KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
× Non sei ancora nostro cliente MailStore? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Mailstore - Microsoft 365: Sincronizzazione degli account utente - Autenticazione moderna

Oltre ad aggiungere utenti manualmente MailStore Server può sincronizzare il proprio database utenti interno con il tenant Microsoft 365 dell'organizzazione.
Durante la sincronizzazione, le informazioni sugli utenti, come nomi utente e indirizzi di posta elettronica, vengono copiate dal tenant di Microsoft 365 nel database utente di MailStore Server.
In questo modo, gli utenti possono utilizzare le proprie credenziali Microsoft 365 per accedere anche a MailStore Server e le e-mail possono essere assegnate automaticamente agli archivi utente corrispondenti. Nessuna modifica viene apportata al tenant Microsoft 365 da MailStore Server. La sincronizzazione può essere limitata tramite dei filtri.

Prerequisiti, Raccomandazioni e Limitazioni

  • Per una migliore esperienza utente, il certificato utilizzato da MailStore Server dovrebbe essere considerato attendibile da tutti i client e dai browser Web utilizzati.
    Si consiglia vivamente di utilizzare un certificato firmato da un'autorità di certificazione attendibile o di utilizzare i certificati Let's Encrypt.
  • Se gli utenti devono accedere a MailStore Server dall'esterno della rete dell'organizzazione senza una VPN utilizzando MailStore Client, MailStore Outlook Add-in o Web Access, gli URI menzionati in questo articolo devono essere risolvibili tramite DNS su Internet e port- gli inoltri al computer MailStore Server devono essere impostati sul firewall o sul router.
  • Quando si utilizza Microsoft 365 per autenticare gli utenti all'accesso, per motivi tecnici non è possibile accedere all'archivio tramite IMAP.
  • MailStore Server supporta la sincronizzazione degli account utente con Microsoft 365 (Modern Authentication) solo con il Microsoft Cloud globale. I cloud nazionali come Microsoft Cloud per il governo degli Stati Uniti, Microsoft Cloud Germany (gestito da T-Systems) e Azure e Microsoft 365 gestiti da 21Vianet in Cina non sono supportati.

Connessione di MailStore Server e Microsoft 365

Per sincronizzare le informazioni utente da Microsoft 365, MailStore Server deve essere connesso al tenant Microsoft 365 e disporre delle autorizzazioni necessarie. Microsoft 365 si basa su Azure Active Directory come servizio di directory. Ogni tenant di Microsoft 365 corrisponde a un tenant di Azure AD che archivia le informazioni sull'utente.

Registrazione di MailStore Server come app in Azure AD

Alla registrazione MailStore Server ottiene un'identità in Azure AD che permette di autenticarsi ai servizi del tenant e di utilizzarne le risorse.

  • Accedere al portale di Azure come amministratore globale per il tenant di Microsoft 365.
  • Nel menu di navigazione (☰), selezionare l'opzione Azure Active Directory.
  • Nella pagina successiva, seleziona Registrazioni (App registrations) app nella sezione Gestisci (Menage) del menu di navigazione a sinistra.
  • Selezionare Nuova registrazione (New Registration). Viene visualizzata la pagina Registra un'applicazione.
  • Nel campo Nome (Name), immettere un nome visualizzato significativo, ad es. “Server di posta”.
  • Questo nome verrà mostrato agli utenti all'accesso.
  • Lasciare tutte le altre impostazioni in questa pagina sui valori predefiniti.
  • Fare clic su Registrati (Register).
  • Se la registrazione è andata a buon fine, viene visualizzata la pagina di panoramica dell'app appena registrata.

L'ID applicazione (client) mostrato in questa pagina identifica il server MailStore nel tenant di Azure AD e deve essere copiato successivamente nel server MailStore, insieme all'ID directory (tenant).
Pertanto, per i seguenti passaggi, lasciare aperta la pagina di panoramica nel browser web.

