创建 Microsoft 365 服务帐户
手动 Microsoft 365 租户配置
如果由于权限问题导致自动配置不成功,则租户必须手动配置。为此,请选择“配置已存在的 Azure AD 应用程序”。请注意,您也可以选择手动配置,并使用提供的选项完全跳过自动配置。
先决条件:至少具有“仅查看组织管理”、“仅查看审核日志”和“服务管理员”权限的服务用户帐户。
手动租户配置包括以下三个步骤:
创建 Azure AD 应用程序的步骤
- 使用全局管理员帐户的凭据登录到Azure AD 门户。
- 从左窗格中选择“Azure Active Directory”。
- 选择“应用注册”。
- 单击“新建注册”。
- 为要创建的M365 Manager Plus应用程序提供名称。
- 根据组织需求选择支持的帐户类型。
- 将重定向 URI(可选)留空;您将在接下来的几个步骤中对其进行配置。
- 单击“注册”以完成初始应用注册。
- 现在,您将看到已注册应用程序的“概述”页面。
- 单击添加重定向 URI。
- 单击“平台配置”下的“添加平台”。
- 在“配置平台”弹出窗口中,单击“Web 应用程序”下的“Web”。
- 在“重定向 URI”字段中,输入 http://localhost:port_number/webclient/VerifyUser。例如,http://localhost:8365/webclient/VerifyUser 或 https://192.345.679.345:8365/webclient/VerifyUser。
- 您可以将“注销 URL”和“隐式授权”字段留空。单击配置。
- 在“身份验证”页上的“重定向 URI”下,单击“添加 URI”。
- 输入 http://localhost:port_number/webclient/ GrantAccess 作为重定向 URI。例如,http://localhost:8365/webclient/GrantAccess 或 https://192.345.679.345:8365/webclient/GrantAccess。
- 同样,使用“添加 URI”选项将 http://localhost:port_number/AADAppGrantSuccess.do 和 http://localhost:port_number/AADAuthCode.do 添加为 URI。
- 再次单击“添加 URI”,在后续行中添加以下重定向 URI。请注意,对于使用 M365 Manger Plus build 4409 或更高版本的用户,重定向 URI (b) 和 (c) 是可选的。
- https://identitymanager.manageengine.com/api/public/v1/oauth/redirect
- https://demo.o365managerplus.com/oauth/redirect
- https://manageengine.com/microsoft-365-management-reporting/redirect.html
- 长度必须少于 256 个字符。
- 它不应包含通配符。
- 它不应包含查询字符串。
- 它必须以 HTTPS 或 http://localhost 开头。
- 它必须是有效且唯一的 URL。根据您在M365 Manager Plus中配置的连接类型(http/https),重定向URI格式会有所不同。
- 对于 http,URI 值为 http://localhost:8365。如果使用 http,则不能使用计算机名称或 IP 地址代替 localhost。
- 对于 https,URI 值为 https://192.345.679.345:8365 或 https://testmachine:8365。
- 点击保存。
- 单击左侧窗格中的“清单”。
- 在代码中查找 requiredResourceAccess 数组。
- 复制此文件中的全部内容,并将其粘贴到下图中突出显示的部分中。如果要修改要提供的权限,请跳过此步骤并按照本节中提到的步骤进行操作。
- 应用程序.ReadWrite.All
- Directory.ReadWrite.All
- Mail.ReadWrite(邮件.读写)
- Sites.ReadWrite.All
- 报告.Read.All
- AuditLog.Read.All
- User.ReadWrite.All
- RoleManagement.ReadWrite.Directory
- ServiceHealth.Read.All
- Policy.Read.All
- 日历.Read
- AdministrativeUnit.ReadWrite.All
- ChannelMember.Read.All(在中国租户中不可用)
- 组.ReadWrite.All
- ActivityFeed.Read 活动
- ActivityFeed.ReadDlp
- full_access_as_app
- Sites.Read.All
- Sites.FullControl.All
- 如果要在 Azure 中国中创建租户,请复制此文件中的全部内容,并将其粘贴到下图中突出显示的部分。
- 点击保存。
- 单击左侧窗格中的 API 权限。
- 在“配置的权限”部分中,单击 ✓ 授予<your_company_name>管理员同意。
- 在出现的弹出窗口中单击是。
- 单击左窗格中的“证书和机密”。
- 在“客户端密码”部分下,单击“新建客户端密码”。
- 本节为M365 Manager Plus生成应用密码。在弹出窗口的“说明”字段中,提供一个名称以标识密码所属的应用程序。
- 选择密码的过期时间。
- 单击“添加”。
- 复制“值”下的字符串并保存。这是应用程序密钥,稍后将需要它。
- 转到“证书”,然后单击“上传证书”。将您的申请证书作为.cer文件上传。
- 如果用户有SSL证书,则可以在此处使用相同的证书。
- 现在转到左窗格中的“概述”部分。
- 复制“应用程序(客户端)ID”和“对象 ID”值并保存它们。您将需要这些值在M365 Manager Plus门户中配置租户。
- 请参阅此表,了解必须分配给应用程序的角色。
注意:重定向 URI 必须遵守以下规定:
要查找计算机的 IP,请打开命令提示符,键入 ipconfig,然后单击 Enter。您可以在显示的结果中找到您的 IPv4 地址。
文件中提到的应用程序范围
Microsoft Graph 范围
Office 365 管理 API 范围
Office 365 Exchange Online
SharePoint Online API 范围
详细了解最小范围。
注意:
注意:仅将内容从左方括号复制粘贴到闭合方括号。确保正确保留所有标点符号。粘贴文件后,它应该如下图所示。
注意:基于证书的身份验证用于安全地联系 Microsoft 365 并提取数据。在手动配置期间,系统将要求你输入应用程序密钥并上传应用程序证书。
