Sitter du fortsatt på gjerdet og vurderer Office 365? Spørsmålet er ofte ikke lenger om du skal opp i skyen, men når og hvordan. Da kan et hybrid Exchange-miljø være noe for deg: Exchange-servere lokalt i fredelig sameksistens med Exchange Online. Det gir et minimalt inngrep i infrastrukturen uten det minste driftsavbrudd. Du synkroniserer brukerne dine med Azure Active Directory og setter opp koblinger for kommunikasjonen mellom Exchange-organisasjonen hos deg og i skyen. Dermed er du oppe og går. Nå kan du flytte postbokser frem og tilbake, på samme måte som mellom databaser på serverne dine. Enkelte brukere kan ha postbokser i virksomheten, andre i skyen og en tredje gruppe en aktiv postboks lokalt og et arkiv i Office 365. Det naturlige neste trinnet er å ta i bruk Exchange Online Protection som beskyttelseslag for all innkommende og utgående e-post. Til slutt kan du overføre alle til Exchange Online og avvikle dine foretaksinterne servere. Men du behøver ikke gå så langt. Et hybrid Exchange-miljø kan fungere som en smidig migreringsstrategi eller som varig konfigurasjon. Det gir deg skyen på dine premisser i ditt eget tempo.
Fordeler med et hybrid Exchange-miljø
Lokal Exchange og Exchange Online er to atskilte organisasjoner. Men det er gjort mye for å få dem til å fremstå som én. Synkroniseringen av brukerne mot Azure AD sørger for at de kan få postbokser i skyen og lar deg konfigurere engangspålogging (single sign-on). Meldingene som sendes frem og tilbake, er markert som interne, viktig for transportregler og fraværsmeldinger. Det er én felles global adresseliste. Brukerne kan se hverandres kalendere med ledig og opptatt tid og booke møter. Brukere i skyen har full tilgang til fellesmapper internt. Når du flytter en postboks, er den online det meste av tiden; det er bare helt til slutt den blir utilgjengelig i et kort øyeblikk. Du behøver ikke opprette nye Outlook-profiler eller replikere innholdet i postboksene til OST-filer på nytt. Automatisk konfigurasjon (Autodiscover) håndteres av dine lokale Exchange-servere. Skrivere, skanner og applikasjoner som er satt opp mot lokal Exchange-server, virker som før. Det blir ikke noe avbrudd som ved andre former for migrering. Du kan ta deg tid til å utforske Office 365 med noen få utvalgte brukere og så ta spranget videre. Skulle du mot enhver formodning være misfornøyd, kan du rulle miljøet tilbake og gå helt bort fra Office 365 igjen.
Migreringsstrategier
Exchange i hybrid konfigurasjon er en av flere måter å overføre postbokser til Office 365 på. Den krever en viss – men høyst overkommelig – administrativ innsats, men er samtidig den mest elegante strategien som gir den beste brukeropplevelsen. Andre metoder som støttes av Microsoft, er brått brudd (cutover). Her migreres alle postbokser i en alt-eller-ingenting-operasjon. Du er avskåret fra e-posten inntil alle postbokser er i skyen. Profiler og enheter må rekonfigureres. Trinnvis migrering (staged) kan bare benyttes sammen med Exchange 2003 og 2007. Postboksene flyttes satsvis. Metoden representerer en slags mellomting mellom brått brudd og hybrid, uten integrasjonen. Exchange Online kan fremstå som IMAP-klient og hente ut all informasjon fra postkasser i for eksempel Gmail og Apple Mail. Endelig kan du importere PST-filer. I tillegg finnes det en rekke tredjepartsprodukter, som BitTitan MigrationWiz, verktøyet vi benytter i Lillevik IT.
Uendret meldingsflyt
I første omgang bør du ikke endre meldingsflyten mot Internett, altså ikke forandre på MX-poster eller oppføringer for SPF. Sentralisert transport sørger for at Exchange Online sender og mottar via dine lokale Exchange-servere. Du må være nøye med å teste sameksistensen. Om du ikke har spesielle krav til samsvar eller for eksempel er avhengig av et arkiveringssystem, kan du i neste steg med fordel omdirigere flyten og la alle meldinger passere gjennom Exchange Online Protection. Det er en sikker gateway for e-post, fullt på høyde med – om ikke mer anvendelig enn – spesialiserte løsninger fra leverandører som Cisco og Symantec. Dessuten følger den med gratis for alle med lisens for postbokser i Office 365.
Exchange Online Protection
I dette scenarioet behøver du ikke ha flyttet en eneste postboks opp i skyen. Du drar rett og slett nytte av en avansert sikker e-post-gateway. Beskyttelsen sørger for et lagdelt dybdeforsvar mot trusler fra Internett. Tilkoblingsfilteret godtar eller avviser e-post fra bestemte IP-adresser. Microsofts sikkerliste, basert på ulike tredjepartskilder, klarerer sikre avsendere. Filteret for skadelig programvare skanner all e-post for skadevare ved hjelp av daglig oppdaterte signaturer. Transportregler lar deg endre meldingsflyten og utføre andre handlinger på meldinger. Søppelpostfilteret garderer deg mot uønskede meldinger. Til slutt slår avansert trusselbeskyttelse inn. Microsoft krever nå at alle innkommende meldinger autentiseres og skjermer deg dermed mot phishing. Office 365 Advanced Threat Protection, som kan kreve en ekstralisens, beskytter mot ukjent skadevare (nulldagstrusler), skadelig koblinger og andre former for nettfiske. Utgående meldinger skannes for skadelig programvare og mulig søppelpost. Du kan hindre datatap og sette opp forskjellige typer kryptering for overføring av e-post. Office 365 gjør det for øvrig lett å konfigurere de tre autentiseringsprotokollene SPF, DKIM og DMARC.
