Документация Avanpost IDM 7 : 8.2. MS Exchange

Навигатор по разделу:

1. Общие сведения
2. Параметры конфигурации
3. Схема атрибутов
4. Дополнительные возможности коннектора
5. Проблемы и их решение
6. Диагностика

1. Общие сведения

1.1. Поддерживаемые функции

Управление почтовыми ящиками пользователей:

Создание почтового ящика пользователя;
Управление свойствами почтового ящика пользователя;
Сокрытие почтового ящика из адресной книги;
Отключение почтового ящика.

Создание почтового ящика должно осуществляться только после создания соответствующей учетной записи в домене

1.2. Поддерживаемые управляемые системы

Exchange Server 2010;
Exchange Server 2013;
Exchange Server 2016;
Exchange Server 2019.

1.3. Предварительные условия

Требования к серверу, на котором запускается коннектор к MS Exchange:

Установлено Exchange Management Snap-In;
Открыт сетевой доступ к серверу MS Exchange по TCP портам 80, 443, 5985 и 5986. В случае использования редиректов, доступ должен быть открыт ко всем возможным серверам MS Exchange;
Открыт доступ к серверу Microsoft Active Directory по портам, использующим протоколы LDAP и LDAPS.

Подробнее о коннекторах см. статью "5.1.5. Настройка сервисов коннекторов" руководства по администрированию

2. Параметры конфигурации

Конфигурация коннектора строится с помощью строки подключения:

Строка подключения

Server="Exchange PowerShell URI"; AuthType="Тип аутентификации"; User="Логин технологической УЗ"; Password="Пароль";

Таблица — Обязательные параметры

Параметр	Описание
`Server`	Exchange PowerShell URI
`User`	Логин технологической учётной записи
`Password`	Пароль технологической учётной записи
`AuthType`	Тип аутентификации Допустимые значения: `none\|basic\|digest\|kerberos\|negotiate\|credssp\|default.` По умолчанию установлено значение: `basic`

Примечание

Для корректной работы коннектора при использовании аутентификации Kerberos необходимо в IIS для пула приложения веб-клиента IDM установить параметр LoadUserProfile = true

Таблица — Опциональные параметры

`AllowRedirection`	Разрешить редирект в случае сложной структуры Exchange Допустимые значения: числовое значение, указывающее количество редиректов
`CreateDelay`	Задержка перед созданием почтового ящика, указывается в секундах. Необходима для синхронизации данных между Exchange и коннектором к AD Допустимые значения: числовое значение, указывающее количество секунд
`NoRoles`	Не управлять ролями Exchange Допустимые значения: `true` (управление ролями отключено) или `false(`управление ролями включено. Для Exchange 2007 значение должно быть всегда `true`, так как в этой версии нет ролей
`DomainController`	Контроллер домена, который Exchange использует для поиска учетных записей Допустимые значения: полное доменное имя (FQDN) контроллера
`Provider`	Провайдер свойств Допустимые значения: `Base`, `Extended`. Можно указать несколько значений через запятую, например, `Base, Extended`
`OnRemoveAccount`	Поведение коннектора при увольнении Допустимые значения: `Hide` (скрыть почтовый ящик из адресной книги), `Disable` (отключить почтовый ящик), `None` (не выполнять действий). По умолчанию установлено значение `Disable`
`SetSmtpAfterRename`	Поведение коннектора при переименовании учетной записи Допустимые значения: `true` (изменение primarySmtpAddress в соответствии с новым именем учетной записи), `False` (нет изменения). По умолчанию установлено `false`
`AttributeForUserPhoto`	Атрибут для хранения пути к фотографии пользователя в Exchange Допустимые значения: точное имя свойства. Например, `AttributeForUserPhoto=CustomAttribute1`
`IdentityStrategy`	Стратегия работы с логином Допустимые значения: `Alias`, `SamAccountName`, `DomainPrefix`. По умолчанию установлено значение `Alias`
`DummyBehaviorForRename`	Управляет поведением коннектора при переименовании учетной записи, определяя, будут ли предприняты какие-либо действия Допустимые значения: t`rue` (действия выполняются) или f`alse` (действия не выполняются). По умолчанию установлено значение f`alse`

3. Схема атрибутов

По умолчанию используется базовый набор свойств почтового ящика. В строке подключения с помощью параметра Provider можно добавить расширенный набор атрибутов.

