CI-Roaming-Signaturen - Konfiguration

Überblick

„Roaming Signaturen“ (Geräteübergreifende E-Mail Signaturen für Postfächer in M365 / Exchange Online – wir haben berichtet) wurde von Microsoft ausgerollt und ist auf den Tenants aktiv. Die Art und Weise wie zentrale E-Mail Signaturen bereitgestellt werden ändert sich damit grundlegend.

Mit CI-Roaming-Signaturen können E-Mail Signaturen weiterhin zentral und zuverlässig verteilt werden – so wie Sie es von unseren Produkte kennen. Gleichzeitig können Sie alle Vorteile von Roaming Signaturen nutzen.

Folgende Frage wird uns im Moment häufig gestellt, deshalb beantworten wir diese vorab:
Warum benötigt CI-Roaming-Signaturen die Vollzugriff Berechtigung?
Weil es von Microsoft immer noch keine offizielle API für Roaming Signaturen gibt,
Microsoft arbeitet aber daran und wir sind in Kontakt mit dem Prod-Manager.
Wir haben eine eigene API, diese funktioniert aber eben nur in Verbindung mit Vollzugriff.

Verwendungszweck

Wir speichern über unsere API mit CI-Roaming-Signaturen die Signaturen in Exchange Online pro Benutzer.
Die Synchronisation zwischen Exchange Online und Outlook erfolgt durch Microsoft.

Um Signaturen für Outlook im Web (Mailboxen in Exchange Online) sowie das neue Outlook (diese Version aktivieren Sie im Moment oben Rechts über ein Schalter „Testen Sie das neue Outlook“) zur Verfügung zu stellen müssen Sie diesen Dienst konfigurieren.

Um Signaturen für Outlook (alle Versionen ausgenommen das neue Outlook) zur Verfügung zu stellen,
empfehlen wir CI-Sign aus CI-Cloud stattdessen über GPO / Netlogon / Intune zu verteilen und lokal auszuführen,
weil Microsoft erst ab der dem neuen Outlook die Funktion zuverlässig implementiert hat.

Siehe: Signaturen im Netzwerk verteilen

Voraussetzungen

  • Anmeldung am CI-Cloud-Portal (kostenfreier Testzeitraum)
  • Exchange Online - Microsoft 365 (für den Zugriff werden Tokens benötigt, die im CI-Cloud-Portal verwaltet werden.)
  • API Berechtigungen (MS Graph) Basis Zugriff gewährt
  • Aktiviertes CI-Sign innerhalb des CI-Cloud-Portals
  • Aktive Option “Signaturen in CI-Signature Add-In anzeigen”
  • Service-Benutzer mit lizensierter Mailbox in Exchange Online, ohne MFA, sowie Vollzugriff unter Exchange auf jedes zu verwaltende Postfach
  • Mindestens eine Anmeldung bei OWA durch den Service-Benutzer

Aktivieren Sie ggf. für den Service-Benutzer "Conditional Access".
Somit haben Sie die Möglichkeit, den Zugriff auf die IP-Adresse des CI-Roaming-Signaturen Dienstes zur beschränken.
Die IP-Adresse wird im CI-Cloud Portal unter "CI-Roaming Signatur Konfiguration" angezeigt.

Installation / Konfiguration - Schritt für Schritt

CI-Roaming-Signature ist ein Feature innerhalb CI-Sign.
Es wird also ein aktiviertes CI-Sign innerhalb des CI-Cloud-Portals benötigt.

Produkte und Dienste hinzufügen/entfernen
Preise für Produkte und Dienste

Anmelden am CI-Cloud Portal

Anmeldung am CI-Cloud-Portal: https://cloud.ci-solution.com/ Benutzen Sie hier die Zugangsdaten, die Sie unter kostenfrei registrieren eingetragen haben.

Wir empfehlen den Microsoft Login zu verwenden.

  • Um mit der Microsoft-Anmeldung in das Portal zur Konfiguration zu kommen, sind unter Organisationsprofil - Benutzer… Entsprechende Benutzer sowie deren Berechtigungen festzulegen

image-20211208110932438

Sofern Sie den Microsoft Login gewählt haben befinden Sie sich nu im BENUTZER-Portal. Sofern die Schaltfläche Goto CI-Cloud-Portal nicht vorhanden ist Melden Sie sich zunächst als “Master” an der CI-Cloud an und gewähren Sie unter Organisationsprofil - Benutzer die entsprechenden Rechte für den Benutzer.

CI-Sign Konfiguration starten

Es gibt mehrere Wege die Konfiguration zu erreichen. Jeweils über die Übersicht. Aktive Kacheln sind Grün/Orange/Rot markiert, wenn aktiviert und zeigen mit der Farbe den jeweiligen Status an.

image-20211220154124494

Klicken Sie im linken Menü auf CI-Sign (1) oder auf den Koffer in der CI-Sign Kachel (2) um die Konfiguration zu öffnen.

