Vereisten

Zorg ervoor dat je aan de volgende vereisten voldoet voordat je begint met de installatie van Cloud Sync:

• Een actief abonnement in de Azure-tenant: Je kunt een bestaand abonnement in Azure gebruiken of een nieuw abonnement aanmaken. Je moet een Eigenaar- of Medebeheerder-rol hebben om dit abonnement te bewerken.

• Globale beheerder (of vergelijkbare) rol in de Azure-tenant: Dit is nodig om het automatiseringsaccount leesrechten voor Exchange Online te geven.

• Beheerdersrechten in Zivver: Dit is nodig om een API-sleutel aan te maken om verbinding te maken met Zivver. Als je organisatie Rolgebaseerde Toegangscontrole gebruikt, moet dit een volledige beheerder zijn.

• Alle domeinen die e-mail ontvangen, geclaimd: Zie Hoe claim je een domein in Zivver voor instructies over het claimen van je domeinen.

Installatie

Deze handleiding beschrijft de stappen om Cloud Sync in Azure in te stellen.

1. Klik op deze knop om het automatiseringsaccount in Azure te implementeren:

   

2. Log in op je Azure-beheeraccount en vul de velden van het formulier in.

   • Abonnement, Resourcegroep en Regio:
     Dit is de locatie waar het Azure Automation-account voor Cloud Sync wordt geplaatst in je Azure-tenant.
   • Zivver API-sleutel:
     Plak de API-sleutel die je hebt gegenereerd in het Zivver beheerdersportaal. De API-sleutel geeft Cloud Sync toegang tot je Zivver-tenant.
   • Inclusieve domeinen:
     Voeg alle geclaimde domeinen in Zivver toe, gescheiden door een komma (bijv. domein.com, voorbeeld.nl). Alleen mailboxen van de hier opgenomen domeinen worden gesynchroniseerd met Zivver.
   • Dagelijkse starttijd UTC:
     Geef de tijd op waarop Cloud Sync dagelijks moet starten in UTC. Kies een tijd buiten kantooruren voor je organisatie.
   • Doelfilter:
     Specifieke mailboxen of domeinen die hier worden ingevoerd, worden niet gewijzigd in Zivver. Gebruik dit filter als je Zivver-beheerdersaccount niet bestaat in de Exchange Online-tenant. Waarden scheiden met een komma (bijv. admin@it-leverancier.com, externedomein.nl).
   • Bronfilter:
     Voer de ObjectID in van de groep die moet worden opgenomen in de synchronisatie. Je kunt meerdere ObjectID’s toevoegen om gebruikers uit meerdere groepen te synchroniseren. Alleen mailboxen die lid zijn van deze groepen worden gesynchroniseerd met Zivver. Als het groepsfilter leeg is, worden alle mailboxen van de inclusieve domeinen gesynchroniseerd. Waarden scheiden met een komma (bijv. b74fd2c0-3d1a-4b7a-bc88-123456789abc, e5b3d8e2-f3b4-4a8d-9b7d-abcdef123456). Vind de ObjectID’s van groepen door naar Groepen te navigeren in de Azure Portal.
   • E-mailrapport afzender:
     Voer het e-mailadres in van de afzender van het e-mailrapport. Dit moet een mailbox in de tenant zijn (bijv. afzender@domein.com).
   • E-mailrapport ontvangers:
     Voer het e-mailadres (of de adressen) in van de ontvanger(s) van het e-mailrapport. Dit kunnen ook mailboxen buiten de tenant zijn. Waarden scheiden met een komma (bijv. ontvanger1@domein.com, ontvanger2@voorbeeld.nl).

   Klik op Review + Create en klik op het volgende scherm op Create.

   

3. Klik rechtsboven op Cloud Shell om een PowerShell-terminal te starten. Je hoeft geen opslaglocatie in te stellen.
   
   

   Andere PowerShell-terminals worden niet aanbevolen
   Het wordt niet aanbevolen om andere PowerShell-terminals dan de Cloud Shell te gebruiken. De voorgestelde PowerShell-code kan mislukken vanwege ontbrekende modules of authenticatiefuncties.

4. Om de juiste machtigingen in te stellen, plak je de volgende code in de terminal en druk je op Enter:

   # Sta Graph Command Line Tools toe
   Connect-MgGraph -Scopes AppRoleAssignment.ReadWrite.All,Application.Read.All,RoleManagement.ReadWrite.Directory
   

5. Sta Microsoft Graph Command Line Tools toe door de stappen te volgen die worden weergegeven in de Cloud Shell: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code [123456] to authenticate.

   

6. Na succesvolle authenticatie voer je de onderstaande PowerShell-code uit om leesrechten toe te kennen aan Exchange Online. Controleer of alle code correct is uitgevoerd. Sluit de Cloud Shell niet, want je hebt deze nodig voor de volgende stap.