Таблица — Базовые атрибуты

`Database`	База данных для создания почтового ящика. Используется только при создании почтового ящика для выбора базы данных с наименьшим количеством почтовых ящиков Допустимые значения: Содержит список почтовых баз через запятую. Коннектор ищет базу с наименьшим количеством почтовых ящиков
`SmtpSuffix`	Используется только при создании почтового ящика. Определяет формат почтового адреса Допустимые значения: используйте формат `@domain.ru`. Почтовый адрес будет формироваться путем добавления этого суффикса к логину пользователя — `login@domain.ru`
`MAPIBlockOutlookRpcHttp`	Включение или отключение доступа к почтовому ящику в Outlook с помощью Outlook Anywhere Допустимые значения: `$true` (доступ к почтовому ящику с помощью Outlook Anywhere отключен) или `$false` (доступ к почтовому ящику с помощью Outlook Anywhere включен)
`Archive`	Включение или отключение архива Допустимые значения: `$true` (включение архива) или `$false` (отключение архива)
`ArchiveDatabase`	Выбор базы данных для архивации. Только при выборе опции включения архива (`Archive)` Допустимые значения: название базы данных
`HiddenFromAddressListsEnabled`	Управление отображением почтового ящика в адресных списках Допустимые значения: `$true` (скрытие почтового ящика) или `$false` (отображение почтового ящика)
`TargetDatabase`	Перемещение почтового ящика в базу данных Допустимые значения: название базы данных
`DisableUnifiedMessaging`	Выключение `Unified Messaging` Допустимые значения: `$true` (выключить функцию Unified Messaging), `$false` (оставить функцию Unified Messaging включенной)
`Disable-Mailbox`	Отключение почтового ящика Допустимые значения: `$true` (отключить почтовый ящик), `$false` (оставить почтовый ящик включенным_
`OWAEnabled`	Управление доступом к Outlook Web App Допустимые значения: `$true` (включить доступ) или `$false` (отключить доступ)
`OWAforDevicesEnabled`	Включение или отключение доступа к почтовому ящику с помощью OWA для устройств iOS и Android Допустимые значения: `$true` (включить доступ) или `$false` (отключить доступ)
`MAPIEnabled`	Включение или выключение доступа MAPI Допустимые значения: `$true` (включить доступ) или `$false` (отключить доступ)
`EwsEnabled`	Включение или выключение доступа Exchange Web Services Допустимые значения: `$true` (включить доступ) или `$false` (отключить доступ)
`ImapEnabled`	Включение или отключение доступа IMAP Допустимые значения: `$true` (включить доступ) или `$false` (отключить доступ)
`ActiveSyncEnabled`	Включение или отключение Exchange ActiveSync Допустимые значения: `$true` (включить доступ) или `$false` (отключить доступ)
`PopEnabled`	Включение или выключение доступа по протоколу POP3 Допустимые значения: `$true` (включить доступ) или `$false` (отключить доступ)