在M365 Manager Plus中配置Azure应用程序的步骤
- 返回到有弹出窗口的M365 Manager Plus控制台。
- 输入租户名称。例如,test.onmicrosoft.com。
- 将步骤 34 中复制的“应用程序 ID”和“应用程序对象 ID”值粘贴到相应的字段中。
- 对于“应用程序密钥”,粘贴在步骤 32 中复制的值。
- 上传已在 Azure 门户中上传的证书的 .pfx 文件。请参阅创建 Azure AD 应用程序的步骤部分中的步骤 34。
- 输入您的证书密码。
- 如果您有SSL证书,则可以在相应的字段中上传相同的证书。
- 单击“添加租户”。
- 现在,您应该看到已为您配置的帐户启用了 REST API 访问。
在M365 Manager Plus中配置服务帐户的步骤
- 现在,必须配置服务帐户。为此,请单击“操作”列下的编辑选项。
- 单击“服务帐户详细信息”附近的。
- 在相应的字段中输入需要配置的服务帐户的凭据。
- 单击“更新”,然后关闭弹出窗口。
注意:如果您的服务帐户启用了 MFA,请查看此部分。
创建自签名证书的步骤
- 如果需要自签名证书,请转到 <安装目录>\bin 文件夹,并以管理员身份运行 Create-selfsignedcertificate.ps1 脚本。
- 在执行脚本之前,请运行以下命令: Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force -Scope 进程
- 运行脚本时,系统会要求你添加证书的公用名、证书有效性的开始和结束日期 (yyyy-MM-dd) 以及用于保护证书的私钥。
- 输入值后,脚本将在 bin 文件夹中创建一个 .pfx 文件(包含公钥和私钥)
- .pfx文件需要在M365 Manager Plus中上传,而.cer文件应在应用程序的Azure门户中上传。
配置账户最小范围
下面列出了为M365 Manager Plus配置的服务帐户所需的角色和权限或最小范围。
表 1:服务帐户所需的角色和权限。
| 模块 | 角色名称 | 范围 |
|---|---|---|
| 管理 | User Administrator | 管理用户、联系人和组。 |
| PrivilegedAuthentication Administrator | 重置密码,并阻止或取消阻止管理员。 | |
| Privileged Role Administrator | 在 Azure Active Directory 中管理角色分配。 | |
| Exchange Administrator | 更新邮箱属性。 | |
| Teams Administrator | 管理 Microsoft 团队。 | |
| 报表 | Global Reader | 获取有关所有 Microsoft 365 服务的报告。 |
| Security Reader | 获取审核日志和邮箱报告。 | |
| Security Reader | 安全读取器 | 获取审核日志和登录报告。 |
| 监测 | - | - |
| 内容搜索 | - | - |
注意:
- 如果未为M365 Manager Plus配置Azure AD应用程序,则监控功能需要服务支持管理员角色。
- 需要为M365 Manager Plus配置Azure AD应用程序才能使用内容搜索功能。
- 如果未提供 Exchange 管理员角色,请将服务帐户添加到具有
“仅查看审核日志”角色的角色组。审核和基于审核的报表需要此角色。要了解如何设置此帐户,请单击此处
下面列出了为M365 Manager Plus配置的Azure AD应用程序所需的角色和权限或最小范围。
表 2:Azure AD 应用程序所需的角色和权限。
| 模块 | API 名称 | 许可 | 范围 |
|---|---|---|---|
| 管理 | Microsoft Graph | User.ReadWrite.All | 创建、修改、删除或还原用户。 |
| Gro.ReadWrite.All | 创建、修改、删除或还原组。添加或移除群组成员和所有者。 | ||
| AdminsitrativeUnit.ReadWrite.All | 向管理单元添加成员 | ||
| RoleManagement.ReadWrite.Directory | 向用户添加目录角色。 | ||
| SharePoint | Sites.FullControl.All | 允许应用程序读取、创建、更新和删除所有网站集中的文档库和列表。 | |
| 报告 | Microsoft Graph | User.Read.All | 获取用户和组成员报告。 |
| Group.Read.All | 获取组报告。 | ||
| Contacts.Read | 获取联系人报告。 | ||
| Files.Read.All(文件.读取.全部) | 获取 OneDrive for Business 报表。 | ||
| Reports.Read.All | 获取使用情况报告。 | ||
| Organization.Read.All | 获取许可证详细信息报告。 | ||
| AuditLog.Read.All | 获取基于审核日志的报告。 | ||
| ChannelMember.Read.All (在中国租户中不可用) |
获取 Microsoft 团队频道成员报告。 | ||
| Application.Read.All | 获取 Azure AD 应用程序详细信息。 | ||
| Sites.Read.All | 获取 SharePoint 网站详细信息。 | ||
| Policy.Read.All | 配置条件访问策略详细信息。 | ||
| Calendars.Read | 获取用户的日历详细信息。 | ||
| SharePoint | Sites.Read.All | 允许应用程序读取所有网站集中的文档和列表项。 | |
| Microsoft365 管理 | ActivityFeed.Read | 读取组织的审核数据。 | |
| 审核和警报 | ActivityFeed.Read | ActivityFeed.Read 活动 | 获取审核报告和警报。 |
| 监测 | Microsoft Graph | ServiceHealth.Read.All | 获取运行状况和性能报告。 |
| 内容搜索 | Microsoft Graph | 邮件.Read | 获取内容搜索报告。 |
| 配置 | Microsoft Graph | 应用程序.ReadWrite.All | 修改应用程序详细信息。 |
| Microsoft365 Exchange Online | Office 365 Exchange Online | full_access_as_app | 使用 Exchange Web 服务备份和还原邮箱。 |