   # Haal de ID van de Managed Identity op
   $ResourceId = (Get-AzADServicePrincipal -DisplayName "ZivverCloudSync").Id
           
   # Wijs API-machtigingen voor Exchange Online toe
   $AppRoleId = "dc50a0fb-09a3-484d-be87-e023b12c6440"
   $MsOfficeId = (Get-MgServicePrincipal -Filter "DisplayName eq 'Office 365 Exchange Online'").Id
   
   New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $ResourceId -PrincipalId $ResourceId -AppRoleId $AppRoleId -ResourceId $MsOfficeId
               
   # Wijs de Global Reader-rol toe
   $RoleID = (Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Global Reader'").Id
   
   New-MgRoleManagementDirectoryRoleAssignment -PrincipalId $ResourceId -RoleDefinitionId $RoleID -DirectoryScopeId "/"
   
   # Machtigingen toegewezen om gegevens uit Exchange Online te lezen
   

7. Om het e-mailrapport te verzenden, heeft Cloud Sync machtiging nodig om e-mails te verzenden voor de verzendende mailbox. Plak de volgende code in de Cloud Shell en voer deze uit:

   # Verbinden met Exchange Online
   Connect-ExchangeOnline
   
   # Maak een mail-enabled beveiligingsgroep met alleen de afzender als lid
   $AutomationAccount = Get-AzResource -ResourceType "Microsoft.Automation/automationAccounts" | Where-Object { $_.Name -eq 'ZivverCloudSync' }
   
   $sender = Get-AzAutomationVariable -AutomationAccountName $AutomationAccount.Name -Name "CLOUD_SYNC__EMAIL_REPORT_SENDER" -ResourceGroupName $AutomationAccount.ResourceGroupName
   
   $mesg = New-DistributionGroup -Name "Zivver Cloud Sync Mail Report" -Members $sender.value -Type "Security"
   
   # Beperk de Mail.Send-machtiging tot alleen deze beveiligingsgroep
   New-ApplicationAccessPolicy -AppId $ResourceId -PolicyScopeGroupId $mesg -AccessRight RestrictAccess -Description "Beperk Mail.Send-machtiging voor Zivver Cloud Sync."
   
   # Wijs de Graph API Mail.Send-machtiging toe aan de Managed Identity
   $AppRoleId = "b633e1c5-b582-4048-a93e-9f11b44c7e96"
   $MsOfficeId = (Get-MgServicePrincipal -Filter "DisplayName eq 'Microsoft Graph'").Id
   
   New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $ResourceId -PrincipalId $ResourceId -AppRoleId $AppRoleId -ResourceId $MsOfficeId
   
   # Machtigingen toegewezen om e-mails te verzenden vanuit een specifieke mailbox
   

8. Zoek in de Azure-tenant naar Automation Accounts en open het Automation Account met de naam ZivverCloudSync.

   

9. Zoek in het Automation Account naar Runbooks en open het runbook ZivverCloudSyncLoader.

   

10. Klik in het runbook op Start en vervolgens op OK. Cloud Sync voert nu een preview uit zonder wijzigingen door te voeren.

    

11. Wacht enkele minuten en controleer de accounts die Cloud Sync voorstelt aan te maken, bij te werken of te deactiveren in de Output-tab of in het e-mailrapport. Eventuele waarschuwingen of fouten worden weergegeven onder Warnings en Errors. Raadpleeg de troubleshooting-documentatie voor meer informatie.

12. Als je tevreden bent met de voorgestelde wijzigingen, kun je de eerste synchronisatie uitvoeren. Ga naar het runbook ZivverCloudSyncLoader en klik op Start. Voeg beide van de volgende parameters toe:

    • perform_sync: hiermee wordt de synchronisatie niet meer als preview uitgevoerd.
    • allow_large_sync: dit is nodig omdat dit de eerste synchronisatie is. Zonder deze parameter zal Cloud Sync niet toestaan dat meer dan 10% van de accounts wordt aangemaakt, bijgewerkt of gedeactiveerd.

    Klik op OK en de synchronisatie zal de accounts in Zivver aanmaken en bijwerken.

    

13. Als je tevreden bent met de voorgestelde wijzigingen, kun je het schema inschakelen. Zoek in de linkerbalk naar Schedules, klik op ZivverCloudSyncSchedule, zet Enabled op Yes en klik op Save.

    

    Cloud Sync wordt nu dagelijks automatisch uitgevoerd. Als je e-mailrapporten hebt ingeschakeld, ontvang je na elke synchronisatie een rapport.

14. Optioneel: Als alles succesvol is ingesteld, zijn de Microsoft Graph Command Line Tools niet meer nodig. Je kunt deze verwijderen door naar Enterprise Applications te navigeren. Zoek in deze sectie naar de Microsoft Graph Command Line Tools-applicatie en controleer of de aanmaakdatum overeenkomt met de dag van deze Cloud Sync-installatie (om te voorkomen dat een eerder ingestelde applicatie wordt verwijderd). Open de applicatie en verwijder deze.