Eine einfache Möglichkeit, Zugang zum D&MCS zu gewähren, besteht darin, ein Dienstkonto mit Delegierungsrechten und vollständigem Zugriff auf Zielkonten zu erstellen
Ein Dienstkonto mit Delegierungsrechten hat Zugriff auf das E-Mail-Konto des delegierten Benutzers. Dies ermöglicht es dem D&MCS, die E-Mail-Konten zu scannen.
Das E-Mail-Konto, das vom D&MCS gescannt werden soll, muss an ein Dienstkonto delegiert werden. Das Dienstkonto wird dann vom D&MCS verwendet, um auf alle Konten zuzugreifen.
Schritt 1. Richten Sie ein neues Dienstkonto mit einer gültigen E-Mail-Adresse ein.
Wir empfehlen folgenden Namen für das Konto: GDPRscan@yourdomain.xx
- Stellen Sie sicher, dass das Dienstkonto E-Mails senden und empfangen kann
- Aktivieren Sie KEINE Multi-Faktor-Authentifizierung.
- Setzen Sie das Passwort auf „läuft nicht ab"
Schritt 2. Option 1 – Zugriff über Delegierung zuweisen
Um auf die einzelnen Postfächer und Freigaben zuzugreifen, verwenden wir ein angepasstes GDPR-Scanner-Konto mit minimalen Rechten. Gehen Sie zur Erstellung des GDPRscan-Kontos wie folgt vor:
Melden Sie sich mit dem globalen Administratorkonto an
Gehen Sie zur Benutzerverwaltung und erstellen Sie ein normales Benutzerkonto mit einer gültigen E-Mail-Adresse. Bitte benennen Sie es GDPRscan@yourdomain.com
Gehen Sie zu Exchange Admin Center -> Berechtigungen -> Discovery-Verwaltung und fügen Sie das Konto GDPRscan@yourdomain.com hinzu
Die oben genannten drei Schritte ermöglichen es D&M, die Konten auf Ihrem Exchange-Server einzusehen, jedoch wird es nicht möglich sein, den Inhalt der Konten zu scannen. Um den tatsächlichen Inhalt eines Outlook-Kontos zu lesen, muss jedes der zu scannenden Konten an das folgende Konto delegiert werden: GDPRscan@yourdomain.com. Dies ermöglicht es GDPRscan@yourdomain.com, den Inhalt der Benutzerpostfächer zu lesen.
Um die Delegierung für ein bestimmtes Konto einzurichten, folgen Sie den nachstehenden Schritten:
Melden Sie sich mit einem globalen Administratorkonto an oder verwenden Sie ein Konto mit der Rolle „Benutzerverwaltung".
Navigieren Sie zu dem Benutzer, den Sie scannen möchten
Benutzer bearbeiten -> E-Mail-Einstellungen -> Postfachberechtigungen
Fügen Sie GDPRscan@yourdomain.com dem Benutzer unter Lesenund Verwalten hinzu
Fahren Sie mit der Delegierung der Benutzer fort, die Sie zur D&M Toolbox hinzufügen möchten
Warten Sie, bis die Rechte über Exchange weitergegeben wurden
Schritt 2 – Option 2. „Vollzugriff" über PowerShell zuweisen
Passen Sie das nachstehende Skript an die spezifische Installation Ihrer Organisation an.
$serviceAccount = "GDPRscan@corperatedomain.xxx" #Account to assign full mailbox access permissions to.
$globalAdminUser = "TheGlobaladmin@corperateadom.xxx" #Account with rights to assign permissions
$globalAdminPassword = "EnterPasswordHere" #Password for account with rights to assign permissions
$securePassword = ConvertTo-SecureString $globalAdminPassword -AsPlainText -Force
$Cred = New-Object System.Management.Automation.PSCredential($globalAdminUser, $securePassword)
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $Cred -Authentication Basic -AllowRedirection
Import-PSSession $Session -AllowClobber
Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq 'UserMailbox')} |
ForEach {Add-MailboxPermission -Identity $_.SAMAccountName -User $serviceAccount -AccessRights FullAccess -InheritanceType all -WarningAction SilentlyContinue}
Remove-PSSession $Session
Denken Sie daran, die Basisauthentifizierung für EWS auf dem Exchange-Server zu aktivieren
Bevor Sie das Dienstkonto einrichten und den Zugriff delegieren, ist es wichtig zu prüfen, ob Ihr Exchange-Server korrekt konfiguriert wurde, um den „Papierkorb" zu verwenden.
Dies stellt sicher, dass gelöschte Elemente bei Bedarf wiederhergestellt werden können. Microsoft stellt umfassende Anleitungen zur Konfiguration der „Papierkorb"-Funktion bereit, die Sie hier finden können: HIER.
Bitte beachten Sie bei einem gemeinsam genutzten Postfach Folgendes! 1. Das AD muss mit Azure AD synchronisiert werden (damit können wir erkennen, welches Postfach freigegeben ist) 2. Das für den Scan über Basisauthentifizierung verwendete Dienstkonto muss über eine gültige E-Mail-Adresse verfügen und vollständigen Zugriff auf das gemeinsam genutzte Postfach haben, das gescannt werden soll.