Forskel mellem versioner af "Microsoft Office 365"

Fra NørderiWiki
Skift til: Navigation, Søgning
(Omdøbe brugere)
(Convert AD connect synced user to shared mailbox)
(36 mellemliggende versioner af den samme bruger vises ikke)
Linje 32: Linje 32:
 
*Du er færdig :-)
 
*Du er færdig :-)
  
= PowerShell adgang =
+
= PowerShell =
  
 +
== Forbinde ==
 
Installer: [http://technet.microsoft.com/en-us/library/jj151815.aspx#BKMK_Requirements Windows Azure AD Module for Windows PowerShell] for at få adgang til alle cmdlets. Kræver: [http://www.microsoft.com/da-dk/download/details.aspx?id=41950 Microsoft Online Services Logonassistent]
 
Installer: [http://technet.microsoft.com/en-us/library/jj151815.aspx#BKMK_Requirements Windows Azure AD Module for Windows PowerShell] for at få adgang til alle cmdlets. Kræver: [http://www.microsoft.com/da-dk/download/details.aspx?id=41950 Microsoft Online Services Logonassistent]
  
$cred = Get-Credential
 
Login med admin bruger
 
 
<pre style="white-space: pre-wrap;  
 
<pre style="white-space: pre-wrap;  
 
white-space: -moz-pre-wrap;
 
white-space: -moz-pre-wrap;
Linje 43: Linje 42:
 
white-space: -o-pre-wrap;  
 
white-space: -o-pre-wrap;  
 
word-wrap: break-word">
 
word-wrap: break-word">
$O365 = New-PSSession -ConfigurationName Microsoft.Exchange –ConnectionUri https://ps.outlook.com/powershell -Credential $cred -Authentication Basic –AllowRedirection
+
$UserCredential = Get-Credential
$importcmd = Import-PSSession $O365
+
(log på med en office 365 global administrator konto)
import-module MSOnline
+
 
Connect-MsolService –Credential $cred
+
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
 +
 
 +
Import-PSSession $Session
 
</pre>
 
</pre>
 
[https://docs.microsoft.com/en-us/office365/enterprise/powershell/cmdlet-references-for-office-365-services Cmdlet references for Office 365 services]
 
[https://docs.microsoft.com/en-us/office365/enterprise/powershell/cmdlet-references-for-office-365-services Cmdlet references for Office 365 services]
  
== Mailboks adgang ==
+
== Simple opgaver ==
 
+
=== Mailboks adgang ===
 
bruger@ får fuld adgang til mail@
 
bruger@ får fuld adgang til mail@
 
  Add-MailboxPermission -Identity mail@domain.dk -User bruger@domain.dk -AccessRights FullAccess -InheritanceType All
 
  Add-MailboxPermission -Identity mail@domain.dk -User bruger@domain.dk -AccessRights FullAccess -InheritanceType All
Linje 57: Linje 58:
 
  -AutoMapping:$false  
 
  -AutoMapping:$false  
  
=== Sende som ===
+
==== Sende som ====
 
  Add-RecipientPermission mail@domain.dk -AccessRights SendAs -Trustee bruger@domain.dk
 
  Add-RecipientPermission mail@domain.dk -AccessRights SendAs -Trustee bruger@domain.dk
  
=== Fjerne adgang ===
+
==== Fjerne adgang ====
 
  Remove-MailboxPermission -Identity mail@domain.dk -User bruger@domain.dk -AccessRights FullAccess -InheritanceType All
 
  Remove-MailboxPermission -Identity mail@domain.dk -User bruger@domain.dk -AccessRights FullAccess -InheritanceType All
  
== Dele kalender ==
+
=== Dele kalender ===
  
 
  Add-MailboxFolderPermission -Identity “user2@domain.dk:\Kalender” -AccessRights PublishingEditor -User user1@domain.dk
 
  Add-MailboxFolderPermission -Identity “user2@domain.dk:\Kalender” -AccessRights PublishingEditor -User user1@domain.dk
  
[http://blogs.mccombs.utexas.edu/the-most/2011/06/24/change-sharing-permissions-in-your-outlook-calendar/ Sharing Permissions in Your Outlook Calendar]
+
=== Offentliggøre kalender  ===
 
+
== Offentliggøre kalender  ==
+
  
 
  Set-MailboxCalendarFolder -Identity mailbox-alias:\calendar -PublishEnabled $true
 
  Set-MailboxCalendarFolder -Identity mailbox-alias:\calendar -PublishEnabled $true
Linje 78: Linje 77:
 
[http://technet.microsoft.com/en-us/library/dd298124.aspx Læs mere om parametrene på kommandoen]
 
[http://technet.microsoft.com/en-us/library/dd298124.aspx Læs mere om parametrene på kommandoen]
  
== Sætte sprog på standard mapper ==
+
=== Sætte sprog på standard mapper ===
  
 
  $users = Get-Mailbox
 
  $users = Get-Mailbox
Linje 84: Linje 83:
  
 
Nu kommer den første gangs "popup" i OWA heller ikke mere.
 
Nu kommer den første gangs "popup" i OWA heller ikke mere.
 +
 +
== Convert AD connect synced user to shared mailbox ==
 +
 +
From: https://serverfault.com/questions/865495/convert-ad-connect-synced-user-to-shared-mailbox
 +
 +
 +
*Deleted user from local AD
 +
*Forced sync with AD connect
 +
*Go to Office admin panel > deleted users
 +
*Recover the user. I now see it as "cloud" account.
 +
*Remove the ImmutableID after user is recovered: Set-MSOLUser -UserPrincipalName user@domain.com -ImmutableID "$null"
 +
*When user is recovered, use "convert to shared mailbox".
 +
*Remove licenses from user.
 +
It now is a shared mailbox, not using licensed, and not synced from local AD. Just what we wanted.
 +
 +
== Gendanne data ==
  
 
== Tilføje ekstra domæne på alle brugere ==
 
== Tilføje ekstra domæne på alle brugere ==
Linje 115: Linje 130:
  
 
Husk at gøre administratoren medlem af Discovery Management.
 
