手动 Microsoft 365 租户配置

如果自动配置不成功,必须手动配置租户。为此,请导航到 账户配置 > Microsoft 365 租户 > 添加新租户 并选择 单击此处以使用已存在的 Microsoft Entra 应用进行配置.

先决条件:

  1. 一个具有至少 Exchange 管理员 权限以在 Exchange Online 中配置租户的服务用户帐户。单击 此处 了解如何创建此类服务帐户。
  2. 在 RecoveryManager Plus 中配置的应用注册应分配 Exchange 管理员 权限。单击 此处 了解如何向应用添加角色。
  3. 如果用于在 RecoveryManager Plus 中配置租户的帐户启用了 MFA,您需要使用 条件访问受信任 IP 功能绕过 MFA。在配置了其中一个功能后,继续在 RecoveryManager Plus 中配置服务帐户。
  4. 创建自签名 X.509 证书。 从此 链接下载 PowerShell 脚本。打开 PowerShell 并使用以下命令运行下载的脚本:

    .\Create-SelfSignedCertificate.ps1 -CommonName "CertificateName" -StartDate YYYY-MM-DD -EndDate YYYY-MM-DD.

    证书将使用 CertificateName 位置提供的名称创建。 YYYY-MM-DD

字段中,输入证书的起始和结束日期。运行 PowerShell 脚本后,系统将要求您为 PFX 文件提供密码。PFX 和 CER 文件将导出到当前文件夹。您在后续步骤中需要使用所提供的密码和证书文件。

  1. 手动配置租户分两步完成。
  2. 创建 Entra 应用。

在 RecoveryManager Plus 中配置 Entra 应用。

创建 Entra 应用的步骤

  1. 要创建 Entra 应用, 使用 全局管理员 账户凭据登录 Microsoft Entra 管理中心。
  2. 单击 Microsoft Entra ID 位于 Azure 服务.
  3. 下。 在管理部分,单击.
  4. 应用注册 > 新注册 为要创建的 RecoveryManager Plus 应用提供 名称。
  5. 根据组织需求选择受支持的帐户类型。
  6. 保持 重定向 URI(可选) 字段为空。您将在接下来的步骤中配置它。
  7. 单击 注册 以完成初始应用注册。
  8. 现在您将看到已注册应用的 概览 页面。
  9. 在侧边栏导航至 认证 添加平台
  10. 单击 平台配置 位于 .
  11. 配置平台 弹出窗口中,单击 Web Web 应用程序 位于 重定向 URI.
  12. 配置平台 字段,输入 https://localhost:端口号/webclient/GrantAccess。 例如,https://localhost:8090/webclient/GrantAccess 或 https://192.345.679.345:8090/webclient/GrantAccess。

    您可以将

  13. 注销 URL 隐式授权和混合流 字段留空。单击 配置 认证页面.
  14. 配置平台 ,在下,单击 字段,输入 https://localhost:端口号/webclient/GrantAccess。添加 URI 并添加以下 URL。 https://localhost:端口号/AADAppGrantSuccess.do
    • https://localhost:端口号/AADAuthCode.do
    • https://identitymanager.manageengine.com/api/public/v1/oauth/redirect
    • 注意

      • 在身份验证页面中添加重定向 URI,用于手动 Microsoft 365 租户配置

      :REDIRECT URI 必须满足以下条件:长度必须少于 256 个字符。

    • 不应包含通配符字符。
    • 不应包含查询字符串。
    • 必须以 HTTPS 或 https://localhost 开头。
    • 必须是有效且唯一的 URL。根据您在 RecoveryManager Plus 中配置的连接类型(http/https),REDIRECT URL 格式各不相同。
    • 对于 http,URL 值是 https://localhost:8090。使用 http 时,不能用计算机名称或 IP 地址代替 localhost。
      • 对于 https,URL 值是 https://192.345.679.345:8090 或 https://testmachine:8090。
      • 要查找您的机器 IP,请打开
    • 命令提示符, 输入ipconfig ,然后按回车。 您可以在显示的结果中找到您的 IPv4 地址。保存
  15. 单击 为了使 RecoveryManager Plus 能够访问并备份您配置的模块中的资源,请在应用注册清单文件中指定所需权限。为此,单击.
  16. 清单 左侧窗格中的,查找 requiredResourceAccess 数组。 复制以下对应模块提供的文件,并将其粘贴到代码中高亮显示的区域。

    17. 在应用注册清单文件中指定所需权限

  17. 所有模块
    • 如果要配置所有模块,请复制
      • 文件的全部内容,并粘贴到下图高亮显示的区域中。 如果您已配置所有应用并粘贴了文件,应与下图相似。

      在应用注册清单文件中指定配置所有模块的权限

      Microsoft Entra ID:

