Vereisten en installatie

Vereisten

Zorg ervoor dat je aan de volgende vereisten voldoet voordat je begint met de installatie van Cloud Sync:

  • Een actief abonnement in de Azure-tenant: Je kunt een bestaand abonnement in Azure gebruiken of een nieuw abonnement aanmaken. Je moet een Eigenaar- of Medebeheerder-rol hebben om dit abonnement te bewerken.

  • Globale beheerder (of vergelijkbare) rol in de Azure-tenant: Dit is nodig om het automatiseringsaccount leesrechten voor Exchange Online te geven.

  • Beheerdersrechten in Zivver: Dit is nodig om een API-sleutel aan te maken om verbinding te maken met Zivver. Als je organisatie Rolgebaseerde Toegangscontrole gebruikt, moet dit een volledige beheerder zijn.

  • Alle domeinen die e-mail ontvangen, geclaimd: Zie Hoe claim je een domein in Zivver voor instructies over het claimen van je domeinen.

  • Optioneel: Een bronfiltergroep maken: Maak een (beveiligings)groep in Azure als je slechts een deel van de mailboxen in de tenant wilt synchroniseren. Zie de Cloud Sync V&A om te bekijken welke typen groepen worden ondersteund.

Cloud Sync instellen

Kun je de video niet laden op deze pagina? Bekijk de video dan direct op YouTube.

Installatie

Deze handleiding beschrijft de stappen om Cloud Sync in Azure in te stellen.

Waarschuwing
Controleer de resultaten voordat je synchroniseert
Controleer de synchronisatieresultaten zorgvuldig voordat je de synchronisatie uitvoert. Neem contact met ons op als je problemen ondervindt.
  1. Klik op deze knop om het automatiseringsaccount in Azure te implementeren:

    Deploy to Azure
  2. Log in op je Azure-beheeraccount en vul de velden van het formulier in.

    • Abonnement, Resourcegroep en Regio:
      Dit is de locatie waar het Azure Automation-account voor Cloud Sync wordt geplaatst in je Azure-tenant.
    • Zivver API-sleutel:
      Plak de API-sleutel die je hebt gegenereerd in het Zivver beheerdersportaal. De API-sleutel geeft Cloud Sync toegang tot je Zivver-tenant.
    • Dagelijkse starttijd UTC:
      Geef de tijd op waarop Cloud Sync dagelijks moet starten in UTC. Kies een tijd buiten kantooruren voor je organisatie.
    • Doelfilter:
      Specifieke mailboxen of domeinen die hier worden ingevoerd, worden niet gewijzigd in Zivver. Gebruik dit filter als je Zivver-beheerdersaccount niet bestaat in de Exchange Online-tenant. Waarden scheiden met een komma (bijv. admin@it-leverancier.com, externedomein.nl).
    • Bronfilter:
      Voer de ObjectID in van de groep die moet worden opgenomen in de synchronisatie. Je kunt meerdere ObjectID’s toevoegen om gebruikers uit meerdere groepen te synchroniseren. Alleen mailboxen die lid zijn van deze groepen worden gesynchroniseerd met Zivver. Als het groepsfilter leeg is, worden alle mailboxen van de inclusieve domeinen gesynchroniseerd. Waarden scheiden met een komma (bijv. b74fd2c0-3d1a-4b7a-bc88-123456789abc, e5b3d8e2-f3b4-4a8d-9b7d-abcdef123456). Vind de ObjectID’s van groepen door naar Groepen te navigeren in de Azure Portal.
    • E-mailrapport afzender:
      Voer het e-mailadres in van de afzender van het e-mailrapport. Dit moet een mailbox in de tenant zijn (bijv. afzender@domein.com).
    • E-mailrapport ontvangers:
      Voer het e-mailadres (of de adressen) in van de ontvanger(s) van het e-mailrapport. Dit kunnen ook mailboxen buiten de tenant zijn. Waarden scheiden met een komma (bijv. ontvanger1@domein.com, ontvanger2@voorbeeld.nl).
    • Organisatie-Eenheden Domeinen:
      Schakel dit in als je organisatie-eenheden gebruikt die zijn gebaseerd op de primaire e-mailadressen van mailboxen in Exchange Online. Elk domein dat overeenkomt met een organisatie-eenheid moet worden ingesteld als de OU-identificator in het Zivver Beheerportaal. Gebruik dit niet in combinatie met Organisatie-Eenheden Groepen.
    • Organisatie-Eenheidsgroepen:\
      Schakel dit in als je organisatie-eenheden gebruikt die gebaseerd zijn op een opgegeven (beveiligings)groep. De UUID van elke groep die hiervoor wordt gebruikt, moet worden toegevoegd als OU-identificator van de bijbehorende organisatie-eenheid in het Zivver Beheerportaal. Gebruik dit niet in combinatie met Organisatie-Eenheidsdomeinen.

    Klik op Review + Create en klik op het volgende scherm op Create.

  3. Klik rechtsboven op Cloud Shell om een PowerShell-terminal te starten. Je hoeft geen opslaglocatie in te stellen.

    Waarschuwing
    Andere PowerShell-terminals worden niet aanbevolen
    Het wordt niet aanbevolen om andere PowerShell-terminals dan de Cloud Shell te gebruiken. De voorgestelde PowerShell-code kan mislukken vanwege ontbrekende modules of authenticatiefuncties.

  4. Om de juiste machtigingen in te stellen, plak je de volgende code in de terminal en druk je op Enter:

    # Sta Graph Command Line Tools toe
    Connect-MgGraph -Scopes AppRoleAssignment.ReadWrite.All,Application.Read.All,RoleManagement.ReadWrite.Directory
    
  5. Sta Microsoft Graph Command Line Tools toe door de stappen te volgen die worden weergegeven in de Cloud Shell: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code [123456] to authenticate.