Wenn diese Möglichkeiten fehlen, dann stellen Sie unter Abrechnung sicher, das Sie das Produkt CI-Sign aktiviert haben.
Produkte und Dienste hinzufügen/entfernen

Roaming Signaturen einrichten

Um Innerhalb der CI-Sign Konfiguration werden die Voraussetzungen für Roaming Signaturen geprüft und entsprechend angezeigt.

Hier: ROTER RAHMEN. Es wurde noch nichts konfiguriert.

image-20211220141824162

(1) Klicken Sie auf gewähren um die Konfiguration zu starten.

(2) Diese Option muss aktiviert sein.

Konfiguration Token und Mailbox

image-20230531080629981

(1) Token zulassen

Um das Produkt nutzen zu können, benötigt das CI-Cloud Portal einen Basis Zugriff auf Ihre Microsoft 365 Umgebung.

(1) CI-Roaming Signaturen autorisieren.

image-20211208112000058

Folgen Sie den Anweisungen und akzeptieren Sie die angeforderte Berechtigung.

Sie benötigen hierzu Ihre Microsoft Zugangsdaten.
Folgende Berechtigung muss der User haben:
Der User muss ein „Global Admin" sein, um den Zugriff auf die MS365 Basis Profile der User gewähren zu können.

Siehe auch: Datenzugriff, Berechtigungen & Tokens

image-20211208134015669

Es kann einige Sekunden dauern. Sofern der Token also noch nicht von uns erkannt wurde…

(1) aktualisiert die Ansicht und prüft en Token erneut.

(2) Mailbox, Benutzername und Passwort festlegen

Legen Sie nun Ihre Einstellungen fest.

Benutzer

(1) Wir empfehlen für den Dienst einen neuen Benutzer anzulegen,
einen sogenannten Service-Benutzer.

Für den Service-Benutzer muss MFA deaktiviert sein.
Verwenden Sie ein starkes Passwort mit mindestens 32 Zeichen.
Es muss mindestens eine Anmeldung bei OWA erfolgt sein.
Aktivieren Sie ggf. für den Service-Benutzer "Conditional Access".
Somit haben Sie die Möglichkeit, den Zugriff auf die IP-Adresse des CI-Roaming-Signaturen Dienstes zur beschränken.
Die IP-Adresse wird im CI-Cloud Portal unter "CI-Roaming Signatur Konfiguration" angezeigt.

(2) Der Service-Benutzer muss Vollzugriff auf alle Mailboxen haben die letztlich verwaltet werden sollen.

Für den Test empfehlen wir ECP zu verwenden und die Vollzugriff Berechtigung selektiv zu vergeben,
siehe nachfolgend.

image-20230209160826171

image-20230209160908528

Um die FullAccess Berechtigung für alle Mailboxes zu setzen, hier das CMD-Let:

get-mailbox | Add-MailboxPermission -User <DelegateIdentity> -AccessRights FullAccess -InheritanceType All [-AutoMapping $false]

get-mailbox ruft alle Mailboxes ab. Das könnte über einen Filter weiter eingegrenzt werden.

<DelegateIdentity> Hier ist die Mailbox anzugeben, welche den Vollzugriff auf die anderen Mailboxes erhalten soll

-InheritanceType Scheint ein Pflichtattribut zu sein.

img

Quelle und Details: https://docs.microsoft.com/de-de/powershell/module/exchange/add-mailboxpermission?view=exchange-ps

-AutoMapping Ist optional.
Wenn nicht angegeben, wird true angenommen.
Wir empfehlen es eher auf false setzen, damit beim Öffnen des Postfachs in Outlook (falls das mal erforderlich wäre)
nicht sämtliche anderen Postfächer geöffnet werden.

img

Quelle und Details: https://docs.microsoft.com/de-de/powershell/module/exchange/add-mailboxpermission?view=exchange-ps

Für weitere Informationen verweisen wir auf die Microsoft KB, dort werden verschiedene Wege aufgezeigt:
https://docs.microsoft.com/de-de/exchange/recipients/mailbox-permissions?view=exchserver-2019#use-the-eac-to-assign-permissions-to-individual-mailboxes

Sofern Sie hier Unterstützung benötigen ist Ihr Systemhaus/Dienstleister zu empfehlen, da wir diese Berechtigungen nicht anders erstellen können.

image-20230531081350577

Passwort

Tragen Sie hier das Passwort ein.

Mailbox

Wir verwenden hier die gleiche wir für den Benutzer, das steht Ihnen frei. Verwenden sie eine “Service-Mailbox”, bitte nicht einfach die eigene verwenden (oder die eine natürlichen Person).

Notification email address

Hier senden wir bei Fehlern ggf. künftig auch erweiterte Reports (das wäre dann festzulegen) um Sie darüber zu Informieren wenn es Probleme gibt und Lösungen auzuzeigen.

Group

Für Benutzer dieser Gruppe wird Roaming Signaturen angewendet. Ist keine Gruppe angegeben, verwenden wir die Gruppe für die der Konnektor registriert wurde. Ist kein Konnektor registriert, verwenden wir die Gruppe die im CI-Cloud Portal unter Benutzer-Synchronisierung definiert wurde.

