CI-Roaming-Signaturen - Konfiguration
Überblick
„Roaming Signaturen“ (Geräteübergreifende E-Mail Signaturen für Postfächer in M365 / Exchange Online – wir haben berichtet) wurde von Microsoft ausgerollt und ist auf den Tenants aktiv. Die Art und Weise wie zentrale E-Mail Signaturen bereitgestellt werden ändert sich damit grundlegend.
Mit CI-Roaming-Signaturen können E-Mail Signaturen weiterhin zentral und zuverlässig verteilt werden – so wie Sie es von unseren Produkte kennen. Gleichzeitig können Sie alle Vorteile von Roaming Signaturen nutzen.
FAQ: Warum benötigt CI-Roaming-Signaturen die Vollzugriff Berechtigung?
Weil es von Microsoft immer noch keine offizielle API für Roaming Signaturen gibt,
Wir haben eine eigene API, diese funktioniert aber eben nur in Verbindung mit Vollzugriff.
Verwendungszweck
Wir speichern über unsere API mit CI-Roaming-Signaturen die Signaturen in Exchange Online pro Benutzer.
Die Synchronisation zwischen Exchange Online und Outlook erfolgt durch Microsoft. Ab Outlook Version 2312 als auch das neue Outlook,
ist die Synchronisierung nun zuverlässig (Stand 07.02.2024 ist Outlook in Version 2401 aktuell).
Um Signaturen für Outlook im Web (Mailboxen in Exchange Online) sowie das neue Outlook (diese Version aktivieren Sie im Moment oben Rechts über ein Schalter „Testen Sie das neue Outlook“) zur Verfügung zu stellen müssen Sie diesen Dienst konfigurieren.
Um Signaturen für Outlook (alle Versionen ausgenommen das neue Outlook) zur Verfügung zu stellen,
empfehlen wir CI-Sign aus CI-Cloud stattdessen über GPO / Netlogon / Intune zu verteilen und lokal auszuführen,
dass hat sich bewährt.
Siehe: Signaturen im Netzwerk verteilen
Voraussetzungen
- Anmeldung am CI-Cloud-Portal (kostenfreier Testzeitraum)
- Exchange Online - Microsoft 365 (für den Zugriff werden Tokens benötigt, die im CI-Cloud-Portal verwaltet werden.)
- API Berechtigungen (MS Graph) Basis Zugriff gewährt
- Aktiviertes CI-Sign innerhalb des CI-Cloud-Portals
- Aktive Option “Signaturen in CI-Signature Add-In anzeigen”
- Standard-Benutzer ohne administrative Rolle* mit lizensierter Mailbox in Exchange Online, ohne MFA, sowie Vollzugriff unter Exchange auf jedes zu verwaltende Postfach, Benutzername/Kennwort Prüfung mit Anmeldung bei OWA
*Multi-Faktor-Authentifizierung für Administratoren, die auf Microsoft-Verwaltungsportale zugreifen
Aktivieren Sie ggf. für den Service-Benutzer "Conditional Access".
Somit haben Sie die Möglichkeit, den Zugriff auf die IP-Adresse des CI-Roaming-Signaturen Dienstes zur beschränken.
Die IP-Adresse wird im CI-Cloud Portal unter "CI-Roaming Signatur Konfiguration" angezeigt.
Installation / Konfiguration - Schritt für Schritt
CI-Roaming-Signature ist ein Feature innerhalb CI-Sign.
Es wird also ein aktiviertes CI-Sign innerhalb des CI-Cloud-Portals benötigt.
Produkte und Dienste hinzufügen/entfernen
Preise für Produkte und Dienste
Anmelden am CI-Cloud Portal
Anmeldung am CI-Cloud-Portal: https://cloud.ci-solution.com/ Benutzen Sie hier die Zugangsdaten, die Sie unter kostenfrei registrieren eingetragen haben.
Wir empfehlen den Microsoft Login zu verwenden.
- Um mit der Microsoft-Anmeldung in das Portal zur Konfiguration zu kommen, sind unter Organisationsprofil - Benutzer… Entsprechende Benutzer sowie deren Berechtigungen festzulegen
Sofern Sie den Microsoft Login gewählt haben befinden Sie sich nu im BENUTZER-Portal. Sofern die Schaltfläche Goto CI-Cloud-Portal nicht vorhanden ist Melden Sie sich zunächst als “Master” an der CI-Cloud an und gewähren Sie unter Organisationsprofil - Benutzer die entsprechenden Rechte für den Benutzer.
CI-Sign Konfiguration starten
Es gibt mehrere Wege die Konfiguration zu erreichen. Jeweils über die Übersicht. Aktive Kacheln sind Grün/Orange/Rot markiert, wenn aktiviert und zeigen mit der Farbe den jeweiligen Status an.
Klicken Sie im linken Menü auf CI-Sign (1) oder auf den Koffer in der CI-Sign Kachel (2) um die Konfiguration zu öffnen.
