Konfigurator für Mandanten

Mandanten sind Instanzen in untergeordneten Organisationen, welche der Address Group Policy unterliegen. Die AGP (Adressbuchrichtlinie) teilt die User in Gruppen auf. Auf diese Weise kann eine Software mehreren Gruppen (Mandanten) zur Verfügung gestellt werden, die sie nur für sich selbst einrichten und verwalten. Diese Lösung wird zumeist in Unternehmen aus dem Bereich Hosted Exchange Server eingesetzt.

Standardmäßig arbeitet CodeTwo Exchange Rules Pro ohne Aufteilung. Die Funktion kann jedoch über den Tenants configurator (Abb. 1) eingerichtet werden. Der Konfigurator ist ein eigenständiges Tool, installiert beim Programm-Set-up zusammen mit anderen Komponenten. Dank dieser Lösung kann der Administrator im Administration Panel einen Mandanten auswählen, um entsprechende Regeln zu verwalten.

ER Pro 2.x - tenants configurator
Abb. 1: Tenants configurator.

CodeTwo Exchange Rules Pro erkennt die Mandanten auf Basis von Active Directory-Attributen. Zum Hinzufügen eines neuen Mandanten klicken Sie auf den Button Add (Abb. 2).

ER Pro 2.x - tenants configuration window
Abb. 2: Konfiguration eines neuen Mandanten.

Legen Sie den Anzeigenamen (im Administration Panel werden Sie auswählen können, welcher Mandant bearbeitet werden soll) und das LDAP-Attribut fest. Es stehen mehrere Attribute zur Auswahl (Abb. 3).

ER Pro 2.x - ldap properties context menu
Abb. 3: LDAP-Attribute.

Als Nächstes definieren Sie die Vergleichsmethode für das LDAP-Attribut. Es gibt zwei Optionen (Abb. 4):

add tenant empty big
Abb. 4: Vergleichsmethode - Optionen.

Als Letztes definieren Sie den LDAP property value (den gesuchten LDAP-Wert). Nachdem Sie alle Informationen eingegeben haben (Abb. 5), bestätigen Sie mit OK

Exchange Rules Pro - Tenant configured
Abb. 5: Neuer Mandant.

Zum Definieren des Mandanten nutzen Sie am besten die Organisationseinheit-Zugehörigkeit der User. Die OU-Zugehörigkeit ist Teil des Active Directory-Attributes distinguishedName. Die Variable kann beispielsweise so aussehen: 

CN=AdminMiami,OU=Miami,DC=domain103,DC=lab

Im Resultat wird die Vergleichsmethode (Comparsion type) auf Contains gesetzt und im Feld Value steht OU=<your OU> (Abb. 6). 

edit tenant small
Abb. 6: Zuweisung der User auf Basis der Organizational Unit.

Sobald Sie auf OK geklickt haben, sehen Sie alle Mandanten in der Übersicht (Abb. 7).

ER Pro 2.x - tenants visible on the list
Abb. 7: Übersicht der Mandanten.

Info

Sie können jederzeit neue Mandanten hinzufügen, einen bestehenden Mandanten bearbeiten oder löschen (Abb. 8).

ER Pro 2.x - add,remove,edit tenants
Abb. 8: Mandanten können hinzugefügt, bearbeitet und gelöscht werden.

Nach abgeschlossener Konfiguration werden Sie den neuen Mandanten im Administration Panel auswählen und bearbeiten können (Abb. 9).

tenant big
Abb. 9: Auswahl des Mandanten.

Einige Programmeinstellungen beziehen sich auf den jeweiligen Mandanten, andere wiederum greifen für alle Mandanten:

Dank diesem Aufbau lässt sich der Zugriff ausgewählter User auf einen bestimmten Eintrag limitieren. Für gewöhnlich braucht man einen User, der die Einstellungen ohne Einschränkungen (global) steuern kann. Man erreicht das am besten, indem die Zugriffsberechtigung für alle Mandanten aktiviert und anschließend zwei User definiert werden- ein globaler Admin, der die Zugriffsberechtigung verwaltet und Mandanten-Admin mit Einschränkung auf einen bestimmten Eintrag (Abb. 10).

multi admin big
Abb. 10: Zugriff auf Regeln, definiert für einen Mandanten, mit Global Administrator und  Administrator des Mandanten in der User-Übersicht.

Von dem Moment an kann der Admin eines bestimmten Mandanten (z.B. der miamiAdmin) sich weder zu einem anderen Mandanten verbinden noch dessen Einstellungen verwalten, unabhängig von der Domain Admins-Zugehörigkeit. Denken Sie bitte daran, dass die Sichtbarkeit von Objekten im Active Directory von der Zugriffsberechtigung im Active Directory abhängt. Im Resultat müssen die Rechte angepasst werden, um ausgewählte Objekte für bestimmte User unsichtbar zu machen (z.B. komplette Organisationseinheit). 

Sehen Sie als Nächstes

Rules tester - Dieser Artikel erklärt, wie man eine neue Regel testet, ohne echte E-Mails zu versenden.

War diese Information hilfreich?