10.1. Microsoft 365 Connector#

Der Microsoft 365 Connector ermöglicht die Synchronisation der Benutzer, Gruppen und Teams zu einer Azure Active Directory Domäne, welche von Microsoft 365 verwendet wird. Dabei lässt sich steuern, welche der in UCS angelegten Benutzer Microsoft 365 verwenden dürfen. Die so ausgewählten Benutzer werden entsprechend von UCS in die Azure Active Directory Domäne provisioniert. Es kann dabei konfiguriert werden, welche Attribute synchronisiert werden und Attribute können dabei anonymisiert werden.

Die Single Sign-On Anmeldung an Microsoft 365 erfolgt über die in UCS integrierte SAML-Implementierung, d.h. die Authentifizierung erfolgt dabei gegen den UCS-Server und es werden keine Passwort-Hashes zu Microsofts Azure Cloud übertragen. Die Authentifikation des Benutzers erfolgt ausschließlich über den Webbrowser des Clients. Dieser sollte aber die DNS-Namen der UCS-Domäne auflösen können, das ist insbesondere für Mobilgeräte wichtig zu beachten.

10.1.1. Einrichtung#

Für den Einsatz des Microsoft 365 Connectors wird ein Microsoft 365 Administrator Konto, ein entsprechendes Konto im Azure Active Directory, sowie eine von Microsoft verifizierte Domäne benötigt. Die ersten beiden werden zu Testzwecken kostenlos von Microsoft bereitgestellt. Für das Konfigurieren des SSO wird jedoch eine eigene Internet-Domäne benötigt, in der TXT‑Records erstellt werden können.

Falls noch keine Microsoft 365 Subskription vorhanden ist, so kann diese via https://www.office.com/ im Bereich kostenlos testen für Unternehmen konfiguriert werden. Mit einem privaten Microsoft Konto ist eine Verbindung nicht möglich.

Anschließend sollte eine Anmeldung mit einem Microsoft 365 Administratorkonto im Microsoft 365 Admin Center erfolgen. In der linken Navigationsleiste ganz unten ist Azure AD auszuwählen, welches in einem neuen Fenster das Azure Management Portal öffnet.

Unter dem Menüpunkt Domänen kann nun die eigene Domäne hinzugefügt und verifiziert werden. Dafür ist es notwendig, einen TXT-Record im DNS der eigenen Domäne zu erzeugen. Dieser Vorgang kann einige Minuten in Anspruch nehmen. Anschließend sollte der Status der konfigurierten Domäne als überprüft angezeigt werden.

Nun kann die Microsoft 365 App aus dem App Center auf dem UCS System installiert werden. Die Installation dauert nur wenige Minuten. Anschließend steht ein Einrichtungsassistent (Wizard) für die Einrichtung zur Verfügung. Mit Abschluss des Einrichtungsassistenten ist die Installation abgeschlossen und der Connector ist einsatzbereit.

Microsoft 365 Einrichtungsassistent

Abb. 10.1 Microsoft 365 Einrichtungsassistent#

10.1.2. Konfiguration#

Nach der Einrichtung über den Einrichtungsassistenten kann über das Benutzermodul an jedem Benutzerobjekt auf dem Reiter Microsoft 365 konfiguriert werden, dass dieser Benutzer ins Microsoft 365 provisioniert wird. Der Verbrauch und die Zuweisung von Lizenzen ist im Microsoft 365 Admin Center zu erkennen.

10.1.2.1. Benutzer#

Wird eine Änderung am Benutzer durchgeführt, so werden die Änderungen auch in die Azure Active Directory Domäne repliziert. Es erfolgt keine Synchronisation aus dem Azure Active Directory in das UCS System. Das bedeutet, Änderungen, die im Azure Active Directory oder Office Portal vorgenommen werden, können durch Änderungen an den gleichen Attributen in UCS unter Umständen wieder überschrieben werden.

Aufgrund von Sicherheitsrichtlinien des Azure Active Directory können Benutzer oder Gruppen im Azure AD während der Synchronisation nicht gelöscht werden. Sie werden lediglich deaktiviert und umbenannt. Die Lizenzen werden im Azure Active Directory entzogen, so dass diese für andere Benutzer zur Verfügung stehen. Benutzer und Gruppen, deren Namen mit ZZZ_deleted anfangen, können im Microsoft 365 Admin Center gelöscht werden.

Es ist notwendig in Microsoft 365 ein Land für den Benutzer zu konfigurieren. Der Connector nutzt dafür die Angabe des Landes aus den Kontaktdaten des Benutzers oder, wenn nicht gesetzt, die Einstellung des Servers. Mit Hilfe der Univention Configuration Registry Variable office365/attributes/usageLocation kann ein 2-Zeichen-Kürzel, z.B. DE vorgegeben werden.

Über die Univention Configuration Registry Variable office365/attributes/sync wird konfiguriert, welche LDAP Attribute (z.B. Vorname, Nachname) eines Benutzerkontos synchronisiert werden. Es handelt sich um eine kommaseparierte Liste von LDAP Attributen. Somit ist eine Anpassung an die eigenen Bedürfnisse einfach möglich.

Mit der Univention Configuration Registry Variable office365/attributes/anonymize können kommasepariert LDAP Attribute angegeben werden, die zwar im Azure Active Directory angelegt, jedoch mit Zufallswerten gefüllt werden. Die Univention Configuration Registry Variablen office365/attributes/static/.* erlauben das Füllen von Attributen auf Microsoft Seite mit einem vordefinierten Wert.