Wenn diese Möglichkeiten fehlen, dann stellen Sie unter Abrechnung sicher, das Sie das Produkt CI-Sign aktiviert haben.
Produkte und Dienste hinzufügen/entfernen
Roaming Signaturen einrichten
Um Innerhalb der CI-Sign Konfiguration werden die Voraussetzungen für Roaming Signaturen geprüft und entsprechend angezeigt.
Hier: ROTER RAHMEN. Es wurde noch nichts konfiguriert.
(1) Klicken Sie auf gewähren um die Konfiguration zu starten.
(2) Diese Option muss aktiviert sein.
Konfiguration Token und Mailbox
(1) Token zulassen
Um das Produkt nutzen zu können, benötigt das CI-Cloud Portal einen Basis Zugriff auf Ihre Microsoft 365 Umgebung.
(1) CI-Roaming Signaturen autorisieren.
Folgen Sie den Anweisungen und akzeptieren Sie die angeforderte Berechtigung.
Sie benötigen hierzu Ihre Microsoft Zugangsdaten.
Folgende Berechtigung muss der User haben:
Der User muss ein „Global Admin" sein, um den Zugriff auf die MS365 Basis Profile der User gewähren zu können.
Siehe auch: Datenzugriff, Berechtigungen & Tokens
Es kann einige Sekunden dauern. Sofern der Token also noch nicht von uns erkannt wurde…
(1) aktualisiert die Ansicht und prüft en Token erneut.
(2) Mailbox, Benutzername und Passwort festlegen
Legen Sie nun Ihre Einstellungen fest.
Benutzer
(1) Wir empfehlen für den Dienst einen neuen Benutzer anzulegen,
einen sogenannten Service-Benutzer.
Für den Benutzer muss MFA deaktiviert sein.
Verwenden Sie ein starkes Passwort mit mindestens 32 Zeichen.
Es muss mindestens eine Anmeldung bei OWA erfolgt sein.
Aktivieren Sie ggf. für den Service-Benutzer "Conditional Access".
Somit haben Sie die Möglichkeit, den Zugriff auf die IP-Adresse des CI-Roaming-Signaturen Dienstes zur beschränken.
Die IP-Adresse wird im CI-Cloud Portal unter "CI-Roaming Signatur Konfiguration" angezeigt.
(2) Der Benutzer muss Vollzugriff auf alle Mailboxen haben die letztlich verwaltet werden sollen.
Für den Test empfehlen wir ECP zu verwenden und die Vollzugriff Berechtigung selektiv zu vergeben,
siehe nachfolgend.
Um die Vollzugriff Berechtigung für alle Mailboxes zu setzen, hier das CMD-Let:
get-mailbox | Add-MailboxPermission -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All [-AutoMapping $false]
get-mailbox ruft alle Mailboxes ab. Das könnte über einen Filter weiter eingegrenzt werden.
<DelegateIdentity> Hier ist die Mailbox anzugeben, welche den Vollzugriff auf die anderen Mailboxes erhalten soll
-InheritanceType Scheint ein Pflichtattribut zu sein.
Quelle und Details: https://docs.microsoft.com/de-de/powershell/module/exchange/add-mailboxpermission?view=exchange-ps
-AutoMapping Ist optional.
Wenn nicht angegeben, wird true angenommen.
Wir empfehlen es eher auf false setzen, damit beim Öffnen des Postfachs in Outlook (falls das mal erforderlich wäre)
nicht sämtliche anderen Postfächer geöffnet werden.
Quelle und Details: https://docs.microsoft.com/de-de/powershell/module/exchange/add-mailboxpermission?view=exchange-ps
Für weitere Informationen verweisen wir auf die Microsoft KB, dort werden verschiedene Wege aufgezeigt:
https://docs.microsoft.com/de-de/exchange/recipients/mailbox-permissions?view=exchserver-2019#use-the-eac-to-assign-permissions-to-individual-mailboxes
Sofern Sie hier Unterstützung benötigen ist Ihr Systemhaus/Dienstleister zu empfehlen, da wir diese Berechtigungen nicht anders erstellen können.
Passwort
Tragen Sie hier das Passwort ein.
Mailbox
Wir verwenden hier die gleiche wir für den Benutzer, das steht Ihnen frei. Verwenden sie eine “Service-Mailbox”, bitte nicht einfach die eigene verwenden (oder die eine natürlichen Person).
Notification email address
Hier senden wir bei Fehlern ggf. künftig auch erweiterte Reports (das wäre dann festzulegen) um Sie darüber zu Informieren wenn es Probleme gibt und Lösungen auzuzeigen.
Group
Für Benutzer dieser Gruppe wird Roaming Signaturen angewendet. Ist keine Gruppe angegeben, verwenden wir die Gruppe für die der Konnektor registriert wurde. Ist kein Konnektor registriert, verwenden wir die Gruppe die im CI-Cloud Portal unter Benutzer-Synchronisierung definiert wurde.
Papierkorb
Wenn Sie den Papierkorb betätigen, werden die Einstellungen gelöscht.