      指定权限后的应用注册清单文件

    • 复制来自
      • 角色名称 权限 范围 Azure Active Directory Graph
      Microsoft Entra ID Domain.ReadWrite.All 读取并写入所有域属性 Microsoft Graph → 应用权限
      AppRoleAssignment.ReadWrite.All 管理应用权限授予和应用角色分配 AdministrativeUnit.ReadWrite.All
      读取并写入所有管理单元 Read and write all administrative units
      Application.ReadWrite.All 读取和写入所有应用程序
      管理应用权限授予和应用角色分配 AdministrativeUnit.ReadWrite.All
      Directory.ReadWrite.All 读取和写入目录数据
      读取并写入所有域属性 读取和写入域
      Group.Create 创建组
      Group.ReadWrite.All 读取和写入所有组
      Policy.Read.All 读取您组织的策略
      Policy.ReadWrite.ApplicationConfiguration 读取和写入您组织的应用程序配置策略
      Policy.ReadWrite.Authorization 读取和写入您组织的授权策略
      Policy.ReadWrite.ConditionalAccess 读取和写入您组织的条件访问策略
      RoleManagement.ReadWrite.Directory 读取和写入所有目录 RBAC 设置
    • Exchange Online
      • 角色名称 权限 范围 Azure Active Directory Graph
      Exchange Online Office 365 Exchange Online EWS.AccesAsUser.All 备份和还原邮箱
      full_access_as_app 使用 Exchange Web Services 备份和还原邮箱
      Exchange.ManageAsApp 以应用程序身份管理 Exchange
    • SharePoint Online and OneDrive for Business
      • 角色名称 权限 范围 Azure Active Directory Graph
      SharePoint Online and OneDrive for Business SharePoint Sites.FullControl.All 备份和还原站点
      User.ReadWrite.All 读取和写入用户的完整配置文件属性、报告和管理者
      注意:
      • 如果您的租户是在 Azure Germany 创建的,请复制以下文件的全部内容 本文件 并粘贴到下图高亮区域。
      • 如果您的租户是在 Azure China 创建的,请复制以下内容 本文件 并粘贴到下图高亮区域。

      在 Azure Germany 或 Azure China 的应用注册清单文件中指定权限

    :REDIRECT URI 必须满足以下条件::仅复制并粘贴从开方括号到闭方括号之间的内容。确保所有标点符号均正确保留。

  18. 单击 为了使 RecoveryManager Plus 能够访问并备份您配置的模块中的资源,请在应用注册清单文件中指定所需权限。为此,单击.
  19. 单击 API permissions 来自左侧窗格。
  20. 配置平台 配置的权限 部分,点击 ✓ 为 <your_company_name> 授予管理员同意.
  21. 单击 在弹出的窗口中。
  22. 单击 Certificates & secrets 来自左侧窗格。
  23. Client secrets 部分,点击 新建客户端密钥.
  24. 此部分为 RecoveryManager Plus 生成应用密码。在 描述 弹窗字段中,提供用于识别密码所属应用的名称。
  25. 选择密码何时过期,点击 添加.
  26. 复制 下的字符串并保存。此即为 应用密钥,稍后您将需要该密钥。

    27. 从 Certificates & secrets 部分复制客户端秘密值

  27. 配置平台 证书 部分,点击 上传证书 并上传 在先决条件部分生成的 .CER 文件。

    28. 在 Certificates & secrets 部分上传 X.509 证书

  28. 现在,导航到左侧窗格中的 概览 部分。
  29. 复制 Application (client) ID 隐式授权和混合流 Object ID 的值并保存。配置 RecoveryManager Plus 门户中的租户时,您需要这些值。

    30. 复制 Application (client) ID 和 Object ID

在 RecoveryManager Plus 中配置 Entra 应用的步骤

  1. 返回您有 配置 Microsoft 365 租户 弹窗的 RecoveryManager Plus 控制台。

    2. RecoveryManager Plus 中的 Azure 应用配置

  2. 输入您的 租户名称。例如,test.onmicrosoft.com。
  3. 将在上节第 29 步复制的 应用 ID 隐式授权和混合流 应用对象 ID 粘贴到相应字段。
  4. 对于 应用密钥,粘贴上节第 26 步复制的值。
  5. 配置平台 应用证书 字段,点击 浏览 并选择在先决条件部分生成的 .PFX 文件。在 证书密码 字段中,输入先决条件部分使用的密码。
  6. 输入 服务账户名称 隐式授权和混合流 密码 (即为您为 RecoveryManager Plus 创建的用户服务账户密码)。
  7. 单击 添加租户.
  8. 您现在应看到 Entra ID 应用状态 显示为您配置的帐户成功。
:REDIRECT URI 必须满足以下条件::如果您的服务账户启用了 MFA,请查阅 本节。
导航到下一项 上一主题 下一主题 导航到下一项

版权 © 2023, ZOHO Corp保留所有权利。