💼 Management Samenvatting
Exchange Online Archivering biedt onbeperkte e-mailopslag via In-Place Archive mailboxen met automatische uitbreidingsmogelijkheid, waardoor mailboxquotumlimieten worden verhoogd, nalevingsretentievereisten worden ondersteund en e-mailgegevenslevenscyclusbeheer wordt geïmplementeerd.
Aanbeveling
IMPLEMENTEER IN-PLACE ARCHIVE
Risico zonder
Low
Risk Score
4/10
Implementatie
8u (tech: 4u)
Van toepassing op:
✓ Exchange Online
✓ M365
✓ M365
Het primaire mailboxquotum (50-100GB) is vaak onvoldoende voor langetermijn e-mailretentie die vereist wordt door nalevingskaders zoals de AVG (7 jaar), BIO en ISO 27001. Archivering lost dit op door mailboxgroottebeperkingen te elimineren via onbeperkte aanvullende opslag die automatisch uitbreidt, nalevingsretentie te ondersteunen door e-mails ouder dan een bepaalde periode automatisch naar het archief te verplaatsen, gebruikersproductiviteit te verbeteren doordat de primaire mailbox performant blijft terwijl oude e-mails in het archief worden opgeslagen, zoekfunctionaliteit te bieden waardoor gebruikers het archief kunnen doorzoeken via Outlook, en juridische bewaarplicht te ondersteunen waarbij litigation hold ook het archief omvat.
PowerShell Modules Vereist
Primary API: Exchange Online PowerShell
Connection:
Required Modules: ExchangeOnlineManagement
Connection:
Connect-ExchangeOnlineRequired Modules: ExchangeOnlineManagement
Implementatie
Archiefontwerp omvat het inschakelen van In-Place Archive per gebruiker met een initiële capaciteit van 50GB die automatisch uitbreidt naar onbeperkt, het configureren van archiefbeleid waarbij de standaard MRM-beleidsregel e-mails ouder dan 2 jaar automatisch naar het archief verplaatst of aangepaste beleidsregels voor specifieke retentiebehoeften, het gebruik van automatisch uitbreidend archief dat standaard is ingeschakeld voor M365 E3/E5, archieftoegang waarbij gebruikers toegang hebben via Outlook en OWA zonder onderbreking waarbij de archiefmailbox gescheiden is van de primaire maar met geïntegreerde zoekfunctie, en retentiebeleid waarbij archiefretentie gescheiden is van de primaire mailbox voor langere retentie ten behoeve van juridische naleving.
Vereisten
Voordat u In-Place Archive implementeert, moet u ervoor zorgen dat alle technische, licentie- en organisatorische vereisten zijn vervuld. De eerste vereiste betreft de licentie: u moet beschikken over Exchange Online Plan 2 of Microsoft 365 E3/E5 licentie, waarbij archieffunctionaliteit standaard is inbegrepen. Deze licenties bieden niet alleen toegang tot de archieffunctionaliteit, maar ook tot de automatisch uitbreidende archiefoptie die onbeperkte opslagcapaciteit biedt zonder extra kosten. Voor organisaties met Exchange Online Plan 1 of Microsoft 365 E1/E2 licenties is archieffunctionaliteit niet beschikbaar en zal een licentie-upgrade noodzakelijk zijn.
De tweede vereiste betreft beheerrechten: u moet beschikken over de rol van Exchange Administrator of een gelijkwaardige rol met voldoende rechten om mailboxconfiguraties te wijzigen en retentiebeleid toe te wijzen. Deze rol is essentieel voor het inschakelen van archiefmailboxen, het configureren van retentiebeleid en het beheren van archiefinstellingen. Zonder deze rechten kunt u geen wijzigingen aanbrengen in de mailboxconfiguratie of retentiebeleid toewijzen aan gebruikers.
De derde vereiste betreft het definiëren van retentiebeleid: u moet vooraf bepalen hoe lang e-mails moeten worden bewaard voordat ze naar het archief worden verplaatst. Dit vereist een grondige analyse van uw organisatorische behoeften, juridische verplichtingen en compliance-vereisten. Voor Nederlandse overheidsorganisaties betekent dit vaak dat e-mails minimaal 7 jaar moeten worden bewaard in overeenstemming met de AVG, maar ook specifieke BIO-vereisten kunnen van toepassing zijn. Het is belangrijk om een duidelijk retentiebeleid te documenteren dat aangeeft wanneer e-mails automatisch naar het archief worden verplaatst en hoe lang ze in het archief moeten blijven.
