-Name) öffnen. Auf der linken Seite Verwalten - „Benutzer und Rollen“ öffnen und dort über „Benutzer/Gruppe hinzufügen“ das Office365-Konto hinzufügen, das Sie in welcome-soft zum Herstellen der Verbindung verwenden möchten, z.B. `[email protected]`. Die Rolle `Default Access` reicht von der Berechtigungsstufe her aus. Nach dem Hinzufügen könnte es sein, dass die Rechte für die App durch den Administrator neu genehmigt werden müssen, siehe [[#Fehlermeldung "has not consented"]]. --- [[Einführung Datapump]]