(3) Automatisieren
Der Service läuft derzeit um 01:00 UTC und arbeitet alle Kunden der Reihe nach ab, welche die Option aktiv haben.
Es werden nur die Signaturen von Benutzern aktualisiert, die Mitglied der Gruppe unter “Group” sind.
(4) Test
Hier können Sie die Signaturen für einen beliebigen Benutzer setzen, lesen und löschen,
sowie für eine Gruppe.
Wenn Sie Änderungen an Signaturen/Konfiguration vorgenommen haben, müssen Sie diese zunächst über
"Signaturen für Gruppe aktualisieren" verteilen.
Ansonsten erfolgt dies erst über den Service um ca. 01:00 UTC, vorausgesetzt "Automatisieren" ist aktiv.
(1) Primäre SMTP-Adresse des gewünschten Benutzers eintragen oder wenn bereits verwendet aus Dropdown (Pfeil nach unten anklicken) auswählen.
(2) Signaturen für den unter (1) eingetragenen Benutzer anhand CI-Sign Konfiguration setzen und anschließend lesen.
(3) Signaturen für den unter (1) eingetragenen Benutzer lesen.
(4) Signaturen für den unter (1) eingetragenen Benutzer löschen.
(5) Signaturen für alle Mitglieder der gewählten Gruppe (6) setzen (ist keine Gruppe angegeben, verwenden wir die Gruppe die unter Benutzer-Synchronisierung definiert wurde).
(6) Es wird die Gruppe angezeigt, die unter Mailbox, Benutzername und Passwort unter Group festgelegt wurde.
(7) Dropdownliste leeren.
(8) Prozess Status –> Wenn Sie Signaturen für eine Gruppe setzen, kann der Prozess je nach Benutzer-Menge mehrere Minuten dauen.
(9) Zeigt die gelesenen Signaturen und stellt sie zur Auswahl.
(10) Zeigt von den gelesenen Signaturen die Standard Signatur lt. CI-Sign Konfiguration an.
(111) Ansicht umschalten zwischen HTML Signatur und TXT Signatur.
Fehlermeldungen
Möglicherweise wird Ihnen bei Betätigung der Funktion “Signaturen setzen” und oder “Signaturen lesen” oben eine Fehlermeldung angezeigt:
The remote server returned an error: (404) Not Found.
Hier ist vermutlich die Vollzugriff Berechtigung nicht vorhanden.
Prüfen Sie bitte folgendes:
Melden Sie sich mit dem CI-Roaming Signaturen Service-Benutzer an OWA an.
Können Sie in OWA über „Weiteres Postfach öffnen“ das Postfach des anderen Benutzers öffnen?
OWA Login failed. Invalid URI: The URI is empty.
Prüfen Sie bitte diesbezüglich im Azure Entra die Anmeldeprotokolle, die für den CI-Roaming Signaturen Service Benutzer erstellt wurden sind.
Können Sie den Fehler nicht beheben, senden Sie uns bitte Ihre Kunden ID (diese finden Sie im Unternehmensprofil),
Screenshots von der Fehlermeldung in der CI-Roaming Signaturen Konfiguration, sowie die Fehlerdetails innerhalb den Anmeldeprotokollen,
an unsere E-Mail-Adresse: info@ci-solution.com
Problem - Die gesetzten Signaturen stehen in Outlook nicht zur Verfügung
Wir speichern über unsere API mit CI-Roaming-Signaturen die Signaturen in Exchange Online pro Benutzer.
Die Synchronisation zwischen Exchange Online und Outlook erfolgt durch Microsoft..
Bei einem Test ist also maßgeblich, ob die Signaturen von unserer Seite korrekt in Outlook im Web zur Verfügung stehen.
Wir empfehlen bei diesem Problem zunächst einmal zu prüfen, ob dieser Wert in der Registry gesetzt ist:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Setup\DisableRoamingSignaturesTemporaryToggle
CI-Sign erstellt per Default diesen Toggle.
Dieser Toggle deaktiviert Roaming Signaturen innerhalb Outlook (ausgenommen das neue Outlook Beta).
Das können Sie unter Extras in der CI-Sign Konfiguration ändern (1).
Alternativ können Sie den Toggle selbstverständlich auch manuell oder per Gruppenrichtlinie löschen.
Token entfernen über Azure Active Directory
Melden Sie sich an Ihrem Azure Portal an.
Im Azure-Active-Directory gehen Sie auf die entsprechende Unternehmens-Anwendung.
Über Properties - können Sie den Token löschen.
Feedback und Kontakt
Wenn Sie Fragen, Kritik oder Anregungen haben erreichen Sie uns gerne unter:
E-Mail: info@ci-solution.com
Wir sind uns sicher dass unsere Software Sie bei der Lösung Ihrer Aufgaben unterstützen wird und freuen uns über jedes Feedback.
Mit freundlichen Grüßen
ci solution - Team
ci solution GmbH
Andreas Stäbleinstr. 14
D-97280 Remlingen
09369 980441