Hybrid løsning som varig konfigurasjon
En hybrid Exchange-konfigurasjon kan også benyttes som varig løsning. I så fall bør du overveie om du skal nøye seg med katalogsynkronisering eller også sette opp Active Directory Federation Services (ADFS), som kan gi en rikere sameksistens med Office 365-tjenester. Men det faller utenfor fremstillingen her. Viktig er å forstå at sky-identiteter kommer i tre valører, som synkroniserte og fødererte brukere, samt rene skybrukere. Alle registreres i Azure Active Directory, for enkelte objekter benyttes i tillegg Exchange Online Directory Services (EXODS). Rene sky-identiteter administreres via Office 365, alle andre via lokalt AD. I og med at Exchange lagrer mesteparten av opplysningene sine i AD, kan det enkelte ganger være forvirrende hvor man skal redigere hva. Men man venner seg raskt til det.
Administrasjon av et hybrid Exchange-miljø
Exchange Online deler kodebase med Exchange 2016, ligger et par bygg foran og er utstyrt med tilpasninger til andre tjenester i Office 365, som SharePoint Online og Microsoft Teams. (Som kjent har Microsofts server-programvare sitt fødested i skyen i dag.) Dette gjør at du raskt vil kjenne deg igjen. Som det fremgår av skjermbildet, er administrasjonssentrene for Exchange 2016 (BEDRIFT) og Exchange Online (Office 365) tett integrert. Her er nettopp en postboks flyttet opp i skyen, retning pålasting. Som du også ser, mangler kategorien servere i navigasjonsruten til venstre. Dermed er det heller ingen faner for servere, databaser, grupper for databasetilgjengelighet, virtuelle kataloger og sertifikater. Mens Exchange 2016 ikke inneholder et punkt for å håndtere avanserte trusler. Dermed er vi ved et avgjørende punkt for hvorfor vi anbefaler Exchange Online fremfor foretaksinterne installasjoner av Exchange.
Du fortsetter å administrere e-postbrukerne dine som før, med alle funksjoner som har gjort Exchange til markedsleder som e-posttjeneste for profesjonell bruk. Men du slipper vanlige driftsoppgaver som håndtering av maskinvare og disker, patching av Windows, oppdatering av Exchange, kontroll av logiske og fysiske feil i databasene, sikkerhetskopiering og gjenoppretting, overvåking pluss fornyelse av sertifikater. Alt dette tar Microsoft seg av ved automatisert stordrift. Om du er bekymret for tilgjengeligheten, så er det fire kopier av hver postboksdatabase fordelt over to geografisk atskilte datasentre, med tidsforsinket replikering for én av dem så man ved behov kan gå tilbake i tid. Det skal også godt gjøres å implementere alle sikkerhetsmekanismer Microsoft-skyen stiller til rådighet, internt i virksomheten.
Sette opp et hybrid Exchange-miljø
Det er ingen heksekunst å sette opp dette miljøet og krever ingen nedetid. Her gis en høynivå-fremstilling som skisserer gangen i grove trekk:
- Opprett en Office 365-leier (tenant). Den må være konfigurert med et Internett-domene, ikke bare <leier-navn>.onmicrosoft.com.
- Sett opp synkronisering av brukere og grupper med Azure AD Connect.
- Tildel lisenser til brukere med postbokser som flyttes opp i skyen.
- Opprett en sikker kobling mellom lokal Exchange og Exchange Online ved hjelp av Hybrid Configuration Wizard.
Office 365-leier
Her er det opprettet en Office 365-organisasjon for domenet test3.no. Tre brukere er synkronisert fra lokalt AD og tildelt Office 365 E5-lisenser. Det hadde holdt med Exchange Online Plan 1, som støtter postbokser på inntil 50 GB.
Synkronisering med Azure AD Connect
Du kan laste ned Azure AD Connect fra Office 365 eller direkte fra Microsoft. Den konfigureres ved hjelp av en veiviser. Under My Company er det bare valgt brukere og grupper. Så benytter vi pass-through authentication. Det er viktig at du under Optional features krysser av for Exchange hybrid deployment.
Konfigurasjon av hybrid Exchange-miljø
Klikk på Hybrid i administrasjonssenteret for Exchange Online og kjør Hybrid Configuration Wizard. Veiviseren er i hovedsak selvforklarende. Legg merke til at du har valget mellom en minimal og full hybrid konfigurasjon.
Konklusjon
Exchange-teamet omtaler Exchange Online som the gateway drug to the cloud, inngangsportalen til Office 365 som gjør oss «hektet» på skyen – uten negative bibetydninger. En hybrid Exchange-løsning lar deg foreta det første skrittet mot Office 365. Nå kan du også prøve ut andre tjenester. Teams kan bli din nye samarbeidsplattform og erstatte Skype for Business. Med OneDrive og SharePoint Online kan du fjerne din gamle filserver. Dermed er du i gang med Microsofts skybaserte tjeneste for samhandling, kommunikasjon og produktivitet. Og du er et lite steg nærmere for å bli fri for servere eller – som det heter i vår grunnvisjon i Lillevik IT – bli helt ServerFri.
Relaterte koblinger
For en generell gjennomgang av sikkerhet og Office 365 se:
Office 365 - Sikkerhet i skyen.
En sikker gateway for e-post, som Exchange Online Protection, må også håndtere forskjellige typer kryptert overføring. Du kan lese mer i følgende innlegg: