Leitfaden: Kunden mit Google Workspace

Einführung

Dieser Leitfaden behandelt die Ersteinrichtung von MailStore Cloud für Kunden, die Google Workspace als Verzeichnisdienst und Mailsystem verwenden. Der Leitfaden enthält viele Links zu Hilfeseiten, die detailliertere Informationen zu verschiedenen Themen bieten.

Es wird davon ausgegangen, dass Sie Ihre Registrierungsinformationen einschließlich Benutzername, Passwort und die Login-URL per Mail erhalten haben. Sollten Sie diese Informationen nicht erhalten haben, wenden Sie sich bitte an den MailStore Support.

Login

Bitte verwenden Sie im ersten Schritt die Zugangsdaten, die Ihnen zur Verfügung gestellt wurden, um sich am administrativen Webzugang anzumelden (kurz „Admin Access“). Bitte stellen Sie sicher, dass die URL auf „/adminaccess“ endet. Sie werden feststellen, dass Ihr Benutzername wie eine E-Mail-Adresse aussieht, die aus einem Namen und einer Domain besteht. Die Domain wird verwendet, um Sie als Kunden innerhalb von MailStore Cloud zu identifizieren. Sie kann nicht außerhalb der MailStore Cloud verwendet werden, d.h. Sie können keine Mails an sie senden oder die Domain in Ihrem Browser verwenden. Im Screenshot unten sehen Sie den Benutzernamen für einen Kunden mit dem Kundennamen „democustomer“.

Admin Access auf einen Blick

Nachdem Sie sich erfolgreich angemeldet haben, sehen Sie das Dashboard des Admin Access. Es präsentiert Ihnen grundlegende Informationen über Ihren Mandanten und weist auf Inkonsistenzen in Ihrer Konfiguration hin. Sie sollten das Dashboard von Zeit zu Zeit überprüfen, um sicherzustellen, dass alles reibungslos funktioniert.

Über das Hauptmenü des Admin Access auf der linken Seite können Sie sowohl auf die Konfigurationen als auch auf das Prozessprotokoll zugreifen. Bei dieser ersten Einrichtung werden nur einige der Abschnitte des Admin Access benötigt.

MailStore Cloud in Google Workspace konfigurieren

Ein Projekt bei Google registrieren

  • Öffnen Sie die Google Cloud Platform Console.
  • Falls erforderlich, melden Sie sich mit einem Google Workspace-Benutzer an. Es wird dringend empfohlen, einen Benutzer mit administrativen Rechten zu verwenden.
  • Wenn kein Projekt existiert, klicken Sie auf Erstellen auf dem Dashboard. Andernfalls öffnen Sie die Liste der Projekte durch Klicken auf das Projekt Drop-Down-Menü in der Kopfzeile und klicken Sie auf Neues Projekt.
  • Geben Sie einen aussagekräftigen Namen in das Feld Projektname ein, wie z.B. MailStore Server.
  • Überprüfen Sie, dass Organisation der gewünschten Organisation entspricht und passen Sie den Speicherort gegebenenfalls an.
  • Klicken Sie auf Erstellen.

Nachdem das Projekt erstellt wurde, stellen Sie sicher, dass dieses in der Projekt Drop-Down-Liste ausgewählt ist, bevor Sie fortfahren.

API Bibliotheken hinzufügenv

  • Öffnen Sie das Navigationsmenü (☰) und wählen Sie APIs & Dienste > Bibliothek aus.
  • Suchen und aktivieren Sie in der API-Bibliothek folgende APIs und Dienste:
    • Admin SDK API
    • Gmail API

Anpassen des OAuth-Zustimmungsbildschirm

  • Öffnen Sie das Navigationsmenü (☰) und wählen Sie APIs & Dienste > OAuth-Zustimmungsbildschirm aus.
  • Wählen Sie Intern als Nutzertyp aus.
  • Klicken Sie auf Erstellen.
  • Geben Sie einen aussagekräftigen Namen in das Feld Anwendungsname ein, wie z.B. MailStore Server.
  • Füllen Sie die weiteren Felder gemäß den Richtlinien Ihrer Organisation aus.
  • Klicken Sie auf Speichern und Fortfahren.
  • Klicken Sie im nächsten Schritt direkt erneut auf Speichern und Fortfahren, da MailStore Server keine Autorisierung durch Benutzer auf Bereiche benötigt.

