Gå til indholdet

Klargøring af teknisk konfiguration for DPG Service

Dette dokument beskriver den nødvendige tekniske konfiguration for nye DPG-kunder med Exchange Online.

App-registrering og konfiguration skal udføres af kunden, og det er den udpegede tekniske kontakts ansvar at fungere som ét centralt kontaktpunkt og at koordinere alle nødvendige ressourcer hos kunden under DPG- implementeringsprojektet.

Bemærk, at denne proces kun skal udføres én gang i forbindelse med den indledende konfiguration og levering. Når dette er gjort, bør du ikke foretage ændringer i app-registreringen, medmindre du bliver instrueret af Timengo DPG Support.

For oplysninger om, hvordan du klargør DPG Outlook Office Addin, se Konfiguration af DPG Outlook Office Addin.

Postkasser: Navngivning, brugere og rettigheder

  • En DPG-systempostkasse skal oprettes som en licenseret postkasse. Det anbefales at navngive den dpg@<CUSTOMER.NAME>.
  • En eller flere sikre postkasser (a.k.a. funktionspostkasser) skal allerede eksistere eller oprettes. De navngives typisk sikkerpost@<CUSTOMER.NAME>, hr@<CUSTOMER.NAME>, finance@<CUSTOMER.NAME> osv. De kan oprettes som delte postkasser eller som licenserede postkasser. Hvis OME (Office Message Encryption) er aktiveret, skal du bruge licenserede postkasser.
  • Alle brugere, som skal kunne sende sikkert med DPG, skal have følgende rettigheder sat:
    • Send on Behalf kun til de sikre postkasser, de skal kunne sende fra
    • Full Access kun til de sikre postkasser, de skal kunne få adgang til
  • Der skal oprettes en Mail-enabled Security-gruppe. Det anbefales at navngive den GRP-DPG-SecureMailboxes@<CUSTOMER.NAME>. Alle sikre postkasser skal være medlemmer af gruppen.

Krav til postkasser, anbefalinger og best practice

Følgende anbefalinger og best practice er understøttet af eksempler.

  • Både systempostkassen og alle sikre postkasser (funktionspostkasser) skal sættes med en meddelelsesgrænse på 150MB.

    Sådan sætter du postkasse-specifikke størrelsesgrænser

    Dette eksempel viser, hvordan du sætter postkasse-specifikke størrelsesgrænser:

    <#
Set mailbox-level message size limits
#>
Set-Mailbox -Identity "dpg" -MaxSendSize 150MB -MaxReceiveSize 150MB
<#
Verify that mailbox message limits have been set to 150 MB
#>
Get-Mailbox -Identity "dpg" | Select MaxSendSize, MaxReceiveSize

  • Systempostkassen må ikke konfigureres som ressource- eller rum-postkasse.

  • Skjul kun systempostkassen fra GAL (generel adresseliste) (Hide from address lists).

    Sådan skjuler du en postkasse fra adresselister

    Dette eksempel viser, hvordan du skjuler en postkasse fra adresselister:

    <#
Hide mailbox from address lists
#>
Set-Mailbox -Identity "dpg" -HiddenFromAddressListsEnabled $true
<#
Verify that mailbox is hidden from address lists
#>
Get-Mailbox -Identity "dpg" | Format-List HiddenFromAddressListsEnabled

  • Sproget for systempostkassen skal altid sættes til engelsk for at undgå fejl med mappenavne og ATP-scanning.

    Sådan sætter du postkassesprog til en-US

    Dette eksempel viser, hvordan du sætter postkassesprog til en-US:

    <#
Set the mailbox language
#>
Set-MailboxRegionalConfiguration -Identity "dpg" -Language en-US `
-LocalizeDefaultFolderName -DateFormat "yyyy-MM-dd" -TimeFormat "HH:mm"
<#
Verify that the mailbox language is set
#>
Get-Mailbox -Identity "dpg" | Format-List Languages

  • Deaktivér retention for systempostkassen, hold den på et lavt antal dage, og udeluk den fra retention-politikker. Da systempostkassen er meget travl, kan retention medføre, at systempostkassen løber tør for plads.

    Sådan identificerer du, om retention-politik er aktiveret

    Dette eksempel viser en måde at identificere, om en retention-politik er aktiveret.
    Bemærk: Hvis der findes en retention GUID, skal du sikre, at retention er deaktiveret for systempostkassen – se f.eks. "Mailbox Retention Policy", "Retention Policy" eller "Inplace holds":

    <#
See if a retention GUID exists
#>
Get-Mailbox -identity "dpg" | Select Name, InPlaceholds | FL

  • Systempostkassen skal overvåges regelmæssigt af en administrator. Se efter resterende læste e-mails (indikator på fejl i mailbehandling), og sørg for, at postkassen ikke vokser i størrelse. Som hovedregel bør systempostkassen kun indeholde mails i den korte periode, hvor DPG behandler dem, og når DPG har gennemført succesfuldt, bliver mails automatisk slettet fra postkassen.

  • Overvej at bruge Security Groups til administration af postkasserettigheder.
  • Deaktivér https://myanalytics.microsoft.com/ for systempostkassen.

DPG SaaS-integration - Azure Graph og OAuth-konfiguration

DPG forbinder til Azure som en Registered Application og autentificerer med OAuth 2.0. E-mails hentes fra systempostkassen via Graph, og DPG- applikationen har kun adgang til systempostkassen.