Husk at gøre administratoren medlem af Discovery Management.
 +
 +
Tjek security and compliance
  
 
På afsender:
 
På afsender:
Linje 167: Linje 184:
 
[http://blogs.technet.com/b/kpalmvig/archive/2013/02/28/office-365-convert-user-mailbox-to-shared-mailbox.aspx Office 365: Convert User Mailbox to Shared Mailbox]
 
[http://blogs.technet.com/b/kpalmvig/archive/2013/02/28/office-365-convert-user-mailbox-to-shared-mailbox.aspx Office 365: Convert User Mailbox to Shared Mailbox]
  
== DirSync - Omdøbe brugere ==
+
== Omdøbe brugere ==
 
Har en bruger i AD fået nyt brugernavn, og dermed skal have nyt brugernavn i Office 365 også, skal der køres denne Powershell:
 
Har en bruger i AD fået nyt brugernavn, og dermed skal have nyt brugernavn i Office 365 også, skal der køres denne Powershell:
  
Linje 176: Linje 193:
 
  Set-RemoteDomain Default -TNEFEnabled $false
 
  Set-RemoteDomain Default -TNEFEnabled $false
  
http://community.office365.com/en-us/f/160/t/4000.aspx
+
== Lave mapper på bruger konto ==
  
http://help.outlook.com/140/gg263346.aspx#DisableAllTNEF
+
https://gallery.technet.microsoft.com/office/Create-folders-in-users-4630c241#content
  
  
 +
.\Create-MailboxFolder.ps1 -Credentials (Get-Credential) -Mailbox "c:\temp\mailboxes.txt" -RequiredFolders "Undermappe til roden" -ParentFolder "WellKnownFolderName.MsgFolderRoot" -EwsUrl 'https://outlook.office365.com/EWS/Exchange.asmx' -Impersonate
  
http://support.microsoft.com/kb/2428507
+
== Lave regler på bruger konto ==
  
$Mailbox = Get-Mailbox -Identity user@domain.dk
+
https://www.slipstick.com/office-365/create-rules-powershell/
$Mailbox.EmailAddresses
+
  
 
== Password ==
 
== Password ==
Linje 196: Linje 213:
 
  Set-MsolUserPassword -userPrincipalName bruger@domain.dk -NewPassword "P@ssw0rd" -ForceChangePassword $false
 
  Set-MsolUserPassword -userPrincipalName bruger@domain.dk -NewPassword "P@ssw0rd" -ForceChangePassword $false
  
=== Ændre password for flere brugere ===
+
=== Ændre password for flere brugere bulk ===
 
  Import-Csv c:\Brugere.csv|%{Set-MsolUserPassword -userPrincipalName $_.UserPrincipalName -NewPassword P@ssw0rd -ForceChangePassword $false}
 
  Import-Csv c:\Brugere.csv|%{Set-MsolUserPassword -userPrincipalName $_.UserPrincipalName -NewPassword P@ssw0rd -ForceChangePassword $false}
  
Linje 202: Linje 219:
 
  UserPrincipalName
 
  UserPrincipalName
 
  bruger@domain.dk
 
  bruger@domain.dk
 +
 +
= Spam håndtering =
 +
 +
Hvordan man undgår at mails kommer i spam. Både dem man modtager og afsender.
 +
 +
SPF
 +
 +
IP whitelist - Forbindelsesfilter
 +
 +
https://stellar.zendesk.com/hc/en-us/articles/360000400366-Office-365-How-to-Bypass-Spam-Filtering
 +
 +
https://support.office.com/en-gb/article/prevent-email-from-being-marked-as-spam-in-office-365-and-exchange-online-protection-74aaade0-efc0-46ac-b949-f2d1d59256fa
 +
 +
Get-MailboxJunkEmailConfiguration
 +
 +
 +
Se også Tips til beskyttelse af konto og domæne længere nede
 +
 +
 +
== Warn users when an email arrives from a sender with the same display name as someone in your organisation ==
 +
https://gcits.com/knowledge-base/warn-users-external-email-arrives-display-name-someone-organisation/
 +
 +
= Konto sikkerhed =
 +
 +
https://docs.microsoft.com/en-us/office365/admin/add-users/let-users-reset-passwords?view=o365-worldwide
 +
 +
https://docs.microsoft.com/da-dk/office365/admin/security-and-compliance/set-up-multi-factor-authentication?view=o365-worldwide
 +
 +
https://docs.microsoft.com/da-dk/office365/securitycompliance/security-roadmap?redirectSourcePath=%252farticle%252fOffice-365-security-roadmap-Top-priorities-for-the-first-30-days-90-days-and-beyond-28c86a1c-e4dd-4aad-a2a6-c768a21cb352
 +
 +
https://docs.microsoft.com/en-us/office365/securitycompliance/responding-to-a-compromised-email-account
 +
 +
= OME / RMS sikker mail =
 +
Install-Module -Name AADRM
 +
Connect-AadrmService
 +
Enable-Aadrm
 +
 +
$UserCredential = Get-Credential
 +
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
 +
Import-PSSession $Session
 +
 +
Test-IRMConfiguration -sender securityadmin@contoso.com
  
 
= DirSync / Azure AD Connect =
 
= DirSync / Azure AD Connect =
Linje 278: Linje 337:
  
 
Alt ang. mail og passwords på brugere styres nu i det lokale AD.
 
