Ora disponibile in public preview la migrazione delle caselle postali tra tenant

Storicamente, quando un amministratore di Exchange Online doveva migrare le caselle postali da un tenant ad un altro, il modo tipico per farlo era rimuovere la casella da quello di origine e importarla in quello di destinazione.

Microsoft è felice di annunciare la public preview di un servizio di migrazione delle cassette postali cross-tenant, cioè che consente di spostarle tra tenant. Questo servizio elimina la necessità di eseguire l’offboarding e l’onboarding delle caselle mail, consentendo una migrazione più rapida e a costi inferiori. Ciò è particolarmente vantaggioso per le aziende che subiscono fusioni, acquisizioni, cessioni o scissioni.

Il nuovo processo di spostamento include una maggiore sicurezza, nonché la possibilità di definire l’ambito degli spostamenti. Il servizio utilizza un’applicazione Enterprise in Azure Active Directory (Azure AD) e Azure Key Vault, consentendo agli amministratori di gestire sia l’autorizzazione che l’ambito delle migrazioni delle caselle da un tenant a un altro. Questi spostamenti utilizzano un modello di invito e consenso per stabilire l’applicazione Azure AD Enterprise usata per l’autenticazione tra tenant.

Prerequisiti

Azure Key Vault viene utilizzato per archiviare e accedere in modo sicuro al certificato usato per autorizzare e autenticare la migrazione delle caselle. Per questo motivo, nel tenant di destinazione, è necessaria una sottoscrizione a questo servizio per eseguire il passaggio.

Per la public preview, è consigliabile eseguire gli script forniti da Microsoft con i permessi di amministrazione globale per configurare l’archivio e il certificato di Azure Key Vault, l’app per lo spostamento della cassetta postale, l’endpoint di migrazione e la relazione dell’organizzazione.

Nel tenant di origine, è necessario un gruppo di sicurezza abilitato alla posta prima di eseguire l’installazione. Questo gruppo verrà utilizzato per esaminare l’elenco delle caselle che possono essere spostate da un’ambiente all’altro, il che aiuta a prevenire lo spostamento di utenti indesiderati.

Per questa migrazione, avrai anche bisogno dei Tenant IDs per i tenant di origine e di destinazione, che puoi trovare utilizzando queste istruzioni.

Migrare le caselle di posta

Dopo aver impostato i prerequisiti necessari, incluse le relazioni tra tenant e le impostazioni di configurazione, gli amministratori possono utilizzare il cmdlet New-MigrationBatch per spostare le caselle tra gli ambienti. Il processo di spostamento esegue i controlli di autorizzazione necessari e, in tutti i casi, è sempre l’amministratore del tenant di destinazione che avvia lo spostamento (spostamento pull), proprio come per le migrazioni da on-premise a cloud. Attualmente, tutti gli spostamenti vengono attivati tramite PowerShell, ma il supporto per l’interfaccia di amministrazione di Exchange sarà presto disponibile.

In questo articolo, trovi i passaggi necessari per avviare le migrazioni di caselle postali cross-tenant. Mentre su GitHub, hai a disposizione utili dettagli sugli script forniti da Microsoft.


Le informazioni presenti in questo post, sono prese dall’articolo: https://techcommunity.microsoft.com/t5/microsoft-365-blog/cross-tenant-mailbox-migration-in-now-in-public-preview/ba-p/1692465

Microsoft automatizza la richiesta di riduzione dei limiti di EWS(throttling) per le migrazioni ad Exchange Online

Aumento automatizzato delle restrizioni di Throttling

Microsoft, recentemente, ha apportato un interessante cambiamento alle funzionalità di gestione del supporto automatizzato del Microsoft 365 admin center per gestire le richieste relative all’aumento del throttling di Exchange Web Services (EWS) a 90 giorni senza che sia necessario l’intervento umano.

Le migrazioni da altre piattaforme, spesso utilizzano EWS per spostare informazioni alle mailbox di Exchange Online. Quando importanti quantità di dati fluiscono da altre piattaforme, il throttling di EWS viene imposto per conservare le risorse. In passato, si poteva creare una case di supporto richiedendo a Microsoft di modificare temporaneamente il throttling per ESW in modo da permettere il proseguo della migrazione.
Ora, i tenant possono richiedere l’aumento del throttling con un semplice processo automatizzato.
Di seguito come funziona:

  • Recatevi alla sezione Help (?) del Microsoft 365 admin center;
  • Cliccate sull’Icona Need Help;
  • Inserite la frase “EWS throttling” nella barra di ricerca;
  • Cliccate Run tests quanto vi viene chiesto di controllare il vostro ambiente. (Figura 1) In pratica, i test controlleranno che EWS throttling è applicato al tenant.
Figura 1: l’assistente di supporto vuole eseguire la diagnostica per verificare l’ EWS throttling del tenant
  • L’assistente di supporto controlla le impostazioni del tenant e conclude che l’EWS è limitato (si tratta della situazione di default). A questo punto, vi offre la possibilità di aggiornare l’impostazione delle policy EWS del tenant a 30, 60 o 90 giorni;
  • Selezionate il lasso temporale di vostra scelta e cliccate su Update Settings (Figura 2).
  • Dopo una breve attesa, l’assistente di supporto dovrebbe confermarvi che le impostazioni sono state modificate.
Figura 2: l’assistente di supporto di prepara a modificare le restrizioni di EWS throttling

Le nuove impostazioni entreranno in vigore in circa 15 minuti. Dopo di che, potete iniziare ad effettuare la migrazione a pieno ritmo.

L’assistente di supporto è in grado solo di modificare automaticamente il throttling per le migrazioni basate su EWS. Non può gestire le migrazioni basate su altri protocolli quali, ad esempio, l’IMAP4.


Le informazioni presenti in questo post, sono prese dall’articolo: https://office365itpros.com/2020/06/09/microsoft-lifts-ews-throttling-for-migrations/amp/

Creare una password dell’app per Office 365

Qualche giorno fa ci siamo imbattuti nella seguente problematica con un nostro cliente e volevamo condividerne con voi la risoluzione.

Background
Il cliente utilizza Office 365 ed Exchange Online come server di posta.
Sul client, però, non ha installato la versione di Office compresa all’interno di Office 365 ma la classica versione di Office perpetua (acquistata in OPEN o OEM).

Problema
Il client di Outlook non sincronizza la password dell’utente di Exchange Online.

Risoluzione
Abbiamo utilizzato la soluzione Password per l’app.
Si tratta di un codice che fornisce un’autorizzazione per l’app o il dispositivo e che permette quindi di accedere all’account di Office 365.

Se l’amministratore ha configurato la MFA per l’organizzazione e gli utenti utilizzano app che si connettono all’ account di Office 365, sarà necessario generare una password dell’app di modo che quest’ultima possa connettersi a Office 365.
Ad esempio, se utilizzate Outlook 2016 o versioni precedenti con Office 365, dovrete creare una password dell’app.

1. Verificate innanzitutto se il vostro amministratore di Office 365 ha attivato l’autenticazione a più fattori per l’account in questione. Se non lo ha fatto, quando proverete ad eseguire questa procedura non verranno visualizzate le opzioni in Office 365.

2. Accedete ad Office 365 con l’account aziendale e la password (come fate di solito).
Dopo aver cliccato su Accedi, verrà visualizzata questa pagina:

Creare una password dell'app per Office 365

3. Scegliete Configura ora.

4. Selezionate il metodo di autenticazione e quindi seguite le istruzioni visualizzate.

Creare una password dell'app per Office 365

5. Dopo aver verificato il metodo di contatto alternativo, scegliete Avanti.

6. Otterrete, a questo punto, una password per l’app che da poter utilizzare con Outlook, Apple Mail ecc.
Cliccate sull’icona copia per copiare la password negli Appunti: non è necessario che la memorizziate.

Creare una password dell'app per Office 365

Creare un’altra password per l’app
1. Accedete a Office 365 e alla pagina account personale .

2. Scegliete Sicurezza e privacy > Verifica di sicurezza aggiuntiva.
L’opzione è presente solo se l’amministratore ha configurato l’autenticazione a più fattori per l’organizzazione. Se non la visualizzate, contattate l’amministratore di Office 365 e chiedetegli di attivare la MFA.

Creare una password dell'app per Office 365

3. Cliccate au Aggiornamento dei numeri di telefono personali usati per la sicurezza dell’account.
Si aprirà la seguente pagina:

Creare una password dell'app per Office 365

4. Nella parte superiore della pagina scegliete Password per le app.

5. Cliccate su Crea per ottenere una password per l’app.

6. Se richiesto, digitate un nome per la password e fate clic su Avanti.

7. Scegliete Copia password dell’app negli Appunti: non è necessario che la memorizziate.

Creare una password dell'app per Office 365
Suggerimento: se create un’altra password dell’app, vi verrà richiesto di assegnarle un nome. Potreste, ad esempio, chiamarla “Outlook”.

