配置日历服务

在 Microsoft 365 中创建专用服务账户

我们建议创建一个专用的服务账户，用于 VCA 访问所有会议室日历，而不是使用个人管理员账户。

1. 登录 Microsoft 365 管理中心 (https://admin.microsoft.com)。

2. 导航至 用户 > 活跃用户 > 添加用户，创建一个新的专用服务账户（例如 [email protected]）。

3. 为该账户分配一个有效的 Microsoft 365 许可证，该许可证必须包含 Exchange Online 服务计划（例如 Microsoft 365 商业基础版或更高版本）。

4. 记录此账户的用户名和密码。后续 VCA Host 在通过浏览器授权时，将使用此账户登录并授予权限。

创建或关联会议室资源邮箱

为每个需要与 VCA 集成的会议室创建一个专用的资源邮箱。

1. 在 Microsoft 365 管理中心，导航至 资源 > 房间和设备。

2. 点击 “+ 添加资源”，创建一个新的房间资源邮箱（例如 [email protected]）。

3. 配置房间的属性，如名称（Boardroom）、容量、位置等。

4. 为确保安全，房间资源邮箱通常不需要启用密码登录。

为服务账户授予访问房间日历的权限

为了让专用服务账户 ([email protected]) 能够读取和管理所有会议室的日历，您需要为其授予相应的权限。

$Rooms = Get-Mailbox -RecipientTypeDetails RoomMailbox
$User = "[email protected]"
foreach ($Room in $Rooms) {
    Write-Host "Granting Editor permission for $($Room.Name) to $User..."
    Add-MailboxFolderPermission -Identity "$($Room.Alias):\Calendar" -User $User -AccessRights Editor
}

创建 Google Cloud 项目和服务账号

1. 登录 Google Cloud Console (https://console.cloud.google.com)，并使用您的 Google Workspace 管理员账户。

2. 创建一个新的 Google Cloud 项目（例如 “VCA Calendar Integration”），或选择一个现有项目。

3. 在该项目中，导航至 IAM 和管理 > 服务账号。

4. 点击 “+ 创建服务账号”。

5. 为服务账号命名（例如 vca-calendar-service），系统会自动生成一个服务账号 ID。

6. 点击 “创建并继续”。在“授予此服务账号对项目的访问权限”步骤中，您可以暂时不授予任何角色。点击 “继续”，然后点击 “完成”。

为服务账号启用域范围委派

1. 在服务账号列表中，找到您刚刚创建的服务账号，点击进入其详情页面。

2. 切换到 “高级设置” 或 “显示域范围委派”。

3. 勾选 “启用 Google Workspace 域范围委派”。

4. 系统会显示一个唯一的客户端 ID (Client ID)。请复制并保存此客户端 ID，后续步骤需要用到。

5. 点击 “保存”。

在 Google Workspace 管理控制台中授权客户端 ID

1. 登录 Google Workspace 管理控制台 (https://admin.google.com)。

2. 导航至 安全性 > 访问权限和数据控件 > API 控件。

3. 在“域范围委派”部分，点击 “管理域范围委派”。

4. 点击 “新增”。

5. 在 “客户端 ID” 字段中，粘贴您在上一步中复制的服务账号的客户端 ID。

6. 在 “OAuth 范围 (以英文逗号分隔)” 字段中，输入 VCA 访问日历所需的 API 范围。通常需要以下范围：

   • https://www.googleapis.com/auth/calendar.readonly (如果只需要读取日历事件)

   • https://www.googleapis.com/auth/calendar (如果 需要编辑或创建日历事件)

   • https://www.googleapis.com/auth/calendar.events (更精细的事件管理权限)

7. 点击 “授权”。

确保会议室资源已创建并共享

1. 在 Google Workspace 管理控制台中，导航至 应用 > Google Workspace > 日历。

2. 进入 “资源” 管理页面，确保您已为每个会议室创建了日历资源（例如 “Boardroom”, “Meeting Room 1”）。

3. 默认情况下，域内用户通常可以看到资源的闲忙信息。为确保 VCA 服务账号能读取到完整的事件详情，您可能需要检查每个资源日历的共享设置，确保它已与服务账号或整个组织共享了足够的查看权限。

步骤 1：创建或指定一个专用服务账户

我们强烈建议创建一个专用的 Active Directory 用户账户作为 VCA 的服务账户，而不是使用个人管理员账户。

1. 在您的 Active Directory 用户和计算机中，创建一个新的用户账户（例如 vca-service）。

2. 为该账户设置一个强密码，并根据您的安全策略配置密码永不过期。

3. 确保该账户在 Exchange 中拥有一个已启用的邮箱。

创建或确认会议室资源邮箱

为每个需要与 VCA 集成的会议室，在 Exchange 中创建一个专用的会议室资源邮箱。

1. 登录 Exchange 管理中心 (EAC)。

2. 导航至 收件人 > 资源。

3. 点击 “+” 图标，选择 “会议室邮箱”，创建一个新的会议室资源（例如 boardroom，邮箱地址为 [email protected]）。

4. 配置房间的属性，如名称、别名、容量等。

为服务账户授予访问房间日历的权限

为了让服务账户 (vca-service) 能够读取和管理所有会议室的日历，您需要为其授予必要的权限。最有效的方式是通过 Exchange 命令行管理程序 (Exchange Management Shell)。

1. 打开 Exchange 命令行管理程序。

2. 授予对日历的编辑权限 (Editor)：

   • 对每个会议室资源邮箱，运行以下命令。请将 boardroom 替换为实际的会议室邮箱标识，vca-service 替换为您的服务账户用户名。

   • 这个命令授予服务账户对指定会议室“日历”文件夹的“编辑者”权限，这通常是 VCA 所需的最小且足够的权限。

3. 批量授予权限 (示例脚本)：

   • 如果您有多个会议室，可以使用以下脚本批量处理。

关于 Impersonation (模拟权限)： 在某些高级集成场景中，可能会使用 Exchange Impersonation。这种方式允许一个服务账户“模拟”其他用户来访问他们的邮箱，而不需要知道他们的密码。如果 VCA 的集成方式推荐使用 Impersonation，您需要运行以下命令来配置：

请优先参考 VCA 官方提供的针对 Exchange Server 的具体集成指南，以确认是需要配置文件夹权限还是 Impersonation 权限。

确认 EWS 访问和身份验证设置

1. 确认 EWS URL：

   • 确保您知道您的 Exchange Server 的 EWS 访问地址。您可以通过在 Exchange 命令行管理程序中运行以下命令来查找：

   • 记下 ExternalUrl 或 InternalUrl，具体取决于 VCA Host 的网络位置。

2. 确认身份验证方法：

   • 在 IIS 管理器中，检查 EWS 虚拟目录的身份验证设置。通常需要启用基本身份验证 (Basic Authentication) 或 Windows 集成身份验证 (Windows Integrated Authentication)，具体取决于 VCA 的连接方式。请参考 VCA 的要求进行配置。

完成以上步骤后，您就拥有了与本地 Exchange Server 集成所需的所有信息：

• EWS 服务器 URL 地址

• 服务账户的用户名

• 服务账户的密码

现在，您可以在 VCA Host 的“房间日历”设置中，选择 Microsoft Exchange 并进行手动配置 ，将这些信息填入对应的输入框中，以完成集成。