Alt ang. mail og passwords på brugere styres nu i det lokale AD.
 +
 +
Ved AD Connect: <br />
 +
Hvis ny bruger skal overtage ProxyAddresses skal den originale bruger slettes/flyttes til OU der ikke synkroniseres.
  
 
== Filtreringsmuligheder ==
 
== Filtreringsmuligheder ==
Linje 305: Linje 367:
  
 
[https://support.microsoft.com/da-dk/help/2654338/directory-synchronization-for-office-365-azure-or-intune-can-t-be-acti Directory synchronization for Office 365, Azure, or Intune can't be activated or deactivated]
 
[https://support.microsoft.com/da-dk/help/2654338/directory-synchronization-for-office-365-azure-or-intune-can-t-be-acti Directory synchronization for Office 365, Azure, or Intune can't be activated or deactivated]
 +
 +
[https://support.microsoft.com/da-dk/help/2428507/you-receive-the-following-error-message-in-the-office-365-portal-a-use You receive the following error message in the Office 365 portal: "A user with this name already exists. Use a different name."]
 +
 +
$Mailbox = Get-Mailbox -Identity user@domain.dk
 +
$Mailbox.EmailAddresses
 +
  
 
=== Flytte DirSync til nyt AD ===
 
=== Flytte DirSync til nyt AD ===
Linje 341: Linje 409:
  
 
Hent [https://www.microsoft.com/en-us/download/details.aspx?id=49117 Office Deployment Tool]
 
Hent [https://www.microsoft.com/en-us/download/details.aspx?id=49117 Office Deployment Tool]
 +
 +
https://config.office.com/
  
 
Lav download.xml fil:
 
Lav download.xml fil:
Linje 359: Linje 429:
 
     <Updates Enabled="TRUE" Channel="Broad"/>
 
     <Updates Enabled="TRUE" Channel="Broad"/>
 
     <Display Level="None" AcceptEULA="TRUE"/>
 
     <Display Level="None" AcceptEULA="TRUE"/>
 +
</Configuration>
 +
</pre>
 +
 +
Uden download først:
 +
<pre>
 +
<Configuration>
 +
  <Add OfficeClientEdition="32" Channel="Broad" ForceUpgrade="TRUE">
 +
    <Product ID="O365ProPlusRetail" PIDKEY="">
 +
      <Language ID="da-dk" />
 +
      <ExcludeApp ID="OneNote" />
 +
      <ExcludeApp ID="Lync" />
 +
      <ExcludeApp ID="Groove" />
 +
      <ExcludeApp ID="OneDrive" />
 +
    </Product>
 +
  </Add>
 +
  <Property Name="FORCEAPPSHUTDOWN" Value="TRUE" />
 +
  <Property Name="SharedComputerLicensing" Value="1" />
 +
  <Updates Enabled="TRUE" />
 +
  <RemoveMSI All="TRUE" />
 +
  <Display Level="None" AcceptEULA="TRUE" />
 
</Configuration>
 
</Configuration>
 
</pre>
 
</pre>
Linje 369: Linje 459:
 
= Tips til beskyttelse af konto og domæne =
 
= Tips til beskyttelse af konto og domæne =
  
== Undgå spam - begge veje ==
+
== Undgå spam og misbrug af domæne ==
  
 
'''SPF''' er kort fortalt en måde at fortælle verden hvem der må sende mail i dit navn. Således dit domæne ikke bliver misbrugt til spam.
 
'''SPF''' er kort fortalt en måde at fortælle verden hvem der må sende mail i dit navn. Således dit domæne ikke bliver misbrugt til spam.
Og dette burde jo sådan set være rigeligt for at undgå dette, men det er det ikke. Da den måde email er lavet på, er der nemlig 2 Fra adresser. SPF tjekker kun den ene (envelope-from) der er nem at snyde, og ikke header-from som vises i klienten. Se den rigtig gode engelsk forklaring her: [http://www.xeams.com/difference-envelope-header.htm Envelope vs Header FROM]. Se også [https://serverfault.com/questions/753496/why-does-dmarc-operate-on-the-from-address-and-not-the-envelope-sender-return Serverfault] og [https://en.wikipedia.org/wiki/Sender_Policy_Framework#Header_limitations Wikipedia].
+
Og SPF burde jo sådan set være rigeligt for at undgå misbrug, men det er det ikke. Da den måde email er lavet på, er der nemlig 2 Fra adresser. SPF tjekker kun den ene, envelope-from, der er nem at 'snyde' med, og ikke header-from som vises i klienten.
 +
<br/>
 +
Se den rigtig gode engelsk forklaring her: [http://www.xeams.com/difference-envelope-header.htm Envelope vs Header FROM]. Se også [https://serverfault.com/questions/753496/why-does-dmarc-operate-on-the-from-address-and-not-the-envelope-sender-return Serverfault] og [https://en.wikipedia.org/wiki/Sender_Policy_Framework#Header_limitations Wikipedia].
 
<br />
 
<br />
 
SPF opsættes som TXT records i DNS for domænet.
 
SPF opsættes som TXT records i DNS for domænet.
  
