Eine einfache Möglichkeit, D&MCS Zugang zu gewähren, ist die Erstellung eines Servicekontos mit Delegationsrechten für die Zielkonten
Ein Servicekonto mit Delegationsrechten hat Zugriff auf das E-Mail-Konto des delegierten Benutzers. Dies ermöglicht es dem D&MCS, die Mailkonten zu scannen.
Alle Mail-Konten, die von D&MCS gescannt werden sollen, müssen an ein Servicekonto delegiert werden. Das Servicekonto wird dann von D&MCS verwendet, um auf alle Konten zuzugreifen
Schritt 1: Einrichten eines neuen Servicekontos mit einer gültigen E-Mail.
Wir empfehlen den Namen für das Konto: gdprscan@deinedomain.de
- Stelle sicher, dass das Servicekonto E-Mails senden und empfangen kann.
- Aktiviere NICHT die Multi-Faktor-Authentifizierung.
- Konfiguriere das Passwort so, dass es nie abläuft.
Schritt 2 - Option 1: Zuweisung des Zugriffs mittels Delegation
Für den Zugriff auf die einzelnen Postfächer und Freigaben verwenden wir ein individuelles GDPR-Scanner-Konto mit minimalen Rechten. Um das GDPRscan-Konto zu erstellen, gehe wie folgt vor:
- Melde dich mit dem globalen Administratorenkonto an
- Gehe zur Benutzerverwaltung und erstelle ein normales Benutzerkonto mit einer gültigen E-Mail. Bitte nenne es gdprscan@deinedomain.de
- Gehe zu Exchange Admin Center -> Berechtigungen (Permissions) -> Discovery Management und füge das Konto gdprscan@deinedomain.de hinzu.
Mit den obigen drei Schritten kann D&M die Konten auf Eurem Exchange Server sehen, aber es kann nicht den Inhalt der Konten scannen. Um den tatsächlichen Inhalt eines Outlook-Kontos zu lesen, muss jedes der Konten, die gescannt werden sollen, an gdprscan@deinedomain.de delegiert werden. Dadurch ist gdprscan@deinedomain.de in der Lage, den Inhalt von Benutzerpostfächern zu lesen.
Um die Delegierung für ein bestimmtes Konto einzurichten, folge den untenstehenden Schritten:
- Melde dich mit einem globalen Administratorkonto an oder verwende ein Konto mit der Rolle „Benutzeradministrator“.
- Gehe zu dem Benutzer, den du scannen möchtest.
- Bearbeite den Benutzer (Edit user) -> Einstellungen für E-Mails (Mail Settings) -> Postfachberechtigungen (Mailbox permissions).
- Füge "Lesen und Verwalten" (Read and Manage) bei dem Benutzer gdprscan@deinedomain.de hinzu.
- Setze die Delegierung für die Benutzer fort, die du zum D&M Toolbox hinzufügen möchtest.
- Warte, bis die Rechte im Exchange-System propagiert wurden.
Schritt 2 - Option 2: Zuweisung von "Vollzugriff" über PowerShell
Passe das folgende Skript an die spezifische Installation deiner Organisation an:
$serviceAccount = "gdprscan@corperatedomain.xxx" #Konto, dem Vollzugriff auf das Postfach zugewiesen werden soll.
$globalAdminUser = "Globaleradmin@corperateadom.xxx" #Ein Konto mit Berechtigungen zur Zuweisung von Rechten.
$globalAdminPassword = "PasswortHierEingeben" #Passwort für das Konto mit Berechtigungen zur Zuweisung von Rechten.
$securePassword = ConvertTo-SecureString $globalAdminPassword -AsPlainText -Force
$Cred = New-Object System.Management.Automation.PSCredential($globalAdminUser, $securePassword)
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $Cred -Authentication Basic -AllowRedirection
Import-PSSession $Session -AllowClobber
Get-Mailbox -ResultSize unlimited -Filter {(RecipientTypeDetails -eq 'UserMailbox')} |
ForEach {Add-MailboxPermission -Identity $_.SAMAccountName -User $serviceAccount -AccessRights FullAccess -InheritanceType all -WarningAction SilentlyContinue}
Remove-PSSession $Session
Denke daran, die Basisauthentifizierung für EWS (Exchange Web Services) auf dem Exchange-Server zu aktivieren.
Bevor Du das Servicekonto einrichtest und den Zugriff delegierst, ist es wichtig zu überprüfen, ob Dein Exchange-Server korrekt konfiguriert wurde, um den „Papierkorb“ zu nutzen.
Dies stellt sicher, dass gelöschte Elemente bei Bedarf wiederhergestellt werden können. Microsoft bietet umfassende Anleitungen zur Konfiguration der „Papierkorb“-Funktion, die Du HIER finden kannst.
Für ein freigegebenes Postfach, stelle sicher:
- Das Active Directory (AD) muss mit Azure AD synchronisiert werden (dies ermöglicht es uns zu erkennen, welches Postfach freigegeben ist).
- Das Servicekonto, das für das Scannen über die Basisauthentifizierung verwendet wird, muss ein gültiges E-Mail-Konto haben und Vollzugriff auf das freigegebene Postfach haben, das gescannt werden soll.