Erstellen eines Dienstkontos

Ein Dienstkonto für MailStore Server wird benötigt, damit sich dieses an Google anmelden kann und die Authorisierung zur Nutzung bestimmter Google APIs erhält, um Benutzer zu synchronisieren und Zugriff auf Postfächer zu erhalten. Die folgenden Schritte beschreiben die Einrichtung eines solchen Dienstkontos.

  • Öffnen Sie das Navigationsmenü (☰) und wählen Sie APIs & Dienste > Anmeldedaten aus.
  • Klicken Sie auf + Anmeldedaten erstellen und wählen Sie Dienstkonto aus dem Drop-Down-Menü aus.
  • Auf der Seite Dienstkonto erstellen tragen Sie den Namen für das Dienstkonto ein, z.B. MailStore Server Dienst.
  • Die Dienstkonto-ID können Sie in der automatisch erstellten Voreinstellung belassen oder nach Wunsch anpassen.
  • Geben Sie eine Beschreibung ein, wie z.B. Dienstkonto für MailStore Server zum Synchronisieren von Benutzern und Archivieren von Postfächern.
  • Klicken Sie auf Erstellen und fortfahren.
  • Das Dienstkonto benötigt keine Berechtigungen auf Projektebene, weshalb keine Rollen ausgewählt werden müssen. Auch benötigen Nutzer keinen Zugriff auf das Dienstkonto, weshalb im Schritt Nutzern Zugriff auf dieses Dienstkonto erteilen keine Einstellungen vorgenommen werden müssen.
  • Klicken Sie auf Fertig.
  • Klicken Sie in der nun angezeigten Liste der Dienstkonten auf das neu erstellte Dienstkonto, um dessen Eigenschaften zu öffnen.
  • Klicken Sie unter Schlüssel auf Schlüssel hinzufügen und dann auf Neuen Schlüssel erstellen.
  • Wählen sie als Schlüsseltyp JSON aus und klicken Sie auf Erstellen.
  • Die JSON Datei wird automatisch heruntergeladen. Speichern Sie die JSON-Datei an einem sicheren Ort, da er den Zugriff auf Cloud-Resourcen Ihrer Organisation ermöglicht.
  • Klicken Sie auf Schliessen.
  • Klicken Sie unter Details auf Erweiterte Einstellungen einblenden.
  • Kopieren Sie unter Domainweite Delegation die Client-ID in die Zwischenablage.
  • Rufen Sie mittels der Schaltfläche die Google Workspace-Admin-Konsole auf und melden Sie sich ggf. erneut mit Ihrem Google Workspace Domänen Administrator an.
  • Öffnen Sie das Navigationsmenü (☰) und wählen Sie Sicherheit > Zugriffs- und Datenkontrolle > API-Steuerung aus.
  • Klicken Sie unter Domainweite Delegierung auf Domainweite Delegierung Verwalten.
  • Klicken Sie auf der Seite Domainweite Delegierung auf Neu hinzufügen.
  • Kopieren Sie die Client ID des OAuth 2.0 Clients aus der Zwischenablage ein.
  • Tragen Sie unter OAuth-Bereiche folgende Bereiche ein:
    • https://mail.google.com/
    • https://www.googleapis.com/auth/admin.directory.group.readonly
    • https://www.googleapis.com/auth/admin.directory.user.readonly
    • https://www.googleapis.com/auth/admin.directory.domain.readonly
  • Klicken Sie auf Autorisieren.

Erstellen eines OAuth 2.0 Clients zur Authentifizierung von Benutzern

Um Benutzern die Anmeldung in MailStore Cloud zu ermöglichen, indem Sie sich über den OpenID Connect-Mechanismus bei Google authentifizieren, muss ein weiterer OAuth 2.0-Client, wie unten beschrieben erstellt werden:

  • Öffnen Sie die Google Cloud Platform Konsole.
  • Öffnen Sie das Navigationsmenü (☰) und wählen Sie APIs & Dienste > Anmeldedaten aus.
  • Klicken Sie auf + Anmeldedaten erstellen und wählen Sie OAuth-Client-ID aus dem Drop-Down-Menü aus.
  • Wählen Sie Webanwendung als Anwendungstyp aus.
  • Klicken Sie unter Autorisierte Weiterleitungs-URIs auf + URI hinzufügen.
  • Geben Sie die URI ein, die über MailStore Cloud erreichbar ist:
    • Öffnen Sie den Admin Access.
    • Navigieren Sie zu Verzeichnisdienste > Verzeichnisdienst erstellen.
    • Wählen Sie den Typ Google Workspace aus.
    • Klicken Sie auf das Kopieren-Symbol für die OpenID-Umleitungs-URI.
    • Verwenden Sie diese URI in der Google OAuth-Clientkonfiguration.
  • Klicken Sie auf Erstellen.
  • Kopieren Sie die Client ID und den Clientschlüssel an einen sicheren Ort (z.B. Passwort-Tresor) und klicken Sie auf OK.

Konfigurieren der Verzeichnissynchronisierung

Erstellen eines Google Workspace Schlüssels

  • Wählen Sie im Admin Access „Schlüssel“ aus dem Hauptmenü.
  • Klicken Sie auf „Schlüssel erstellen“
  • Wählen Sie als Typ die Option „Google Workspace“ aus.
  • Geben Sie die Werte aus der JSON-Datei ein, die Sie im vorherigen Schritt „Erstellen eines Dienstkontos“ heruntergeladen haben.

  • Klicken Sie auf Speichern.

Erstellen eines OpenID Connect Schlüssels

  • Wählen Sie „Schlüssel“ aus dem Hauptmenü.
  • Klicken Sie auf „Schlüssel erstellen“
  • Wählen Sie als Typ die Option „OpenID Connect“ aus.
  • Geben Sie die Werte ein, die im vorherigen Schritt „Erstellen eines OAuth 2.0 Clients zur Authentifizierung von Benutzern“ gespeichert wurden.

  • Klicken Sie auf Speichern.

Erstellen einer Verzeichnisdienstkonfiguration

  • Wählen Sie „Verzeichnisdienste“ aus dem Hauptmenü.
  • Klicken Sie auf „Verzeichnisdienst erstellen“
  • Geben Sie einen Namen ein.
  • Wählen Sie als Typ die Option „Google Workspace“ aus.
  • Geben Sie die Werte ein, die in den vorherigen Schritten verwendet und erstellt wurden.
  • Lassen Sie das Kontrollkästchen „Konfiguration zur Archivierung und Ordnersynchronisierung erstellen“ aktiviert.

  • Wenn alle Pflichtfelder ausgefüllt sind, können Sie auf die Schaltfläche Verbindung testen klicken, um die angegebene Konfiguration zu testen. Ein neues Dialogfeld wird geöffnet und zeigt das Ergebnis des Verbindungstests an.
  • Klicken Sie auf Speichern.

Erstellen eines Zeitplans zum Ausführen der Verzeichnisdienstsynchronisierung

  • Klicken Sie in der Liste der Verzeichnisdienste auf das Uhrsymbol neben der zuvor erstellten Verzeichnisdienstkonfiguration.
  • Wählen Sie die Wiederholung aus. Die Verzeichnisdienst-Synchronisation sollte periodisch ausgeführt werden, z.B. einmal täglich.