 
'''DKIM''' bruges til at validere at mailen kommer fra hvor den udgiver sig for at komme fra. Det sker ved at indsætte en signatur i mailen, som via DNS records kan tjekkes. Dette er altså noget mail serveren også skal kunne indsætte. Det kan Office 365, se her hvordan det opsættes: [https://technet.microsoft.com/library/mt695945(v=exchg.150).aspx Use DKIM to validate outbound email sent from your custom domain in Office 365].
 
'''DKIM''' bruges til at validere at mailen kommer fra hvor den udgiver sig for at komme fra. Det sker ved at indsætte en signatur i mailen, som via DNS records kan tjekkes. Dette er altså noget mail serveren også skal kunne indsætte. Det kan Office 365, se her hvordan det opsættes: [https://technet.microsoft.com/library/mt695945(v=exchg.150).aspx Use DKIM to validate outbound email sent from your custom domain in Office 365].
 +
<br />
 +
DKIM opsættes som TXT records i DNS for domænet. Se vedledning fra udbyderen.
  
Alt dette her hjælper ikke noget hvis modtager af mail ikke tjekker dette og afviser mail der ikke godkendes. Da der er flere der ikke tør at afvise mails blev DMARC opfundet.
+
Alt dette her hjælper ikke noget hvis modtager af mail ikke tjekker SPF/DKIM og afviser mail der ikke godkendes. Da der er flere der ikke tør at afvise mails blev DMARC opfundet.
  
'''DMARC''' er en måde at binde SPF og DKIM sammen. Således kan du fortælle omverden at hvis ikke SPF og/eller DKIM er overholdt må du gerne afvise mail fra mit domæne. Samt der sendes rapporter fra modtager mail servere om de modtager mails der udgiver sig for at være sig. Dermed kan du langsomt køre DMARC ind for at se hvor der er problemer.
+
'''DMARC''' er en måde at binde SPF og DKIM sammen. Således kan du fortælle omverden at hvis ikke SPF/DKIM er overholdt må du gerne afvise mail fra mit domæne (da de jo må være forfalsket). Samt der sendes rapporter fra modtager mail servere, om de modtager mails der udgiver sig for at være dig. Dermed kan du langsomt køre DMARC op for at se hvor der er problemer.
 
<br />
 
<br />
 
DMARC sættes også på via DNS record.
 
DMARC sættes også på via DNS record.
 
<br />
 
<br />
 
[https://technet.microsoft.com/library/mt734386(v=exchg.150).aspx Use DMARC to validate email in Office 365]
 
[https://technet.microsoft.com/library/mt734386(v=exchg.150).aspx Use DMARC to validate email in Office 365]
 +
<br />
 +
For DMARC rapporter: dmarcanalyzer.com eller https://go.valimail.com/microsoft.html
 +
 +
  
 
Se mere på disse links:
 
Se mere på disse links:
*[http://www.xeams.com/spf-dkim-dmarc.htm How to use SPF, DKIM and DMARC]
+
*God dansk forklaring på SPF, DKIM og DMARC: [https://www.ubivox.dk/blog/dmarc-dkim-og-spf-identitet-og-autentificering/ Identitet og autentificering i email]
 
*[https://henrik.schack.dk/2013/01/22/spf-dkim-dmarc-spambeskyttelse/ SPF, DKIM & DMARC Spambeskyttelse]
 
*[https://henrik.schack.dk/2013/01/22/spf-dkim-dmarc-spambeskyttelse/ SPF, DKIM & DMARC Spambeskyttelse]
 +
*[http://www.xeams.com/spf-dkim-dmarc.htm How to use SPF, DKIM and DMARC]
 
*[https://www.plesk.com/blog/business-industry/can-spf-dkim-dmarc-eliminate-junk-emails/ Can SPF, DKIM and DMARC free you from junk emails?]  
 
*[https://www.plesk.com/blog/business-industry/can-spf-dkim-dmarc-eliminate-junk-emails/ Can SPF, DKIM and DMARC free you from junk emails?]  
 
*[https://dmarc.dk/ DMARC.dk]
 
*[https://dmarc.dk/ DMARC.dk]
Linje 397: Linje 496:
  
 
Two factor
 
Two factor
 +
 +
https://docs.microsoft.com/da-dk/azure/active-directory/authentication/howto-mfa-getstarted
  
 
password reset
 
password reset
 +
 +
 +
App password til Outlook?
  
 
= Tips =
 
= Tips =

Versionen fra 27. sep 2019, 09:42

Erfaringer med Office 365 deles her. Lige nu er der mest om Exchange Online, men hvis du har noget om de andre produkter Office 365 tilbyder er du velkommen til at tilføje!

Manuel migrering mellem Office 365 planer

Muligvis ikke nødvendigt mere, da Microsoft har åbnet for at skifte mellem flere forskellige planer nu.

Har du allerede en konto på Microsoft Business Productivity Online Standard Suite og vil flytte den over til Office 365, fx hvis du har flere kunder under samme konto. Denne guide tager udgangspunkt i et domæne på GratisDNS's DNS servere, men mon ikke andre udbyder tilbyder det samme.

  • Opret Office 365 konto.
  • Tilføj brugere, med onmicrosoft.com domæne.
  • Tilføj domænet, og opsæt DNS så det er klar til at blive godkendt. Man kan ikke godkende da domænet er i brug under BPOS.
  • Backup data til PST eller med fx http://www.migrationwiz.com.
  • Opsæt mailforward (GratisDNS, MXhotel, Roller Network) til brugerne på onmicrosoft.com domænet. Så ny mail kommer ind på den nye konto. Der kan lige gå 5-10 min før Mailforward serveren acceptere mails.
  • Slet andre MX records, så kun mailforward er tilbage.
  • Nu kan Outlook sættes op til onmicrosoft.com kontoen. Og nye mails modtages og sendes der. Afsender vil være onmicrosoft.com, men denne virker også senere, så kun kosmetisk indtil systemet køre 100% på Office 365.
  • Slet alt der har med domænet (brugere, alias, grupper) at gøre på BPOS.