8. Passate all’app che volete connettere con il vostro account di Office 365.
Quando vi viene chiesto di immettere una password, incollate la password dell’app nella casella.

Usare la password dell’app in Outlook
Vi basterà eseguire la seguente procedura una sola volta.

1. Aprite Outlook (ad esempio Outlook 2010, 2013 o 2016).

2. Quando vi viene chiesto di immettere la password, incollate la password dell’app nella casella.
Ad esempio, se l’account è stato già aggiunto in Outlook, quando richiesto, incollate la password dell’app nella seguente schermata.

Creare una password dell'app per Office 365

3. Se invece si sta aggiungendo l’account di Office 365 in Outlook, inserite la password dell’app qui:

Creare una password dell'app per Office 365

4. Riavviate Outlook.

Eliminare le password dell’app per uno o più utenti
1. Accedete all’interfaccia di amministrazione di Microsoft 365.

2. Entrate nella sezione utenti> utenti attivi.

3. Selezionare un utente e scegliete la voce Gestisci autenticazione a più fattori.

Creare una password dell'app per Office 365

4. Selezionate gli utenti che volete modificare (sono supportate selezioni multiple).

5. Cliccate su Gestisci impostazioni utente

Creare una password dell'app per Office 365

6. Cliccate su Elimina tutte le password delle app esistenti generate dagli utenti selezionati.

Creare una password dell'app per Office 365

7. Cliccate Salva

Le informazioni presenti in questo post, sono prese dall’articolo: Creare una password dell’app per Office 365.

La Basic Authentication di Exchange Online ha i giorni contati

La Basic Authentication di Exchange Online ha i giorni contati

Il messaggio che Microsoft ha mandato agli amministratori di Exchange Online è lo stesso da mesi: la Basic Auth è morta per le connessioni ad Exchange.
Il progetto di Microsoft è quello di dismettere la basic auth per gli Exchange Web Services, Exchange ActiveSync, POP3, IMAP4 e Remote PowerShell il giorno 13 Ottobre 2020.

Raccogliere i dati relativi alle connessioni di tipo Basic Auth
In un post informativo del 25 Febbraio, Microsoft ha cercato di tranquillizzare la paura di alcuni clienti sulla possibilità che applicazioni e dispositivi avrebbero smesso di funzionare e non si sarebbero più potuti connettere ad Exchange Online.
La prima bella notizia è che Microsoft ha deciso di rimuovere l’obbligo di acquisto della licenza Azure Active Directory premium per poter vedere i report di Sign-in all’interno del portale di Azure AD.
Sebbene un tenant possa generare un consistente ammontare di dati di sign-in, è semplice applicare un filtro per focalizzare i sign in problematici che usano ancora la basic auth (Figura 1).

La Basic Authentication di Exchange Online ha i giorni contati
Figura 1: Filtrare i report di sign-in di Azure Active Directory

Qui abbiamo generato gruppo di connessioni di basic auth effettuando il sign-in su PowerShell senza la multi-factor authentication.
Il report ha rilevato i sign-in ma non li ha identificati come originati da PowerShell (nessuna stringa agente l’ha riportato).

Il consiglio di Microsoft è scaricare i dati di sign-in su Excel ed utilizzare le funzionalità di filtering e grouping per interrogare e comprendere il profilo di rischio del vostro tenant relativo alla basic auth.
Comprendere da dove si originano le connessioni di basic auth, le applicazioni coinvolte e gli account utilizzati assume grande importanza quando si costruiscono policy di conditional access con l’obiettivo di bloccare il traffico.

Sebbene sia necessario fare un po’ di lavoro di esplorazione extra per comprendere esattamente da dove provenga il traffico, il report di sign-in è uno strumento molto utile per evidenziare il volume delle connessioni basic auth che esistono in un tenant e chi sia il responsabile per quelle connessioni.

Effettuare l’upgrade di Outlook
Microsoft ha colto l’opportunità per aggiornare i tenant di Office 365 sui client più comuni e su quanto debba essere fatto per mantenere le connessioni aggiornate dopo il 13 Ottobre.

Outlook desktop (Windows e Mac) utilizza gli Exchange Web Services per connettersi a servizi quali l’AutoDiscover quindi se avete dei vecchi client Outlook connessi ad Exchange Online che utilizzano la Basic Auth, allora quei client devono essere aggiornati prima di Ottobre 2020 o smetteranno di funzionare.
Il consiglio è quello di aggiornare i client almeno ad Outlook 2016.