Creazione di credenziali nel server MailStore

Le credenziali per Microsoft 365 sono costituite dagli ID e dalla chiave segreta che MailStore Server utilizza per verificare la propria identità in Azure AD.
Microsoft consiglia di usare i certificati per identificare le app in Azure AD. Durante la creazione delle credenziali, tale certificato viene generato automaticamente da MailStore Server ma può anche essere ricreato in un secondo momento.

  • Accedere al client MailStore come amministratore del server MailStore.
  • Fare clic su Strumenti di amministrazione (Administration Tools) > Utenti e archivi (Users and Archives) > Servizi directory (Directory Services).
  • Nella sezione Integrazione (Integration), modificare il tipo di servizio directory in Microsoft 365 (Autenticazione moderna).

  • Nella sezione Connessione (Connection), fare clic sul pulsante accanto all'elenco a discesa Credenziali.
  • Nel Gestore credenziali (Credential Manger) visualizzato, fare clic su Crea (Create).
  • Nella finestra di dialogo Credenziali dell'app Azure AD, immettere le seguenti informazioni nella sezione Impostazioni:

    Nome - Un nome visualizzato significativo per le credenziali, ad es. il nome del tenant di Microsoft 365.
    ID dell'applicazione (cliente) - Il valore del campo corrispondente che è possibile copiare dalla pagina di panoramica dell'app Azure AD nel browser Web.
    ID directory (tenant) - Il valore del campo corrispondente che è possibile copiare dalla pagina di panoramica dell'app Azure AD nel browser Web.

  • Nella sezione Autenticazione (Authentication), fare clic sul pulsante a discesa accanto alla casella di testo Certificato (Certificate) e selezionare Scarica certificato (Download Certificate).
    Salva il certificato sul tuo disco rigido.
  • Conferma le tue immissioni facendo clic su OK.
    Le credenziali appena create sono elencate in Credential Manager sotto il nome che hai inserito con il tipo Microsoft 365. Qui puoi anche modificare o eliminare le credenziali esistenti, se necessario.
  • Uscire da Credential Manager facendo clic su Chiudi (Close).
    Le credenziali appena create vengono selezionate nell'elenco a discesa corrispondente per impostazione predefinita.

Credenziali di pubblicazione in Azure AD

Affinché Azure AD convalidi l'identità di MailStore Server, il certificato creato deve essere pubblicato in Azure AD.

  • Passare alla pagina di panoramica dell'app Azure AD nel browser Web.
  • Seleziona Certificates & secrets nella sezione Gestisci (Manage) del menu di navigazione a sinistra.
  • Fare clic su Carica certificato (Upload Certificates) nella sezione Certificati (Certificates).
    Seleziona il file del certificato che hai salvato in precedenza e caricalo in Azure AD facendo clic su Aggiungi (Add).

Se il caricamento ha avuto esito positivo, nell'elenco dei certificati vengono visualizzate l'identificazione personale del certificato, nonché le date di inizio e di scadenza. Puoi confrontare l'identificazione personale e la data di scadenza con quelle elencate in MailStore Credential Manager per verificare di aver caricato il certificato corretto.

Banner

Configurazione dell'autenticazione dell'app in Azure AD

Affinché Azure AD restituisca il risultato della richiesta di autenticazione di un utente al Server MailStore, l'Endpoint in cui il Server MailStore si aspetta risposte di autenticazione, il cosiddetto URI di reindirizzamento, deve essere trasmesso ad Azure AD.

  • Nel portale di Azure nel browser Web, selezionare Autenticazione nella sezione Gestisci (Authentication in the Manage) del menu di navigazione a sinistra.
  • Fare clic sul pulsante Aggiungi una piattaforma (Add a Platform) nella sezione Configurazioni piattaforma (Platform configurations) della pagina Autenticazione (Authentication)
  • Selezionare Web nella sezione Applicazioni Web della pagina del menu Configura piattaforme (Platform configurations).
  • Nel campo Reindirizzamento URI (Redirect URI), inserire un URI nel formato (senza parentesi)

https://<fqdn>[:<porta>]/oidc/signin

con i seguenti componenti:

https://
È obbligatorio specificare il protocollo https://. Per evitare avvisi di certificato durante l'accesso dell'utente, i browser Web sui computer client devono considerare attendibile il certificato utilizzato da MailStore Server.