Tag en sidste backup:

  • Ændre brugerne at bruge til BPOS adressen.
  • Slet domænet fra BPOS.
  • Hvis du bruger migrationwiz prem kør en migration igen.
  • Slet brugerene også, så bliver det slettet i den automatiske (af Microsoft) overførte Office 365 konto.


  • Kontakt support, bed dem slette domænet i Forefront.
  • Vent op til 24 timer, før du kan godkende domænet i Office 365. Det går nogle gange hurtigere, bed evt. supporten kontakte dig når det er klar.
  • Når domænet er godkendt ved Office 365, så skift brugerne til login med domænet. Nu burde vi kun at mangle og ændre MX record til Office 365, men for at sikker på alt virker:
  • Tjek at det rigtige domæne er i Forefront https://sts.messaging.microsoft.com (login via portal) ellers kan det være problemer med 550 5.4.1 Relay Access Denied, hvis det rigtige domæne ikke står i listen der, kør disse i PowerShell:
Set-AcceptedDomain domæne.dk -OutboundOnly $true
Set-AcceptedDomain domæne.dk -OutboundOnly $false
  • Vent en ½-1-1½ times tid hvis det stadig fejler, kontakt support. (Tjek med et tool http://freesbee.wheel.dk/mailtest.html at modtagelse virker)
  • Ændre MX til Office 365.
  • Du er færdig :-)

PowerShell

Forbinde

Installer: Windows Azure AD Module for Windows PowerShell for at få adgang til alle cmdlets. Kræver: Microsoft Online Services Logonassistent

$UserCredential = Get-Credential
(log på med en office 365 global administrator konto)

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

Import-PSSession $Session

Cmdlet references for Office 365 services

Simple opgaver

Mailboks adgang

bruger@ får fuld adgang til mail@

Add-MailboxPermission -Identity mail@domain.dk -User bruger@domain.dk -AccessRights FullAccess -InheritanceType All

Tag AutoMapping fra, hvis der er problemer i Outlook med at selv finde mailboksen, og tilføj den manuelt

-AutoMapping:$false 

Sende som

Add-RecipientPermission mail@domain.dk -AccessRights SendAs -Trustee bruger@domain.dk

Fjerne adgang

Remove-MailboxPermission -Identity mail@domain.dk -User bruger@domain.dk -AccessRights FullAccess -InheritanceType All

Dele kalender

Add-MailboxFolderPermission -Identity “user2@domain.dk:\Kalender” -AccessRights PublishingEditor -User user1@domain.dk

Offentliggøre kalender

Set-MailboxCalendarFolder -Identity mailbox-alias:\calendar -PublishEnabled $true

Få URLer på delt kalender:

Get-MailboxCalendarFolder -Identity mailbox-alias:\calendar

Læs mere om parametrene på kommandoen

Sætte sprog på standard mapper

$users = Get-Mailbox
foreach ($a in $users) {Set-MailboxRegionalConfiguration -Identity $a.name -Language da-dk -TimeZone "Romance Standard Time" -LocalizeDefaultFolderName:$true}

Nu kommer den første gangs "popup" i OWA heller ikke mere.

Convert AD connect synced user to shared mailbox

From: https://serverfault.com/questions/865495/convert-ad-connect-synced-user-to-shared-mailbox


  • Deleted user from local AD
  • Forced sync with AD connect
  • Go to Office admin panel > deleted users
  • Recover the user. I now see it as "cloud" account.
  • Remove the ImmutableID after user is recovered: Set-MSOLUser -UserPrincipalName user@domain.com -ImmutableID "$null"
  • When user is recovered, use "convert to shared mailbox".
  • Remove licenses from user.

It now is a shared mailbox, not using licensed, and not synced from local AD. Just what we wanted.

Gendanne data

Tilføje ekstra domæne på alle brugere

Da der ikke findes email address policy i Office 365 skal ekstra domæner manuelt tilføjes.

$users = Get-Mailbox
foreach ($a in $users) {$a.emailaddresses.Add("$($a.alias)@domain.dk")}
$users | %{Set-Mailbox $_.Identity -EmailAddresses $_.EmailAddresses}

Det samme kan gøres på distribution groups med Get-DistributionGroup og Set-DistributionGroup

Tilføje forskellige aliaser på brugere bulk

CSV fil:

PrimarySmtpAddress,ProxyAddresses
user@domain.dk,us@domain.dk;UserName@domain2.dk
import-csv fil.csv | %{
$PrimarySmtpAddress = $_.PrimarySmtpAddress
$proxy = $_.ProxyAddresses -split ';'
Set-Mailbox -Identity $PrimarySmtpAddress -EmailAddresses @{add= $proxy}
Write-Host $proxy "added to" $_.PrimarySmtpAddress 
}

Se længere nede hvordan det samme gøres i AD for brug i DirSync.

Finde slettede mails

Finde slettede mails, også dem der ikke kan genskabes fra Slettet post i Outlook/OWA.

Husk at gøre administratoren medlem af Discovery Management.

