Wanneer je Paperbox koppelt aan Microsoft 365 (Exchange Online) via een app/service account, kan die app standaard toegang krijgen tot veel (of alle) mailboxen binnen de tenant. Wil je strakkere controle, dan kun je Paperbox beperken tot alleen de mailboxen die je expliciet toestaat.
In deze tutorial gebruiken we een fictieve verzekeraar als voorbeeld:
Verzekeraar (klant) domein:
johns-insurance.comVoorbeeld scope-groep:
[email protected]Voorbeeld mailbox:
[email protected]
Belangrijk: vervang in je eigen configuratie alle voorbeelden door waarden uit de Microsoft 365-tenant van de klant.
Wat je gaat instellen
Een mail-enabled security group die de Paperbox-scope bepaalt
Lidmaatschap van die groep = mailboxen die Paperbox mag benaderen
Een Application Access Policy die dit afdwingt
Test-commando’s om te verifiëren dat toegang werkt zoals bedoeld
Voor je begint
Benodigd
Adminrechten in de Microsoft 365-tenant van de klant (Exchange admin of Global admin)
Toegang tot Exchange Online PowerShell
Waarden die je moet invullen
Klantdomein:
<UW_DOMEIN>(voorbeeld:johns-insurance.com)Scope-groep e-mailadres (in klanttenant):
<SCOPE_GROEP_EMAIL>(voorbeeld:[email protected])Testmailbox die wel toegang moet hebben:
<TEST_MAILBOX_TOEGESTAAN>(voorbeeld:[email protected])Testmailbox die geen toegang mag hebben:
<TEST_MAILBOX_GEBLOKKEERD>(voorbeeld:[email protected])
Stap 1 — Verbind met Exchange Online PowerShell
Open PowerShell en verbind met Exchange Online in de tenant van de klant:
Connect-ExchangeOnline
Zorg dat je inlogt met een adminaccount van de klant (bijv. binnen johns-insurance.com).
Stap 2 — Maak (of kies) een mail-enabled security group
Deze groep bepaalt welke mailboxen Paperbox mag benaderen.
Optie A: Nieuwe groep aanmaken
Vul in:
<GROEP_NAAM><GROEP_ALIAS>
New-DistributionGroup `
-Name "<GROEP_NAAM>" `
-Alias "<GROEP_ALIAS>" `
-Type Security
Haal daarna het primaire e-mailadres (Primary SMTP) op en gebruik dat als <SCOPE_GROEP_EMAIL>:
Get-DistributionGroup "<GROEP_NAAM>" | Format-List PrimarySmtpAddress
Voorbeeld van wat je dan gebruikt:
Optie B: Bestaande groep gebruiken
Als de klant al een geschikte mail-enabled security group heeft, noteer het e-mailadres daarvan en gebruik het als:
<SCOPE_GROEP_EMAIL>
Stap 3 — Voeg toegestane mailboxen toe aan de scope-groep
Voeg elke mailbox toe die Paperbox mag benaderen. Herhaal dit per mailbox.
Vul in:
<SCOPE_GROEP_EMAIL>(de groep in de klanttenant)<MAILBOX_EMAIL>(de mailbox in de klanttenant)
Add-DistributionGroupMember `
-Identity "<SCOPE_GROEP_EMAIL>" `
-Member "<MAILBOX_EMAIL>"
Voorbeeld (verzekeraar-tenant):
groep:
[email protected]mailbox:
[email protected]
Alles wat niet in deze groep zit, valt buiten scope.
Stap 4 — Maak de Application Access Policy
Deze policy beperkt de Paperbox-app tot alleen de mailboxen in je scope-groep.
Vul in:
<SCOPE_GROEP_EMAIL><POLICY_BESCHRIJVING>
New-ApplicationAccessPolicy `
-AppId "42dc8c0c-c869-4479-b884-592d310ca746" `
-PolicyScopeGroupId "<SCOPE_GROEP_EMAIL>" `
-AccessRight RestrictAccess `
-Description "<POLICY_BESCHRIJVING>"
Suggestie voor beschrijving:
Beperk Paperbox tot mailboxen in de Paperbox scope-groep.
Stap 5 — Test de policy
Test een mailbox die toegang moet hebben
Vul in:
<TEST_MAILBOX_TOEGESTAAN>
Test-ApplicationAccessPolicy `
-Identity "<TEST_MAILBOX_TOEGESTAAN>" `
-AppId "42dc8c0c-c869-4479-b884-592d310ca746"
Verwacht resultaat: Allowed / Toegestaan
Test een mailbox die geblokkeerd moet zijn
Vul in:
<TEST_MAILBOX_GEBLOKKEERD>
Test-ApplicationAccessPolicy `
-Identity "<TEST_MAILBOX_GEBLOKKEERD>" `
-AppId "42dc8c0c-c869-4479-b884-592d310ca746"
Verwacht resultaat: Denied / Geweigerd
Troubleshooting
Controleer groepslidmaatschap
Als de testresultaten niet kloppen, check of de mailbox effectief lid is van de scope-groep:
Get-DistributionGroupMember "<SCOPE_GROEP_EMAIL>"
PowerShell / module issues
Controleer je PowerShell-versie:
$PSVersionTable.PSVersion
Krijg je fouten rond modules/versies, update PowerShell en zorg dat de Exchange Online PowerShell module up-to-date is.
Wanneer je hulp nodig hebt voor het opzetten van dit binnen uw organisatie, laat het ons weten via onze support kanalen!