Na co si dát pozor při migraci pošty do Exchange Online – I. část
Migrace poštovního systému může být velice jednoduchou, ale stejně tak poměrně komplikovanou záležitostí. Situace se odvíjí od celé řady aspektů, ať už je to velikost organizace, bezpečnostní požadavky, typ migrace, forma koexistence atd. Vždy jsou ale klíčové dvě oblasti:
-
Aktuálně provozovaný systém a
-
Požadovaný cílový stav.
Jak už samotný název článku napovídá, ulehčili jsme jednu část rovnice a cílovou službou pro nás bude Exchange Online (dále jen EXO) - Software as a Service (SaaS) v cloudu od společnosti Microsoft. Pojďme se společně podívat na oblasti, které vyžadují při migraci naši pozornost a které mohou způsobit nemalé problémy 📢.
Identity a adresáti 👨👩👧👦
Základní oblastí migrace poštovního systému jsou vždy identity, nebo lépe řečeno, adresáti. Pod adresáty si můžeme představit objekt typu uživatelská schránka, sdílená schránka, kontakt, uživatel se schránkou mimo organizaci, schránka místnosti, schránka zdroje a samozřejmě skupina, ať už distribuční nebo bezpečnostní.
EXO je cloudovou službou závislou na vlastní adresářové službě Azure AD. Je tedy nutné, aby byly identity dostupné na tomto místě. EXO nabízí zmíněné spektrum adresátů a je důležité, jak jsou uvedené objekty mapovány na objekty ze stávajícího systému. Situaci nám velice ulehčí varianta, pokud je aktuální systém Microsoft Exchange nebo jiný systém využívající identity v lokálním Active Directory (AD), protože tyto identity lze synchronizovat do Azure AD, například pomocí služby Azure AD Connect. Azure AD samozřejmě nabízí tvorbu a provoz čistě cloudových identit, které se nesynchronizují. Každá společnost se musí rozhodnout, zda se vydá cestou cloudových nebo synchronizovaných identit. Lze zvážit i kombinaci obou typů a technicky je možné synchronizovaný objekt převést na cloudový a opačně.
V případě, že migrace pošty probíhá ze systému, který nemá a nebude mít návaznost na lokální AD, bude se nejspíše jednat o scénář s cloudovými identitami. Na začátku migrace bych doporučil rozhodnout:
-
o typech objektů zdroj versus cíl,
-
přes jaký atribut nebo identifikátor bude objekt v obou systémech dohledatelný,
-
kdo bude zdrojem cílových identit (AD nebo Azure AD) a
-
jak i kdy budou identity tvořeny či udržovány v čase.
V EXO nelze provozovat identity s neveřejnými doménami a u synchronizovaných identit pak dále záleží i na autentizačním mechanismu, který se bude vůči doméně bude používat (Azure Hybrid Identity Authentication Methods).
Tenant 🌩
EXO je součástí instancí cloudu nazývanou tenant. Jedna doména může být provozována právě v jednom tenantu a samotný tenant může být hostován v různých lokalitách. Doporučuji ověřit, zda vaše společnost již tenantem nedisponuje, nebo zda neexistují speciální podmínky k jeho výběru, například právní nebo geolokační. Služby a data mezi jednotlivými tenanty zatím nejde jednoduše přenášet, takže výběr tenantu je, dle mého názoru, velice důležitým krokem. Mohou existovat společnosti, které mají značky po celém světě a mají snahu využívat pouze jeden centrální tenant, třeba i s návazností na více AD forestů, nebo naopak se mohou vydat cestou více samostatných tenantů. Výběr centrálního nebo dedikovaného tenantu může být posuzován z několika hledisek, například uživatelské spolupráce, delegačního modelu, business strategie nebo technických i netechnických aspektů.
Může také existovat situace, že se migrace plánuje vůči tenantu, který již existuje nějakou dobu a vzniká otázka, zda je nastaven vzhledem k potřebám provozu přenášené poštovní služby. Tenantem bychom měli chápat cílové prostředí jako celek. Jsou pro nás tedy důležité vazby mezi službami v tenantu a samotné možnosti nastavení EXO a Exchange Online Protection služby.