  6. Na succesvolle authenticatie voer je de onderstaande PowerShell-code uit om leesrechten toe te kennen aan Exchange Online. Controleer of alle code correct is uitgevoerd. Sluit de Cloud Shell niet, want je hebt deze nodig voor de volgende stap.

    # Haal de ID van de Managed Identity op
    $ResourceId = (Get-AzADServicePrincipal -DisplayName "ZivverCloudSync").Id
    
    # Wijs API-machtigingen voor Exchange Online toe
    $AppRoleId = "dc50a0fb-09a3-484d-be87-e023b12c6440"
    $MsOfficeId = (Get-MgServicePrincipal -Filter "DisplayName eq 'Office 365 Exchange Online'").Id
    
    New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $ResourceId -PrincipalId $ResourceId -AppRoleId $AppRoleId -ResourceId $MsOfficeId
    
    # Wijs de Global Reader-rol toe
    $RoleID = (Get-MgRoleManagementDirectoryRoleDefinition -Filter "DisplayName eq 'Global Reader'").Id
    
    New-MgRoleManagementDirectoryRoleAssignment -PrincipalId $ResourceId -RoleDefinitionId $RoleID -DirectoryScopeId "/"
    
    # Machtigingen toegewezen om gegevens uit Exchange Online te lezen
    
  7. Om het e-mailrapport te verzenden, heeft Cloud Sync machtiging nodig om e-mails te verzenden voor de verzendende mailbox. Plak de volgende code in de Cloud Shell en voer deze uit:

    # Verbinden met Exchange Online
    Connect-ExchangeOnline
    
    # Maak een mail-enabled beveiligingsgroep met alleen de afzender als lid
    $AutomationAccount = Get-AzResource -ResourceType "Microsoft.Automation/automationAccounts" | Where-Object { $_.Name -eq 'ZivverCloudSync' }
    
    $sender = Get-AzAutomationVariable -AutomationAccountName $AutomationAccount.Name -Name "CLOUD_SYNC__EMAIL_REPORT_SENDER" -ResourceGroupName $AutomationAccount.ResourceGroupName
    
    $mesg = New-DistributionGroup -Name "Zivver Cloud Sync Mail Report" -Members $sender.value -Type "Security"
    
    # Beperk de Mail.Send-machtiging tot alleen deze beveiligingsgroep
    New-ApplicationAccessPolicy -AppId $ResourceId -PolicyScopeGroupId $mesg -AccessRight RestrictAccess -Description "Beperk Mail.Send-machtiging voor Zivver Cloud Sync."
    
    # Wijs de Graph API Mail.Send-machtiging toe aan de Managed Identity
    $AppRoleId = "b633e1c5-b582-4048-a93e-9f11b44c7e96"
    $MsOfficeId = (Get-MgServicePrincipal -Filter "DisplayName eq 'Microsoft Graph'").Id
    
    New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $ResourceId -PrincipalId $ResourceId -AppRoleId $AppRoleId -ResourceId $MsOfficeId
    
    # Machtigingen toegewezen om e-mails te verzenden vanuit een specifieke mailbox
    
  8. Zoek in de Azure-tenant naar Automation Accounts en open het Automation Account met de naam ZivverCloudSync.

  9. Zoek in het Automation Account naar Runbooks en open het runbook ZivverCloudSyncLoader.

  10. Klik in het runbook op Start en vervolgens op OK. Cloud Sync voert nu een preview uit zonder wijzigingen door te voeren.

  11. Wacht enkele minuten en controleer de accounts die Cloud Sync voorstelt aan te maken, bij te werken of te deactiveren in de Output-tab of in het e-mailrapport. Eventuele waarschuwingen of fouten worden weergegeven onder Warnings en Errors. Raadpleeg de troubleshooting-documentatie voor meer informatie.

  12. Als je tevreden bent met de voorgestelde wijzigingen, kun je de eerste synchronisatie uitvoeren. Ga naar het runbook ZivverCloudSyncLoader en klik op Start. Voeg beide van de volgende parameters toe:

    • perform_sync: hiermee wordt de synchronisatie niet meer als preview uitgevoerd.
    • allow_large_sync: dit is nodig omdat dit de eerste synchronisatie is. Zonder deze parameter zal Cloud Sync niet toestaan dat meer dan 10% van de accounts wordt aangemaakt, bijgewerkt of gedeactiveerd.

    Klik op OK en de synchronisatie zal de accounts in Zivver aanmaken en bijwerken.

  13. Als je tevreden bent met de voorgestelde wijzigingen, kun je het schema inschakelen. Klik in de ZivverCloudSyncLoader op Link to Schedule.

  14. Klik op Schedule en koppel het runbook aan de ZivverCloudSyncSchedule.

  15. Klik op Configure parameters and run settings en voeg de parameter perform_sync toe. Klik op OK.

    Cloud Sync wordt nu dagelijks automatisch uitgevoerd. Als je e-mailrapporten hebt ingeschakeld, ontvang je na elke synchronisatie een rapport.

  16. Aanbevolen: Als alles succesvol is ingesteld, zijn de Microsoft Graph Command Line Tools niet meer nodig. Je kunt ze verwijderen door naar Enterprise Applications te gaan. Zoek in deze sectie naar de applicatie Microsoft Graph Command Line Tools en controleer of de aanmaakdatum overeenkomt met de dag van deze Cloud Sync-installatie (om zeker te weten dat de applicatie niet eerder voor iets anders is aangemaakt). Open de applicatie en verwijder deze.