FQDN
Il nome di dominio completo (FQDN) del server MailStore che consiste nel nome della macchina e nel dominio DNS, ad es. “mailstore.example.com”. Questo nome deve essere risolvibile da tutti i client dai quali gli utenti potranno accedere a MailStore Server.

Porta
La porta TCP di MailStore Web Access (8462 per impostazione predefinita).
Questo valore deve essere uguale alla porta configurata nella sezione
Configurazione di base (Base Configuration) > Impostazioni di rete (Network Settings) > MailStore Web Access / Componente aggiuntivo per Outlook (HTTPS) (MailStore Web Access / Outlook Add-in (HTTPS)) della Configurazione del servizio del server MailStore. La porta TCP deve essere specificata solo se è diversa dalla porta predefinita del protocollo HTTPS (443).

/oidc/segno

L'endpoint in cui MailStore Server prevede le risposte di autenticazione di Azure AD.
Questo percorso deve essere specificato esattamente come indicato qui alla fine dell'URI di reindirizzamento.

  • Lascia vuoto il campo URL di disconnessione.
  • Abilitare l'opzione Token ID (ID Token) nella sezione Concessione implicita (Implicit grant).
  • Fare clic su Configura (Configure) per completare la configurazione dell'autenticazione dell'app in Azure AD.

Esempi di URI di reindirizzamento validi

Prodotto

FQDN

Porta

Risultato URI di reindirizzamento

MailStore Server

mailstore.example.com

Banner

8462

https://mailstore.example.com:8462/oidc/signin

MailStore Server

mailstore.example.com

443

https://mailstore.example.com/oidc/signin

La porta può essere omessa se la porta HTTPS predefinita 443 è stata configurata per MailStore Web Access o come porta di origine di un port forwarding sul firewall o sul router.

MailStore SPE

archive.example.com

443

https://archive.example.com/<instanceid>/oidc/signin

 

L'instanceid dell'istanza fa parte dell'URI di reindirizzamento.

Avviso importante: si noti che l'URI di reindirizzamento fa distinzione tra maiuscole e minuscole. Esaminare anche i requisiti per la risoluzione degli URI nella sezione Prerequisiti, Raccomandazioni e Limitazioni.

Configurazione dell'URI di reindirizzamento nel server MailStore

Affinché MailStore Server trasmetta l'URI di reindirizzamento ai client richiedenti, deve essere configurato.

  • Passare alla pagina dei servizi di directory nel client MailStore.
  • Immettere l'URI di reindirizzamento nel campo corrispondente nella sezione Autenticazione.
    Basta copiare il valore precedentemente configurato in Azure AD dal browser web.


Configurazione delle autorizzazioni API in Azure AD

  • Passare nuovamente ad Azure AD nel browser Web.
  • Selezionare le autorizzazioni API nella sezione Gestisci del menu di navigazione a sinistra.
  • Fare clic sul pulsante Aggiungi un'autorizzazione (Add a permission) nella sezione Autorizzazioni configurate (Configured permissions).
  • Nella pagina del menu Richiedi autorizzazioni API, selezionare l'API Microsoft Graph nella sezione API Microsoft comunemente utilizzate.
  • Selezionare l'opzione Autorizzazioni dell'applicazione.
  • Abilitare l'autorizzazione Directory > Directory.Read.All nella sezione Seleziona autorizzazioni (Select permissions section).
  • Fare clic su Aggiungi autorizzazioni (Add permissions).
  • Le autorizzazioni vengono aggiornate e l'autorizzazione Directory.Read.All viene visualizzata nell'elenco delle autorizzazioni API in Microsoft Graph.
  • Fare nuovamente clic sul pulsante Aggiungi un'autorizzazione (Add permissions) nella sezione Autorizzazioni configurate (Configured permissi).
  • Nella pagina del menu Richiedi autorizzazioni API (Request API permissions), selezionare API utilizzate dalla mia organizzazione.
  • Cerca Office 365 Exchange Online e fai clic sulla voce corrispondente.
  • Selezionare l'opzione Autorizzazioni dell'applicazione.
  • Abilita l'autorizzazione full_access_as_app nella sezione Seleziona autorizzazioni.
  • Fare clic su Aggiungi autorizzazioni (Add permissions).
  • Le autorizzazioni vengono aggiornate e l'autorizzazione full_access_as_app viene visualizzata nell'elenco delle autorizzazioni API in Exchange.
  • Ora fai clic sul pulsante Concedi il consenso dell'amministratore per <nome tenant> (Grant admin consent for <your tenant name>) nella sezione Autorizzazioni configurate (Configured permissions).
  • Confermare il seguente avviso con Sì (Yes).
  • Lo stato di tutte le autorizzazioni concesse viene aggiornato a Concesso per <nome tenant> (Granted for <your tenant name>).