Таблица — Расширенные атрибуты

`Alias`	Альтернативное имя почтового ящика С атрибутом `Alias` нельзя работать, если `IdentityStrategy = Alias`
`EmailAddresses`	Список почтовых адресов пользователя
`DisplayName`	Имя почтового ящика, отображаемое в интерфейсе
`ActiveSyncMailboxPolicy`	Политика почтовых ящиков мобильных устройств Допустимые значения: название политики
`OwaMailboxPolicy`	Устанавливает политику доступа к почтовому ящику через Outlook Web App, веб-интерфейс для доступа к почтовым ящикам Exchange Допустимые значения: название политики
`EwsApplicationAccessPolicy`	Контроль доступа к EWS в Exchange Допустимые значения: `EnforceAllowList` (разрешить использование EWS), `EnforceBlockList` (запретить использование EWS)
`RetentionPolicy`	Политика хранения данных для почтового ящика Допустимые значения: название политики
`IssueWarningQuota`	Устанавливает лимит размера почтового ящика, при достижении которого Exchange отправляет пользователю предупреждение о необходимости освободить место Допустимые значения: размер в формате: `1000B`, `200KB`, `100MB`, `5GB`, `1TB.` Значение должно быть меньше или равно значению `ProhibitSendReceiveQuota`. При использовании этого параметра необходимо установить `UseDatabaseQuotaDefaults = $false`
`ProhibitSendQuota`	Лимит размера почтового ящика, при достижении которого Exchange запретит пользователю отправлять сообщения Допустимые значения: размер в формате: `1000B`, `200KB`, `100MB`, `5GB`, `1TB.` Значение должно быть меньше или равно `ProhibitSendReceiveQuota`. При использовании этого параметра необходимо установить `UseDatabaseQuotaDefaults = $false`
`ProhibitSendReceiveQuota`	Лимит размера почтового ящика, при достижении которого Exchange запретит пользователю отправлять и получать сообщения Допустимые значения: размер в формате: `1000B`, `200KB`, `100MB`, `5GB`, `1TB.` При использовании этого параметра необходимо установить `UseDatabaseQuotaDefaults = $false`
`UseDatabaseQuotaDefaults`	Настройка квот хранилища для почтового ящика Допустимые значения: `$false` (использовать пользовательские параметры почтового ящика, а не базы данных почтовых ящиков по умолчанию) или `$true` (использовать стандартные параметры, заданные для базы данных). Установить значение `$false`, если активируете `IssueWarningQuota`, `ProhibitSendQuota`, или `ProhibitSendReceiveQuota`
`RetainDeletedItemsFor`	Определяет период, в течение которого удалённые элементы почтового ящика сохраняются перед окончательным удалением Допустимые значения: время в формате: `dd.hh:mm:ss`, например, `14.00:00:00` для хранения на протяжении 14 дней. В Office 365 максимальный период хранения составляет 30 дней. Установить `UseDatabaseRetentionDefaults = $false` при использовании этого параметра
`UseDatabaseRetentionDefaults`	Использование стандартной политики хранения удалённых элементов Допустимые значения: `$true` (использовать стандартные настройки), `$false` (использовать индивидуальные настройки хранения). Установить значение `$false`, если активируете `RetainDeletedItemsFor`
`UserPhoto`	Указывает путь к фотографии пользователя Допустимые значения: путь к файлу на сервере, например, \\fileserver\photos\user.jpg

4. Дополнительные возможности коннектора

В коннекторе реализованы следующие дополнительные функции:

Таблица — Дополнительные функции

Функция Описание

Использование E-mail-адреса для отправки уведомлений

Коннектор поддерживает использование основного электронного адреса (Exchange PrimarySmtpAddress) созданного почтового ящика для отправки уведомлений из IDM и Workflow.

Данная возможность обеспечивается через интерфейс IEmailAddressSource

Синхронизация атрибутов между учетными записями

Основной электронный адрес (Exchange PrimarySmtpAddress) может быть передан как атрибут для других учетных записей.

Данная возможность обеспечивается через интерфейс IHasGeneratedProperties.

5. Проблемы и их решение

Коннектор не может быть загружен утилитой импорта логинов, так как он разработан для платформы .NET Core. Перенос на .NET Standard затруднён из-за использования библиотек для работы с PowerShell, которые не поддерживают .NET Standard.

6. Диагностика

Для корректной работы коннектора необходимо убедиться, что политики выполнения скриптов настроены правильно. Выполните следующие шаги:

1. Выполните следующую команду, чтобы просмотреть текущие политики выполнения скриптов:

Get-ExecutionPolicy -List

Команда отобразит текущие политики выполнения скриптов.

2. Чтобы разрешить выполнение подписанных скриптов и скриптов, созданных на локальном компьютере, установите политику RemoteSigned для Process и CurrentUser:

Set-ExecutionPolicy RemoteSigned -Scope Process
Set-ExecutionPolicy RemoteSigned -Scope CurrentUser