Licence a služby 🎯
EXO je licencovanou službou per uživatel dostupnou samostatně jako plán, nebo součástí licenčního balíčku, například Microsoft 365 Business Standard. Samostatné plány mohou být typu Exchange Online Kiosk, Exchange Online Plan 1 a Exchange Online Plan 2. Jednotlivé balíčky mohou obsahovat EXO službu určitého plánu, takže pro správný výběr licence bývá ideální mít přehled o jednotlivých funcích v plánech (Exchange Online service description) a samotných balících (Office and Microsoft 365 comparison). Například Kiosk neumožňuje využití desktopového klienta, Plan 1 poskytuje nižší kapacitu schránky atd. Obecně platí, a já bych se k této variantě také přikláněl, že je cenově výhodnější kupovat balíky licencí, a nikoliv samostatné plány.
EXO je pouze službou z rozmanitého portfolia Office/Microsoft 365, takže licence bývají důležitým rozhodnutím nejen vzhledem k migraci, ale i k technické, bezpečnostní a finanční firemní strategii. Součástí všech EXO plánů je služba Exchange Online Protection (EOP) poskytující kvalitní anti-spam a anti-virus řešení, ale i zde existují licence poskytující pokročilé bezpečnostní funkce, například safe links nebo safe attachment, které jsou skvělé v boji proti ransomware. Lze tedy zvážit zakoupení licence Office 365 Advanced Threat Protection nebo vyššího balíku s ohledem na požadované funkce cílového poštovního systému.
Licence jsou komplexní záležitostí a z mého pohledu by měly být vybírány v širším kontextu, a nikoliv pouze v kontextu migrace pošty. Potřebujete zajistit podmíněný přístup do služby? Vyžadujete pokročilou správu mobilních zařízení? Máte k dispozici podporovaný operační systém nebo balík Office pro EXO? Plánujeme konzumaci dalších služeb, například Microsoft Teams nebo OneDrive for Business? Všechny tyto otázky a mnoho dalších by měly být ideálně zohledněny při výběru licence.
Online služba ⚡
EXO je cloudovou službou a pro její konzumaci se využívá internetová konektivita, takže jednou ze stěžejních záležitostí je síťové nastavení, ať už z pohledu klientů nebo migračních serverů, například Exchange Classic Full Hybrid – oboustranné propojení lokálních serverů a EXO pro HTTPs a SMTP. V této oblasti by měly být pro nás zásadní informace ze stránky Office 365 URLs and IP address ranges. Na stránkách můžeme najít typy přístupových bodů a jejich jména, IP adresy i porty. Přístupové body se mění v čase, takže by mělo být pro nás důležité, aby se změny reflektovaly i do související konfigurace, například proxy nebo FW prostupy. Pokud to síťové prvky podporují, lze využívat webovou službu pro jejich automatickou konfiguraci. K dnešnímu dni lze stále změny monitorovat přes RSS kanál, ale jak bylo oznámeno tato možnost bude brzy odstraněna. Další možnost může být vlastní automatizace a monitoring změn, viz příklad s Microsoft Flow. Z pohledů klientů a řízení přístupu do služby je doporučována cesta přes PAC/WPAD. Základní principy pro připojení vůči Office 365 jsou popsány zde. Velmi užitečnou informací můžou být pro nás kategorie přístupových bodů (allow, optimize, default), který při zjednodušení říká následující:
-
Bypass or whitelist Allow endpoints on network devices and services that perform traffic interception, SSL decryption, deep packet inspection and content filtering
-
Bypass or whitelist Optimize endpoints on network devices and services that perform traffic interception, SSL decryption, deep packet inspection and content filtering
-
Default endpoints represent Office 365 services and dependencies that do not require any optimization, and can be treated by customer networks as normal Internet bound traffic. Note that some endpoints in this category may not be hosted in Microsoft datacenters.
Tady bych ukončil první část. V následující části se společně podíváme na jednotlivé typy migrací a v poslední části pak na problematická místa samotné migrace.
Sdílej v médiích