Tjek security and compliance

På afsender:

Search-Mailbox user@domæne.dk -SearchDumpsterOnly -SearchQuery "From:*@slettedemaildomæne.dk" -TargetMailbox "Discovery Search Mailbox" -TargetFolder Inbox -LogLevel Full
Search-Mailbox "Discovery Search Mailbox" -SearchQuery "From:@slettedemaildomæne.dk" -TargetMailbox user@domæne.dk -TargetFolder inbox

På emne:

Search-Mailbox user@domæne.dk -SearchDumpsterOnly -SearchQuery "subject:Emne" -TargetMailbox "Discovery Search Mailbox" -TargetFolder Inbox -LogLevel Full
Search-Mailbox "Discovery Search Mailbox" -SearchQuery "subject:Emne" -TargetMailbox user@domæne.dk -TargetFolder GenskabteMails

Distribution Groups bulk

Lave flere Distribution Groups:

$arr = "dist1","dist2","dist3"
foreach ($item in $arr){New-DistributionGroup -Name "$item" -PrimarySmtpAddress "$item@domain.dk"}
foreach ($item in $arr){Set-DistributionGroup "$item" -RequireSenderAuthenticationEnabled $False}
foreach ($item in $arr){Add-DistributionGroupMember -Identity $item –Member user1@domain.dk –BypassSecurityGroupManagerCheck}

Mailbox kvota / Shared / Licens

Sæt mailbox kvota

Her kun på delte mailbokse

Get-Mailbox -ResultSize Unlimited -filter {RecipientTypeDetails -eq "SharedMailbox" -or RecipientTypeDetails -eq "RoomMailbox"} | Set-Mailbox -ProhibitSendReceiveQuota 10GB -ProhibitSendQuota 9.75GB -IssueWarningQuota 9.5GB

Mailbox storage limits

Ændre bruger mailboks til delt mailboks

Set-Mailbox user@domain.dk -Type Shared

Fjerne licens

$mbx = "user@domain.dk"
$MSOLSKU = (Get-MSOLUser -UserPrincipalName $mbx).Licenses[0].AccountSkuId
Set-MsolUserLicense -UserPrincipalName $mbx -RemoveLicenses $MSOLSKU

Office 365: Convert User Mailbox to Shared Mailbox

Omdøbe brugere

Har en bruger i AD fået nyt brugernavn, og dermed skal have nyt brugernavn i Office 365 også, skal der køres denne Powershell:

Set-MsolUserPrincipalName -newuserprincipalname nyt-brugernavn@domain.dk -userprincipalname gammel-brugernavn@domain.dk

winmail.dat problem

Muligvis ikke et problem mere.

Set-RemoteDomain Default -TNEFEnabled $false

Lave mapper på bruger konto

https://gallery.technet.microsoft.com/office/Create-folders-in-users-4630c241#content


.\Create-MailboxFolder.ps1 -Credentials (Get-Credential) -Mailbox "c:\temp\mailboxes.txt" -RequiredFolders "Undermappe til roden" -ParentFolder "WellKnownFolderName.MsgFolderRoot" -EwsUrl 'https://outlook.office365.com/EWS/Exchange.asmx' -Impersonate

Lave regler på bruger konto

https://www.slipstick.com/office-365/create-rules-powershell/

Password

Microsoft Online Services Module for Windows PowerShell

Fjerne password udløb for alle brugere

Get-MSOLUser | Set-MsolUser -PasswordNeverExpires $true

Ændre password for en bruger

Set-MsolUserPassword -userPrincipalName bruger@domain.dk -NewPassword "P@ssw0rd" -ForceChangePassword $false

Ændre password for flere brugere bulk

Import-Csv c:\Brugere.csv|%{Set-MsolUserPassword -userPrincipalName $_.UserPrincipalName -NewPassword P@ssw0rd -ForceChangePassword $false}

CSV:

UserPrincipalName
bruger@domain.dk

Spam håndtering

Hvordan man undgår at mails kommer i spam. Både dem man modtager og afsender.

SPF

IP whitelist - Forbindelsesfilter

https://stellar.zendesk.com/hc/en-us/articles/360000400366-Office-365-How-to-Bypass-Spam-Filtering

https://support.office.com/en-gb/article/prevent-email-from-being-marked-as-spam-in-office-365-and-exchange-online-protection-74aaade0-efc0-46ac-b949-f2d1d59256fa

Get-MailboxJunkEmailConfiguration


Se også Tips til beskyttelse af konto og domæne længere nede


Warn users when an email arrives from a sender with the same display name as someone in your organisation

https://gcits.com/knowledge-base/warn-users-external-email-arrives-display-name-someone-organisation/

Konto sikkerhed

https://docs.microsoft.com/en-us/office365/admin/add-users/let-users-reset-passwords?view=o365-worldwide

https://docs.microsoft.com/da-dk/office365/admin/security-and-compliance/set-up-multi-factor-authentication?view=o365-worldwide

https://docs.microsoft.com/da-dk/office365/securitycompliance/security-roadmap?redirectSourcePath=%252farticle%252fOffice-365-security-roadmap-Top-priorities-for-the-first-30-days-90-days-and-beyond-28c86a1c-e4dd-4aad-a2a6-c768a21cb352

https://docs.microsoft.com/en-us/office365/securitycompliance/responding-to-a-compromised-email-account

OME / RMS sikker mail

Install-Module -Name AADRM
Connect-AadrmService
Enable-Aadrm
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
Import-PSSession $Session
Test-IRMConfiguration -sender securityadmin@contoso.com

DirSync / Azure AD Connect

Prepare to provision users through directory synchronization to Office 365

For at synkronisere brugere fra lokal AD til Office 365 / Azure kan man installere DirSync, og nu kan man også synkronisere password med Office 365. Dette krævede AD FS opsat før.

