En nem måde at give adgang til D&MCS er at oprette en servicekonto med delegeringsrettigheder og fuld adgang til målkonti
En servicekonto med delegeringsrettigheder har adgang til den delegerede brugers mailkonto. Dette giver D&MCS mulighed for at scanne mailkonti.
Den mailkonto, der skal scannes af D&MCS, skal delegeres til en servicekonto. Servicekontoen bruges derefter af D&MCS til at få adgang til alle konti.
Trin 1. Opret en ny servicekonto med en gyldig e-mailadresse.
Vi anbefaler følgende navn til kontoen: GDPRscan@yourdomain.xx
- Sørg for, at servicekontoen kan sende og modtage e-mails
- Aktivér IKKE multifaktorgodkendelse.
- Indstil adgangskoden til "udløber ikke"
Trin 2. Mulighed 1 – Tildeling af adgang via delegering
For at få adgang til de individuelle postkasser og delte mapper anvender vi en tilpasset GDPR Scanner-konto med minimale rettigheder. Gør følgende for at oprette GDPRscan-kontoen:
Log ind med den globale administratorkonto
Gå til brugeradministration og opret en normal brugerkonto med en gyldig e-mailadresse. Navngiv den GDPRscan@yourdomain.com
Gå til Exchange Admin Center -> Tilladelser -> Discoverymanagement, og tilføj kontoen GDPRscan@yourdomain.com
Ovenstående tre trin giver D&M mulighed for at se konti på Deres Exchange Server, men systemet vil ikke kunne scanne indholdet af kontierne. For at læse det faktiske indhold af en Outlook-konto skal hver af de konti, der skal scannes, delegeres til GDPRscan@yourdomain.com. Dette giver GDPRscan@yourdomain.com mulighed for at læse indholdet af brugernes postkasser.
Følg nedenstående trin for at opsætte delegering for en specifik konto:
Log ind med en global administratorkonto, eller brug en konto med en brugeradministratorrolle.
Gå til den bruger, De ønsker at scanne
Rediger bruger -> Mailindstillinger -> Postkassetilladelser
Tilføj GDPRscan@yourdomain.com til brugeren Læs og Administrer
Fortsæt med at delegere de brugere, De ønsker at tilføje til D&M Toolbox
Vent på, at rettighederne bliver propageret gennem Exchange
Trin 2 – Mulighed 2. Tildeling af "Fuld adgang" via PowerShell
Tilpas nedenstående script til Deres organisations specifikke installation.
$serviceAccount = "GDPRscan@corperatedomain.xxx" #Account to assign full mailbox access permissions to.
$globalAdminUser = "TheGlobaladmin@corperateadom.xxx" #Account with rights to assign permissions
$globalAdminPassword = "EnterPasswordHere" #Password for account with rights to assign permissions
$securePassword = ConvertTo-SecureString $globalAdminPassword -AsPlainText -Force
$Cred = New-Object System.Management.Automation.PSCredential($globalAdminUser, $securePassword)
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $Cred -Authentication Basic -AllowRedirection
Import-PSSession $Session -AllowClobber
Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq 'UserMailbox')} |
ForEach {Add-MailboxPermission -Identity $_.SAMAccountName -User $serviceAccount -AccessRights FullAccess -InheritanceType all -WarningAction SilentlyContinue}
Remove-PSSession $Session
Husk at aktivere basisgodkendelse for EWS på Exchange Serveren
Inden De opretter servicekontoen og delegerer adgang, er det vigtigt at kontrollere, om Deres Exchange Server er konfigureret korrekt til at anvende 'Papirkurven'.
Dette sikrer, at slettede elementer kan gendannes efter behov. Microsoft stiller omfattende vejledninger til rådighed om konfiguration af 'Papirkurv'-funktionen, som kan findes HER.
For en delt postkasse skal De være opmærksom på følgende! 1. AD skal synkroniseres med Azure AD (dette giver os mulighed for at læse, hvilken postkasse der er delt). 2. Den servicekonto, der anvendes til scanning via basisgodkendelse, skal have en gyldig e-mailkonto og skal have fuld adgang til den delte postkasse, der skal scannes.