De vierde vereiste betreft het documenteren van juridische en compliance-vereisten: u moet alle relevante wet- en regelgeving documenteren die van toepassing is op uw organisatie, zoals de AVG (7 jaar bewaarplicht), BIO-normen voor informatiebeheer, en ISO 27001-vereisten voor recordbescherming. Deze documentatie dient als basis voor het retentiebeleid en helpt bij het rechtvaardigen van archiveringsbeslissingen tijdens audits. Het is essentieel om te begrijpen welke specifieke vereisten van toepassing zijn op uw organisatie, omdat deze kunnen variëren afhankelijk van het type organisatie en de sector waarin u actief bent.
De vijfde vereiste betreft gebruikersopleiding: u moet gebruikers trainen in hoe ze toegang kunnen krijgen tot hun archiefmailbox en hoe ze deze effectief kunnen gebruiken. Dit omvat uitleg over hoe de archiefmailbox verschilt van de primaire mailbox, hoe ze e-mails in het archief kunnen doorzoeken via Outlook of Outlook Web App, en hoe ze kunnen begrijpen welke e-mails automatisch naar het archief zijn verplaatst. Goede gebruikersopleiding voorkomt verwarring en zorgt ervoor dat gebruikers de archieffunctionaliteit effectief kunnen benutten zonder dat dit hun productiviteit negatief beïnvloedt.
De zesde vereiste betreft opslagplanning: hoewel archiefkosten zijn inbegrepen in Microsoft 365 E3+ licenties met onbeperkte automatische uitbreiding, moet u toch rekening houden met de impact op uw algemene opslagstrategie. Het is belangrijk om te begrijpen dat archiefopslag onbeperkt is en automatisch uitbreidt, wat betekent dat u geen zorgen hoeft te maken over quota-beperkingen. Echter, voor organisaties met zeer grote hoeveelheden e-mailgegevens kan het nuttig zijn om te monitoren hoeveel opslagruimte wordt gebruikt en hoe snel het archief groeit, vooral voor budgetplanning en capaciteitsplanning doeleinden.
Implementatie
Het inschakelen van In-Place Archive per gebruiker is een gestructureerd proces dat kan worden uitgevoerd via de Exchange Admin Center of via PowerShell voor bulkoperaties. De eerste stap in het proces is het openen van de Exchange Admin Center, waarbij u navigeert naar Recipients en vervolgens naar Mailboxes. Hier selecteert u de specifieke gebruiker waarvoor u het archief wilt inschakelen en klikt u op het tabblad Archive. In dit tabblad kunt u de archiefmailbox inschakelen, wat resulteert in een initieel quotum van 50GB dat automatisch kan uitbreiden naar onbeperkt wanneer de automatisch uitbreidende archieffunctionaliteit is ingeschakeld.
De automatisch uitbreidende archieffunctionaliteit is standaard ingeschakeld voor Microsoft 365 E3 en E5 licenties, wat betekent dat wanneer een archiefmailbox de initiële 50GB benadert, deze automatisch wordt uitgebreid met extra 50GB blokken zonder dat er handmatige interventie nodig is. Dit proces gaat door totdat onbeperkte opslagcapaciteit is bereikt, waardoor organisaties zich geen zorgen hoeven te maken over quota-beperkingen of handmatige uitbreidingen. Deze functionaliteit is essentieel voor organisaties die grote hoeveelheden e-mailgegevens moeten archiveren voor compliance-doeleinden.
Na het inschakelen van de archiefmailbox moet u een retentiebeleid toewijzen die bepaalt wanneer e-mails automatisch naar het archief worden verplaatst. De standaard MRM-beleidsregel (Messaging Records Management) verplaatst e-mails die ouder zijn dan 2 jaar automatisch naar het archief, wat voor veel organisaties een goede basis is. Echter, voor organisaties met specifieke retentievereisten, zoals Nederlandse overheidsorganisaties die 7 jaar bewaarplicht hebben volgens de AVG, kan het nodig zijn om een aangepast retentiebeleid te maken.