Controllare la configurazione del tenant di Exchange Online
È possibile che alcuni tenant di Office 365 siano ancora configurati per utilizzare la basic auth, in particolar modo se si tratta di tenant creati prima del 1 Agosto 2017 e se non si è mai passati alla configurazione di Exchange Online per utilizzare la modern authentication.
Se vedete riportate molte basich auth e sapete che il client di Outlook è relativamente nuovo, vale la pena controllare il valore dell’impostazione OAuth2ClientProfileEnabled all’interno della configurazione.
Dovreste farlo per dare comandi ai client Outlook 2013 e successivi perchè si connettano con la modern authentication:

PowerShell

1 Get-OrganizationConfig | Format-Table Name, OAuth2ClientProfileEnabled -AutoSize
2
3 Name OAuth2ClientProfileEnabled
4 —- ————————–
5 Walk2talk.onmicrosoft.com True

Se il valore è False, potete aggiornare la configurazione eseguendo il comando Set-OrganizationConfig ed impostando OAuth2ClientProfileEnabled su $True.

Aggiornare la configurazione implica che tutti i client si connettano al tenant.
Sarebbe saggio capire il profilo di connessione per i client prima di effettuare lo switch (anche questo da fare prima di Ottobre).

IMAP4 and POP3
Microsoft dice di aver completato il lavoro sulla modern authentication per quei protocolli di accesso ormai obsoleti e sta distribuendo il codice tramite Exchange Online.
Sottolinea poi che la modern authentication è disponibile da diversi anni per IMAP4 in Outlook.com cosa che risponde alla domanda sul perchè ci sia voluto tanto prima che comparisse nei servizi commerciali.

La documentazione per gli sviluppatori è stata completata, il che permette alle aziende che scrivono i client IMAP4 e POP3 che le persone utilizzano per connettersi alle mailbox di Exchange Online di aggiornare i loro codici prima di Ottobre.

È necessario fare un po’ di lavoro di test ed implementare client aggiornati.
Con questo a mente, bisogna chiedersi se sia arrivato il momento di ritirare questi protocolli ed utilizzare qualcosa di maggiormente moderno.
Ricordiamo che IMAP4 e POP3 sono stati creati quando era necessario un protocollo separato (SMTP) per inviare messaggi.
Questi protocolli possono solo effettuare il download dei messagi.
Owa è un buon sostituto per i PC mentre Outlook Mobile dovrebbe rimpiazzare i client mobili che utilizzano IMAP4 e POP3.

SMTP
Microsoft dice di aver quasi finito il lavoro di implementazione della modern authentication per l’SMTP.
Quando disattiverà la basic auth per l’SMTP, probabilmente si arresterà la connettività per i device mail-enabled che utilizzano l’SMTP per inviare notifiche o altre informazioni.
Non è chiaro quante aziende faranno l’aggiornamento del software in esecuzione su questi dispositivi per utilizzare la modern authentication, in particolare su device vecchi.
Potrebbe essere non vi siano soluzioni disponibili per permettere ai dispositivi di continuare a connettersi ad Exchange Online a meno che i clienti non facciano pressione per creare patches.

PowerShell
Molti script PowerShell che rendono automatici processi importanti vengono eseguiti con la basic auth.
Il piano di Microsoft per gli script non interattivi è quello di supportare l’autenticazione certificate-based perchè rimpiazzi le password passate a script via stringhe di testo.
Il nuovo modulo REST-based Exchange Online management aiuta (in particolar modo con gli ultimi update) ma offre un rimpiazzo solo per nove delle centinaia di cmdlets Exchange.

Ricordate che molti script usati con Office 365 interagiscono con molteplici endpoints (Exchange Online, SharePoint Online, Teams, Azure Active Directory ecc).
Il lavoro di spostare gli script non-interattivi dalla basic auth alla modern authentication non dev’essere sottostimato.

Da fare
Il 13 Ottobre 2020 sembra lontano.
E lo è…a meno che non abbiate diverse famiglie di client e dispositivi che utilizzano la basic auth per connettersi ad Exchange Online.
Se questo è il vostro caso, dovete muovervi immediatamente a meno che non vogliate che il flusso di email si blocchi totalmente una volta sradicata la basic auth.


Le informazioni presenti in questo post, sono prese dall’articolo: Time Running Out for Exchange Online Basic Authentication.