MS Entra ID App Registration for 4Exchange

  1. home
  2. TradeInterop
  3. Algemeen
  4. MS Entra ID App Registration for 4Exchange

Dit artikel laat zien hoe je een applicatie kunt toevoegen en registreren met behulp van de App registraties ervaring in de Azure portal zodat je app kan worden geïntegreerd met het Microsoft identity platform.In dit document is het doel van de applicatie registratie het uitlezen van mailboxen met de 4Exchange applicatie met behulp van MS Graph API.

Voor meer informatie over het gebruik van Azure applicaties in het algemeen zie:

https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-register-app 

Zie voor meer informatie over de MS Graph API:

https://developer.microsoft.com/en-us/graph 


1. Applicatie Registratie Stappen

De volgende stappen zijn nodig voor de registratie van de Azure applicatie. Deze zijn gebaseerd op het gebruik van de 4Exchange applicatie voor het uitlezen van mailboxen.

  1. Log in op het Microsoft Entra ID admin center van je tenant met beheerdersrechten.
  2. Ga op het beginscherm naar: Microsoft Entra ID.
  3. Navigeer aan de linkerkant naar “App registraties”.
  4. Klik op “Nieuwe registratie”.
  5. Geef de applicatie een naam (best practice zou zijn om het doel van de applicatie te vermelden). De typen ondersteuningsaccounts moeten worden ingesteld zoals hieronder wordt weergegeven. Redirect URL is niet nodig voor 4Exchange.
  6. Klik op “Registreren”. Nu de applicatie is aangemaakt moeten we de juiste API rechten instellen voor de applicatie. Deze zijn gebaseerd op de rechten die 4Exchange nodig heeft voor het read email proces.
  7. Ga aan de linkerkant naar “API permissies” en voeg de permissies toe zoals hieronder weergegeven:
  8. Beheerders toestemming is nodig na het toevoegen van deze rechten. Gebruik de knop “Toestemming verlenen voor <actieve mapnaam>” of als deze stap door een andere beheerder moet worden uitgevoerd, stuur dit verzoek dan door.
  9. Ga naar “Overzicht”.
  10. Kopieer op deze pagina de waarden van:
    1. “Applicatie (client) ID”
    2. “Directory (tenant)ID”. 
      Deze waarden heeft de consultant nodig voor de configuratie van 4Exchange.
  11. Ga naar “Certificates & Secrets” Op deze pagina moet een nieuw cliëntgeheim worden aangemaakt, dit kan met de knop “New client secret”.
    Belangrijk: Zodra deze is aangemaakt dient u deze waarde te kopiëren en op te slaan in een beveiligde omgeving of wachtwoordoplossing. Deze waarde heeft de 4Exchange consultant nodig voor de configuratie!
  12. Het registratieproces is nu voltooid.
  13. Deel de volgende sleutels met de consultant
    1. “Applicatie (client) ID”
    2. “Directory (tenant)ID”
    3. "Client Secret Value" (te herkennen aan een ~ in de sleutel)


2. Exchange Group Configuratie

Voor de mailboxen die 4Exchange moet lezen moeten we een nieuwe “Mail security group” aanmaken in het Exchange Admin center.

  1. Log in op het Exchange admin center van uw tenant met beheerdersrechten.
  2. Ga naar “Groups” op de welkomstpagina
  3. Klik op de pijl omlaag en selecteer “Mail-enabled security group”.
  4. Vul de verplichte velden in op deze pagina:
    De waarde van het veld “Alias” wordt later gebruikt, sla deze waarde tijdelijk op.
  5. Navigeer naar “Lidmaatschap”.
  6. Met de “+” knop kunt u leden toevoegen aan deze mailbeveiligingsgroep.
    1. Deze leden moeten alle gebruikers/mailboxen bevatten die 4Exchange moet kunnen lezen.
  7. Klik tenslotte op “Opslaan”.


3. Link Exchange Group aan Applicatie 

Nu hebben we:

  • Azure applicatie met de juiste API rechten. De volgende sleutels worden opgeslagen en gedeeld met de 4Exchange consultant:
    • Applicatie (client) ID
    • Directory (tenant) ID
    • Client geheime waarde
  • Exchange mail beveiligingsgroep met juiste lidmaatschappen (mailboxen nodig voor 4Exchange)

De laatste stap is het koppelen (scope) van de Application met de Exchange mail security group:

  1. Hiervoor gebruiken we de “Exchange Online PowerShell” tool.
    1. Voor meer informatie over het algemene gebruik zie: Verbinding maken met Exchange Online PowerShell
  2. Het statement wat uitgevoerd dient te worden in Exchange Online PowerShell is:
    New-ApplicationAccessPolicy -AppId <Applicatie (client) ID die zojuist is aangemaakt> -PolicyScopeGroupId <Alias of mailbeveiligingsgroep die zojuist is aangemaakt> -AccessRight RestrictAccess -Description "<Beschrijving van de policy>
    1. Voor meer informatie over deze procedure zie: Toepassingsmachtigingen beperken tot specifieke Exchange Online postvakken