Ett enkelt sätt att ge åtkomst till D&MCS är att skapa ett tjänstkonto med delegeringsrättigheter och fullständig åtkomst till målkonton
Ett tjänstkonto med delegeringsrättigheter har åtkomst till den delegerade användarens e-postkonto. Detta gör det möjligt för D&MCS att skanna e-postkontona.
Det e-postkonto som ska skannas av D&MCS måste delegeras till ett tjänstkonto. Tjänstkontot används sedan av D&MCS för att få åtkomst till alla konton.
Steg 1. Konfigurera ett nytt tjänstkonto med en giltig e-postadress.
Vi rekommenderar att kontot namnges: GDPRscan@yourdomain.xx
- Se till att tjänstkontot kan skicka och ta emot e-post
- Aktivera INTE multifaktorautentisering.
- Ställ in lösenordet på "går aldrig ut"
Steg 2. Alternativ 1 – Tilldela åtkomst via delegering
För att få åtkomst till enskilda postlådor och delade resurser använder vi ett anpassat GDPR-skannerkonto med minimala rättigheter. Gör följande för att skapa GDPRscan-kontot:
Logga in med det globala administratörskontot
Gå till användaradministration och skapa ett vanligt användarkonto med en giltig e-postadress. Namnge det GDPRscan@yourdomain.com
Gå till Exchange Admin Center -> Behörigheter -> Identifieringshantering och lägg till kontot GDPRscan@yourdomain.com
De tre ovanstående stegen ger D&M möjlighet att se kontona på er Exchange-server, men det kommer inte att kunna skanna innehållet i kontona. För att läsa det faktiska innehållet i ett Outlook-konto måste vart och ett av de konton som ska skannas delegeras till GDPRscan@yourdomain.com. Detta ger GDPRscan@yourdomain.com möjlighet att läsa innehållet i användarnas postlådor.
Följ stegen nedan för att konfigurera delegering för ett specifikt konto:
Logga in med ett globalt administratörskonto eller använd ett konto med rollen användaradministratör.
Gå till den användare som ni vill skanna
Redigera användare -> E-postinställningar -> Postlådebehörigheter
Lägg till GDPRscan@yourdomain.com till användaren Läs och Hantera
Fortsätt delegera de användare som ni vill lägga till i D&M Toolbox
Vänta på att rättigheterna propageras genom Exchange
Steg 2 – Alternativ 2. Tilldela "Fullständig åtkomst" via PowerShell
Anpassa skriptet nedan för att passa er organisations specifika installation.
$serviceAccount = "GDPRscan@corperatedomain.xxx" #Account to assign full mailbox access permissions to.
$globalAdminUser = "TheGlobaladmin@corperateadom.xxx" #Account with rights to assign permissions
$globalAdminPassword = "EnterPasswordHere" #Password for account with rights to assign permissions
$securePassword = ConvertTo-SecureString $globalAdminPassword -AsPlainText -Force
$Cred = New-Object System.Management.Automation.PSCredential($globalAdminUser, $securePassword)
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $Cred -Authentication Basic -AllowRedirection
Import-PSSession $Session -AllowClobber
Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq 'UserMailbox')} |
ForEach {Add-MailboxPermission -Identity $_.SAMAccountName -User $serviceAccount -AccessRights FullAccess -InheritanceType all -WarningAction SilentlyContinue}
Remove-PSSession $Session
Kom ihåg att aktivera grundläggande autentisering för EWS på Exchange-servern
Innan ni konfigurerar tjänstkontot och delegerar åtkomst är det viktigt att kontrollera om er Exchange-server har konfigurerats korrekt för att använda "Papperskorgen".
Detta säkerställer att borttagna objekt kan återställas vid behov. Microsoft tillhandahåller omfattande guider om hur man konfigurerar funktionen "Papperskorgen", vilka finns HÄR.
För en delad postlåda, observera! 1. AD måste synkroniseras med Azure AD (detta gör det möjligt för oss att läsa vilken postlåda som är delad) 2. Det tjänstkonto som används för skanning via grundläggande autentisering måste ha ett giltigt e-postkonto och måste ha fullständig åtkomst till den delade postlåda som ska skannas.