For at DirSync kan finde brugere i det lokale AD der skal synkroniseres og matches med dem der evt. allerede er oprettet i skyen, skal brugerne have (e-)mail attributten sat og UPN skal også passe med et domæne der er aktivt i Office 365. Højre klik på brugeren i Active Directory Users and Computers og sæt e-mail adressen. Den skal passe med brugerens primære SMTP adresse i Office 365. Fx test brugere med et UPN der passer med et domæne i Office 365 bliver oprettet.

Powershell til at tilføje UPN som e-mail:

Get-ADUser -Filter * -SearchBase "OU=OU2,OU=OU1,DC=Domain,DC=local" | Foreach-Object{
   Set-ADUser -Identity $_ -Email "$($_.userPrincipalName)"}

#Sæt standard mail også 
$smtp = "SMTP:$($_.userPrincipalName)"
   Set-ADUser -Identity $_ -Add @{proxyAddresses = $smtp}

Alias - ProxyAddresses

Hvis man har flere domæner som brugerne skal have adresser under styres dette nu også af det lokale AD.

Her er et Powershell der kan tilføje ekstra domæner til brugere. Det vigtige er her om der står smtp: eller SMTP: foran, da SMTP: bliver standard SMTP adressen for brugeren. (Exchange logik)

Get-ADUser -Filter * -SearchBase 'ou=users,dc=domain,dc=dk' -Properties proxyaddresses |

Foreach {
$upn = $_.UserPrincipalName
$upn_split = $upn.split("@")

Set-ADUser -identity $_ -Add @{'ProxyAddresses'=@(("smtp:{0}@{1}"-f $upn_split[0], 'domain2.dk'),("SMTP:{0}@{1}" -f $upn_split[0], 'domain.dk'))} } 

Importere forskellige proxyAddresses fra CSV

file.csv:

SAM,Proxy
SAM.account,user@domain.dk;ur@domain2.dk;username@domain.dk
Import-CSV file.csv | ForEach {
$Proxys = $_.Proxy -split ';'
$SAM = $_.SAM

$Proxys | foreach {
   $smtp = "smtp:$_"

    Get-ADUser $SAM | Set-ADUser -Add @{proxyAddresses = $smtp}
    
    Write-Host "$smtp added to proxy for $SAM"
}}

Yderlig forklaring: How to use SMTP matching to match on-premises user accounts to Office 365 user accounts for directory synchronization

Hvis der er problemer bliver der sendt en status mail til den tekniske kontakt person.

Alt ang. mail og passwords på brugere styres nu i det lokale AD.

Ved AD Connect:
Hvis ny bruger skal overtage ProxyAddresses skal den originale bruger slettes/flyttes til OU der ikke synkroniseres.

Filtreringsmuligheder

Azure AD Connect sync: Configure filtering

Azure Active Directory Synchronization: Filtering, Part 1

Fejlfinding / Vigtig info

Sync styres af ImmutableId (Base64 af AD objectGUID) - ImmutableId kan ikke ændres på synkroniserede brugere når DirSync er slået til.

"Unable to connect to the Synchronization Service" error when you try to open Miisclient.exe in the Azure Active Directory Sync installation folder

Office 365 Azure AD Connect assigning .onmicrosoft.com to synced users

Individual Active Directory Domain Services objects don't sync to Windows Azure AD in Office 365 - Resolution 7: Update user SMTP addresses by using on-premises Active Directory attributes

How to do OU based Filtering in Office 365

Fixing Office 365 DirSync account matching issues

How to do Hard match in Dirsync?

Change the ImmutableID for an Office 365 Mailbox

Der kan være meget stort delay når man aktivere DirSync, MS skriver 72 timer, og det har jeg oplevet i hvert fald går selv med et mindre antal brugere. Der kan også være tale om en fejl, se links:

Directory synchronization for Office 365, Azure, or Intune can't be activated or deactivated

You receive the following error message in the Office 365 portal: "A user with this name already exists. Use a different name."

$Mailbox = Get-Mailbox -Identity user@domain.dk $Mailbox.EmailAddresses


Flytte DirSync til nyt AD

I korte træk:

  • Stop DirSync
  • Slet eller ændre ImmutableId
  • Start DirSync på nyt AD

Moving Dirsync Between Active Directory Forests

Migrating Azure AD connect to new Active directory domain

Office 365: Migrating DirSync to new AD domain

SMTP relay

Kan bruges til at sende via Office 365, fx fra en kopimaskine til scanner.

Sådan konfigurerer du en flerfunktionsenhed eller -program til at sende e-mails ved hjælp af Office 365

Genskabe mailboks

Delete or restore user mailboxes in Exchange Online

ProPlus på Remote Desktop

Må pt kun bruges på eget hardware, kan altså ikke bruges hvis man er i hosting, med mindre man har QMTH.