  • Klicken Sie auf Speichern.

Der Zeitplan sollte nun in dem von Ihnen gewählten Zeitrahmen ausgeführt werden. Ein Protokoll für die Ausführung finden Sie unter Prozess-Potokoll.

Bei der Synchronisierung des Verzeichnisdienstes werden die folgenden Daten synchronisiert:

  • Domänen
  • Postfächer
  • Benutzer
  • Gruppen

Synchronisierte Domänen finden Sie unter der Registerkarte Domänen in der Benutzerverwaltung.

Konfigurieren einer Gruppe für Zugriff auf Web Access

Um den Benutzern den Zugriff auf ihr Archiv zu ermöglichen, muss diesen die Rolle „Archiv-Benutzer“ über eine Gruppenberechtigung hinzugefügt werden.

  • Wählen Sie „Gruppen“ aus dem Hauptmenü.
  • Wählen Sie eine Gruppe aus, die alle Benutzer enthält, die Zugriff auf Web Access benötigen. Wenn keine Gruppe vorhanden ist, erstellen Sie eine neue Gruppe, und fügen Sie diese Benutzer hinzu.
  • Bearbeiten Sie die Berechtigungen der Gruppe, indem Sie das Schraubenschlüsselsymbol auswählen.
  •  Wählen Sie die Rolle „Archiv-Benutzer“ für die Benutzergruppe aus.

  • Klicken Sie auf Speichern.

Hinzufügen der Rolle „Administrator“ zu einem synchronisierten Benutzer

Die Administratorrolle sollte auch einem der synchronisierten Benutzer hinzugefügt werden, um Zugriff zum Admin Access zu erhalten.

  • Wählen Sie „Gruppen“ aus dem Hauptmenü.
  • Wählen Sie eine Gruppe aus, die alle Benutzer enthält, die Zugriff auf Admin Access benötigen. Wenn keine Gruppe vorhanden ist, erstellen Sie eine neue Gruppe, und fügen Sie dieser alle Benutzer hinzu.
  • Bearbeiten Sie die Berechtigungen der Gruppe, indem Sie das Schraubenschlüsselsymbol auswählen.
  • Wählen Sie die „Administrator“ Rolle.
  • Klicken Sie auf Speichern.

Sie können sich nun abmelden und mit einem der synchronisierten Admin-Benutzer erneut anmelden. Der bereitgestellte (nicht synchronisierte) Administrator kann gelöscht werden.

Konfigurieren der Archivierung und Ordnersynchronisierung

Erstellen eines Journalendpunkts

Journaling wird verwendet, um E-Mails aus dem Mailing-System (in diesem Fall Google Workspace) direkt in das Archiv zu übertragen.

So erstellen Sie einen Journalendpunkt:

  • Wählen Sie „Journalendpunkte“ aus dem Hauptmenü.
  • Klicken Sie auf „Journalendpunkt erstellen“.
  • Geben Sie einen Namen ein.
  • Wählen Sie ein Journalpostfach aus. Legen Sie in MailStore Cloud ein neues Postfach an, das nur für das Journaling verwendet wird. Sie können direkt aus dem Dialog „Postfach auswählen“ ein neues Postfach erstellen, indem Sie auf die Schaltfläche + klicken .
  • Klicken Sie auf Speichern.

Nach dem Speichern bleibt der Dialog geöffnet und zeigt einen Eintrag „SMTP-Adresse“ an, der kopiert werden kann: Dieser wird im nächsten Schritt verwendet.

Journaling in Google Workspace konfigurieren

  • Melden Sie sich als Administrator in Ihrer Google Workspace-Domain an.
  • Navigieren Sie zu Apps > Google Workspace > Gmail > Einstellungen für Gmail > Erweiterte Einstellungen.
  • Scrollen Sie im Allgemeine Einstellungen-Reiter zum Abschnitt Routing herunter.