La configurazione della connessione di MailStore Server a Microsoft 365 all'interno di Azure AD è ora completa. È possibile disconnettersi dal tenant di Azure AD e chiudere la finestra del browser.

Passare nuovamente alla pagina dei servizi di directory nel client MailStore, tutti i restanti passaggi di configurazione devono essere eseguiti lì.

Sincronizzazione database utente

Dopo aver configurato le impostazioni di connessione come descritto in precedenza, in questa sezione è possibile specificare i criteri di filtro per la sincronizzazione di Microsoft 365.

Sincronizzare solo gli utenti Microsoft Exchange Online con licenza

Solo gli account utente di Microsoft 365 a cui è stata assegnata una licenza di Microsoft Exchange Online verranno presi in considerazione dalla sincronizzazione.

Sincronizza solo gli utenti abilitati

Solo gli account utente di Microsoft 365 per i quali non è stato bloccato l'accesso a Microsoft 365 verranno presi in considerazione dalla sincronizzazione.

Sincronizzare solo questi gruppi

Scegli uno o più gruppi di sicurezza di Microsoft 365 se desideri che i loro membri vengano creati solo come utenti di MailStore Server. In questo modo è possibile escludere determinati utenti dalla sincronizzazione con MailStore Server.

Opzioni

Elimina automaticamente gli utenti in MailStore Server

Qui puoi scegliere se gli utenti che sono stati eliminati nel tenant di Microsoft 365 verranno eliminati anche nel database utente di MailStore Server dalla sincronizzazione.

Gli utenti verranno eliminati anche se non rientrano nell'ambito delle impostazioni configurate.
Verranno eliminati solo gli utenti di MailStore Server il cui metodo di autenticazione è impostato su Directory Services.

Se la cartella di archivio di tale utente contiene già e-mail archiviate, solo la voce dell'utente ma non la sua cartella di archivio verrà eliminata in MailStore Server.

Assegnazione di privilegi predefiniti

Per impostazione predefinita, gli utenti che sono stati sincronizzati con MailStore Server da Microsoft 365 hanno il privilegio di accedere a MailStore Server e di accedere in lettura al proprio archivio utente.
È possibile configurare quei privilegi predefiniti prima della sincronizzazione, ad esempio per assegnare il privilegio Archivia posta elettronica a tutti i nuovi utenti. Per fare ciò, fai clic su Privilegi predefiniti.

Esecuzione della sincronizzazione dei servizi di directory

Fare clic su Impostazioni di prova (Test Settings) per verificare la configurazione della sincronizzazione e i risultati restituiti dal tenant di Microsoft 365 senza che le modifiche al database utente di MailStore Server vengano effettivamente salvate.
Per eseguire definitivamente la sincronizzazione, fare clic su Sincronizza ora (Synchronize now). I risultati vengono visualizzati con tutte le modifiche apportate al database utente di MailStore Server.

Puoi testare l'autenticazione per un utente selezionandolo prima dall'elenco e poi cliccando sul pulsante in basso a sinistra. Ora ti verrà richiesta la password di quell'utente. Dopo aver fatto clic su OK riceverai un messaggio se l'autenticazione è andata a buon fine.