Læs her: Overview of shared computer activation for Office 365 ProPlus

Branches for Office 365 ProPlus

Deploy Office 365 ProPlus by using Remote Desktop Services

http://officedev.github.io/Office-IT-Pro-Deployment-Scripts/XmlEditor.html

Hent Office Deployment Tool

https://config.office.com/

Lav download.xml fil: Uden OneNote, Lync, Groove, OneDrive

<Configuration>
    <Add OfficeClientEdition="32" Channel="Broad" SourcePath="C:\OfficeProPlus">
        <Product ID="O365ProPlusRetail">
            <Language ID="da-dk"/>
            <ExcludeApp ID="OneNote"/>
            <ExcludeApp ID="Lync"/>
            <ExcludeApp ID="Groove"/>
            <ExcludeApp ID="OneDrive"/>
        </Product>
    </Add>
    <Property Name="FORCEAPPSHUTDOWN" Value="TRUE"/>
    <Property Name="SharedComputerLicensing" Value="1"/>
    <Updates Enabled="TRUE" Channel="Broad"/>
    <Display Level="None" AcceptEULA="TRUE"/>
</Configuration>

Uden download først:

<Configuration>
  <Add OfficeClientEdition="32" Channel="Broad" ForceUpgrade="TRUE">
    <Product ID="O365ProPlusRetail" PIDKEY="">
      <Language ID="da-dk" />
      <ExcludeApp ID="OneNote" />
      <ExcludeApp ID="Lync" />
      <ExcludeApp ID="Groove" />
      <ExcludeApp ID="OneDrive" />
    </Product>
  </Add>
  <Property Name="FORCEAPPSHUTDOWN" Value="TRUE" />
  <Property Name="SharedComputerLicensing" Value="1" />
  <Updates Enabled="TRUE" />
  <RemoveMSI All="TRUE" />
  <Display Level="None" AcceptEULA="TRUE" />
</Configuration>

Kør disse kommandoer efter hinanden:

C:\ODT>setup.exe /download download.xml
C:\ODT>setup.exe /configure download.xml

Tips til beskyttelse af konto og domæne

Undgå spam og misbrug af domæne

SPF er kort fortalt en måde at fortælle verden hvem der må sende mail i dit navn. Således dit domæne ikke bliver misbrugt til spam. Og SPF burde jo sådan set være rigeligt for at undgå misbrug, men det er det ikke. Da den måde email er lavet på, er der nemlig 2 Fra adresser. SPF tjekker kun den ene, envelope-from, der er nem at 'snyde' med, og ikke header-from som vises i klienten.
Se den rigtig gode engelsk forklaring her: Envelope vs Header FROM. Se også Serverfault og Wikipedia.
SPF opsættes som TXT records i DNS for domænet.

DKIM bruges til at validere at mailen kommer fra hvor den udgiver sig for at komme fra. Det sker ved at indsætte en signatur i mailen, som via DNS records kan tjekkes. Dette er altså noget mail serveren også skal kunne indsætte. Det kan Office 365, se her hvordan det opsættes: Use DKIM to validate outbound email sent from your custom domain in Office 365.
DKIM opsættes som TXT records i DNS for domænet. Se vedledning fra udbyderen.

Alt dette her hjælper ikke noget hvis modtager af mail ikke tjekker SPF/DKIM og afviser mail der ikke godkendes. Da der er flere der ikke tør at afvise mails blev DMARC opfundet.

DMARC er en måde at binde SPF og DKIM sammen. Således kan du fortælle omverden at hvis ikke SPF/DKIM er overholdt må du gerne afvise mail fra mit domæne (da de jo må være forfalsket). Samt der sendes rapporter fra modtager mail servere, om de modtager mails der udgiver sig for at være dig. Dermed kan du langsomt køre DMARC op for at se hvor der er problemer.
DMARC sættes også på via DNS record.
Use DMARC to validate email in Office 365
For DMARC rapporter: dmarcanalyzer.com eller https://go.valimail.com/microsoft.html


Se mere på disse links:

Submit spam, non-spam, and phishing scam messages to Microsoft for analysis

Beskyttelse af konto

Two factor

https://docs.microsoft.com/da-dk/azure/active-directory/authentication/howto-mfa-getstarted

password reset


App password til Outlook?

Tips

Fjerne Auto Autodiscover fra Exchange 2007, 2010 og 2013: CASxx = Client Access Server

Set-ClientAccessServer –Identity “CASxx” –AutoDiscoverServiceInternalUri $NULL

Fra: http://365command.com/autodiscover-service-and-how-to-disable-it-on-premises-justins-tech-tip-of-the-week/


Hold indbakken under 4 GB:

https://support.microsoft.com/en-us/help/2738323/status-bar-progress-never-shows-more-than-3.99-gb-remaining-on-initial-sync-of-large-folders

Hold OST filen på max 10 GB:

https://support.microsoft.com/en-us/help/2759052/you-may-experience-application-pauses-if-you-have-a-large-outlook-data-file

Begrænsninger / Kendte problemer

Ingen Outlook 2003 support! 2007 med sidste opdateringer virker (2014). Se mere om systemkrav.

http://www.msdigest.net/2012/03/catch-all-mail-on-office-365/

Flere Office 365 konti i samme Outlook 2010, kan give problemer hvis de ligger på samme server. Hotfix: "When you configure Outlook 2010 by using a profile to connect to multiple Microsoft Office 365 email accounts, you may experience connection delays or failures on one of the accounts. When you select a folder in that account, the Outlook status bar displays "Trying to connect" or Disconnected."
http://support.microsoft.com/kb/2598374

Email that you send on behalf of someone is not saved in their Sent Items folder

Max 500 modtagere
For at omgå dette, put så mange brugere og eksterne kontakter som muligt i distributions grupper. Da man ellers er udelukket for at sende mail i 24 timer!

Begrænsninger for meddelelser, postkasse og modtagere

Recipient limit reached

På klient (Outlook 2007) siden kan der være problemer med en autodiscovery popup der kommer op, selvom Outlook er sat rigtigt op med Office 365 kontoen, hvis Exchange er flyttet til Office 365.
Tjek denne blog: Outlook 2007 prompting for old exchange account details

I regedit slet dit domæne fra HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\AutoDiscover, du kan også fjerne xml filen den peger på. I mit tilfælde C:\Users\<BrugerNavn>\AppData\Local\Microsoft\Sign In.