  • Klicken Sie auf Konfigurieren oder Weitere Hinzufügen um eine neue Routing-Regel zu erstellen.
  • Vergeben Sie einen Namen und aktivieren Sie alle Optionen im Betroffene Nachrichten-Abschnitt.

  • Aktivieren Sie im Abschnitt Auch senden an die Option Weitere Empfänger hinzufügen und klicken auf die Schaltfläche Hinzufügen.
  • Wählen Sie Erweitert im Drop-Down-Menü.
  • Im Abschnitt Envelope Empfänger aktivieren Sie die Option Envelope-Empfänger ändern.
  • Tragen Sie die E-Mail-Adresse des Sammelpostfachs in das Feld Empfänger ersetzen ein.
  • Aktivieren Sie die Option An diesem Empfänger keinen Spam übermitteln bei Bedarf.
  • Aktivieren Sie die Option Zurückweisungen von diesem Empfänger unterdrücken.
  • Aktivieren Sie die Option X-Gm-Original-To-Header hinzufügen

  • Klicken Sie weiter unten im Fenster auf Speichern und dann auf Einstellungen hinzufügen oder Speichern beim Ändern einer bestehenden Regel.
  • Klicken Sie auf Speichern in der Fußzeile.

E-Mails, die ab sofort versendet und empfangen werden, werden nun automatisch in die MailStore Cloud weitergeleitet und archiviert. Um bereits vorhandene E-Mails zu archivieren, müssen Sie die Postfacharchivierung konfigurieren und einmalig ausführen.

Erstellen eines Archivierungszeitplans

Das Archivierungsprofil wurde bereits automatisch im vorherigen Schritt „Erstellen einer Verzeichnisdienstkonfiguration“ erstellt.

So erstellen Sie einen Archivierungszeitplan:

  • Navigieren Sie im Admin Access zu Archivierungsprofile.
  • Klicken Sie in der Liste auf das Uhrsymbol neben der automatisch erstellten Archivierungskonfiguration.

  • Wählen Sie die Wiederholung ‚Einmalig‘. Da wir Journaling verwenden, sollte die Postfach-Archivierung nur einmal ausgeführt werden.
    • Ein Zeitplan mit Wiederholung „Einmalig“ muss immer mindestens 1 Minute in der Zukunft liegen, damit er ausgeführt werden kann.

  • Klicken Sie auf Speichern.

Erstellen eines Zeitplans zum Ausführen der Ordnersynchronisierung

Die Ordnersynchronisierung wurde bereits automatisch im vorherigen Schritt Schritt „Erstellen einer Verzeichnisdienstkonfiguration“ erstellt.

So erstellen Sie einen Zeitplan zum Ausführen der Ordnersynchronisierung:

  • Navigieren Sie im Admin Access zu Ordnersynchronisierungsprofile.
  • Klicken Sie in der Liste auf das Uhrsymbol neben dem automatisch erstellten Ordnersynchronisierungsprofil.
  • Wählen Sie die Wiederholung aus. Die Ordnersynchronisierung sollte periodisch, z.B. einmal täglich, durchgeführt werden.
  • Klicken Sie auf Speichern.

Melden Sie sich im Web Access an

Sie sollten jetzt in der Lage sein, sich mit einem beliebigen synchronisierten Benutzer (aus Ihrer synchronisierten Domäne) im Web Access anzumelden.

Der Login sollte auf den Google-Login-Dialog umgeleitet werden. Nach erfolgreicher Anmeldung sollte es wieder in den Web Access umgeleitet werden.

Der Benutzer sollte das Postfach des Benutzers mit einer vollständigen Ordnerstruktur sehen, alle E-Mails, die bereits im Postfach vorhanden sind. Neue E-Mails (gesendet und empfangen) sollten ebenfalls direkt über das Journaling in das Archiv übertragen werden.

Compliance

Sie können jetzt fortfahren, indem Sie Aufbewahrungsrichtlinien für Ihr Archiv einrichten.