Mit der Univention Configuration Registry Variable office365/attributes/never können kommasepariert LDAP Attribute angegeben werden, die nicht synchronisiert werden sollen, selbst wenn diese in office365/attributes/sync oder office365/attributes/anonymize auftauchen.

Die Univention Configuration Registry Variablen office365/attributes/mapping/.* definieren eine Abbildung der UCS LDAP Attribute zu Azure Attributen. Diese Variablen müssen normalerweise nicht verändert werden. Die Synchronisation der Gruppen der Microsoft 365 Benutzer kann mit der Univention Configuration Registry Variable office365/groups/sync aktiviert werden.

Änderungen an Univention Configuration Registry Variablen werden erst nach dem Neustart des Univention Directory Listener umgesetzt.

10.1.2.2. Teams#

Für die Nutzung von Teams muss die Synchronisation von Gruppen per Univention Configuration Registry Variable office365/groups/sync mit dem Wert yes aktiviert werden, anschließend muss der Dienst Univention Directory Listener neu gestartet werden. Sollen UCS-Gruppen als Teams in Microsoft 365 angelegt werden, so müssen die Gruppen auf dem Reiter Microsoft 365 über die Checkbox Microsoft 365 Team als Team konfiguriert werden. Des Weiteren ist es notwendig, auf demselben Reiter einen Besitzer des Teams zu definieren. Weitere Einstellungen am Team können von den Team-Besitzern direkt im Teams Interface vorgenommen werden. Nach der Aktivierung einer Gruppe als Team werden die Gruppenmitglieder dem neuen Team hinzugefügt. Das Einrichten eines neuen Teams in Microsoft 365 kann einige Minuten in Anspruch nehmen.

Es muss sichergestellt sein, dass die Benutzer eines Teams in Azure eine Lizenz erhalten, in der die Nutzung von Teams enthalten ist.

10.1.3. Synchronisation von Benutzern in mehrere Azure Active Directories#

Der Microsoft 365 Connector kann Benutzer in mehrere Azure Active Directories synchronisieren. Sind mehrere Verbindungen verfügbar, können an jedem Benutzerkonto individuell die Azure AD Instanzen zugewiesen werden, in denen ein Account erstellt werden soll. Ein Benutzer bekommt in jedem der seinem UCS Konto zugewiesenen Azure AD ein separates Konto mit eindeutigem Benutzernamen (Userprincipalname, UPN).

Jede zusätzlich eingerichtete Azure AD Verbindung erhält einen vom Administrator festzulegenden Verbindungsalias als eindeutigen Namen. Für die Verwaltung der Aliase kann das Programm /usr/share/univention-office365/scripts/manage_adconnections verwendet werden. Ein neuer Alias kann über das Kommando /usr/share/univention-office365/scripts/manage_adconnections create <Aliasname> erstellt werden. Dies konfiguriert unter anderem die Univention Configuration Registry Variable office365/adconnection/wizard auf den neu erstellten Alias um. Der Wert dieser Univention Configuration Registry Variable bestimmt, welche Azure Verbindung durch den Microsoft 365 Einrichtungswizard konfiguriert wird.

Nach dem Anlegen muss die Verbindung wie gewohnt über den Microsoft 365 Einrichtungswizard eingerichtet werden, damit Benutzer synchronisiert werden können.

Um Single Sign-On mit mehreren Azure AD Verbindungen zu ermöglichen, muss für jede weitere Verbindung ein neuer logischer SAML Identity Provider erstellt werden. Dies ist in Erweiterte Konfiguration beschrieben.

Der Identity Provider sollte dabei denselben Namen wie der Verbindungsalias erhalten. Wurde ein anderer Name gewählt, muss das PowerShell Skript zur Einrichtung der Single Sign-On Verbindung manuell angepasst werden. Auf allen für das Single Sign-On der Domäne zuständigen Domaincontrollern muss also beispielsweise die Univention Configuration Registry Variable in der Form saml/idp/entityID/supplement/Aliasname=true gesetzt werden.

Ein UCS Benutzer kann in einer Browser-Sitzung nur zu einem Azure AD gleichzeitig verbunden sein. Um die Verbindung zu wechseln, ist ein Abmelden an Microsoft 365 notwendig.

Zur weiteren Konfiguration gibt es die Univention Configuration Registry Variable office365/defaultalias. Diese legt fest, in welches Azure AD ein Benutzer- oder Gruppenkonto synchronisiert wird, falls am Benutzerkonto keines explizit ausgewählt wurde. Soll das Konto in ein anderes Azure AD synchronisiert werden, muss bei der Aktivierung für Microsoft 365 das entsprechende Azure AD Verbindungsalias als Ziel ausgewählt werden.

10.1.4. Fehlersuche#

Meldungen während der Einrichtung werden in der Logdatei /var/log/univention/management-console-module-office365.log protokolliert.

Bei Synchronisationsproblemen sollte die Logdatei des Univention Directory Listener geprüft werden: /var/log/univention/listener.log.

Einige Aktionen des Connectors verwenden Operationen der Azure Cloud mit langer Laufzeit, insbesondere bei der Verwendung von Teams. Diese Operationen werden in der Logdatei /var/log/univention/listener_modules/ms-office-async.log protokolliert. Mit Hilfe der Univention Configuration Registry Variable office365/debug/werror können mehr Debugausgaben aktiviert werden.