Papierkorb

Wenn Sie den Papierkorb betätigen, werden die Einstellungen gelöscht.

(3) Automatisieren

image-20230531081519750

Der Service läuft derzeit um 01:00 UTC und arbeitet alle Kunden der Reihe nach ab, welche die Option aktiv haben.
Es werden nur die Signaturen von Benutzern aktualisiert, die Mitglied der Gruppe unter “Group” sind.

(4) Test

Hier können Sie die Signaturen für einen beliebigen Benutzer setzen, lesen, sowie löschen.
Es ist auch die Signaturen für die gesamte Gruppe zu setzen.

image-20230531083457845

(1) Primäre SMTP-Adresse des gewünschten Benutzers eintragen oder wenn bereits verwendet aus Dropdown (Pfeil nach unten anklicken) auswählen.
(2) Signaturen für den unter (1) eingetragenen Benutzer anhand CI-Sign Konfiguration setzen und anschließend lesen.
(3) Signaturen für den unter (1) eingetragenen Benutzer lesen.
(4) Signaturen für den unter (1) eingetragenen Benutzer löschen.
(5) Signaturen für alle Mitglieder der gewählten Gruppe (6) setzen (ist keine Gruppe angegeben, verwenden wir die Gruppe die unter Benutzer-Synchronisierung definiert wurde).
(6) Es wird die Gruppe angezeigt, die unter Mailbox, Benutzername und Passwort unter Group festgelegt wurde.
(7) Dropdownliste (1) leeren.
(8) Zeigt die gelesenen Signaturen und stellt sie zur Auswahl.
(9) Zeigt von den gelesenen Signaturen die Standard Signatur lt. CI-Sign Konfiguration an.
(10) Ansicht umschalten zwischen HTML Signatur und TXT Signatur.

Fehlermeldungen

Möglicherweise wird Ihnen bei Betätigung der Funktion “Signaturen setzen” und oder “Signaturen lesen” oben eine Fehlermeldung angezeigt:

The remote server returned an error: (404) Not Found.

image-20231027092040179

Hier ist vermutlich die Vollzugriff Berechtigung nicht vorhanden.
Prüfen Sie bitte folgendes:

Melden Sie sich mit dem CI-Roaming Signaturen Service-Benutzer an OWA an.
Können Sie in OWA über „Weiteres Postfach öffnen“ das Postfach des anderen Benutzers öffnen?

OWA Login failed. Invalid URI: The URI is empty.

image-20231027092011015

image-20231027123958912

Prüfen Sie bitte diesbezüglich im Azure Entra die Anmeldeprotokolle, die für den CI-Roaming Signaturen Service Benutzer erstellt wurden sind.

Können Sie den Fehler nicht beheben, senden Sie uns bitte Ihre Kunden ID (diese finden Sie im Unternehmensprofil),
Screenshots von der Fehlermeldung in der CI-Roaming Signaturen Konfiguration, sowie die Fehlerdetails innerhalb den Anmeldeprotokollen,
an unsere E-Mail-Adresse: info@ci-solution.com

Problem - Die gesetzten Signaturen stehen in Outlook nicht zur Verfügung

Wir speichern über unsere API mit CI-Roaming-Signaturen die Signaturen in Exchange Online pro Benutzer.
Die Synchronisation zwischen Exchange Online und Outlook erfolgt durch Microsoft..
Bei einem Test ist also maßgeblich, ob die Signaturen von unserer Seite korrekt in Outlook im Web zur Verfügung stehen.

Wir empfehlen bei diesem Problem zunächst einmal zu prüfen, ob dieser Wert in der Registry gesetzt ist:

HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Setup\DisableRoamingSignaturesTemporaryToggle

CI-Sign erstellt per Default diesen Toggle.
Dieser Toggle deaktiviert Roaming Signaturen innerhalb Outlook (ausgenommen das neue Outlook Beta).

image-20230606095329901

Das können Sie unter Extras in der CI-Sign Konfiguration ändern (1).
Alternativ können Sie den Toggle selbstverständlich auch manuell oder per Gruppenrichtlinie löschen.

Token entfernen über Azure Active Directory

Melden Sie sich an Ihrem Azure Portal an.

Im Azure-Active-Directory gehen Sie auf die entsprechende Unternehmens-Anwendung.

Über Properties - können Sie den Token löschen.

image-20211208105057888

Feedback und Kontakt

Wenn Sie Fragen, Kritik oder Anregungen haben erreichen Sie uns gerne unter: 

E-Mail: info@ci-solution.com

Wir sind uns sicher dass unsere Software Sie bei der Lösung Ihrer Aufgaben unterstützen wird und freuen uns über jedes Feedback. 

Mit freundlichen Grüßen 

ci solution - Team 

ci solution GmbH

Andreas Stäbleinstr. 14

D-97280 Remlingen

09369 980441