Ik ben een Zivver-beheerder
Zivver instellen en beheren
Vereisten en installatie
Vereisten
Zorg ervoor dat je aan de volgende vereisten voldoet voordat je begint met de installatie van Cloud Sync:
Een actieve Azure-abonnement in de tenant: Je kunt een bestaand abonnement in Azure gebruiken of een nieuw abonnement aanmaken. Je hebt de rol Eigenaar of Bijdrager nodig om dit abonnement te kunnen bewerken.
Global Administrator (of vergelijkbare) rol in de Azure-tenant: Dit is nodig om het automation account leestoegang tot Exchange Online te geven.
Beheerdersrechten in Zivver: Dit is nodig om een API-sleutel aan te maken om verbinding te maken met Zivver. Als je organisatie Role-Based Access Control gebruikt, is een volledige beheerder nodig.
Alle domeinen die e-mail ontvangen geclaimd: Zie Hoe je een domein claimt in Zivver voor instructies.
Optioneel: Maak een bronfiltergroep aan: Maak een (security)groep in Azure als je alleen een deel van de mailboxen in de tenant wilt synchroniseren. Zie de Cloud Sync FAQ om te controleren welke soorten groepen worden ondersteund.
Waarschuwinguser.objectid wordt gebruikt als waarde voor ZivverAccountKey. Dit is vereist om Cloud Sync correct te laten werken.Hoe Cloud Sync in te stellen
Bekijk de video eventueel direct op YouTube als de video niet op deze pagina wordt geladen.
Installatie
Deze handleiding beschrijft de stappen om Cloud Sync in Azure op te zetten.
WaarschuwingControleer de synchronisatieresultaten zorgvuldig voordat je de synchronisatie uitvoert. Neem contact met ons op via support als je problemen ervaart.
Klik op deze knop om het automation account naar Azure te deployen:
Log in met je Azure administrator account en vul de velden in het formulier in:
- Subscription, Resource Group en Region:
Dit is de locatie waar het Azure Automation account voor Cloud Sync in jouw Azure tenant wordt geplaatst. - Zivver API Key:
Plak de API-key die je hebt aangemaakt in het Zivver administrator portal. De API-key geeft Cloud Sync toegang tot je Zivver tenant. - Daily Start Time UTC:
Voeg de tijd toe waarop Cloud Sync dagelijks moet starten in UTC. Kies een tijd buiten de kantooruren van je organisatie. - Target Filter:
Specifieke mailboxes of domeinen die hier worden ingevuld, worden niet aangepast in Zivver. Gebruik dit filter als je Zivver admin-account niet bestaat in de Exchange Online tenant. Scheid meerdere waarden met een komma (bijv. admin@it-supplier.com, externaldomain.uk). - Source Filter:
Vul de ObjectID in van de groep die gesynchroniseerd moet worden. Je kunt meerdere ObjectID’s toevoegen om gebruikers uit meerdere groepen te synchroniseren. Alleen mailboxes die lid zijn van deze groepen worden naar Zivver gesynchroniseerd. Als het Group Filter leeg is, worden alle mailboxes van de Included Domains gesynchroniseerd. Scheid meerdere waarden met een komma (bijv. b74fd2c0-3d1a-4b7a-bc88-123456789abc, e5b3d8e2-f3b4-4a8d-9b7d-abcdef123456). Vind de Object ID(s) van groepen via Groups in de Azure Portal. - Email Report Sender:
Vul het e-mailadres in van de afzender van het e-mailrapport. Dit moet een mailbox zijn in de tenant (bijv. sender@domain.com). - Email Report Recipients:
Vul de e-mailadressen in van de ontvanger(s) van het e-mailrapport. Dit kunnen ook mailboxen buiten de tenant zijn. Scheid meerdere waarden met een komma (bijv. recipient1@domain.com, recipient2@example.uk). - Organizational Units Domains:
Activeer dit als je organisatorische eenheden gebruikt die zijn gebaseerd op de primaire e-mailadressen van mailboxen in Exchange Online. Elk domein dat overeenkomt met een organisatorische eenheid moet worden ingesteld als OU-identifier in het Zivver Admin Portal. Niet combineren met Organizational Units Groups. - Organizational Units Groups:
Activeer dit als je organisatorische eenheden gebruikt die gebaseerd zijn op een specifieke security group. De UUID van elke groep die hiervoor wordt gebruikt moet als OU-identifier van de bijbehorende organisatorische eenheid in het Zivver Admin Portal worden toegevoegd. Niet combineren met Organizational Units Domains.
Klik op en klik op het volgende scherm op .
- Subscription, Resource Group en Region:
Klik rechtsboven op de Cloud Shell om een PowerShell-terminal te starten. Je hoeft geen opslaglocatie in te stellen.
WaarschuwingAndere PowerShell-terminals worden niet aanbevolen
Het wordt niet aanbevolen om andere PowerShell-terminals te gebruiken dan de Cloud Shell. De voorgestelde PowerShell-code kan mislukken vanwege ontbrekende modules of authenticatiefuncties.Om te authenticeren en de juiste rechten in te stellen, plak je de volgende code in de terminal en druk op Enter:
# Allow Graph Command Line Tools Connect-MgGraph -Scopes AppRoleAssignment.ReadWrite.All,Application.Read.All,RoleManagement.ReadWrite.DirectorySta Microsoft Graph Command Line Tools toe door de stappen te volgen die in de Cloud Shell worden aangegeven:
Om in te loggen, gebruik een webbrowser om de pagina https://microsoft.com/devicelogin te openen en voer de code [123456] in om te authenticeren.