Konfiguration

  1. Log ind på https://portal.azure.com som administrator, og søg efter Microsoft Entra ID.

  2. Gå til App registrations, og vælg New registration. Indsæt et Name, sæt Redirect URI til Public client/native (mobile & desktop), og sæt værdien til urn:ietf:wg:oauth:2.0:oob. Vælg Register for at afslutte:

    Register app

  3. For den App registration, du lige har oprettet, notér Application (client) ID og Directory (tenant) ID. Begge findes i sektionen Overview:

    Get IDs

  4. Gå til API permissions og vælg Add a permission. Klik på Microsoft Graph og derefter Application permissions.

    1. Gå til sektionen Mail, og vælg Mail.ReadWrite.
    2. Gå til sektionen User, og vælg User.Read.All
    3. Gå til sektionen for GroupMember, og vælg GroupMember.Read.All.
    4. Vælg Add permissions for at afslutte:

    Add permissions

    Add permissions

    Add permissions

    Add permissions

    Add permissions

  5. Klik på Grant admin consent for <customer>.

    Grant admin consent

  6. Accepter de ønskede rettigheder, hvis du bliver bedt om det.

    Accept permissions

  7. Kontrollér, at alle applikationsrettigheder er sat og givet.

    Accept permissions

  8. Vælg nu Certificates & secrets. Du har to muligheder for at bevise applikationens identitet. DPG understøtter begge:

    • Brug af certifikat (anbefalet):

      Vælg Upload certificate, find den certifikatfil (public key) .cer, der skal bruges, og vælg Add. Det anbefales at bruge en .cer-fil for et organisationscertifikat, som skal installeres i DPG.

      Hvis du har adgang til at logge ind på TIMENGO DPG portal, kan du nemt hente .cer-versionen af et organisationscertifikat (organisationscertifikat). Gå til Certificate Check, slå certifikatet op, og vælg knappen for at downloade:

      Get certificate

      Når det er gennemført, kan du se, at certifikatet er installeret:

      Certificate installed

      Meget vigtigt

      Certifikater udløber, så certifikatet skal opdateres, hver gang det fornyes. Husk, at det nye 'organisationscertifikat' også skal installeres i DPG-servicen – ellers vil DPG ikke kunne forbinde!

    • Brug af hemmelig streng (IKKE anbefalet):

      Vælg New client secret, navngiv den "DPG client secret", sæt den fx til 24 måneder, og vælg Add:

      Secret string

      Client secret (a.k.a. application password) vises, og det er vigtigt at kopiere adgangskoden:

      Secret string

  9. Brug PowerShell til at oprette en ny ApplicationAccessPolicy. Opdatér efter behov for:

    • EMAIL_ADDRESS_OF_THE_SYSTEM_MAILBOX
    • APPLICTION_CLIENT_ID
    $Desc = "Restrict DPG application to only the system mailbox"
$DPGSystemMailbox = "EMAIL_ADRESS_OF_THE_SYSTEM_MAILBOX"
$AppId = "APPLICATION_CLIENT_ID"

New-ApplicationAccessPolicy -AppId $AppId -PolicyScopeGroupId `
$DPGSystemMailbox -AccessRight RestrictAccess -Description $Desc

    Example

    PS example

  10. Bekræft, at ApplicationAccessPolicy er anvendt korrekt ved at køre PowerShell nedenfor. Adgang til systempostkassen skal vise Granted, og adgang til en vilkårlig postkasse skal vise Denied.

    Opdatér efter behov for:

    • EMAIL_ADDRESS_OF_THE_SYSTEM_MAILBOX
    • EMAIL_ADDRESSS_OF_A_RANDOM_MAILBOX
    • APPLICATION_CLIENT_ID
    $DPGSystemMailbox = "EMAIL_ADRESS_OF_THE_SYSTEM_MAILBOX"
$TestUser = "EMAIL_ADDRESS_OF_A_RANDOM_MAILBOX"
$AppId = "APPLICATION_CLIENT_ID"

Test-ApplicationAccessPolicy -Identity $DPGSystemMailbox -AppId $AppId 
Write-host "Make sure this permission is set to Granted" `
-ForegroundColor Green
Pause
Test-ApplicationAccessPolicy -Identity $TestUser -AppId $AppId 
Write-host "Make sure this permission is set to Denied" `
-ForegroundColor Red

    Example

    PS example

Overdragelse til Timengo DPG

Efter at have gennemført konfigurationstrinene skal du overdrage følgende oplysninger til Timengo DPG som angivet i velkomstbrevet:

  • Mailadresse på DPG-systempostkasse
  • Mailadresser på de sikre postkasser
  • Mailadresse på Mail-Enabled Security Group
  • Konfigurationsoplysninger for DPG SaaS-integration - Azure Graph og OAuth-konfiguration:
    • Application (client) ID
    • Directory (tenant) ID
    • Mailadresse på det anvendte 'organisationscertifikat'

Du har nu gennemført DPG SaaS-integration - Azure Graph og OAuth-konfiguration for DPG Service.

For oplysninger om, hvordan du klargør DPG Outlook Office Addin, se Konfiguration af DPG Outlook Office Addin.