Voor het maken van een aangepast retentiebeleid moet u retentielabels maken die bepalen wanneer e-mails naar het archief worden verplaatst. Deze labels kunnen worden geconfigureerd om e-mails na een specifiek aantal maanden automatisch naar het archief te verplaatsen, waarbij u de exacte retentieperiode kunt instellen die overeenkomt met uw organisatorische en compliance-vereisten. Deze aangepaste beleidsregels bieden flexibiliteit voor organisaties met verschillende retentiebehoeften voor verschillende soorten e-mailgegevens.
Voor bulkoperaties waarbij u archiefmailboxen moet inschakelen voor meerdere gebruikers tegelijk, kunt u PowerShell gebruiken met de opdracht Get-Mailbox gevolgd door Enable-Mailbox -Archive. Deze aanpak is bijzonder nuttig voor grote organisaties die honderden of duizenden gebruikers hebben en waarbij handmatige configuratie via de Exchange Admin Center niet praktisch is. PowerShell-scripts kunnen worden geautomatiseerd en gepland, waardoor het proces efficiënter wordt en minder foutgevoelig is dan handmatige configuratie.
Na het inschakelen van archiefmailboxen is het belangrijk om te verifiëren dat de configuratie correct is door de opdracht Get-Mailbox uit te voeren met de parameters Name en ArchiveStatus. De ArchiveStatus zou 'Active' moeten zijn voor gebruikers waarbij het archief succesvol is ingeschakeld. Deze verificatiestap is essentieel om ervoor te zorgen dat alle gebruikers correct zijn geconfigureerd en dat er geen configuratiefouten zijn opgetreden tijdens het implementatieproces. Regelmatige verificatie helpt ook bij het identificeren van gebruikers waarbij het archief mogelijk is uitgeschakeld of waarbij er problemen zijn opgetreden.
Monitoring
Gebruik PowerShell-script exchange-archive.ps1 (functie Invoke-Monitoring) – Controleren.
Effectieve monitoring van In-Place Archive is essentieel om ervoor te zorgen dat het systeem correct functioneert en dat alle compliance-vereisten worden nageleefd. De eerste monitoringtaak betreft het controleren van de archiefstatus voor alle gebruikers door de opdracht Get-Mailbox uit te voeren met de parameter ArchiveStatus. Deze controle helpt bij het identificeren van gebruikers waarbij het archief mogelijk niet correct is ingeschakeld of waarbij er problemen zijn opgetreden met de archiefconfiguratie. Regelmatige monitoring van de archiefstatus is belangrijk omdat configuratiefouten of licentieproblemen kunnen leiden tot gebruikers zonder werkend archief, wat compliance-risico's met zich meebrengt.
De tweede monitoringtaak betreft het monitoren van archiefquota en het bijhouden van wanneer automatische uitbreiding wordt geactiveerd. Hoewel automatisch uitbreidend archief onbeperkte opslag biedt, is het belangrijk om te begrijpen hoe snel archiefmailboxen groeien en wanneer automatische uitbreiding wordt geactiveerd. Deze informatie helpt bij capaciteitsplanning en budgetplanning, zelfs als er geen directe kosten zijn verbonden aan de uitbreiding. Monitoring van archiefquota kan ook helpen bij het identificeren van gebruikers met ongebruikelijk grote archiefmailboxen, wat kan wijzen op problemen met retentiebeleid of onjuiste configuratie.
De derde monitoringtaak betreft het verifiëren van retentiebeleidnaleving door te controleren of e-mails automatisch naar het archief worden verplaatst volgens de geconfigureerde retentiebeleidsregels. Dit vereist regelmatige controle van mailboxstatistieken om te bevestigen dat e-mails die de retentieperiode hebben bereikt daadwerkelijk worden verplaatst naar het archief. Verificatie van retentiebeleidnaleving is cruciaal voor compliance-doeleinden, omdat niet-naleving kan leiden tot juridische risico's en auditbevindingen. Organisaties moeten kunnen aantonen dat hun retentiebeleid correct wordt toegepast en dat e-mails worden bewaard volgens de vereiste retentieperioden.
De vierde monitoringtaak betreft het verzamelen van gebruikersfeedback over archieftoegang en het identificeren van problemen die gebruikers mogelijk ervaren bij het openen of doorzoeken van hun archiefmailbox. Gebruikers kunnen problemen ondervinden met archieftoegang via Outlook of Outlook Web App, wat kan leiden tot verminderde productiviteit en gebruikersontevredenheid. Regelmatige monitoring van gebruikersfeedback helpt bij het identificeren van veelvoorkomende problemen en het implementeren van oplossingen voordat deze problemen wijdverspreid worden. Deze monitoring kan worden uitgevoerd via helpdesktickets, gebruikersenquêtes of regelmatige gesprekken met gebruikersgroepen.