Na succesvolle authenticatie, voer de onderstaande PowerShell-code uit om leesrechten toe te wijzen aan Exchange Online. Controleer of alle code correct is uitgevoerd. Sluit de Cloud Shell niet, want je hebt deze nodig voor de volgende stap.
# Get the ID of the Managed Identity $ResourceId = (Get-AzADServicePrincipal -DisplayName "ZivverCloudSync").Id # Assign API permissions Exchange Online $AppRoleId = "dc50a0fb-09a3-484d-be87-e023b12c6440" $MsOfficeId = (Get-MgServicePrincipal -Filter "DisplayName eq 'Office 365 Exchange Online'").Id New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $ResourceId -PrincipalId $ResourceId -AppRoleId $AppRoleId -ResourceId $MsOfficeId # Assign the Global Reader role $RoleID = (Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Global Reader'").Id New-MgRoleManagementDirectoryRoleAssignment -PrincipalId $ResourceId -RoleDefinitionId $RoleID -DirectoryScopeId "/" # Assigned permissions to read from Exchange Online
TipKrijg je de foutmelding
[Could not load file or assembly 'Microsoft.Graph.Authentication, Version=2.26.1.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35'. Assembly with same name is already loaded]? Voer dan de volgende opdrachten uit in de Cloud Shell om dit op te lossen:Get-InstalledModule Microsoft.Graph* | Uninstall-Module -Force Remove-Module Microsoft.Graph* -Force Install-Module Microsoft.Graph -AllowClobber -ForceOm het e-mailrapport te verzenden, heeft Cloud Sync machtiging om e-mails te verzenden voor de verzendende mailbox nodig. Plak de volgende code in de Cloud Shell:
# Connect to Exchange Online Connect-ExchangeOnline # Create a mail enabled security group with only the Sender as member $AutomationAccount = Get-AzResource -ResourceType "Microsoft.Automation/automationAccounts" | Where-Object { $_.Name -eq 'ZivverCloudSync' } $sender = Get-AzAutomationVariable -AutomationAccountName $AutomationAccount.Name -Name "CLOUD_SYNC__EMAIL_REPORT_SENDER" -ResourceGroupName $AutomationAccount.ResourceGroupName $mesg = New-DistributionGroup -Name "Zivver Cloud Sync Mail Report" -Members $sender.value -Type "Security" # Restrict Mail.Send Permission to only this security group New-ApplicationAccessPolicy -AppId $ResourceId -PolicyScopeGroupId $mesg -AccessRight RestrictAccess -Description "Restrict Mail.Send permission for Zivver Cloud Sync." # Assign Graph API Mail.Send Permission to the Managed Identity $AppRoleId = "b633e1c5-b582-4048-a93e-9f11b44c7e96" $MsOfficeId = (Get-MgServicePrincipal -Filter "DisplayName eq 'Microsoft Graph'").Id New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $ResourceId -PrincipalId $ResourceId -AppRoleId $AppRoleId -ResourceId $MsOfficeId # Assigned permissions to send email from a specific mailboxZoek in de Azure-tenant naar Automation-accounts en open het Automation Account genaamd ZivverCloudSync.
Zoek in het Automation Account naar Runbooks en open het ZivverCloudSyncLoader runbook.
Klik in het runbook op starten en daarna op . Cloud Sync voert nu een preview uit zonder wijzigingen door te voeren.
Wacht een paar minuten en controleer de accounts die Cloud Sync voorstelt om aan te maken, bij te werken of te deactiveren in het tabblad Uitvoer of in het e-mailrapport. Eventuele waarschuwingen of fouten worden weergegeven onder Waarschuwingen en Fouten. Raadpleeg de troubleshooting-documentatie voor meer informatie.
Als je tevreden bent met de voorgestelde wijzigingen, kun je de eerste synchronisatie uitvoeren. Navigeer naar het ZivverCloudSyncLoader runbook en klik op starten. Voeg de volgende twee parameters toe:
perform_sync: hiermee wordt de sync niet langer als preview uitgevoerd.allow_large_sync: dit is nodig omdat dit de eerste sync is. Zonder deze parameter staat Cloud Sync niet toe dat meer dan 10 % van de accounts wordt aangemaakt, bijgewerkt of gedeactiveerd.
Klik op en de synchronisatie maakt en werkt de accounts in Zivver bij.
Als je tevreden bent met de voorgestelde wijzigingen, kun je het schema inschakelen. Klik in het ZivverCloudSyncLoader runbook op Koppeling naar planning.
Klik op Schema en koppel het runbook aan het ZivverCloudSyncSchedule.
Klik op Parameters en uitvoerinstellingen en voeg de parameter
perform_synctoe. Klik op .
Cloud Sync zal nu automatisch dagelijks draaien. Als je e-mailrapporten hebt ingeschakeld, wordt na elke run een e-mailrapport verzonden.
Aanbevolen: Als alles succesvol is ingesteld, zijn de Microsoft Graph Command Line Tools niet meer nodig. Je kunt ze verwijderen door naar Enterprise Applications te navigeren. Zoek hier de Microsoft Graph Command Line Tools applicatie en controleer of de aanmaakdatum de dag van deze Cloud Sync-setup is (om te verzekeren dat de applicatie niet eerder voor iets anders is aangemaakt). Open de applicatie en verwijder deze.