Compliance en Auditing
In-Place Archive ondersteunt verschillende compliance-vereisten die essentieel zijn voor Nederlandse overheidsorganisaties en andere organisaties die moeten voldoen aan strikte regelgeving. De eerste compliance-vereiste betreft AVG Artikel 5, dat betrekking heeft op opslagbeperkingen maar ook op retentie voor juridische doeleinden. Dit artikel vereist dat organisaties persoonsgegevens niet langer bewaren dan noodzakelijk is voor het doel waarvoor ze zijn verzameld, maar stelt ook eisen aan de bewaartermijn voor juridische en compliance-doeleinden. In-Place Archive helpt organisaties om aan beide aspecten te voldoen door automatische archivering op basis van retentiebeleid en door langetermijnopslag te bieden voor e-mails die moeten worden bewaard voor juridische of compliance-doeleinden.
De tweede compliance-vereiste betreft BIO 15.01, dat betrekking heeft op informatiebeheer en retentie. Deze norm vereist dat organisaties een gestructureerde aanpak hebben voor het beheren van informatie, inclusief het bepalen van retentieperioden en het archiveren van informatie die moet worden bewaard. In-Place Archive ondersteunt deze vereiste door automatische archivering op basis van retentiebeleid en door een gestructureerde opslagomgeving te bieden voor gearchiveerde e-mails. Organisaties kunnen aantonen dat ze voldoen aan BIO 15.01 door documentatie te hebben van hun retentiebeleid en door te kunnen aantonen dat e-mails worden gearchiveerd volgens dit beleid.
De derde compliance-vereiste betreft ISO 27001 A.18.1.3, dat betrekking heeft op de bescherming van records. Deze norm vereist dat organisaties records beschermen tegen verlies, vernietiging, vervalsing en ongeautoriseerde toegang. In-Place Archive ondersteunt deze vereiste door gearchiveerde e-mails op te slaan in een beveiligde omgeving met toegangscontroles en door te zorgen dat gearchiveerde e-mails niet kunnen worden verwijderd zonder juiste autorisatie. Bovendien biedt In-Place Archive integratie met eDiscovery en litigation hold functionaliteit, waardoor organisaties kunnen voldoen aan juridische bewaarplichten en eDiscovery-vereisten.
De vierde compliance-vereiste betreft juridische naleving, inclusief eDiscovery en litigation hold. eDiscovery verwijst naar het proces van het identificeren, verzamelen en produceren van elektronische informatie voor gebruik in juridische procedures. In-Place Archive ondersteunt eDiscovery door gearchiveerde e-mails doorzoekbaar te maken en door integratie met Microsoft eDiscovery-tools. Litigation hold verwijst naar het proces van het bewaren van relevante informatie wanneer er een juridische procedure aanhangig is of dreigt. In-Place Archive ondersteunt litigation hold door te zorgen dat gearchiveerde e-mails niet kunnen worden verwijderd, zelfs niet wanneer normale retentiebeleidsregels zouden voorschrijven dat ze moeten worden verwijderd.
Voor auditdoeleinden moeten organisaties kunnen aantonen dat hun archiveringssysteem correct is geconfigureerd en dat retentiebeleid correct wordt toegepast. Dit vereist documentatie van retentiebeleid, configuratie-instellingen en monitoringresultaten. Organisaties moeten ook kunnen aantonen dat gearchiveerde e-mails veilig worden opgeslagen en dat toegangscontroles correct zijn geïmplementeerd. Regelmatige audits helpen bij het identificeren van compliance-gaten en bij het verzekeren dat het archiveringssysteem blijft voldoen aan alle relevante regelgeving en normen.
Remediatie
Gebruik PowerShell-script exchange-archive.ps1 (functie Invoke-Remediation) – Herstellen.
Remediatie van problemen met In-Place Archive vereist een gestructureerde aanpak waarbij eerst wordt geïdentificeerd wat het probleem is en vervolgens de juiste oplossing wordt geïmplementeerd. Veelvoorkomende problemen die remediatie vereisen zijn gebruikers waarbij het archief niet correct is ingeschakeld, gebruikers waarbij automatische uitbreiding niet werkt, problemen met retentiebeleid die niet correct worden toegepast, en gebruikers die problemen ondervinden met archieftoegang. Voor elk van deze problemen zijn specifieke remediatiestappen vereist om het probleem op te lossen en ervoor te zorgen dat het archief correct functioneert.
Het eerste type probleem dat remediatie vereist is wanneer gebruikers geen archiefmailbox hebben of wanneer de archiefmailbox niet correct is ingeschakeld. Dit kan worden opgelost door de archiefmailbox handmatig in te schakelen via de Exchange Admin Center of via PowerShell met de opdracht Enable-Mailbox -Archive. Het is belangrijk om te verifiëren dat de gebruiker over de juiste licentie beschikt voordat u probeert het archief in te schakelen, omdat gebruikers zonder Exchange Online Plan 2 of Microsoft 365 E3/E5 licentie geen archiefmailbox kunnen hebben. Na het inschakelen van het archief moet u verifiëren dat de ArchiveStatus correct is ingesteld op 'Active'.
Het tweede type probleem dat remediatie vereist is wanneer automatische uitbreiding niet werkt voor gebruikers met Microsoft 365 E3 of E5 licenties. Dit kan worden veroorzaakt door licentieproblemen, configuratiefouten of problemen met de Microsoft 365-service. Remediatie vereist verificatie van de licentie-status, controle van de archiefconfiguratie en mogelijk het opnieuw inschakelen van automatische uitbreiding. In sommige gevallen kan het nodig zijn om contact op te nemen met Microsoft Support als het probleem wordt veroorzaakt door een serviceprobleem.
Het derde type probleem dat remediatie vereist is wanneer retentiebeleid niet correct wordt toegepast, waardoor e-mails niet automatisch naar het archief worden verplaatst. Dit kan worden veroorzaakt door onjuiste retentiebeleidsconfiguratie, problemen met retentielabels of conflicten tussen verschillende retentiebeleidsregels. Remediatie vereist verificatie van de retentiebeleidsconfiguratie, controle van retentielabels en mogelijk het opnieuw toewijzen van retentiebeleid aan gebruikers. Het is belangrijk om te testen of retentiebeleid correct werkt na remediatie door te controleren of e-mails daadwerkelijk worden verplaatst naar het archief volgens de geconfigureerde retentieperiode.
Het vierde type probleem dat remediatie vereist is wanneer gebruikers problemen ondervinden met archieftoegang via Outlook of Outlook Web App. Dit kan worden veroorzaakt door clientconfiguratieproblemen, synchronisatieproblemen of problemen met de archiefmailbox zelf. Remediatie vereist verificatie van de clientconfiguratie, controle van synchronisatiestatus en mogelijk het opnieuw verbinden van de archiefmailbox. In sommige gevallen kan het nodig zijn om gebruikers te vragen om Outlook opnieuw te starten of om de archiefmailbox opnieuw toe te voegen aan hun Outlook-profiel.
Compliance & Frameworks
- BIO: 15.01.03 - Informatiebeheer - E-mailretentie
- ISO 27001:2022: A.18.1.3 - Bescherming van records
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Mailbox Archive Strategy Design
.DESCRIPTION
Implementation for Mailbox Archive Strategy Design
.NOTES
Filename: exchange-archive.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/collaboration/exchange-archive.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Mailbox Archive Strategy Design"
$BIOControl = "18.03"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "exchange-archive"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
Low: Mailboxquotumlimieten (50-100GB) leiden tot gebruikersproductiviteitsproblemen, verwijderde e-mails voor ruimte en compliance-retentietekorten (AVG vereist 7 jaar). Het risico is gemiddeld - retentie en capaciteit.
Management Samenvatting
Exchange In-Place Archive: Inschakelen per gebruiker (50GB initieel + onbeperkt automatisch uitbreidend). Automatische e-mailarchivering via retentiebeleid (e-mails >2 jaar → archief). Gebruikers hebben naadloze toegang via Outlook. Vereist: Exchange Online Plan 2/M365 E3+. Activatie: Exchange Admin → Archief inschakelen + Retentiebeleid. Gratis (inbegrepen in M365 E3+). Verplicht voor AVG, BIO 15.01, ISO 27001. Implementatie: 4-8 uur. Lost mailboxcapaciteit en compliance-retentie op.
- Implementatietijd: 8 uur
- FTE required: 0.05 FTE